Verwerkersovereenkomst

Versie 1.0 — laatst bijgewerkt op 1 juni 2026

Tussen

MVC Consulting (ToneelTickets), met maatschappelijke zetel te Deken Degryselaan 16, 8500 Kortrijk en met ondernemingsnummer BE0533.693.208. Hierna: de "Verwerker".

En

De organisatie (toneelgezelschap, vereniging of producent) die zich registreert op het ToneelTickets-platform en daarmee deze verwerkersovereenkomst aanvaardt. Hierna: de "Verwerkingsverantwoordelijke".

Beide partijen worden hieronder samen aangeduid als de "Partijen".

Overwegende dat

In het kader van de online ticketverkoop en publieksadministratie die ToneelTickets aanbiedt, verwerkt de Verwerker bepaalde Persoonsgegevens in opdracht en voor rekening van de Verwerkingsverantwoordelijke. Partijen wensen de afspraken rond deze verwerking schriftelijk vast te leggen, overeenkomstig artikel 28 AVG.

---

Artikel 1 — Definities

• AVG: Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).
• Betrokkene: de natuurlijke persoon op wie een Persoonsgegeven betrekking heeft (bv. een ticketkoper).
• Datalek: een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde toegang tot Persoonsgegevens.
• Opdracht: de dienstverlening van ToneelTickets zoals beschreven in Bijlage 1.
• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4(1) AVG, die de Verwerker in het kader van de Opdracht verwerkt.
• Verwerken / Verwerking: elke bewerking op Persoonsgegevens, zoals bedoeld in artikel 4(2) AVG.
• Subverwerker: een externe partij die in opdracht van de Verwerker Persoonsgegevens verwerkt.

Artikel 2 — Voorwerp (art. 28 AVG)

2.1. De Verwerker verwerkt Persoonsgegevens uitsluitend zoals omschreven in de Opdracht (Bijlage 1) en conform de instructies van de Verwerkingsverantwoordelijke.

2.2. Elke verwerking buiten de Opdracht is verboden, tenzij:

• de Verwerkingsverantwoordelijke daartoe schriftelijke instructies geeft; of
• een wettelijke (Unie- of lidstaatrechtelijke) bepaling de Verwerker daartoe verplicht. In dat geval brengt de Verwerker de Verwerkingsverantwoordelijke vooraf op de hoogte, tenzij die wetgeving dit verbiedt om gewichtige redenen van algemeen belang.

2.3. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien een instructie volgens hem inbreuk oplevert op de AVG.

Artikel 3 — Duur

3.1. Deze overeenkomst loopt zolang de Verwerkingsverantwoordelijke gebruik maakt van het ToneelTickets-platform.

3.2. Artikelen 3.3, 5, 6, 7, 9 en 12 blijven van kracht na beëindiging.

3.3. Na beëindiging stopt de Verwerker elke verwerking en wist hij binnen twee maanden alle Persoonsgegevens en back-ups, tenzij opslag wettelijk verplicht is (bv. boekhoudkundige bewaartermijn voor facturatiegegevens).

Artikel 4 — Beveiliging (art. 32 AVG)

4.1. De Verwerker neemt passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen vernietiging, verlies, vervalsing, ongeoorloofde toegang of onrechtmatige verwerking. De minimummaatregelen staan in Bijlage 2.

4.2. De Verwerker beschikt over een actueel veiligheidsbeleid en evalueert dit periodiek.

Artikel 5 — Vertrouwelijkheid (art. 29 AVG)

5.1. De Verwerker waarborgt de vertrouwelijkheid van alle Persoonsgegevens.

5.2. Enkel personeelsleden of aangestelden die contractueel of wettelijk tot geheimhouding zijn gebonden, krijgen toegang tot Persoonsgegevens, en enkel voor zover dat strikt nodig is voor de uitvoering van hun taken.

Artikel 6 — Onderaanneming en subverwerkers (art. 28 AVG)

6.1. De Verwerker mag Subverwerkers inschakelen voor de uitvoering van de Opdracht. Belangrijke vaste subverwerkers van ToneelTickets zijn onder meer:

• Stripe — betalingsverwerking (online tickets & extra's).
• Hosting-provider in de EER (servers en database).
• E-mailprovider voor transactionele e-mails (bv. bestelbevestigingen en e-tickets).

