Plan een regiesessie

Verwerkersovereenkomst

1.           Het doel en de aard van verwerking

RippleCom verwerkt (art. 4 lid 8 AVG) namens haar klant, genoemd in de Samenwerkingsovereenkomst de persoonsgegevens (art. 4 lid 1 AVG) die nodig zijn voor het gebruik van het platform RippleCom, de WhatsApp Team Inbox.
De verwerking vindt uitsluitend plaats voor:

  • Het faciliteren van directe (telefonie, sms en WhatsApp) communicatie tussen de klant en haar relaties (die kunnen onder meer bestaan uit klanten, leveranciers, cliënten, kandidaten of gasten)
  • Het verzenden van berichten (template berichten, herinneringen, dialogen, documenten)
  • Het routeren, labelen, archiveren en sentiment analyse binnen eigen omgeving van gesprekken

RippleCom verwerkt geen gegevens voor eigen doeleinden of doeleinden voor derden.

De verwerking via het RippleCom-platform is beperkt tot functionele service- en transactieberichten die rechtstreeks samenhangen met een bestaande (behandel-)relatie of dienstverleningsovereenkomst tussen de klant en de betrokkene (zoals afspraakbevestigingen, herinneringen en praktische informatie).

Marketing- en bulkberichten zijn uitsluitend toegestaan indien (i) klant aantoont dat aan Telecommunicatiewet en AVG is voldaan, (ii) partijen dit schriftelijk vastleggen, en (iii) RippleCom deze functionaliteit expliciet heeft geactiveerd.

2.           Soorten persoonsgegevens en betrokkenen

De verwerkingen kunnen betrekking hebben op de persoonsgegevens zoals maar niet beperkt tot telefoonnummer, naam, geslacht, regio (locatie), functie, geslacht, leeftijd.

De betrokkenen bestaan uit prospects, interacties, gesprekken en relaties van de klant.

3.           Locatie en duur van de verwerking

De verwerking van de persoonsgegevens zoals genoemd vindt plaats binnen de Europese Unie met ontwikkeling in Nederland en hosting in Duitsland (Frankfurt am Main) en subverwerker Meta Platforms Ireland Ltd. (Ierland).

3.1.          Standaard bewaartermijnen (conform DPIA)

RippleCom bewaart de via het platform verwerkte gegevens standaard gedurende 12 tot 24 maanden, tenzij in deze overeenkomst uitdrukkelijk andere termijnen zijn overeengekomen.:

  • Gespreksinhoud en contactgegevens: 12-24 maanden
  • Metadata (tijdstip, afleverstatus, labels): 12-24 maanden
  • Audit-logs: maximaal 30 dagen, uitsluitend toegankelijk voor geautoriseerde beheerders
  • Meta Platforms Ireland Ltd.: maximaal 30 dagen conform WhatsApp Cloud API Policy (vast, niet configureerbaar)

Na deze termijnen worden de gegevens automatisch verwijderd of geanonimiseerd.

3.2.         Afwijkende bewaartermijnen op basis van wettelijke of legitieme gronden

Indien de klant aantoont dat kortere of langere bewaartermijnen noodzakelijk zijn op grond van:

  • Wettelijke bewaarplichten (art. 6 lid 1 sub c AVG)
  • Gerechtvaardigd belang voor bewijsdoeleinden bij geschillen (art. 6 lid 1 sub f AVG)
  • Contractuele verplichtingen jegens derden
  • Andere door de klant aan te tonen legitieme verwerkingsdoeleinden

dan kan schriftelijk een afwijkende bewaartermijn worden overeengekomen.

3.3.         Verantwoordelijkheid langere bewaartermijnen

De klant draagt als verwerkingsverantwoordelijke de volledige verantwoordelijkheid voor:

  • Het vaststellen van de noodzaak van kortere of langere bewaartermijnen
  • Het documenteren van de rechtsgrondslag voor kortere of langere bewaring
  • Het informeren van betrokkenen over de kortere of langere bewaartermijnen via het privacybeleid
  • Het naleven van de beginselen van dataminimalisatie en opslagbeperking (art. 5 lid 1 sub c en e AVG)

RippleCom faciliteert uitsluitend de technische mogelijkheid tot kortere of langere bewaring op schriftelijke instructie van de klant. RippleCom is niet verantwoordelijk voor de rechtmatigheid van door de klant geïnstrueerde kortere of langere bewaartermijnen.

