Juridisch

Verwerkersovereenkomst (DPA)

Invoisio • v0.1 concept • April 2026

Concept v0.1 — april 2026. Deze verwerkersovereenkomst is opgesteld volgens AVG artikel 28 en wordt momenteel juridisch gereviewd. Voor enterprise-afspraken of ondertekende versies: neem contact op via legal@invoisio.com. Wijzigingen worden gepubliceerd met nieuwe versie + datum.

Overwegingen

A. Invoisio biedt de Klant een SaaS-platform voor facturatie, offertes, betalingen en klantbeheer, waarbij persoonsgegevens worden verwerkt namens de Klant.

B. De Klant is verwerkingsverantwoordelijke voor de persoonsgegevens van zijn eigen klanten, debiteuren en contacten die via het platform worden verwerkt.

C. Invoisio treedt op als verwerker in de zin van artikel 4 sub 8 AVG en verwerkt persoonsgegevens uitsluitend in opdracht van de Klant.

D. Partijen wensen met deze DPA hun onderlinge verplichtingen vast te leggen conform artikel 28 AVG en de daaruit voortvloeiende wetgeving.

Artikel 1 — Partijen en definities

Deze verwerkersovereenkomst ("DPA") vormt een integraal onderdeel van de abonnementsovereenkomst tussen:

Verwerker: Invoisio (handelsnaam van eenmanszaak R. Luta)
Nijhofflaan 41, 3319 BN Dordrecht, Nederland
KvK 80455387 · BTW NL003439535B62 · SBI 62100 (Ontwerpen van computerprogramma's)
Contact: privacy@invoisio.com

Verwerkingsverantwoordelijke: de Klant, zoals geïdentificeerd in de abonnementsovereenkomst (hierna: "Klant").

Definities (conform AVG artikel 4):

  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
  • Verwerking: elke bewerking van persoonsgegevens.
  • Betrokkene: de natuurlijke persoon wiens gegevens worden verwerkt.
  • Subverwerker: een door Invoisio ingeschakelde derde die persoonsgegevens verwerkt namens Invoisio.
  • AVG: Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).

Artikel 2 — Onderwerp, aard en duur

Onderwerp: verwerking van persoonsgegevens door Invoisio namens de Klant in het kader van het gebruik van het Invoisio-platform.

Aard van de verwerking: geautomatiseerde opslag, raadpleging, wijziging, structurering, verzending (PDF-factuur per e-mail), back-up en verwijdering — uitsluitend voor zover nodig om de dienst aan de Klant te leveren.

Doeleinden:

  • het opslaan en beheren van facturen, offertes, klantgegevens, productgegevens en urenregistratie;
  • het versturen van facturen, herinneringen en e-mailcommunicatie namens de Klant;
  • het genereren van dashboards en rapportages voor de Klant;
  • het verwerken van ritregistratie (GPS-data) voor kilometeradministratie;
  • het leveren van mobiele-app-functionaliteit (scan-bonnetjes, offline sync).

Duur: deze DPA treedt in werking op de datum waarop de Klant de abonnementsovereenkomst accepteert en blijft van kracht zolang Invoisio persoonsgegevens namens de Klant verwerkt.

Artikel 3 — Soorten persoonsgegevens en categorieën betrokkenen

Soorten persoonsgegevens die Invoisio namens de Klant verwerkt:

CategorieGegevens
ContactgegevensNaam, e-mailadres, telefoonnummer, postadres
BedrijfsgegevensBedrijfsnaam, KvK-nummer, BTW-nummer, vestigingsadres
Financiële gegevensFactuurbedragen, betaaldata, IBAN (indien opgegeven), BTW-tarief
UrenregistratieStart/stop-tijden, project-labels, uurtarief (indien ingevuld)
RitregistratieGPS-coördinaten, vertrek- en aankomsttijd, totaalafstand (alleen tijdens actieve rit door gebruiker gestart)
Bonnetjes / onkostenFoto's van bonnetjes, leverancier, bedrag, datum
CommunicatieInhoud van verstuurde facturen/offertes, e-mailverzenddata
Technische gegevensIP-adres, sessie-token, device-identifier (alleen voor beveiliging en functionele werking)

Categorieën betrokkenen:

  • medewerkers en contactpersonen van de Klant (gebruikers van het platform);
  • eindklanten (debiteuren) van de Klant;
  • leveranciers van de Klant (voor zover op bonnetjes/facturen genoemd);
  • overige zakelijke contactpersonen die door de Klant in het systeem worden vastgelegd.

Invoisio verwerkt geen bijzondere categorieën persoonsgegevens (AVG art. 9) en verwerkt geen gegevens van kinderen onder de 16 jaar.

Artikel 4 — Rolverdeling en instructies

De Klant is verwerkingsverantwoordelijke in de zin van de AVG. Invoisio is verwerker.

Invoisio verwerkt persoonsgegevens uitsluitend:

  • op schriftelijke of gedocumenteerde instructie van de Klant;
  • voor zover nodig om de dienst conform de abonnementsovereenkomst te leveren;
  • conform de toepasselijke wet- en regelgeving (AVG, UAVG).

Acceptatie van de abonnementsovereenkomst en het gebruik van het platform door de Klant gelden als gedocumenteerde instructie voor de in Artikel 2 genoemde verwerkingsdoelen.

Indien Invoisio van mening is dat een instructie in strijd is met de AVG of andere EU-/lidstatelijke wetgeving, stelt Invoisio de Klant daarvan onverwijld op de hoogte.

Artikel 5 — Geheimhouding

Invoisio waarborgt dat personen die onder haar gezag persoonsgegevens verwerken (medewerkers, ingehuurde krachten, bestuurders):

  • gebonden zijn aan een geheimhoudingsverplichting, hetzij contractueel, hetzij uit hoofde van hun functie;
  • uitsluitend toegang hebben tot persoonsgegevens voor zover strikt nodig voor hun taak (need-to-know);
  • zijn geïnstrueerd over hun verplichtingen onder deze DPA en de AVG.

Artikel 6 — Beveiligingsmaatregelen (AVG art. 32)

Invoisio treft passende technische en organisatorische maatregelen:

Technisch

  • Versleuteling in transit: HTTPS/TLS 1.2+ voor alle verbindingen tussen client en server;
  • Wachtwoord-opslag: bcrypt-hashing, geen platte tekst;
  • Sessiebeveiliging: HTTP-only + Secure + SameSite-cookies, korte geldigheid, automatische re-auth;
  • API-authenticatie: token-based (Laravel Sanctum) met korte levensduur;
  • Biometrische app-lock (Face ID / Touch ID) in de mobiele app als extra laag;
  • Back-ups: dagelijkse geautomatiseerde database-back-up met retentie;
  • Updates: regelmatige beveiligings-patches op OS-, framework- en dependency-niveau.

Organisatorisch

  • rol-gebaseerde toegang (RBAC) — medewerkers krijgen alleen toegang tot systemen die nodig zijn voor hun functie;
  • toegangslogging op productie-systemen;
  • incident-response-procedure voor datalekken (zie Artikel 9);
  • jaarlijkse review van verwerkingsregister en subverwerkers.

Invoisio zal deze maatregelen periodiek evalueren en aanpassen aan de stand van de techniek, de uitvoeringskosten en de aard/omvang van de verwerking.