6.2. Met elke Subverwerker sluit de Verwerker een overeenkomst met minstens gelijkwaardige verplichtingen inzake gegevensbescherming en vertrouwelijkheid.

6.3. De Verwerker houdt een actueel overzicht bij van alle Subverwerkers en bezorgt dit op eenvoudig verzoek aan de Verwerkingsverantwoordelijke.

Artikel 7 — Bijstand (art. 28 AVG)

7.1. Algemeen. De Verwerker verleent de Verwerkingsverantwoordelijke redelijkerwijs alle bijstand om zijn AVG-verplichtingen na te komen en aan te tonen.

7.2. Verzoeken van Betrokkenen. Wanneer een Betrokkene (bv. een ticketkoper) zich rechtstreeks tot de Verwerker richt om rechten uit hoofdstuk III AVG uit te oefenen (inzage, verwijdering, bezwaar, …), wordt de Verwerkingsverantwoordelijke daarvan onverwijld verwittigd. De Verwerker beantwoordt het verzoek pas na akkoord van de Verwerkingsverantwoordelijke, tenzij het een verzoek betreft dat uitsluitend door de Verwerker uitgevoerd kan worden.

7.3. Datalekken. De Verwerker meldt elk Datalek zonder onredelijke vertraging, en uiterlijk binnen 48 uur na kennisname, aan de Verwerkingsverantwoordelijke (privacy@toneeltickets.be). Hij verleent alle redelijke bijstand bij de melding aan de Gegevensbeschermingsautoriteit (art. 33 AVG) en — waar nodig — aan de Betrokkenen (art. 34 AVG). De feitelijke melding aan de toezichthoudende autoriteit blijft de bevoegdheid van de Verwerkingsverantwoordelijke.

7.4. Andere bijstand. De Verwerker helpt de Verwerkingsverantwoordelijke, voor zover relevant, bij:

• de beveiliging van de verwerking (art. 32 AVG);
• het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA, art. 35 AVG);
• het raadplegen van de toezichthoudende autoriteit indien nodig (art. 36 AVG).

Artikel 8 — Plaats van verwerking

De Verwerker verwerkt de Persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER). Indien voor specifieke functionaliteiten een doorgifte buiten de EER noodzakelijk zou zijn (bv. via Stripe), gebeurt dit met de passende waarborgen zoals voorzien in hoofdstuk V AVG (bv. modelcontractbepalingen).

Artikel 9 — Controle (art. 28 AVG)

9.1. De Verwerkingsverantwoordelijke heeft het recht de naleving van deze overeenkomst te (laten) controleren, mits schriftelijke aankondiging minstens tien werkdagen vooraf en uitgevoerd tijdens kantooruren.

9.2. De Verwerker bezorgt op eenvoudig verzoek de relevante informatie en documentatie en verleent redelijke bijstand bij audits.

Artikel 10 — Aansprakelijkheid (art. 82 AVG)

10.1. De aansprakelijkheid van de Verwerker is beperkt zoals voorzien in de Algemene Voorwaarden, zonder afbreuk te doen aan artikel 82 AVG.

10.2. Elke Partij blijft volledig aansprakelijk voor haar eigen inbreuken op de AVG.

Artikel 11 — Beëindiging

11.1. De Verwerkingsverantwoordelijke kan de samenwerking te allen tijde schriftelijk beëindigen door zijn account op te zeggen. De Verwerker verwijdert vervolgens binnen twee maanden alle Persoonsgegevens, behoudens de wettelijke uitzonderingen (zie art. 3.3).

Artikel 12 — Overige

12.1. Op deze overeenkomst is het Belgisch recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechtbanken van het arrondissement waarin de Verwerker gevestigd is.

12.2. Indien een bepaling nietig of ongeldig zou zijn, blijven de overige bepalingen onverkort van toepassing en onderhandelen Partijen te goeder trouw over een vervangende geldige bepaling met zo gelijkaardig mogelijk effect.

