UmrahManager

Juridisch

Verwerkersovereenkomst

Laatst bijgewerkt: 21 juni 2026

Wie is wie?

Het bureau = verwerkingsverantwoordelijke (controller). Bepaalt waarvoor de data wordt gebruikt.

UmrahManager = verwerker (processor). Verwerkt data uitsluitend in opdracht van het bureau, conform deze overeenkomst.

Welke data verwerken wij namens jou?

  • Naam, contactgegevens en geboortedatum van pelgrims
  • Paspoortscans, paspoortnummer en vervaldatum
  • Visumstatus en bijbehorende documenten
  • Vlucht- en hotelboekingen, kamerindeling
  • Betalingsstatus (geen betaalkaartnummers — dat loopt via Mollie / iDEAL bij de bank)
  • Communicatie-voorkeuren, intake-antwoorden, dieet- en kamerwensen

Waar staat de data?

Database in Frankfurt (Supabase, EU). Email-verzending via Resend (eu-west-1). Bestanden in versleutelde EU-cloudopslag. Geen data verlaat de EU.

Sub-verwerkers

We werken met de volgende sub-verwerkers:

  • Supabase Inc. — database & opslag (EU-regio)
  • Resend — email-verzending (EU-regio)
  • Netlify — hosting & functions (EU-edge)
  • Anthropic — AI-tekstgeneratie (alleen op verzoek van bureau, geen klant-data)
  • Google Cloud Vision — paspoort-OCR (alleen tijdens upload-moment, geen permanente opslag)
  • Sentry — error-monitoring (EU-regio, geen klant-data, alleen technische errors)

Bij wijziging van sub-verwerkers informeren wij minimaal 30 dagen vooraf via email.

Beveiligingsmaatregelen

  • TLS-versleuteling voor alle verbindingen
  • At-rest encryption op database en bestanden
  • Per-bureau data-isolatie via row-level security
  • Audit-log op gevoelige acties (verwijderen, exporteren, betalingen)
  • Dagelijkse backups met 7-dagen retentie
  • Sterke wachtwoorden + inlog via e-mail-link
  • 2FA beschikbaar voor staff-accounts (optioneel op Klein, Groei en Groot, verplicht op Enterprise)

Datalek-procedure

Bij een (vermoeden van een) datalek informeren wij het bureau binnen 24 uur via email + WhatsApp, met details over wat er bekend is, welke data betrokken zou kunnen zijn, en wat er aan gedaan wordt. Het bureau is zelf verantwoordelijk voor de melding richting eigen klanten en de Autoriteit Persoonsgegevens, indien van toepassing.

Bij beëindiging

Bij opzegging exporteren we alle bureau-data in een leesbaar formaat (Excel/JSON). Daarna wordt alle data binnen 90 dagen permanent verwijderd, inclusief uit backups (zodra die uit retentie rouleren).

DPA-PDF nodig voor je dossier? Stuur een berichtje via WhatsApp of mail info@umrahmanager.app — dan stuur ik 'm dezelfde dag toe.

← Terug naar homepage