Artikel 7 — Subverwerkers

Invoisio maakt gebruik van de volgende subverwerkers. De Klant geeft hierbij algemene toestemming voor het inschakelen van deze partijen:

SubverwerkerDoelLocatie
Stripe Payments Europe Ltd.Verwerking van abonnementsbetalingen en Stripe Connect-payoutsIerland (EU)
Hostinger International Ltd.Hosting van web-applicatie, database en e-mail (SMTP)EU-datacenter (Litouwen / Nederland)

Notificatie bij wijziging: Invoisio informeert de Klant minimaal 30 dagen vooraf over beoogde wijzigingen in de subverwerkers-lijst (toevoeging of vervanging), via e-mail aan het in het platform bekende contactadres en/of publicatie op deze pagina. Binnen die termijn kan de Klant schriftelijk bezwaar maken tegen de wijziging; in dat geval zoeken partijen in redelijk overleg naar een oplossing, waaronder beëindiging van de overeenkomst zonder boete.

Doorgifte-waarborgen: alle bovengenoemde subverwerkers zijn gevestigd in de EU/EER. Invoisio geeft geen persoonsgegevens door aan landen buiten de EER, tenzij dit gebeurt op basis van een adequaatheidsbesluit van de Europese Commissie, modelcontractbepalingen (SCC's) of een andere wettelijke grondslag onder AVG hoofdstuk V.

Gelijkwaardige bescherming: Invoisio legt aan elke subverwerker bij overeenkomst verplichtingen op die ten minste gelijkwaardig zijn aan deze DPA.

Artikel 8 — Bijstand bij rechten van betrokkenen

Invoisio verleent de Klant, voor zover mogelijk, bijstand bij het vervullen van verzoeken van betrokkenen tot uitoefening van hun AVG-rechten:

  • recht op inzage (art. 15);
  • recht op rectificatie (art. 16);
  • recht op verwijdering (art. 17), behoudens wettelijke bewaarplichten;
  • recht op beperking van de verwerking (art. 18);
  • recht op gegevensoverdraagbaarheid (art. 20);
  • recht van bezwaar (art. 21).

Verzoeken die rechtstreeks bij Invoisio binnenkomen en betrekking hebben op gegevens waarvan de Klant verwerkingsverantwoordelijke is, worden doorgestuurd aan de Klant — Invoisio zal niet zelfstandig op deze verzoeken reageren, behoudens wettelijke verplichting.

Invoisio biedt de Klant in het platform zelfbedieningsfuncties voor inzage, export (JSON/CSV) en verwijdering, waar technisch mogelijk.

Artikel 9 — Datalekken (meldplicht)

Bij een inbreuk in verband met persoonsgegevens die Invoisio namens de Klant verwerkt, meldt Invoisio de Klant hierover zonder onredelijke vertraging, doch uiterlijk binnen 48 uur na constatering, zodat de Klant kan voldoen aan de 72-uurs meldplicht aan de Autoriteit Persoonsgegevens (AVG art. 33).

De melding bevat minimaal:

  • de aard van de inbreuk, inclusief (indien mogelijk) de categorieën en aantallen betrokkenen en records;
  • de naam en contactgegevens van de functionaris voor gegevensbescherming of ander contactpunt;
  • de waarschijnlijke gevolgen van de inbreuk;
  • de getroffen of voorgestelde maatregelen om de inbreuk aan te pakken en te beperken.

Invoisio documenteert alle datalekken in een intern register.

Contactpunt: security@invoisio.com

Artikel 10 — DPIA en voorafgaande raadpleging

Invoisio verleent de Klant, rekening houdend met de aard van de verwerking en de beschikbare informatie, redelijke bijstand bij:

  • het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) conform AVG art. 35;
  • voorafgaande raadpleging van de toezichthoudende autoriteit conform AVG art. 36.

Bijstand die substantieel tijd/middelen van Invoisio vergt, kan tegen redelijke kostenvergoeding worden geleverd.

Artikel 11 — Audit-rechten

De Klant heeft het recht om — maximaal eenmaal per kalenderjaar en met een aankondiging van minimaal 30 dagen — een audit te laten uitvoeren om na te gaan of Invoisio aan deze DPA voldoet.

Voorwaarden:

  • de audit wordt uitgevoerd door een onafhankelijke, gecertificeerde auditor;
  • de auditor tekent vooraf een geheimhoudingsverklaring;
  • de audit verstoort de bedrijfsvoering van Invoisio niet op onredelijke wijze;
  • de kosten van de audit komen voor rekening van de Klant, tenzij uit de audit blijkt dat Invoisio substantieel tekortschiet — in dat geval draagt Invoisio de redelijke kosten;
  • bij vertrouwelijke documenten kan Invoisio kiezen voor inzage op locatie zonder kopieën.

Invoisio kan, ter invulling van het audit-recht, rapportages of certificeringen van onafhankelijke derden (bijvoorbeeld ISO 27001-audit-rapporten van subverwerkers) ter beschikking stellen.

Artikel 12 — Internationale doorgifte

Invoisio verwerkt persoonsgegevens binnen de Europese Economische Ruimte (EER). Doorgifte naar landen buiten de EER vindt uitsluitend plaats op basis van:

  • een adequaatheidsbesluit van de Europese Commissie; of
  • de modelcontractbepalingen (Standard Contractual Clauses, SCC's) van de Europese Commissie; of
  • een andere passende waarborg onder AVG hoofdstuk V.

Actueel (versie 0.1): er vindt geen doorgifte buiten de EER plaats.

Artikel 13 — Aansprakelijkheid

Aansprakelijkheid tussen partijen onder deze DPA is geregeld in de algemene voorwaarden van Invoisio, met inachtneming van AVG art. 82.

Iedere partij is aansprakelijk voor boetes die aan haar worden opgelegd door een toezichthouder wegens een eigen tekortkoming onder de AVG.

Artikel 14 — Bewaartermijnen

Invoisio bewaart persoonsgegevens niet langer dan noodzakelijk:

  • Factuurgegevens: 7 jaar, op grond van de Nederlandse fiscale bewaarplicht (art. 52 AWR). Na account-verwijdering worden factuur-records geanonimiseerd ("verwijderd") waar mogelijk, maar niet fysiek verwijderd.
  • Account- en gebruikersgegevens: gedurende de looptijd van het abonnement. Bij account-verwijdering: binnen 30 dagen verwijderd uit de actieve database; back-ups rouleren uit binnen 90 dagen.
  • Logs en technische gegevens: maximaal 12 maanden.
  • Ritregistratie (GPS): zolang de Klant dit zelf bewaart in het platform; verwijdering via in-app "rit verwijderen".

Artikel 15 — Einde overeenkomst: retourneren of vernietigen

Bij beëindiging van de abonnementsovereenkomst zal Invoisio naar keuze van de Klant:

  • de persoonsgegevens teruggeven in een gangbaar, machine-leesbaar formaat (JSON of CSV-export), of
  • de persoonsgegevens verwijderen,

binnen 30 dagen na beëindiging, behoudens een wettelijke bewaarplicht die langer bewaren vereist (zie Artikel 14).

Schriftelijk bewijs van vernietiging: op schriftelijk verzoek van de Klant verstrekt Invoisio binnen 10 werkdagen na afronding van de vernietiging een schriftelijke certificering waarin wordt bevestigd dat alle persoonsgegevens (en kopieën daarvan), inclusief bij sub-verwerkers, zijn verwijderd of onomkeerbaar geanonimiseerd. De certificering bevat: datum van vernietiging, betrokken systemen en onderschrift namens Invoisio.

Invoisio verstrekt op verzoek van de Klant een bevestiging van de verwijdering.

Artikel 16 — Slotbepalingen

Toepasselijk recht: Nederlands recht.

Bevoegde rechter: de rechtbank in het arrondissement waarin Invoisio is gevestigd (Rotterdam), tenzij dwingend recht anders bepaalt.

Wijzigingen: Invoisio kan deze DPA aanpassen wanneer dit nodig is om aan wet- en regelgeving of de stand van de techniek te voldoen. Materiële wijzigingen worden ten minste 30 dagen vooraf aangekondigd aan de Klant.