12.3. Wijzigingen aan deze overeenkomst worden aangeduid door een nieuw versienummer.

---

Bijlage 1 — Omschrijving van de Opdracht

ToneelTickets biedt een online platform aan voor ticketverkoop en publieksbeheer voor toneelgezelschappen, theaters en aanverwante organisaties.

Webshop, ticketverkoop & extra's

De Verwerker verwerkt voor de Verwerkingsverantwoordelijke onder andere:

• Naam van de besteller
• E-mailadres van de besteller
• Telefoonnummer (optioneel)
• Eventuele bijkomende velden die de Verwerkingsverantwoordelijke zelf configureert (bv. menukeuze, bus, dieetwensen)
• Stoel-/plaatskeuze en gekozen tickettypes
• Bestelreferenties en betaalstatus

Deze gegevens worden gebruikt om de bestelling af te handelen, e-tickets en bestelbevestigingen te versturen, scan/inkom mogelijk te maken, ondersteuning te bieden, en het platform te beveiligen en foutopsporing uit te voeren.

Technische gegevens

Daarnaast verwerkt de Verwerker IP-adressen, useragents en logbestanden van bezoekers. Dit is noodzakelijk voor netwerkverkeer, foutopsporing, misbruikdetectie en beveiliging. IP-adressen worden niet gebruikt om bezoekers te volgen, tenzij in het kader van een wettelijke verplichting (bv. fraudeonderzoek). Logs worden niet langer bewaard dan nodig, met een maximum van één jaar.

Bij online betalingen wordt het IP-adres — indien gevraagd door de betaalprovider (Stripe) — meegestuurd naar de betaalprovider voor fraudepreventie.

Eigen verantwoordelijkheid van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke beslist zelf welke (extra) velden worden uitgevraagd in de bestelflow en is verantwoordelijk voor:

• het bestaan van een geldige rechtsgrond (art. 6 AVG) voor elke verzamelde categorie persoonsgegevens;
• een correcte communicatie naar de Betrokkenen (eigen privacybeleid);
• het beheren en beantwoorden van verzoeken van Betrokkenen.

Uitgesloten

Volgende gegevens vallen buiten deze verwerkersovereenkomst en worden door de Verwerker als eigen verantwoordelijke verwerkt (zie het privacybeleid):

• Naam en e-mailadres van beheerders van een organisatie
• Adres en facturatiegegevens van de organisatie

Bijlage 2 — Beveiligingsmaatregelen

Beveiliging in lagen

ToneelTickets hanteert meerdere onafhankelijke beveiligingslagen, zodat het falen van één maatregel niet automatisch leidt tot het uitlekken van Persoonsgegevens.

HTTPS overal

Alle verkeer tussen browsers en de servers van ToneelTickets verloopt over een versleutelde HTTPS-verbinding.

Toegangscontrole

Industry best practices worden toegepast voor servertoegang: geen wachtwoord-gebaseerde logins, enkel cryptografische sleutels, een firewall op elke server, en regelmatige software-updates.

Fysieke beveiliging & datacenters

Persoonsgegevens worden opgeslagen in gecertificeerde datacenters binnen de Europese Economische Ruimte (België, Duitsland of Nederland). De gebruikte providers beschikken over de relevante veiligheidscertificeringen (zoals ISO 27001).

Versleutelde back-ups

Databases worden dagelijks versleuteld geback-upt naar een afzonderlijke locatie. Back-ups worden tot 90 dagen bewaard en het back-upsysteem wordt automatisch gemonitord.

Wachtwoordhashing

Wachtwoorden worden nooit leesbaar opgeslagen. Ze worden gehasht met een algoritme dat specifiek ontwikkeld is voor wachtwoorden (met salt). Zelfs met toegang tot de database kunnen wachtwoorden niet worden gereconstrueerd.

Responsible disclosure

Beveiligingsproblemen ontdekt? Meld ze via privacy@toneeltickets.be. We vragen om gevonden problemen pas publiek bekend te maken nadat we voldoende tijd hebben gehad om ze op te lossen.

---

Vragen over deze verwerkersovereenkomst? Mail ons op info@toneeltickets.be.