Verwerkersovereenkomst

Deze Verwerkersovereenkomst (Data Processing Agreement, "DPA") wordt gesloten tussen: • De Verwerkingsverantwoordelijke ("Verantwoordelijke"): de Organisator die het EazyPazz-platform gebruikt voor het beheren van evenementen, ticketverkoop en gerelateerde verwerkingen • De Verwerker: EazyPazz, handelend onder ondernemingsnummer 1003.713.438, vertegenwoordigd door Ignace Mella Deze DPA is van toepassing voor de duur van het gebruik van het platform door de Verantwoordelijke en maakt integraal deel uit van de Algemene Voorwaarden.

De Verwerker verwerkt persoonsgegevens namens de Verantwoordelijke voor de volgende doeleinden: • Ticketverkoop: verwerking van bestellingen, het genereren van tickets en het verzenden van bevestigingen • Evenementbeheer: het beheren van evenementgegevens, bezoekerslijsten en incheckgegevens • Scan en check-in: validatie van tickets en registratie van aanwezigheid • Cashless betalingen: beheer van polsbandtegoeden en transacties • Communicatie: het verzenden van evenementgerelateerde e-mails • Rapportage: het aanbieden van dashboards en statistieken De verwerking vindt plaats binnen de Europese Economische Ruimte (EER), tenzij anders vermeld in artikel 7.

Categorieën van betrokkenen: • Evenementbezoekers (kopers) • Teamleden van de organisatie • Organisatoren Categorieën van persoonsgegevens: • Identificatiegegevens: naam, e-mailadres, telefoonnummer • Bestelgegevens: aankoopgeschiedenis, tickettype, facturatiegegevens • Betalingsgegevens: verwerkt door Stripe en Mollie (PCI-DSS-compliant) • Incheckgegevens: scanlogs, aanwezigheid • Cashless-gegevens: polsband-ID, saldo, transactiegeschiedenis • Communicatiegegevens: supportberichten, e-mailcorrespondentie

De Verwerker verplicht zich tot: 4.1 De persoonsgegevens uitsluitend te verwerken op gedocumenteerde instructies van de Verantwoordelijke, zoals vastgelegd in deze DPA en de platformfunctionaliteit 4.2 Vertrouwelijkheid: alle personen die onder het gezag van de Verwerker persoonsgegevens verwerken, zijn gebonden aan een geheimhoudingsverplichting 4.3 Beveiliging: passende technische en organisatorische maatregelen te treffen overeenkomstig artikel 32 GDPR (zie artikel 6) 4.4 Geen verdere verwerking: persoonsgegevens niet te verwerken voor andere doeleinden dan in deze DPA vermeld 4.5 Hulp bij audits: de Verantwoordelijke bij te staan bij het uitoefenen van diens auditrechten

De Verwerker maakt gebruik van de volgende subverwerkers: • Stripe, Inc. (VS) — betalingsverwerking (Stripe Connect) • Mollie B.V. (Nederland) — betalingsverwerking (Mollie Connect) • Resend, Inc. (VS) — transactionele e-mails • Cloudinfrastructuurproviders — hosting, opslag en CDN De Verantwoordelijke geeft algemene autorisatie voor het gebruik van bovengenoemde subverwerkers. Bij wijzigingen van subverwerkers wordt de Verantwoordelijke timeig gewaarschuwd, met de mogelijkheid om bezwaar te maken. De actuele lijst van subverwerkers is beschikbaar op eazypazz.com/privacy.

De Verwerker neemt de nodige technische en organisatorische maatregelen om een passend beveiligingsniveau te garanderen, inclusief maar niet beperkt tot: • Encryptie van gegevens in transit (TLS 1.3) en at rest (AES-256) • Toegangscontrole en authenticatie (tweefactorauthenticatie, minimaal privilege) • Regelmatige beveiligingsaudits en penetratietests • Monitoring en logging van toegang en wijzigingen • Incidentresponsprocedure en -plan • Scheiding van productie- en testomgevingen • Back-ups en disaster recovery • Medewerkerstrainig op gebied van gegevensbescherming

Indien persoonsgegevens buiten de EER worden doorgegeven aan subverwerkers (met name Stripe en Resend in de VS), zorgt de Verwerker voor passende waarborgen: • Standard Contractual Clauses (SCC's) goedgekeurd door de Europese Commissie • Adequate beveiligingsmaatregelen conform artikel 46 GDPR • Aanvullende maatregelen conform de aanbevelingen van het EDPB De Verwerker stelt de SCC's op aanvraag ter beschikking aan de Verantwoordelijke.

De Verwerker stelt de Verantwoordelijke in staat om te voldoen aan verzoeken van betrokkenen die hun rechten willen uitoefenen (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar) overeenkomstig artikel 15-22 GDPR. De Verwerker informt de Verantwoordelijke onverwijld over elk rechtstreeks verzoek van een betrokkene, tenzij wettelijk verboden.

Na beëindiging van deze DPA: 9.1 De Verwerker verwijdert alle persoonsgegevens binnen 30 dagen na verzoek van de Verantwoordelijke, tenzij bewaring wettelijk vereist is 9.2 Indien bewaring wettelijk vereist is, beperkt de Verwerker de verwerking tot het wettelijke doel 9.3 De Verantwoordelijke kan op elk moment verzoeken om export van zijn/haar gegevens in een gestructureerd, algemeen gebruikt en machineleesbaar formaat

De Verantwoordelijke heeft het recht om audits uit te voeren om de naleving van deze DPA te verifiëren. De Verwerker: • Verleent medewerking aan audits • Stelt alle relevante informatie en documentatie ter beschikking • Geeft toegang tot faciliteiten en systemen voor de verwerking • Biedt op verzoek een onafhankelijk auditrapport aan (bijv. ISO 27001, SOC 2) Audits vinden plaats met een redelijke opzegtermijn, tijdens kantooruren en zonder onredelijke verstoring van de dienstverlening.

11.1 De Verwerker meldt datalekken aan de Verantwoordelijke binnen 48 uur na vaststelling, inclusief: • De aard van het lek, inclusief de categorieën en het geschatte aantal betrokkenen • De waarschijnlijke gevolgen • De genomen of voorgestelde maatregelen 11.2 De Verantwoordelijke meldt datalekken aan de toezichthoudende autoriteit binnen 72 uur conform artikel 33 GDPR, indien het risico voor de rechten en vrijheden van betrokkenen vereist. 11.3 Indien het lek een hoog risico vormt voor betrokkenen, wordt de Verantwoordelijke bijgestaan bij het informeren van betrokkenen conform artikel 34 GDPR.

12.1 Deze DPA wordt beheerst door het Belgisch recht. 12.2 Geschillen worden voorgelegd aan de bevoegde rechtbanken van Brussel. 12.3 Indien een bepaling van deze DPA ongeldig wordt bevonden, blijven de overige bepalingen van kracht. 12.4 Deze DPA is een aanvulling op de Algemene Voorwaarden van EazyPazz. Bij tegenstrijdigheid tussen deze DPA en de Algemene Voorwaarden prevaleert deze DPA. 12.5 Versies van deze DPA worden gedateerd en bewaard. De meest recente versie is beschikbaar op eazypazz.com/dpa.