Rangorde: bij strijdigheid tussen deze DPA, de algemene voorwaarden en het privacybeleid prevaleert deze DPA voor zover het de verwerking van persoonsgegevens namens de Klant betreft.

Mededelingen: alle mededelingen onder deze DPA worden schriftelijk gedaan per e-mail naar het daartoe bekende adres van de andere Partij. Mededelingen aan Invoisio: legal@invoisio.com (juridisch), security@invoisio.com (datalekken), privacy@invoisio.com (AVG). Mededelingen aan de Klant: het in het platform vastgelegde primaire contactadres. Een mededeling geldt als ontvangen op de eerste werkdag na verzending, tenzij een bevestiging van ontvangst anders aantoont.

Ondertekende versie: voor enterprise-klanten die een ondertekende papieren of DocuSign-versie wensen: stuur een verzoek naar legal@invoisio.com of download hieronder de PDF-template en stuur deze ingevuld retour. DPA-NL (PDF, ondertekenbaar).

Contact voor vragen over deze DPA:
privacy@invoisio.com (algemene AVG-vragen)
legal@invoisio.com (contractuele vragen / ondertekende versie)
security@invoisio.com (datalekken / beveiligingsincidenten)

Draft v0.1 — April 2026. This Data Processing Agreement has been drafted in accordance with GDPR article 28 and is currently under legal review. For enterprise agreements or signed versions: contact legal@invoisio.com. Changes will be published with new version + date.

Recitals

A. Invoisio provides the Customer with a SaaS platform for invoicing, quotes, payments and customer management, in which personal data are processed on behalf of the Customer.

B. The Customer is the controller for the personal data of its own customers, debtors and contacts processed through the platform.

C. Invoisio acts as processor within the meaning of article 4(8) GDPR and processes personal data only on the Customer's instructions.

D. The Parties wish to set out their mutual obligations in this DPA in accordance with article 28 GDPR and related legislation.

Article 1 — Parties and definitions

This Data Processing Agreement ("DPA") forms an integral part of the subscription agreement between:

Processor: Invoisio (trade name of sole proprietorship R. Luta)
Nijhofflaan 41, 3319 BN Dordrecht, the Netherlands
Chamber of Commerce 80455387 · VAT NL003439535B62 · SBI 62100 (Computer programme design)
Contact: privacy@invoisio.com

Controller: the Customer, as identified in the subscription agreement (hereinafter: "Customer").

Definitions (in accordance with GDPR article 4):

  • Personal data: any information relating to an identified or identifiable natural person.
  • Processing: any operation performed on personal data.
  • Data subject: the natural person whose data are being processed.
  • Sub-processor: a third party engaged by Invoisio that processes personal data on Invoisio's behalf.
  • GDPR: Regulation (EU) 2016/679 (General Data Protection Regulation).

Article 2 — Subject matter, nature and duration

Subject matter: the processing of personal data by Invoisio on behalf of the Customer in the context of the Customer's use of the Invoisio platform.

Nature of processing: automated storage, retrieval, modification, structuring, transmission (PDF invoice by email), back-up and deletion — strictly as necessary to deliver the service.

Purposes:

  • storing and managing invoices, quotes, client records, product records and time tracking;
  • sending invoices, reminders and email communications on behalf of the Customer;
  • generating dashboards and reports for the Customer;
  • processing trip tracking (GPS data) for mileage administration;
  • delivering mobile-app functionality (receipt scanning, offline sync).

Duration: this DPA takes effect on the date the Customer accepts the subscription agreement and remains in force for as long as Invoisio processes personal data on the Customer's behalf.

Article 3 — Types of personal data and categories of data subjects

Types of personal data processed by Invoisio on the Customer's behalf:

CategoryData
Contact detailsName, email address, phone number, postal address
Company detailsCompany name, CoC number, VAT number, registered address
Financial dataInvoice amounts, payment dates, IBAN (if provided), VAT rate
Time trackingStart/stop times, project labels, hourly rate (if entered)
Trip trackingGPS coordinates, departure and arrival times, total distance (only during a trip actively started by the user)
Receipts / expensesPhotos of receipts, vendor, amount, date
CommunicationContent of sent invoices/quotes, email send dates
Technical dataIP address, session token, device identifier (security and functional operation only)

Categories of data subjects:

  • employees and contact persons of the Customer (platform users);
  • end customers (debtors) of the Customer;
  • suppliers of the Customer (to the extent mentioned on receipts/invoices);
  • other business contacts recorded by the Customer in the system.

Invoisio does not process special categories of personal data (GDPR art. 9) and does not process data relating to children under 16.

Article 4 — Roles and instructions

The Customer is the data controller within the meaning of the GDPR. Invoisio is the data processor.

Invoisio processes personal data solely:

  • on the Customer's written or documented instructions;
  • as necessary to deliver the service under the subscription agreement;
  • in compliance with applicable law (GDPR, Dutch UAVG).

The Customer's acceptance of the subscription agreement and use of the platform constitute documented instructions for the processing purposes set out in Article 2.

If Invoisio considers an instruction to infringe GDPR or other EU/member-state law, Invoisio will immediately inform the Customer.

Article 5 — Confidentiality

Invoisio ensures that persons authorised to process personal data under its authority (employees, contractors, directors):

  • are bound by confidentiality obligations, whether contractual or by virtue of their role;
  • have access to personal data only to the extent strictly necessary for their tasks (need-to-know);
  • have been instructed on their obligations under this DPA and the GDPR.

Article 6 — Security measures (GDPR art. 32)

Invoisio implements appropriate technical and organisational measures:

Technical

  • Encryption in transit: HTTPS/TLS 1.2+ for all client–server connections;
  • Password storage: bcrypt hashing, no plaintext;
  • Session security: HTTP-only + Secure + SameSite cookies, short validity, automatic re-auth;
  • API authentication: token-based (Laravel Sanctum) with short lifetime;
  • Biometric app lock (Face ID / Touch ID) in the mobile app as an additional layer;
  • Back-ups: daily automated database back-up with retention;
  • Updates: regular security patches at OS, framework and dependency level.

Organisational

  • role-based access (RBAC) — staff only get access to systems needed for their role;
  • access logging on production systems;
  • incident response procedure for data breaches (see Article 9);
  • annual review of processing register and sub-processors.

Invoisio reviews these measures periodically and adjusts them to the state of the art, implementation costs and the nature/scope of processing.

Article 7 — Sub-processors

Invoisio uses the following sub-processors. The Customer hereby grants general authorisation for engaging these parties:

Sub-processorPurposeLocation
Stripe Payments Europe Ltd.Processing of subscription payments and Stripe Connect pay-outsIreland (EU)
Hostinger International Ltd.Web-application, database and email (SMTP) hostingEU datacentre (Lithuania / Netherlands)

Change notification: Invoisio informs the Customer at least 30 days in advance of intended changes to the sub-processors list (addition or replacement), by email to the contact address on record and/or by publication on this page. Within that period the Customer may object in writing; parties will then seek a reasonable solution, including termination of the agreement without penalty.

Transfer safeguards: all sub-processors listed above are located in the EU/EEA. Invoisio does not transfer personal data to countries outside the EEA, unless such transfer is based on an adequacy decision by the European Commission, Standard Contractual Clauses (SCCs), or another legal basis under GDPR Chapter V.

Equivalent protection: Invoisio imposes contractual obligations on each sub-processor that are at least equivalent to those under this DPA.

Article 8 — Assistance with data subject rights

Invoisio assists the Customer, as far as possible, in responding to data subjects' requests to exercise their GDPR rights:

  • right of access (art. 15);
  • right to rectification (art. 16);
  • right to erasure (art. 17), subject to legal retention obligations;
  • right to restriction of processing (art. 18);
  • right to data portability (art. 20);
  • right to object (art. 21).

