Deze Verwerkersovereenkomst ("VWO") wordt gesloten tussen: Verwerkingsverantwoordelijke: de Klant die een abonnement heeft afgesloten op het Fyndex-platform (hierna: "Verwerkingsverantwoordelijke"); Verwerker: Digital Strategy BV, BE0682.764.786, Gaaienlaan 36, 2360 Oud-Turnhout, België (hierna: "Verwerker" of "Fyndex"). Deze VWO is opgesteld krachtens artikel 28 van de Algemene Verordening Gegevensbescherming (AVG / GDPR, Verordening (EU) 2016/679) en maakt integraal deel uit van de Algemene Voorwaarden van Fyndex.

1.1 De Verwerker verwerkt persoonsgegevens namens de Verwerkingsverantwoordelijke in het kader van de levering van het Fyndex-platform en de bijbehorende diensten. 1.2 Deze VWO treedt in werking op de datum van aanvaarding van de Algemene Voorwaarden en blijft van kracht zolang de Verwerker persoonsgegevens verwerkt in het kader van de dienstverlening.

2.1 De Verwerker verwerkt persoonsgegevens uitsluitend voor de volgende doeleinden: het hosten en beschikbaar stellen van de website van de Verwerkingsverantwoordelijke; het registreren en rapporteren van bezoekersstatistieken (pageviews, sessieduur, verwijzingsbron, apparaattype); het genereren van AI-gestuurde website-inhoud op instructie van de Verwerkingsverantwoordelijke via het Anthropic-taalmodel. 2.2 De Verwerker verwerkt geen persoonsgegevens voor eigen commerciële, marketing- of profileringsdoeleinden.

3.1 Categorieën van betrokkenen: bezoekers van de website van de Verwerkingsverantwoordelijke. 3.2 Categorieën van persoonsgegevens: IP-adressen (geanonimiseerd na initiële verwerking); Bezoekersgedragsgegevens (bekeken pagina's, sessieduur, verwijzingsbron, apparaattype, tijdstip van bezoek); Technische gegevens noodzakelijk voor de werking van het platform. 3.3 Er worden geen bijzondere categorieën van persoonsgegevens in de zin van artikel 9 AVG verwerkt.

4.1 De Verwerker verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructie van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist. 4.2 De Verwerker zorgt ervoor dat gemachtigde personen de vertrouwelijkheid van de persoonsgegevens in acht nemen. 4.3 De Verwerker neemt alle vereiste technische en organisatorische beveiligingsmaatregelen conform artikel 32 AVG (zie ook Artikel 7 van deze VWO). 4.4 De Verwerker helpt de Verwerkingsverantwoordelijke, voor zover mogelijk en redelijkerwijs van hem te verwachten, bij het nakomen van verplichtingen inzake gegevensbeschermingseffectbeoordelingen (art. 35 AVG) en verzoeken van betrokkenen (art. 12–23 AVG). 4.5 De Verwerker stelt alle informatie beschikbaar die redelijkerwijs nodig is om de naleving van artikel 28 AVG aan te tonen.

5.1 De Verwerkingsverantwoordelijke verleent hierbij algemene toestemming voor de inzet van de volgende subverwerkers: Supabase Inc. (VS) — Database en bestandsopslag — SCCs (EU-VS) Vercel Inc. (VS) — Hosting en CDN — SCCs (EU-VS) Anthropic PBC (VS) — AI-inhoudsgeneratie — SCCs (EU-VS) Resend Inc. (VS) — E-mailbezorging — SCCs (EU-VS) Mollie B.V. (NL) — Betalingsverwerking — EU 5.2 Voor alle doorgiften van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) maakt de Verwerker gebruik van de door de Europese Commissie vastgestelde Standaard Contractuele Bepalingen (SCBs) als overdrachtsmechanisme conform artikel 46, lid 2, onder c) AVG. 5.3 De Verwerker legt aan subverwerkers gelijkwaardige gegevensbeschermingsverplichtingen op als die welke zijn neergelegd in deze VWO. 5.4 De Verwerker stelt de Verwerkingsverantwoordelijke minimaal 14 kalenderdagen vooraf in kennis van beoogde wijzigingen in de lijst van subverwerkers. De Verwerkingsverantwoordelijke heeft het recht binnen deze termijn gemotiveerd bezwaar te maken. Bij onoverbrugbaar bezwaar kan de Verwerkingsverantwoordelijke de overeenkomst schriftelijk opzeggen.

