Verwerkersovereenkomst (DPA)

Laatst bijgewerkt: mei 2026

Deze pagina is een samenvatting van onze standaard Verwerkersovereenkomst (Data Processing Agreement, DPA) die geldt zodra je gebruikmaakt van AgencyLens. De volledige ondertekenbare versie kun je opvragen via privacy@agencylens.io.

Rollen

Onder de AVG ben jij (als klant) de verwerkingsverantwoordelijkevoor de Google Ads-data van je organisatie. AgencyLens treedt op als verwerker die deze data namens jou ophaalt, opslaat en analyseert.

Onderwerp van de verwerking

  • Google Ads change-history (welke wijzigingen, door wie, wanneer)
  • Campagne-, advertentie- en zoekterm-data uit het gekoppelde account
  • Afgeleide analyses: scorecard, sessies, waste-rapporten

Doeleinden

Uitsluitend het leveren van de in deze dienst beschreven inzichten. Wij gebruiken jouw data nooit voor andere doeleinden, verkopen geen data, en delen geen data met derden buiten de sub-verwerkers genoemd in ons privacybeleid.

Beveiligingsmaatregelen

  • OAuth refresh tokens versleuteld met AES-256-GCM
  • Wachtwoorden gehashed met bcrypt (12 rounds)
  • TLS 1.2+ voor alle verkeer; HSTS-headers
  • Tenant-isolation: elke query filtert op organisatie-ID
  • Automatische beveiligingstests die garanderen dat er nooit naar Google Ads geschreven wordt
  • Audit-log van alle gevoelige acties (login, OAuth, exports)
  • Rate limiting op authenticatie-endpoints
  • Dagelijkse, encrypted off-site backups van de database

Sub-verwerkers

Zie ons privacybeleid voor de volledige lijst. We kondigen wijzigingen in de sub-verwerker-lijst ten minste 30 dagen vooraf aan, zodat je bezwaar kunt aantekenen.

Datalokatie

Alle productie-infrastructuur draait in de EU (Hetzner, Duitsland). Mailgun draait in de EU-regio. Google Ads API-verkeer gaat via Google's EU-endpoints, met Standard Contractual Clauses (SCC's) voor de verwerking door Google in de VS.

Datalek-meldplicht

Bij een vermoeden van een datalek dat jouw organisatie raakt, melden wij dit binnen 72 uur na ontdekking, conform AVG art. 33.

Rechten van betrokkenen

Wij assisteren je bij verzoeken om inzage, correctie, verwijdering of dataportabiliteit van betrokkenen — dit is inbegrepen in je abonnement.

Audit-rechten

Op redelijk verzoek (max. 1× per jaar, met 30 dagen aankondiging) kunnen wij relevante security-documentatie, sub-verwerker-lijst en een SOC2-style controle-statement leveren.

Beëindiging

Bij beëindiging van het abonnement wissen we alle persoonsgegevens binnen 30 dagen. Op verzoek leveren we vooraf een data-export in een gangbaar formaat (CSV/JSON).

Ondertekenbare versie

Voor klanten die een formeel ondertekende DPA nodig hebben (bijv. voor eigen compliance-eisen), stuur een mail naar privacy@agencylens.io — we sturen binnen 2 werkdagen een ingevulde PDF retour.