Requests received directly by Invoisio that relate to data for which the Customer is the controller will be forwarded to the Customer — Invoisio will not respond independently, except where legally required.

Where technically possible, Invoisio provides self-service features within the platform for access, export (JSON/CSV) and deletion.

Article 9 — Data breaches (notification)

In the event of a personal data breach involving data processed by Invoisio on the Customer's behalf, Invoisio will notify the Customer without undue delay, and in any event within 48 hours of becoming aware, so that the Customer can meet the 72-hour notification obligation to the supervisory authority (GDPR art. 33).

The notification will include at least:

  • the nature of the breach, including (where possible) the categories and approximate numbers of data subjects and records affected;
  • the name and contact details of the data protection officer or other contact point;
  • the likely consequences of the breach;
  • measures taken or proposed to address and mitigate the breach.

Invoisio documents all data breaches in an internal register.

Contact point: security@invoisio.com

Article 10 — DPIA and prior consultation

Taking into account the nature of processing and the information available, Invoisio provides reasonable assistance to the Customer with:

  • carrying out a data protection impact assessment (DPIA) under GDPR art. 35;
  • prior consultation with the supervisory authority under GDPR art. 36.

Assistance requiring substantial time/resources from Invoisio may be provided at reasonable cost.

Article 11 — Audit rights

The Customer has the right, once per calendar year and with at least 30 days' notice, to have an audit carried out to verify Invoisio's compliance with this DPA.

Conditions:

  • the audit is conducted by an independent, certified auditor;
  • the auditor signs a non-disclosure agreement in advance;
  • the audit does not unreasonably disrupt Invoisio's operations;
  • the audit is at the Customer's expense, unless the audit reveals a material breach by Invoisio — in which case Invoisio bears reasonable costs;
  • Invoisio may, for confidential documents, offer inspection on premises without copying.

Invoisio may, to fulfil the audit right, provide reports or certifications from independent third parties (e.g. ISO 27001 audit reports from sub-processors).

Article 12 — International transfers

Invoisio processes personal data within the European Economic Area (EEA). Transfers to countries outside the EEA take place only on the basis of:

  • an adequacy decision by the European Commission; or
  • the European Commission's Standard Contractual Clauses (SCCs); or
  • another appropriate safeguard under GDPR Chapter V.

Currently (version 0.1): no transfers outside the EEA take place.

Article 13 — Liability

Liability between the parties under this DPA is governed by Invoisio's general terms and conditions, subject to GDPR art. 82.

Each party is liable for fines imposed on it by a supervisory authority for its own breach of the GDPR.

Article 14 — Retention periods

Invoisio retains personal data no longer than necessary:

  • Invoice data: 7 years, under the Dutch tax retention obligation (art. 52 AWR). After account deletion, invoice records are anonymised where possible but not physically deleted.
  • Account and user data: for the duration of the subscription. On account deletion: removed from the active database within 30 days; back-ups rotate out within 90 days.
  • Logs and technical data: maximum 12 months.
  • Trip tracking (GPS): for as long as the Customer retains it in the platform; deletion via in-app "delete trip".

Article 15 — End of agreement: return or deletion

On termination of the subscription agreement, Invoisio will, at the Customer's choice, either:

  • return the personal data in a common, machine-readable format (JSON or CSV export), or
  • delete the personal data,

within 30 days of termination, subject to any legal retention obligations that require longer storage (see Article 14).

Written certification of destruction: upon written request by the Customer, Invoisio will provide within 10 business days after completion of the destruction a written certification confirming that all personal data (and copies thereof), including at sub-processors, have been deleted or irreversibly anonymised. The certification includes: date of destruction, systems involved, and signature on behalf of Invoisio.

Invoisio provides confirmation of deletion on request.

Article 16 — Final provisions

Governing law: Dutch law.

Competent court: the court of the district in which Invoisio has its registered office (Rotterdam), unless mandatory law provides otherwise.

Amendments: Invoisio may amend this DPA where necessary to comply with law or the state of the art. Material changes are announced to the Customer at least 30 days in advance.

Precedence: in case of conflict between this DPA, the general terms and the privacy policy, this DPA prevails insofar as it concerns the processing of personal data on the Customer's behalf.

Notices: all notices under this DPA are given in writing by email to the other Party's known address. Notices to Invoisio: legal@invoisio.com (legal), security@invoisio.com (breaches), privacy@invoisio.com (GDPR). Notices to the Customer: the primary contact address recorded in the platform. A notice is deemed received on the first business day following dispatch, unless a confirmation of receipt demonstrates otherwise.

Signed version: enterprise customers requiring a signed paper or DocuSign version: contact legal@invoisio.com or download the PDF template below and return it completed. The Dutch signable PDF is available: DPA-NL (PDF). An official English version is available on request.

Contact for DPA-related questions:
privacy@invoisio.com (general GDPR questions)
legal@invoisio.com (contractual questions / signed version)
security@invoisio.com (data breaches / security incidents)

Entwurf v0.1 — April 2026. Dieser Auftragsverarbeitungsvertrag wurde gemäß DSGVO Artikel 28 erstellt und befindet sich derzeit in juristischer Prüfung. Für Enterprise-Vereinbarungen oder unterzeichnete Fassungen: legal@invoisio.com. Änderungen werden mit neuer Version + Datum veröffentlicht.

Präambel

A. Invoisio stellt dem Kunden eine SaaS-Plattform für Rechnungsstellung, Angebote, Zahlungen und Kundenverwaltung zur Verfügung, in der personenbezogene Daten im Auftrag des Kunden verarbeitet werden.

B. Der Kunde ist Verantwortlicher für die personenbezogenen Daten seiner eigenen Kunden, Schuldner und Kontakte, die über die Plattform verarbeitet werden.

C. Invoisio handelt als Auftragsverarbeiter im Sinne von Artikel 4 Nr. 8 DSGVO und verarbeitet personenbezogene Daten ausschließlich auf Weisung des Kunden.

D. Die Parteien wünschen, mit diesem AVV ihre gegenseitigen Pflichten gemäß Artikel 28 DSGVO und den daraus folgenden Rechtsvorschriften festzulegen.

Artikel 1 — Parteien und Definitionen

Dieser Auftragsverarbeitungsvertrag ("AVV") ist integraler Bestandteil des Abonnementvertrags zwischen:

Auftragsverarbeiter: Invoisio (Handelsname des Einzelunternehmens R. Luta)
Nijhofflaan 41, 3319 BN Dordrecht, Niederlande
Handelskammer 80455387 · USt-ID NL003439535B62 · SBI 62100 (Entwicklung von Computerprogrammen)
Kontakt: privacy@invoisio.com

Verantwortlicher: der Kunde, wie im Abonnementvertrag identifiziert (nachfolgend: "Kunde").

Definitionen (gemäß DSGVO Artikel 4):

  • Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Verarbeitung: jeder Vorgang im Zusammenhang mit personenbezogenen Daten.
  • Betroffene Person: die natürliche Person, deren Daten verarbeitet werden.
  • Unterauftragsverarbeiter: ein von Invoisio beauftragter Dritter, der personenbezogene Daten im Namen von Invoisio verarbeitet.
  • DSGVO: Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung).

Artikel 2 — Gegenstand, Art und Dauer

Gegenstand: Verarbeitung personenbezogener Daten durch Invoisio im Namen des Kunden im Rahmen der Nutzung der Invoisio-Plattform.

Art der Verarbeitung: automatisierte Speicherung, Abfrage, Änderung, Strukturierung, Übertragung (PDF-Rechnung per E-Mail), Back-up und Löschung — ausschließlich soweit für die Leistungserbringung erforderlich.