6.1 Indien de Verwerker een verzoek ontvangt van een betrokkene (inzage, rectificatie, gegevenswissing, beperking, overdraagbaarheid of bezwaar), brengt de Verwerker de Verwerkingsverantwoordelijke hiervan onverwijld op de hoogte. De Verwerker beantwoordt het verzoek niet rechtstreeks, tenzij uitdrukkelijk gemachtigd door de Verwerkingsverantwoordelijke. 6.2 De Verwerker verleent de Verwerkingsverantwoordelijke, voor zover technisch en organisatorisch mogelijk, bijstand bij het beantwoorden van betrokkenenverzoeken binnen de wettelijke termijnen.

7.1 De Verwerker implementeert en handhaaft passende technische en organisatorische beveiligingsmaatregelen, waaronder ten minste: versleuteling van gegevens in transit (TLS 1.2 of hoger) en in rust (AES-256); toegangscontroles op basis van het need-to-know-principe en minimale toegangsrechten (least privilege); regelmatige beveiligingsevaluaties en -audits; procedures voor incidentdetectie en -respons. 7.2 De Verwerker evalueert de beveiligingsmaatregelen periodiek en past ze waar nodig aan.

8.1 De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld, en in elk geval binnen 72 uur na ontdekking, schriftelijk in kennis van een inbreuk in verband met persoonsgegevens. 8.2 De kennisgeving bevat ten minste: de aard en omvang van de inbreuk; de (geschatte) categorieën en aantallen betrokkenen en gegevensrecords; de contactgegevens van de functionaris voor gegevensbescherming of het aanspreekpunt; de waarschijnlijke gevolgen en de door de Verwerker genomen of voorgestelde maatregelen. 8.3 De Verwerkingsverantwoordelijke is verantwoordelijk voor het al dan niet melden van de inbreuk aan de Gegevensbeschermingsautoriteit (GBA) conform artikel 33 AVG.

9.1 Bezoekersgegevens (analytische gegevens m.b.t. websitebezoekers) worden bewaard voor de duur van het abonnement en worden uiterlijk 30 dagen na beëindiging van de overeenkomst permanent verwijderd. 9.2 Bedrijfsgegevens van de Klant worden bewaard gedurende maximaal 12 maanden na beëindiging van de overeenkomst, tenzij een wettelijke bewaarplicht een langere bewaartermijn vereist, waarna zij definitief worden verwijderd. 9.3 Op verzoek verstrekt de Verwerker de Verwerkingsverantwoordelijke een schriftelijke bevestiging van verwijdering.

10.1 De Verwerkingsverantwoordelijke heeft het recht maximaal één maal per jaar een audit uit te voeren — of te laten uitvoeren door een aangewezen, vertrouwelijkheids­gebonden auditor — om de naleving van deze VWO te verifiëren. 10.2 Audits worden minimaal 30 kalenderdagen van tevoren schriftelijk aangekondigd en worden zo uitgevoerd dat zij de normale bedrijfsvoering van de Verwerker niet onevenredig verstoren. 10.3 Auditkosten zijn ten laste van de Verwerkingsverantwoordelijke, tenzij de audit een materiële schending van deze VWO aan het licht brengt.

11.1 De aansprakelijkheid van de Verwerker uit hoofde van deze VWO is beperkt tot het bedrag als vermeld in Artikel 9 van de Algemene Voorwaarden. 11.2 De Verwerker is niet aansprakelijk voor inbreuken die het gevolg zijn van instructies van de Verwerkingsverantwoordelijke of van diens eigen schending van de AVG.

12.1 Deze VWO wordt beheerst door Belgisch recht. Bij geschillen zijn uitsluitend de rechtbanken van het arrondissement Antwerpen, afdeling Turnhout, bevoegd.

This Data Processing Agreement ("DPA") is entered into between: Controller: the Customer holding a subscription to the Fyndex platform (hereinafter: "Controller"); Processor: Digital Strategy BV, BE0682.764.786, Gaaienlaan 36, 2360 Oud-Turnhout, Belgium (hereinafter: "Processor" or "Fyndex"). This DPA is established pursuant to Article 28 of the General Data Protection Regulation (GDPR, Regulation (EU) 2016/679) and forms an integral part of Fyndex's Terms and Conditions.

1.1 The Processor processes personal data on behalf of the Controller in the context of providing the Fyndex platform and associated services. 1.2 This DPA enters into force on the date of acceptance of the Terms and Conditions and remains in effect for as long as the Processor processes personal data in the context of the service.

