<- Terug naar home

Verwerkersovereenkomst GYST2

Laatste versie: 10 april 2026 — G & J, handelend onder de naam Gyst2 (eenmanszaak)

Belangrijk: Door gebruik van het GYST2 platform accepteert u als Coach deze Verwerkersovereenkomst. Deze overeenkomst is van kracht zodra u een actief abonnement heeft en is een integraal onderdeel van de contractuele relatie tussen u en G & J.

Partijen bij deze overeenkomst:

Verwerkingsverantwoordelijke: De Coach of Gym die het GYST2 platform afneemt en persoonsgegevens van diens Klanten verwerkt.

Verwerker: G & J, eenmanszaak, KVK 55221017, gevestigd te Vrouwenparochie, Nederland — eigenaar en exploitant van GYST2.

1. Definities

Persoonsgegevens: alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, als bedoeld in Art. 4(1) AVG.

Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, als bedoeld in Art. 4(2) AVG.

Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon op wie de persoonsgegevens betrekking hebben — in de context van GYST2: de Klant van de Coach.

Verwerkingsverantwoordelijke: de Coach die het doel en de middelen voor de verwerking van persoonsgegevens van zijn Klanten vaststelt (Art. 4(7) AVG).

Verwerker: G & J, die ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt (Art. 4(8) AVG).

Sub-verwerker: een derde partij die door de Verwerker wordt ingeschakeld voor de verwerking van persoonsgegevens.

Datalek: een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Art. 4(12) AVG).

AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679.

2. Voorwerp en duur van de overeenkomst

Deze Verwerkersovereenkomst regelt de verwerking van persoonsgegevens van Klanten van de Verwerkingsverantwoordelijke (Coach) via het GYST2 Platform door G & J als Verwerker, conform Art. 28 AVG.

De overeenkomst treedt in werking op het moment dat de Coach een actief abonnement op GYST2 heeft en is van kracht gedurende de volledige looptijd van het abonnement. Na beëindiging van het abonnement — om welke reden dan ook — eindigt ook deze Verwerkersovereenkomst, onverminderd de verplichtingen die naar hun aard voortduren (zoals verwijdering van data).

3. Aard en doel van de verwerking

De Verwerker verwerkt persoonsgegevens van de Klanten van de Verwerkingsverantwoordelijke uitsluitend ten behoeve van de volgende doeleinden:

  • Opslag en beheer van klantprofielen, voedingslogs, lichaamsmetingen en voortgangsdata;
  • Faciliteren van communicatie tussen Coach en Klant via het Platform;
  • AI-ondersteunde voedingsanalyse op basis van door de Klant ingevoerde data;
  • Weergave van voortgangsgrafieken en statistieken aan Coach en Klant;
  • Beheer van eet- en trainingsschema's die de Coach opstelt voor Klanten;
  • Technisch beheer, beveiliging en onderhoud van de bovenstaande functionaliteiten.

De Verwerker verwerkt de persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anderszins vereist.

4. Soort persoonsgegevens en categorieën betrokkenen

Categorieën betrokkenen: Klanten (sporters/cliënten) van de Coach.

Verwerkte persoonsgegevens:

  • Identificatiedata: naam, e-mailadres, geboortedatum;
  • Gezondheids- en lichaamsdata (bijzondere categorie Art. 9 AVG): lichaamsgewicht, lichaamsmetingen, lichaamsvetpercentage, BMI;
  • Voedingslogs: maaltijden, calorieën, macro-nutriënten, waterinname;
  • Foto's: profielfoto's en voortgangsfoto's (bijzondere categorie voor zover gezondheidsinfo herleidbaar);
  • Doelstellingen en coachingschema's;
  • Communicatieberichten tussen Coach en Klant via het Platform.

De Verwerkingsverantwoordelijke is ervoor verantwoordelijk dat zij de vereiste expliciete toestemming (Art. 9(2)(a) AVG) heeft verkregen van Klanten voor de verwerking van bijzondere categorieën persoonsgegevens.

5. Verplichtingen van de Verwerker

De Verwerker (G & J) verplicht zich tot het volgende:

5.1 Verwerking op instructie

De Verwerker verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructie van de Verwerkingsverantwoordelijke, ook voor wat betreft doorgifte van persoonsgegevens aan derde landen. Indien de Verwerker op grond van het Unierecht of het recht van een lidstaat verplicht is tot verwerking, stelt hij de Verwerkingsverantwoordelijke hiervan vóór de verwerking in kennis.

5.2 Technische en organisatorische beveiligingsmaatregelen

De Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Maatregelen omvatten ten minste:

  • Row-Level Security (RLS) in de database — iedere gebruiker heeft alleen toegang tot eigen data;
  • Encryptie van data in transit (TLS 1.2 of hoger);
  • Encryptie van data at rest (AES-256 via Supabase-infrastructuur);
  • Toegangscontrole en autorisatiebeheer voor medewerkers;
  • Regelmatige beveiligingsbeoordelingen.

5.3 Vertrouwelijkheid

De Verwerker zorgt ervoor dat de tot het verwerken van persoonsgegevens gemachtigde personen zich ertoe hebben verbonden de vertrouwelijkheid in acht te nemen of door een passende wettelijke geheimhoudingsplicht zijn gebonden.