Zwecke:

  • Speichern und Verwalten von Rechnungen, Angeboten, Kundendaten, Produktdaten und Zeiterfassung;
  • Versenden von Rechnungen, Mahnungen und E-Mail-Kommunikation im Namen des Kunden;
  • Erstellen von Dashboards und Berichten für den Kunden;
  • Verarbeitung der Fahrerfassung (GPS-Daten) für die Kilometerabrechnung;
  • Bereitstellung der Mobile-App-Funktionalität (Beleg-Scan, Offline-Sync).

Dauer: dieser AVV tritt mit Annahme des Abonnementvertrags durch den Kunden in Kraft und bleibt in Kraft, solange Invoisio personenbezogene Daten im Namen des Kunden verarbeitet.

Artikel 3 — Arten personenbezogener Daten und Kategorien betroffener Personen

Arten personenbezogener Daten, die Invoisio im Namen des Kunden verarbeitet:

KategorieDaten
KontaktdatenName, E-Mail-Adresse, Telefonnummer, Postanschrift
UnternehmensdatenFirmenname, Handelsregisternummer, USt-IdNr, Sitzadresse
FinanzdatenRechnungsbeträge, Zahlungsdaten, IBAN (falls angegeben), USt-Satz
ZeiterfassungStart-/Stoppzeiten, Projekt-Labels, Stundensatz (falls eingetragen)
FahrerfassungGPS-Koordinaten, Abfahrts- und Ankunftszeiten, Gesamtstrecke (nur während einer vom Nutzer aktiv gestarteten Fahrt)
Belege / AusgabenFotos von Belegen, Lieferant, Betrag, Datum
KommunikationInhalt gesendeter Rechnungen/Angebote, E-Mail-Versanddaten
Technische DatenIP-Adresse, Session-Token, Geräte-Identifikator (nur für Sicherheit und Funktionsweise)

Kategorien betroffener Personen:

  • Mitarbeiter und Ansprechpartner des Kunden (Plattformnutzer);
  • Endkunden (Schuldner) des Kunden;
  • Lieferanten des Kunden (soweit auf Belegen/Rechnungen genannt);
  • sonstige geschäftliche Kontakte, die der Kunde im System erfasst.

Invoisio verarbeitet keine besonderen Kategorien personenbezogener Daten (DSGVO Art. 9) und keine Daten von Kindern unter 16 Jahren.

Artikel 4 — Rollen und Weisungen

Der Kunde ist Verantwortlicher im Sinne der DSGVO. Invoisio ist Auftragsverarbeiter.

Invoisio verarbeitet personenbezogene Daten ausschließlich:

  • auf schriftliche oder dokumentierte Weisung des Kunden;
  • soweit für die Leistungserbringung gemäß Abonnementvertrag erforderlich;
  • in Übereinstimmung mit geltendem Recht (DSGVO, BDSG, UAVG).

Die Annahme des Abonnementvertrags und die Nutzung der Plattform durch den Kunden gelten als dokumentierte Weisung für die in Artikel 2 genannten Verarbeitungszwecke.

Hält Invoisio eine Weisung für rechtswidrig, informiert Invoisio den Kunden unverzüglich.

Artikel 5 — Vertraulichkeit

Invoisio stellt sicher, dass zur Verarbeitung befugte Personen (Mitarbeiter, Auftragnehmer, Geschäftsführung):

  • einer Vertraulichkeitsverpflichtung unterliegen, sei es vertraglich oder kraft ihrer Funktion;
  • Zugriff auf personenbezogene Daten nur im unbedingt erforderlichen Umfang erhalten (need-to-know);
  • über ihre Pflichten aus diesem AVV und der DSGVO unterwiesen wurden.

Artikel 6 — Sicherheitsmaßnahmen (DSGVO Art. 32)

Invoisio trifft geeignete technische und organisatorische Maßnahmen:

Technisch

  • Verschlüsselung während der Übertragung: HTTPS/TLS 1.2+ für alle Client-Server-Verbindungen;
  • Passwortspeicherung: bcrypt-Hashing, kein Klartext;
  • Sitzungssicherheit: HTTP-only + Secure + SameSite-Cookies, kurze Gültigkeit, automatische Re-Authentifizierung;
  • API-Authentifizierung: tokenbasiert (Laravel Sanctum) mit kurzer Lebensdauer;
  • Biometrische App-Sperre (Face ID / Touch ID) in der mobilen App als zusätzliche Schicht;
  • Back-ups: tägliche automatisierte Datenbank-Back-ups mit Aufbewahrung;
  • Updates: regelmäßige Sicherheits-Patches auf OS-, Framework- und Abhängigkeitsebene.

Organisatorisch

  • rollenbasierter Zugriff (RBAC) — Mitarbeiter erhalten nur Zugriff auf für ihre Tätigkeit notwendige Systeme;
  • Zugriffsprotokollierung auf Produktionssystemen;
  • Incident-Response-Verfahren für Datenschutzverletzungen (siehe Artikel 9);
  • jährliche Überprüfung von Verarbeitungsverzeichnis und Unterauftragsverarbeitern.

Invoisio überprüft diese Maßnahmen regelmäßig und passt sie an den Stand der Technik, die Implementierungskosten und die Art/den Umfang der Verarbeitung an.

Artikel 7 — Unterauftragsverarbeiter

Invoisio setzt folgende Unterauftragsverarbeiter ein. Der Kunde erteilt hiermit seine allgemeine Genehmigung zur Einschaltung dieser Parteien:

UnterauftragsverarbeiterZweckStandort
Stripe Payments Europe Ltd.Verarbeitung von Abonnementzahlungen und Stripe Connect-AuszahlungenIrland (EU)
Hostinger International Ltd.Hosting von Webanwendung, Datenbank und E-Mail (SMTP)EU-Rechenzentrum (Litauen / Niederlande)

Änderungsbenachrichtigung: Invoisio informiert den Kunden mindestens 30 Tage im Voraus über geplante Änderungen der Unterauftragsverarbeiter-Liste (Hinzufügung oder Ersetzung), per E-Mail an die im Platform hinterlegte Kontaktadresse und/oder durch Veröffentlichung auf dieser Seite. Innerhalb dieser Frist kann der Kunde schriftlich Einspruch erheben; die Parteien suchen dann in zumutbarem Rahmen eine Lösung, einschließlich Vertragsbeendigung ohne Strafzahlung.

Übermittlungsgarantien: alle oben aufgeführten Unterauftragsverarbeiter sind in der EU/im EWR ansässig. Invoisio übermittelt keine personenbezogenen Daten in Länder außerhalb des EWR, es sei denn, die Übermittlung erfolgt auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission, der Standardvertragsklauseln (SCC) oder einer anderen Rechtsgrundlage nach DSGVO Kapitel V.

Gleichwertiger Schutz: Invoisio verpflichtet jeden Unterauftragsverarbeiter vertraglich zu mindestens gleichwertigen Pflichten wie in diesem AVV.

Artikel 8 — Unterstützung bei Betroffenenrechten

Invoisio unterstützt den Kunden, soweit möglich, bei der Erfüllung von Anfragen betroffener Personen zur Ausübung ihrer DSGVO-Rechte:

  • Auskunftsrecht (Art. 15);
  • Recht auf Berichtigung (Art. 16);
  • Recht auf Löschung (Art. 17), vorbehaltlich gesetzlicher Aufbewahrungspflichten;
  • Recht auf Einschränkung der Verarbeitung (Art. 18);
  • Recht auf Datenübertragbarkeit (Art. 20);
  • Widerspruchsrecht (Art. 21).