3.4.         Technische beperking Meta-retentie

De bewaartermijn van Meta Platforms Ireland Ltd. (maximaal 30 dagen) is een vaste voorwaarde van de WhatsApp Cloud API en kan niet worden verlengd of verkort. De klant erkent en accepteert deze technische beperking.

3.5.         Subverwerkers

RippleCom maakt gebruik van Nederlandse telefonie infrastructuur onder naam van Speakup BV te Enschede en Meta Platforms Ireland Ltd. (de eigenaar en leverancier van WhatsApp en de WhatsApp Cloud API) als verwerker van WhatsApp-verkeer binnen de EU.  RippleCom heeft een Transfer Impact Assessment uitgevoerd (zie DPIA). Klant verklaart hiervan kennis te hebben genomen en akkoord te zijn.

Er worden geen andere subverwerkers of gateways ingezet zonder voorafgaande schriftelijke toestemming van de klant.

4.           Beveiliging

RippleCom heeft passende technische en organisatorische maatregelen genomen om de data zo veilig mogelijk te houden.

Daarvoor zijn onder meer de volgende maatregelen toegepast:

  • Versleuteling van data (in-transit en at-rest)
  • TLS 1.2+ beveiligde verbindingen
  • Rol- en rechtengebaseerde toegang tot de data
  • Logging van toegang en wijzigingen
  • Dagelijkse back-ups.

RippleCom zorgt ervoor dat haar personeel vertrouwelijk omgaat met alle persoonsgegevens.

 

4.1.         Rechten van betrokkenen

De klant is als verwerkingsverantwoordelijke primair verantwoordelijk voor het afhandelen van verzoeken van betrokkenen op basis van art. 15-22 AVG.

Indien een betrokkene de klant verzoekt voor inzage, correctie, verwijdering, bezwaar of dataportabiliteit inzake de eigen persoonsgegevens, zal dat door de klant schriftelijk en ad-hoc doorgegeven worden aan RippleCom.

RippleCom zorgt ervoor dat het verzoek binnen vijf werkdagen wordt behandeld en informeert haar klant om voor de afhandeling zorg te dragen aan betrokkene.

RippleCom brengt behoudt zich het recht om extra kosten in rekening te brengen voor de afhandeling van deze vraagstukken.

RippleCom implementeert een technische blokkade waarmee SMS / WhatsApp-berichten voorzien van de tekst “STOP” (of een door partijen overeengekomen equivalent) zo spoedig mogelijk en zonder onredelijke vertraging worden gesignaleerd en geblokkeerd voor toekomstige verzending via het platform.

RippleCom verwerkt STOP-berichten in beginsel binnen 15 minuten na ontvangst, met dien verstande dat kortdurende verstoringen of onderhoud een langere verwerkingsduur kunnen veroorzaken.

Het platform ondersteunt automatische verwerking van STOP-berichten:

  • Betrokkene stuurt "STOP" als antwoord op een WhatsApp-bericht
  • Platform verwerkt dit binnen 15 minuten en blokkeert toekomstige marketing berichten van Klant
  • Klant ontvangt notificatie dat betrokkene heeft geopt-out
  • Betrokkene kan "START" sturen om opt-out ongedaan te maken

Let op: STOP-functionaliteit geldt voor marketing/bulk-berichten. Individuele service-berichten die noodzakelijk zijn voor uitvoering overeenkomst (bijv. bevestiging afspraak die betrokkene zelf heeft ingepland) kunnen doorgang vinden.

De klant blijft verantwoordelijk voor het bijwerken van zijn eigen bronsystemen en contactregistraties en voor het volledig effectueren van het recht van bezwaar van betrokkenen in zijn eigen processen. RippleCom is niet verantwoordelijk voor berichten die door of namens de klant buiten het platform om worden verzonden.

 

5.           Datalekken en veiligheidsincidenten

Bij een mogelijk datalek of schending van AVG-/privacywetgeving stelt RippleCom de klant onverwijld en in elk geval uiterlijk binnen 24 uur na ontdekking schriftelijk op de hoogte.
De melding omvat ten minste en niet beperkt tot de aard van het incident, de aard van de betrokken persoonsgegevens, de mogelijke gevolgen en de getroffen maatregelen.