5.4 Bijstand bij rechten van betrokkenen

De Verwerker assisteert de Verwerkingsverantwoordelijke — voor zover mogelijk en rekening houdend met de aard van de verwerking — bij het nakomen van diens verplichtingen om verzoeken van betrokkenen te beantwoorden (inzage, rectificatie, verwijdering, dataportabiliteit). De Verwerker reageert op dergelijke verzoeken binnen de termijn die de Verwerkingsverantwoordelijke nodig heeft om aan zijn wettelijke verplichtingen te voldoen (uiterlijk binnen 30 dagen).

5.5 Melding van datalekken

De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld en uiterlijk binnen 72 uur na ontdekking in kennis van een Datalek dat betrekking heeft op door de Verwerkingsverantwoordelijke verstrekte persoonsgegevens. De kennisgeving bevat ten minste: de aard van het Datalek, de betrokken categorieën en het geschatte aantal betrokkenen, de waarschijnlijke gevolgen en de getroffen maatregelen.

5.6 Verwijdering of teruggave van data na beëindiging

Na beëindiging van de verwerkingsdiensten verwijdert de Verwerker alle persoonsgegevens en wist alle bestaande kopieën, tenzij het Unierecht of het recht van een lidstaat bewaring van de persoonsgegevens vereist. Data wordt bewaard gedurende maximaal 30 dagen na beëindiging van het abonnement, waarna definitieve verwijdering plaatsvindt. Op verzoek ontvangt de Verwerkingsverantwoordelijke een bevestiging van verwijdering.

5.7 Bijstand bij gegevensbeschermingseffectbeoordeling (DPIA)

De Verwerker verleent bijstand aan de Verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) indien de aard van de verwerking daartoe aanleiding geeft, en bij voorafgaand overleg met de toezichthoudende autoriteit.

6. Sub-verwerkers

De Verwerker maakt gebruik van de volgende sub-verwerkers voor de uitvoering van de verwerkingsactiviteiten:

Sub-verwerkerDoelLocatieDoorgifte-grondslag
Supabase, Inc.Database, opslag, authenticatieEU (Frankfurt)Geen doorgifte buiten EU
Stripe, Inc.BetalingsverwerkingVSSCC (Art. 46 AVG)
Resend, Inc.Transactionele e-mailVSSCC (Art. 46 AVG)
Google LLC (Gemini AI)AI-voedingsanalyseVSSCC (Art. 46 AVG)

De Verwerker behoudt zich het recht voor de lijst van sub-verwerkers te wijzigen. Bij een beoogde toevoeging of vervanging van een sub-verwerker stelt de Verwerker de Verwerkingsverantwoordelijke minimaal 30 dagen van tevoren in kennis, zodat de Verwerkingsverantwoordelijke bezwaar kan maken. Indien de Verwerkingsverantwoordelijke bezwaar maakt en de partijen geen oplossing bereiken, heeft de Verwerkingsverantwoordelijke het recht het abonnement op te zeggen zonder boete.

7. Doorgifte buiten de EU/EER

Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) vindt uitsluitend plaats op grond van:

  • Een adequaatheidsbesluit van de Europese Commissie (Art. 45 AVG); of
  • Standard Contractual Clauses (SCC's) zoals vastgesteld door de Europese Commissie (Art. 46(2)(c) AVG); of
  • Een andere passende waarborg als bedoeld in Art. 46 AVG.

De Verwerker draagt er zorg voor dat de sub-verwerkers die data buiten de EER verwerken (Stripe, Resend, Google LLC) zijn gebonden aan SCC's of een gelijkwaardige waarborg.

8. Auditrechten

De Verwerkingsverantwoordelijke heeft het recht de naleving van deze Verwerkersovereenkomst door de Verwerker te controleren, hetzij door het uitvoeren van een audit, hetzij door een door de Verwerkingsverantwoordelijke aangewezen auditor.

Audits worden aangekondigd met een kennisgeving van minimaal 30 dagenvooraf. De audit vindt plaats op een voor beide partijen redelijk tijdstip en mag de normale bedrijfsvoering van de Verwerker niet onevenredig verstoren. De kosten van een audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit een materiële tekortkoming aan het licht brengt.

De Verwerker stelt op verzoek alle informatie beschikbaar die nodig is om naleving van zijn verplichtingen uit hoofde van Art. 28 AVG aan te tonen.

9. Aansprakelijkheid

De aansprakelijkheid van de Verwerker jegens de Verwerkingsverantwoordelijke voor schade die voortvloeit uit een schending van deze Verwerkersovereenkomst of de AVG is beperkt conform de Algemene Voorwaarden van GYST2, zoals gepubliceerd op gyst2.com/terms.

Iedere partij is aansprakelijk voor de door haar veroorzaakte schade als gevolg van verwerking die inbreuk maakt op de AVG. De Verwerker is alleen aansprakelijk voor schade die is veroorzaakt door verwerking indien hij niet heeft voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG of heeft gehandeld buiten of in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke.

10. Toepasselijk recht en geschillenbeslechting

Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing. Geschillen die voortvloeien uit of samenhangen met deze overeenkomst worden voorgelegd aan de bevoegde rechter naar keuze van G & J, tenzij dwingend recht anders bepaalt.

11. Wijzigingen

G & J behoudt het recht deze Verwerkersovereenkomst te wijzigen. Materiële wijzigingen worden minimaal 30 dagen van tevoren aangekondigd per e-mail. Voortgezet gebruik van het Platform na inwerkingtreding van een wijziging geldt als aanvaarding van de gewijzigde overeenkomst. Indien de Verwerkingsverantwoordelijke niet akkoord gaat, kan het abonnement worden opgezegd.

G & J — KVK 55221017 — Vrouwenparochie, Nederland

Contact: privacy@gyst2.com | gyst2.com