Direkt bei Invoisio eingehende Anfragen, die Daten betreffen, für die der Kunde Verantwortlicher ist, werden an den Kunden weitergeleitet — Invoisio antwortet nicht eigenständig, außer bei gesetzlicher Verpflichtung.

Soweit technisch möglich, bietet Invoisio innerhalb der Plattform Self-Service-Funktionen für Auskunft, Export (JSON/CSV) und Löschung.

Artikel 9 — Datenschutzverletzungen (Meldepflicht)

Bei einer Verletzung des Schutzes personenbezogener Daten, die Invoisio im Namen des Kunden verarbeitet, benachrichtigt Invoisio den Kunden unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme, damit der Kunde seiner 72-Stunden-Meldepflicht gegenüber der Aufsichtsbehörde (DSGVO Art. 33) nachkommen kann.

Die Benachrichtigung enthält mindestens:

  • Art der Verletzung, einschließlich (soweit möglich) der Kategorien und ungefähren Anzahl betroffener Personen und Datensätze;
  • Namen und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle;
  • wahrscheinliche Folgen der Verletzung;
  • getroffene oder vorgeschlagene Maßnahmen zur Behebung und Begrenzung der Verletzung.

Invoisio dokumentiert alle Datenschutzverletzungen in einem internen Register.

Kontaktstelle: security@invoisio.com

Artikel 10 — DSFA und vorherige Konsultation

Unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen unterstützt Invoisio den Kunden in angemessener Weise bei:

  • der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach DSGVO Art. 35;
  • der vorherigen Konsultation der Aufsichtsbehörde nach DSGVO Art. 36.

Unterstützung, die von Invoisio erheblichen Zeit-/Ressourcenaufwand erfordert, kann gegen angemessene Kostenerstattung geleistet werden.

Artikel 11 — Auditrechte

Der Kunde hat das Recht, höchstens einmal pro Kalenderjahr und mit einer Ankündigungsfrist von mindestens 30 Tagen, ein Audit zur Überprüfung der Einhaltung dieses AVV durch Invoisio durchführen zu lassen.

Bedingungen:

  • das Audit wird von einem unabhängigen, zertifizierten Auditor durchgeführt;
  • der Auditor unterzeichnet vorab eine Vertraulichkeitsvereinbarung;
  • das Audit stört die Geschäftstätigkeit von Invoisio nicht unangemessen;
  • die Kosten des Audits trägt der Kunde, sofern das Audit keinen erheblichen Verstoß von Invoisio aufdeckt — in diesem Fall trägt Invoisio die angemessenen Kosten;
  • bei vertraulichen Dokumenten kann Invoisio eine Einsichtnahme vor Ort ohne Kopien anbieten.

Invoisio kann zur Erfüllung des Auditrechts Berichte oder Zertifizierungen unabhängiger Dritter (z. B. ISO 27001-Audit-Berichte von Unterauftragsverarbeitern) zur Verfügung stellen.

Artikel 12 — Internationale Übermittlungen

Invoisio verarbeitet personenbezogene Daten innerhalb des Europäischen Wirtschaftsraums (EWR). Übermittlungen in Länder außerhalb des EWR erfolgen ausschließlich auf Grundlage:

  • eines Angemessenheitsbeschlusses der Europäischen Kommission; oder
  • der Standardvertragsklauseln (SCC) der Europäischen Kommission; oder
  • einer anderen geeigneten Garantie nach DSGVO Kapitel V.

Aktuell (Version 0.1): Es finden keine Übermittlungen außerhalb des EWR statt.

Artikel 13 — Haftung

Die Haftung zwischen den Parteien unter diesem AVV richtet sich nach den allgemeinen Geschäftsbedingungen von Invoisio, unter Beachtung von DSGVO Art. 82.

Jede Partei haftet für Bußgelder, die ihr von einer Aufsichtsbehörde wegen eigener DSGVO-Verstöße auferlegt werden.

Artikel 14 — Aufbewahrungsfristen

Invoisio speichert personenbezogene Daten nicht länger als notwendig:

  • Rechnungsdaten: 7 Jahre, aufgrund der niederländischen steuerrechtlichen Aufbewahrungspflicht (Art. 52 AWR). Nach Kontolöschung werden Rechnungsdatensätze soweit möglich anonymisiert, nicht physisch gelöscht.
  • Konto- und Nutzerdaten: für die Dauer des Abonnements. Nach Kontolöschung: innerhalb von 30 Tagen aus der aktiven Datenbank entfernt; Back-ups rotieren innerhalb von 90 Tagen aus.
  • Logs und technische Daten: maximal 12 Monate.
  • Fahrerfassung (GPS): solange der Kunde diese in der Plattform aufbewahrt; Löschung über "Fahrt löschen" in der App.

Artikel 15 — Vertragsende: Rückgabe oder Löschung

Bei Beendigung des Abonnementvertrags wird Invoisio nach Wahl des Kunden entweder:

  • die personenbezogenen Daten in einem gängigen, maschinenlesbaren Format (JSON- oder CSV-Export) zurückgeben oder
  • die personenbezogenen Daten löschen,

innerhalb von 30 Tagen nach Beendigung, vorbehaltlich gesetzlicher Aufbewahrungspflichten, die längere Aufbewahrung erfordern (siehe Artikel 14).

Schriftlicher Nachweis der Vernichtung: Auf schriftliche Anfrage des Kunden stellt Invoisio innerhalb von 10 Werktagen nach Abschluss der Vernichtung eine schriftliche Bestätigung aus, in der bestätigt wird, dass alle personenbezogenen Daten (und Kopien davon), einschließlich bei Unterauftragsverarbeitern, gelöscht oder unumkehrbar anonymisiert wurden. Die Bestätigung umfasst: Datum der Vernichtung, betroffene Systeme und Unterschrift im Namen von Invoisio.

Auf Anfrage des Kunden stellt Invoisio eine Löschbestätigung zur Verfügung.

Artikel 16 — Schlussbestimmungen

Anwendbares Recht: niederländisches Recht.

Zuständiges Gericht: das Gericht des Bezirks, in dem Invoisio ihren Sitz hat (Rotterdam), sofern zwingendes Recht nichts anderes bestimmt.

Änderungen: Invoisio kann diesen AVV anpassen, soweit dies zur Einhaltung rechtlicher Vorgaben oder des Stands der Technik erforderlich ist. Wesentliche Änderungen werden mindestens 30 Tage im Voraus angekündigt.

Vorrang: bei Widersprüchen zwischen diesem AVV, den allgemeinen Geschäftsbedingungen und der Datenschutzerklärung hat dieser AVV Vorrang, soweit er die Verarbeitung personenbezogener Daten im Namen des Kunden betrifft.

Mitteilungen: Alle Mitteilungen unter diesem AVV erfolgen schriftlich per E-Mail an die bekannte Adresse der anderen Partei. Mitteilungen an Invoisio: legal@invoisio.com (juristisch), security@invoisio.com (Datenschutzverletzungen), privacy@invoisio.com (DSGVO). Mitteilungen an den Kunden: an die in der Plattform hinterlegte Kontaktadresse. Eine Mitteilung gilt am ersten Werktag nach Versand als zugegangen, sofern keine Empfangsbestätigung das Gegenteil belegt.

Unterzeichnete Fassung: Enterprise-Kunden, die eine unterzeichnete Papier- oder DocuSign-Fassung benötigen: legal@invoisio.com oder laden Sie unten die PDF-Vorlage herunter und senden Sie sie ausgefüllt zurück. Die niederländische unterzeichnungsfähige PDF-Fassung ist verfügbar: DPA-NL (PDF). Eine offizielle deutsche Fassung ist auf Anfrage erhältlich.