2.1 The Processor processes personal data exclusively for the following purposes: hosting and making available the Controller's website; recording and reporting visitor statistics (page views, session duration, referral source, device type); generating AI-driven website content on the instruction of the Controller via the Anthropic language model. 2.2 The Processor does not process personal data for its own commercial, marketing or profiling purposes.

3.1 Categories of data subjects: visitors to the Controller's website. 3.2 Categories of personal data: IP addresses (anonymised after initial processing); Visitor behaviour data (pages viewed, session duration, referral source, device type, time of visit); Technical data necessary for the operation of the platform. 3.3 No special categories of personal data within the meaning of Article 9 GDPR are processed.

4.1 The Processor processes personal data only on documented instructions from the Controller, unless a legal obligation requires otherwise. 4.2 The Processor ensures that authorised persons are bound by confidentiality obligations. 4.3 The Processor implements all required technical and organisational security measures pursuant to Article 32 GDPR (see also Article 7 of this DPA). 4.4 The Processor assists the Controller, to the extent possible and reasonably expected, in fulfilling obligations regarding data protection impact assessments (Art. 35 GDPR) and data subject requests (Art. 12–23 GDPR). 4.5 The Processor makes available all information reasonably necessary to demonstrate compliance with Article 28 GDPR.

5.1 The Controller hereby grants general authorisation for the engagement of the following sub-processors: Supabase Inc. (US) — Database and file storage — SCCs (EU–US) Vercel Inc. (US) — Hosting and CDN — SCCs (EU–US) Anthropic PBC (US) — AI content generation — SCCs (EU–US) Resend Inc. (US) — Email delivery — SCCs (EU–US) Mollie B.V. (NL) — Payment processing — EU 5.2 For all transfers of personal data to countries outside the European Economic Area (EEA), the Processor uses Standard Contractual Clauses (SCCs) adopted by the European Commission as the transfer mechanism pursuant to Article 46(2)(c) GDPR. 5.3 The Processor imposes on sub-processors data protection obligations equivalent to those set out in this DPA. 5.4 The Processor will notify the Controller at least 14 calendar days in advance of any intended changes to the list of sub-processors. The Controller has the right to object on reasoned grounds within this period. Where an objection cannot be resolved, the Controller may terminate the agreement in writing.

6.1 If the Processor receives a request from a data subject (access, rectification, erasure, restriction, portability or objection), the Processor will immediately notify the Controller. The Processor will not respond to the request directly unless expressly authorised by the Controller. 6.2 The Processor will assist the Controller, to the extent technically and organisationally feasible, in responding to data subject requests within statutory time limits.

7.1 The Processor implements and maintains appropriate technical and organisational security measures, including at least: encryption of data in transit (TLS 1.2 or higher) and at rest (AES-256); access controls based on the need-to-know principle and least privilege; regular security assessments and audits; incident detection and response procedures. 7.2 The Processor periodically reviews security measures and updates them where necessary.

8.1 The Processor will notify the Controller without undue delay, and in any event within 72 hours of becoming aware, in writing of a personal data breach. 8.2 The notification will include at least: the nature and scope of the breach; the (estimated) categories and numbers of data subjects and records affected; the contact details of the data protection officer or point of contact; the likely consequences and measures taken or proposed by the Processor. 8.3 The Controller is responsible for any notification to the supervisory authority (Belgian DPA) pursuant to Article 33 GDPR.

9.1 Visitor data (analytical data relating to website visitors) is retained for the duration of the subscription and permanently deleted within 30 days of termination of the agreement. 9.2 Customer business data is retained for a maximum of 12 months after termination of the agreement, unless a statutory retention obligation requires a longer period, after which it is permanently deleted. 9.3 Upon request, the Processor will provide the Controller with written confirmation of deletion.

10.1 The Controller has the right, at most once per year, to conduct an audit — or have an audit conducted by a designated, confidentiality-bound auditor — to verify compliance with this DPA. 10.2 Audits must be announced in writing at least 30 calendar days in advance and conducted in a manner that does not disproportionately disrupt the Processor's normal operations. 10.3 Audit costs are borne by the Controller, unless the audit reveals a material breach of this DPA.

11.1 The Processor's liability under this DPA is limited to the amount set out in Article 9 of the Terms and Conditions. 11.2 The Processor is not liable for breaches resulting from the Controller's instructions or from the Controller's own breach of GDPR.

12.1 This DPA is governed by Belgian law. In the event of disputes, the courts of the judicial district of Antwerp, Turnhout division, have exclusive jurisdiction.