5.1.         Meldplicht RippleCom aan klant

Bij ontdekking van een mogelijk datalek stelt RippleCom de klant als volgt op de hoogte:

  • T+0 tot T+4 uur: Eerste melding (telefonisch + e-mail) met:
    • Aard van het incident (wat is er gebeurd?)
    • Moment van ontdekking
    • Betrokken systemen/gegevens (eerste inschatting)
    • Contactpersoon RippleCom voor vervolgvragen
  • T+24 uur: Uitgebreide rapportage (schriftelijk) met:
    • Gedetailleerde beschrijving incident
    • Aard en omvang getroffen persoonsgegevens
    • Aantal betrokkenen (indien bekend)
    • Waarschijnlijke gevolgen van het datalek
    • Getroffen en voorgestelde maatregelen
    • Aanbeveling: wel/geen melding aan AP/betrokkenen nodig

De klant is te allen tijde eigenaar van de data en verantwoordelijk voor eventuele meldingen aan de Autoriteit Persoonsgegevens en betrokkenen (binnen 72 uur na kennisname van het datalek bij klant). Beoordeling of melding aan betrokkenen noodzakelijk is (onverwijld indien hoog risico voor rechten en vrijheden) Inhoud en timing van deze meldingen.

RippleCom verleent redelijke assistentie bij het verzamelen van informatie voor AP-melding (binnen 48 uur na verzoek klant), de beantwoorden van vervolgvragen van AP (voor zover betrekking op RippleCom's verwerking) en het opstellen communicatie aan betrokkenen (template + advies).

RippleCom kan hiervoor een redelijke vergoeding in rekening brengen conform de tarieven in de overeenkomst, bij gebreke waarvan €150 per uur excl. btw, tenzij het datalek aantoonbaar is veroorzaakt door RippleCom.

5.2.         Aansprakelijkheid bij datalek subverwerker (Meta)

Indien een datalek zich voordoet bij Speakup BV,  Meta Platforms Ireland Ltd. of in de infrastructuur, en dit lek niet het gevolg is van een tekortkoming van RippleCom, geldt:

  • RippleCom informeert klant zo spoedig mogelijk nadat RippleCom hiervan op de hoogte is gesteld door Speakup /Meta of dit anderszins heeft vernomen
  • RippleCom is niet aansprakelijk voor schade voortvloeiend uit dit lek
  • Klant blijft verantwoordelijk voor melding aan AP en betrokkenen
  • RippleCom verleent redelijke assistentie bij het verzamelen van informatie voor de melding

De keuze voor Meta als subverwerker is gebaseerd opdat Meta is de eigenaar en enige aanbieder van de WhatsApp Cloud API en er geen alternatieve leverancier is voor zakelijke WhatsApp-berichten. Meta voldoet aan ISO 27001/27018 certificering en heeft SCC's afgesloten voor datadoorgifte. Meta is onderworpen aan DSA/DMA toezicht.

Door ondertekening van deze overeenkomst erkent klant dat het gebruik van Meta als subverwerker een inherent risico met zich meebrengt, en aanvaardt klant dit risico.

AP Klant vrijwaart RippleCom voor alle boetes, sancties en claims opgelegd door de Autoriteit Persoonsgegevens of andere toezichthouders, voortvloeiend uit datalekken bij Meta (niet veroorzaakt door RippleCom), het nalaten van klant om datalek tijdig te melden en/of juiste of onvolledige informatie in datalekmelding van klant.

Schending van AVG-verplichtingen door klant (bijv. ontbreken rechtsgrondslag, geen DPIA uitgevoerd, onvoldoende informatie aan betrokkenen) wordt RippleCom voor gevrijwaard.

Deze vrijwaring geldt niet indien het datalek rechtstreeks voortvloeit uit een toerekenbare tekortkoming in de door RippleCom getroffen beveiligingsmaatregelen zoals beschreven in sectie 4.

5.3.         Naleving WhatsApp-richtlijnen

De klant is verantwoordelijk voor naleving van de richtlijnen die Meta stelt aan het gebruik van WhatsApp en de WhatsApp Cloud API, waaronder:

  • WhatsApp Cloud API Policy
  • WhatsApp Commerce Policy
  • Meta Platform Terms

Verboden gebruik omvat onder meer:

  • Spam of ongevraagde marketing
  • Misleidende inhoud
  • Schending intellectuele eigendomsrechten van derden
  • Faciliteren van illegale activiteiten

Alle claims, boetes, sancties of beperkingen die Meta aan klant of RippleCom oplegt als gevolg van handelen van klant, zijn volledig voor rekening en risico van klant.