Kontakt für Fragen zu diesem AVV:
privacy@invoisio.com (allgemeine DSGVO-Fragen)
legal@invoisio.com (vertragliche Fragen / unterzeichnete Fassung)
security@invoisio.com (Datenschutzverletzungen / Sicherheitsvorfälle)

Borrador v0.1 — abril de 2026. Este Acuerdo de Encargo de Tratamiento se ha redactado conforme al artículo 28 del RGPD y se encuentra actualmente en revisión jurídica. Para acuerdos empresariales o versiones firmadas: legal@invoisio.com. Los cambios se publicarán con nueva versión + fecha.

Considerandos

A. Invoisio ofrece al Cliente una plataforma SaaS para facturación, presupuestos, pagos y gestión de clientes, en la que se tratan datos personales por cuenta del Cliente.

B. El Cliente es responsable del tratamiento de los datos personales de sus propios clientes, deudores y contactos tratados a través de la plataforma.

C. Invoisio actúa como encargado del tratamiento en el sentido del artículo 4.8 RGPD y trata los datos personales únicamente por instrucciones del Cliente.

D. Las Partes desean establecer sus obligaciones mutuas en este acuerdo de conformidad con el artículo 28 RGPD y la legislación derivada.

Artículo 1 — Partes y definiciones

Este Acuerdo de Encargo de Tratamiento ("DPA") forma parte integral del contrato de suscripción entre:

Encargado del tratamiento: Invoisio (nombre comercial de empresa unipersonal R. Luta)
Nijhofflaan 41, 3319 BN Dordrecht, Países Bajos
Cámara de Comercio 80455387 · IVA NL003439535B62 · SBI 62100 (Diseño de programas informáticos)
Contacto: privacy@invoisio.com

Responsable del tratamiento: el Cliente, identificado en el contrato de suscripción (en adelante: "Cliente").

Definiciones (conforme al artículo 4 del RGPD):

  • Datos personales: toda información sobre una persona física identificada o identificable.
  • Tratamiento: cualquier operación realizada sobre datos personales.
  • Interesado: la persona física cuyos datos se tratan.
  • Subencargado: un tercero contratado por Invoisio que trata datos personales en nombre de Invoisio.
  • RGPD: Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos).

Artículo 2 — Objeto, naturaleza y duración

Objeto: tratamiento de datos personales por parte de Invoisio en nombre del Cliente en el marco del uso de la plataforma Invoisio.

Naturaleza del tratamiento: almacenamiento automatizado, consulta, modificación, estructuración, transmisión (factura PDF por correo electrónico), copia de seguridad y eliminación — únicamente en la medida necesaria para prestar el servicio.

Finalidades:

  • almacenar y gestionar facturas, presupuestos, datos de clientes, productos y registro de horas;
  • enviar facturas, recordatorios y comunicaciones por correo electrónico en nombre del Cliente;
  • generar paneles e informes para el Cliente;
  • procesar el registro de trayectos (datos GPS) para la administración kilométrica;
  • proporcionar funcionalidad de la app móvil (escaneo de recibos, sincronización offline).

Duración: este DPA entra en vigor en la fecha en que el Cliente acepta el contrato de suscripción y permanece vigente mientras Invoisio trate datos personales en nombre del Cliente.

Artículo 3 — Tipos de datos personales y categorías de interesados

Tipos de datos personales que Invoisio trata en nombre del Cliente:

CategoríaDatos
Datos de contactoNombre, dirección de correo electrónico, teléfono, dirección postal
Datos empresarialesRazón social, número de registro mercantil, número de IVA, domicilio social
Datos financierosImportes de facturas, fechas de pago, IBAN (si se proporciona), tipo de IVA
Registro de horasHoras de inicio/fin, etiquetas de proyecto, tarifa horaria (si se introduce)
Registro de trayectosCoordenadas GPS, horarios de salida y llegada, distancia total (solo durante un trayecto iniciado activamente por el usuario)
Recibos / gastosFotos de recibos, proveedor, importe, fecha
ComunicaciónContenido de facturas/presupuestos enviados, fechas de envío de correos electrónicos
Datos técnicosDirección IP, token de sesión, identificador del dispositivo (solo para seguridad y funcionamiento)

Categorías de interesados:

  • empleados y personas de contacto del Cliente (usuarios de la plataforma);
  • clientes finales (deudores) del Cliente;
  • proveedores del Cliente (en la medida en que aparezcan en recibos/facturas);
  • otros contactos empresariales registrados por el Cliente en el sistema.

Invoisio no trata categorías especiales de datos personales (art. 9 del RGPD) ni datos de menores de 16 años.

Artículo 4 — Roles e instrucciones

El Cliente es el responsable del tratamiento en el sentido del RGPD. Invoisio es el encargado del tratamiento.

Invoisio trata los datos personales exclusivamente:

  • conforme a instrucciones escritas o documentadas del Cliente;
  • en la medida necesaria para prestar el servicio según el contrato de suscripción;
  • conforme a la legislación aplicable (RGPD, LOPDGDD, UAVG).

La aceptación del contrato de suscripción y el uso de la plataforma por parte del Cliente constituyen instrucciones documentadas para las finalidades de tratamiento del Artículo 2.

Si Invoisio considera que una instrucción infringe el RGPD u otra normativa UE/estatal, informará al Cliente sin demora.

Artículo 5 — Confidencialidad

Invoisio garantiza que las personas autorizadas a tratar datos personales bajo su autoridad (empleados, contratistas, administradores):

  • están sujetas a obligaciones de confidencialidad, contractuales o derivadas de su función;
  • tienen acceso a los datos personales solo en la medida estrictamente necesaria para sus funciones (need-to-know);
  • han sido formadas sobre sus obligaciones bajo este DPA y el RGPD.

Artículo 6 — Medidas de seguridad (art. 32 RGPD)

Invoisio aplica medidas técnicas y organizativas apropiadas:

Técnicas

  • Cifrado en tránsito: HTTPS/TLS 1.2+ para todas las conexiones cliente-servidor;
  • Almacenamiento de contraseñas: hash bcrypt, sin texto plano;
  • Seguridad de sesión: cookies HTTP-only + Secure + SameSite, validez corta, reautenticación automática;
  • Autenticación API: basada en tokens (Laravel Sanctum) con vida útil corta;
  • Bloqueo biométrico de la app (Face ID / Touch ID) en la app móvil como capa adicional;
  • Copias de seguridad: copia de seguridad automatizada diaria de la base de datos con retención;
  • Actualizaciones: parches de seguridad regulares a nivel de SO, framework y dependencias.

Organizativas

  • acceso basado en roles (RBAC) — el personal solo tiene acceso a los sistemas necesarios para su función;
  • registro de accesos en sistemas de producción;
  • procedimiento de respuesta a incidentes de violación de datos (véase el Artículo 9);
  • revisión anual del registro de tratamientos y subencargados.

Invoisio revisa estas medidas periódicamente y las adapta al estado de la técnica, los costes de implementación y la naturaleza/alcance del tratamiento.

Artículo 7 — Subencargados

Invoisio utiliza los siguientes subencargados. El Cliente otorga por la presente autorización general para la contratación de estas partes:

SubencargadoFinalidadUbicación
Stripe Payments Europe Ltd.Tratamiento de pagos de suscripciones y pagos de Stripe ConnectIrlanda (UE)
Hostinger International Ltd.Alojamiento de la aplicación web, base de datos y correo (SMTP)Centro de datos UE (Lituania / Países Bajos)

Notificación de cambios: Invoisio informa al Cliente con al menos 30 días de antelación sobre los cambios previstos en la lista de subencargados (incorporación o sustitución), por correo electrónico a la dirección de contacto registrada y/o mediante publicación en esta página. Dentro de ese plazo el Cliente puede oponerse por escrito; las partes buscarán entonces una solución razonable, incluida la terminación del contrato sin penalización.

Garantías de transferencia: todos los subencargados mencionados están ubicados en la UE/EEE. Invoisio no transfiere datos personales a países fuera del EEE, salvo que la transferencia se base en una decisión de adecuación de la Comisión Europea, las Cláusulas Contractuales Tipo (SCC) u otra base jurídica conforme al Capítulo V del RGPD.

Protección equivalente: Invoisio impone a cada subencargado obligaciones contractuales al menos equivalentes a las de este DPA.

Artículo 8 — Asistencia con los derechos de los interesados

Invoisio asiste al Cliente, en la medida de lo posible, en el cumplimiento de las solicitudes de los interesados para ejercer sus derechos bajo el RGPD:

  • derecho de acceso (art. 15);
  • derecho de rectificación (art. 16);
  • derecho de supresión (art. 17), sujeto a las obligaciones legales de conservación;
  • derecho a la limitación del tratamiento (art. 18);
  • derecho a la portabilidad de los datos (art. 20);
  • derecho de oposición (art. 21).

Las solicitudes recibidas directamente por Invoisio que se refieran a datos de los que el Cliente sea responsable se remitirán al Cliente — Invoisio no responderá de forma independiente, salvo obligación legal.

Cuando sea técnicamente posible, Invoisio ofrece funciones de autoservicio dentro de la plataforma para el acceso, la exportación (JSON/CSV) y la eliminación.

Artículo 9 — Violaciones de datos (notificación)

En caso de violación de la seguridad de los datos personales tratados por Invoisio en nombre del Cliente, Invoisio notificará al Cliente sin dilación indebida y, en cualquier caso, dentro de las 48 horas siguientes a tener conocimiento, de modo que el Cliente pueda cumplir su obligación de notificación a la autoridad de control en un plazo de 72 horas (art. 33 RGPD).

La notificación incluirá como mínimo:

  • la naturaleza de la violación, incluyendo (cuando sea posible) las categorías y números aproximados de interesados y registros afectados;
  • el nombre y los datos de contacto del delegado de protección de datos u otro punto de contacto;
  • las consecuencias probables de la violación;
  • las medidas adoptadas o propuestas para abordar y mitigar la violación.

Invoisio documenta todas las violaciones de datos en un registro interno.

Punto de contacto: security@invoisio.com

Artículo 10 — EIPD y consulta previa

Teniendo en cuenta la naturaleza del tratamiento y la información disponible, Invoisio proporciona asistencia razonable al Cliente con:

  • la realización de una evaluación de impacto relativa a la protección de datos (EIPD) conforme al art. 35 RGPD;
  • la consulta previa a la autoridad de control conforme al art. 36 RGPD.

La asistencia que requiera tiempo/recursos sustanciales de Invoisio puede prestarse a un coste razonable.

Artículo 11 — Derechos de auditoría

El Cliente tiene derecho, como máximo una vez por año natural y con al menos 30 días de preaviso, a realizar una auditoría para verificar el cumplimiento de este DPA por parte de Invoisio.

Condiciones:

  • la auditoría la realiza un auditor independiente y certificado;
  • el auditor firma previamente un acuerdo de confidencialidad;
  • la auditoría no perturba irrazonablemente las operaciones de Invoisio;
  • los costes de la auditoría corren por cuenta del Cliente, salvo que la auditoría revele un incumplimiento material por parte de Invoisio — en cuyo caso Invoisio asume los costes razonables;
  • para documentos confidenciales, Invoisio puede ofrecer consulta en sus instalaciones sin copias.

Invoisio puede, para cumplir el derecho de auditoría, poner a disposición informes o certificaciones de terceros independientes (por ejemplo, informes de auditoría ISO 27001 de subencargados).

Artículo 12 — Transferencias internacionales

Invoisio trata los datos personales dentro del Espacio Económico Europeo (EEE). Las transferencias a países fuera del EEE se realizan únicamente sobre la base de:

  • una decisión de adecuación de la Comisión Europea; o
  • las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea; o
  • otra garantía adecuada conforme al Capítulo V del RGPD.

Actualmente (versión 0.1): no se realizan transferencias fuera del EEE.

Artículo 13 — Responsabilidad

La responsabilidad entre las partes bajo este DPA se rige por las condiciones generales de Invoisio, con sujeción al art. 82 del RGPD.

Cada parte responde de las multas que una autoridad de control le imponga por su propio incumplimiento del RGPD.

Artículo 14 — Plazos de conservación

Invoisio conserva los datos personales solo el tiempo necesario:

  • Datos de facturación: 7 años, conforme a la obligación fiscal de conservación neerlandesa (art. 52 AWR). Tras la eliminación de la cuenta, los registros de facturas se anonimizan cuando sea posible, no se eliminan físicamente.
  • Datos de cuenta y usuario: durante la vigencia de la suscripción. Tras la eliminación de la cuenta: retirados de la base de datos activa en un plazo de 30 días; las copias de seguridad rotan en un plazo de 90 días.
  • Registros y datos técnicos: máximo 12 meses.
  • Registro de trayectos (GPS): mientras el Cliente los conserve en la plataforma; eliminación mediante "eliminar trayecto" en la app.

Artículo 15 — Fin del contrato: devolución o eliminación

Al finalizar el contrato de suscripción, Invoisio, a elección del Cliente:

  • devolverá los datos personales en un formato común y legible por máquina (exportación JSON o CSV), o
  • eliminará los datos personales,

en un plazo de 30 días desde la finalización, sujeto a cualquier obligación legal de conservación que requiera un almacenamiento más largo (véase el Artículo 14).

Certificación escrita de destrucción: a petición escrita del Cliente, Invoisio proporcionará dentro de 10 días hábiles tras la finalización de la destrucción una certificación escrita confirmando que todos los datos personales (y sus copias), incluyendo en los subencargados, han sido eliminados o anonimizados de forma irreversible. La certificación incluye: fecha de destrucción, sistemas implicados y firma en nombre de Invoisio.

Invoisio proporciona confirmación de la eliminación a petición del Cliente.

Artículo 16 — Disposiciones finales

Ley aplicable: legislación neerlandesa.

Tribunal competente: el tribunal del distrito en el que Invoisio tiene su domicilio social (Róterdam), salvo que una norma imperativa disponga lo contrario.

Modificaciones: Invoisio puede modificar este DPA cuando sea necesario para cumplir con la normativa o el estado de la técnica. Los cambios materiales se anuncian al Cliente con al menos 30 días de antelación.

Prelación: en caso de conflicto entre este DPA, las condiciones generales y la política de privacidad, prevalecerá este DPA en lo que se refiere al tratamiento de datos personales en nombre del Cliente.

Notificaciones: todas las notificaciones bajo este acuerdo se realizan por escrito por correo electrónico a la dirección conocida de la otra Parte. Notificaciones a Invoisio: legal@invoisio.com (legal), security@invoisio.com (violaciones), privacy@invoisio.com (RGPD). Notificaciones al Cliente: la dirección de contacto principal registrada en la plataforma. Una notificación se considera recibida el primer día hábil siguiente al envío, salvo prueba en contrario.

Versión firmada: los clientes empresariales que requieran una versión firmada en papel o DocuSign: legal@invoisio.com o descargue la plantilla PDF a continuación y devuélvala cumplimentada. La versión neerlandesa firmable en PDF está disponible: DPA-NL (PDF). Una versión oficial en español está disponible a petición.

Contacto para consultas sobre este DPA:
privacy@invoisio.com (consultas generales sobre RGPD)
legal@invoisio.com (consultas contractuales / versión firmada)
security@invoisio.com (violaciones de datos / incidentes de seguridad)