Klant vrijwaart RippleCom voor alle schade die RippleCom lijdt door schending van Meta-richtlijnen door klant, inclusief maar niet beperkt tot:

  • Opschorting of beëindiging van de WhatsApp Business Account
  • Boetes of schadeclaims van Meta
  • Reputatieschade

RippleCom behoudt het recht om het gebruik van het platform onmiddellijk op te schorten indien gerede twijfel bestaat over naleving van Meta-richtlijnen, zonder aansprakelijkheid voor de gevolgen hiervan.

6.           Geheimhouding

RippleCom behandelt alle persoonsgegevens strikt vertrouwelijk en deelt deze niet met derden, tenzij de wettelijke verplichting of noodzaak dit toestaat voor de uitvoering van de samenwerkingsovereenkomst.

7.           Einde van de verwerking

Na beëindiging van de samenwerking zal RippleCom alle persoonsgegevens binnen dertig dagen verwijderen of anonimiseren tenzij de wettelijke bewaarplichten anders bepalen.

De verwerkersovereenkomst loopt gelijk met de samenwerkingsovereenkomst tussen de partijen. Als de samenwerkingsovereenkomst eindigt, dan eindigt deze overeenkomst ook automatisch.

8.           Aansprakelijkheid

RippleCom is aansprakelijk voor schade die rechtstreeks voortvloeit uit een toerekenbare tekortkoming in de uitvoering van deze verwerkersovereenkomst als deze schade aantoonbaar is veroorzaakt door RippleCom.

Iedere aansprakelijkheid van RippleCom is beperkt tot het bedrag dat voor de betreffende maand aan vergoeding is betaald voor het gebruik van het platformen kan hooguit vermeerderd worden met maximaal drie maandbedragen, tenzij er sprake is van opzet of bewuste roekeloosheid van RippleCom.

 

9.           Verwerkingsregister (art. 30 AVG)

De klant neemt RippleCom op in het verwerkingsregister als bedoeld in art. 30 lid 2 AVG, met de volgende informatie:

Verwerker:

RippleCom BV

Binnenhavenstraat 91, 7553 GH Hengelo
(statutair gevestigd Langelermaatweg 98, 7553JJ Hengelo)

Contactpersoon verwerker:

J.M.M. Klieverik | 0850602509 | joost@ripplecom.eu

Categorieën van verwerkingen:

verzending WhatsApp-berichten voor afspraakbevestigingen, faciliteren van telefonie (spraak en SMS berichten)

Categorieën persoonsgegevens:

naam, telefoonnummer, afspraakgegevens (datum/tijd/locatie)

Categorieën ontvangers:

Meta Platforms Ireland Ltd. (subverwerker WhatsApp Cloud API)

Speakup BV (subverwerker telefonie en SMS)

Doorgifte buiten EU:

Nee (hosting in EU), behalve beperkte metadata naar VS onder SCC's

Beveiliging:

zie DPIA

 

9.1.         Verplichting verwerker

RippleCom houdt een register bij van alle categorieën van verwerkingen die namens klanten worden verricht, conform art. 30 lid 2 AVG. Op verzoek van klant (of de AP) verstrekt RippleCom een kopie van de relevante registerinformatie binnen 10 werkdagen

9.2.         Informatie voor audits

Beide partijen verstrekken elkaar op eerste verzoek informatie die nodig is voor het aantonen van naleving van art. 30 AVG, bijvoorbeeld ten behoeve van interne audits, Privacy impact assessments, AP-inspecties en/of ISO 27001 / NEN7510 certificering.

10.         Tot slot

Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Eventuele geschillen zullen door de rechtbank in Overijssel worden behandeld.

 

Contact

RippleCom is de meetlat voor directe communicatie.

Het telefoonnummer is de unieke identiteit. 
In het regiegesprek kijken we hoe RippleCom past bij binnen de organisatie.
We bespreken bereikbaarheid, verantwoordelijkheid en privacy. 
We zeggen eerlijk of er een match is.
Plan een regiesessie
We zijn
24/7
bereikbaar.
Reactie binnen
24
uur
Vraag het ons.
Blijf op de hoogte van relevante updates.
We delen alleen wijzigingen die invloed hebben op bereikbaarheid, regie en compliance. Geen ruis. Geen marketing.
Snelle links
Contact
Volg ons op:
© 2026 RippleCom®. Alle rechten voorbehouden. RippleCom BV is een onafhankelijke dienstverlener en niet gelieerd aan Meta Platforms, Inc.
WhatsApp® is een geregisteerd handelsmerk van Meta Platforms, Inc.
Ontwikkeld met 🩵 in Hengelo, Nederland.

RippleCom

Laatst gezien om 17:15
Hoe kan ik helpen? 👋
Verstuur direct