Data Processing Agreement
Verwerkersovereenkomst (DPA) tussen GoTrust BV en de Klant, conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG/GDPR). Deze DPA maakt integraal deel uit van de Algemene Voorwaarden en wordt automatisch van toepassing zodra de Klant Pitchfire gebruikt.
Versie: 1.0 · Geldig vanaf: 17 mei 2026
1. Partijen
- De Verwerker: GoTrust BV, Morelgem 24b, 9520 Vlierzele, België, BTW BE 1037.576.138 ("GoTrust", "wij", "ons") — leverancier van het Pitchfire-platform.
- De Verwerkingsverantwoordelijke: de natuurlijke of rechtspersoon die een Pitchfire-account heeft aangemaakt en het platform gebruikt om persoonsgegevens van derden te verwerken ("de Klant", "jij").
2. Voorwerp en duur
Deze DPA regelt de verwerking van persoonsgegevens door GoTrust namens de Klant, in het kader van het Pitchfire-abonnement. Ze geldt voor de volledige duur van het abonnement en blijft van kracht zolang GoTrust persoonsgegevens van de Klant onder zich heeft.
3. Aard, doel en categorieën
Aard van de verwerking: opslag, raadpleging, structurering, aggregatie, weergave, doorgifte en wissing in het kader van de marketing-OS-functionaliteit van Pitchfire.
Doel: de Klant in staat stellen om voor zijn eindklanten marketingcampagnes, leadbeheer, contentplanning, advertentie-analyse en CRM-synchronisatie uit te voeren.
Categorieën van betrokkenen:
- Eindklanten en prospects van de Klant (leads, contactpersonen)
- Bezoekers van campagne-landingspagina's en formulieren
- Medewerkers van de Klant en zijn eindklanten met toegang tot het platform
- Sociale-media-gebruikers die met advertenties van de Klant interageren
Categorieën van persoonsgegevens:
- Identificatiegegevens: naam, e-mailadres, telefoonnummer, functietitel
- Bedrijfsgegevens: bedrijfsnaam, BTW-nummer, website, sector
- Gedrags- en interactiedata: formulierinzendingen, klikgegevens, ad-attributie, lead score
- Communicatie: notities, opmerkingen, taken die binnen het platform worden vastgelegd
- Toestemmingsdata: marketing-opt-in voor e-mail en telefoon, tijdstip en bron van toestemming
Geen bijzondere categorieën: Pitchfire is niet bestemd voor de verwerking van bijzondere categorieën persoonsgegevens (art. 9 AVG) zoals gezondheid, religie of politieke voorkeur. De Klant verbindt zich ertoe dergelijke gegevens niet in het platform op te laden zonder voorafgaand overleg.
4. Verplichtingen van GoTrust
- Wij verwerken persoonsgegevens uitsluitend op gedocumenteerde instructie van de Klant — die instructies worden gegeven door het gebruik van het platform en de configuratie ervan (workspaces, integraties, automatiseringen).
- Wij zorgen ervoor dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan vertrouwelijkheid.
- Wij nemen passende technische en organisatorische maatregelen (zie artikel 7).
- Wij houden een register van verwerkingsactiviteiten zoals vereist door artikel 30 AVG.
- Wij assisteren de Klant om te voldoen aan zijn verplichtingen onder de artikelen 32–36 AVG.
- Wij stellen de Klant binnen 72 uur op de hoogte van een datalek dat zijn persoonsgegevens treft.
5. Verplichtingen van de Klant
- De Klant is zelf verwerkingsverantwoordelijke voor de persoonsgegevens die hij in Pitchfire verwerkt en garandeert dat hij een geldige rechtsgrond heeft voor elke verwerking.
- De Klant zorgt voor de juiste informatieverstrekking aan zijn eindklanten en prospects (privacy policy, cookie banner, opt-in mechanismen).
- De Klant beheert binnen het platform de toegangsrechten van zijn eigen team (rollen, brand-membership) en houdt deze actueel.
- De Klant gebruikt de exportfunctie (artikel 8) tijdig om te voldoen aan verzoeken van betrokkenen.
6. Sub-verwerkers
De Klant geeft een algemene toestemming aan GoTrust om sub-verwerkers in te schakelen. De actuele lijst van sub-verwerkers, inclusief hun rol en locatie, is gepubliceerd op de GDPR-pagina.
Bij toevoeging of vervanging van een sub-verwerker brengen wij de Klant minstens 30 dagen vooraf op de hoogte via e-mail aan het facturatie-adres. De Klant kan binnen die periode bezwaar maken; bij bezwaar kunnen partijen in overleg een oplossing zoeken of, bij gebreke daarvan, het abonnement beëindigen zonder kosten voor de resterende contractperiode.
Met elke sub-verwerker sluit GoTrust een schriftelijke overeenkomst die minstens dezelfde gegevensbeschermingsverplichtingen oplegt als deze DPA.
7. Beveiligingsmaatregelen
Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, verlies en vernietiging. Concreet:
- Versleuteling: alle data wordt versleuteld tijdens transport (TLS 1.2+) en in rust opgeslagen op versleutelde volumes. Gevoelige tokens (CRM-, ad-platform-credentials) worden bovendien apart end-to-end versleuteld.
- Toegangsbeheer: rolgebaseerde toegang, verplichte tweefactor-authenticatie voor GoTrust-medewerkers met productietoegang, audit-log van elke beheerdersactie.
- Data-isolatie: elke klant krijgt een eigen logisch geïsoleerde dataruimte; cross-tenant toegang is technisch onmogelijk vanuit de applicatielaag.
- Back-ups: dagelijkse encrypted back-ups met 30 dagen retentie in een gescheiden geografische locatie binnen de EU.
- Monitoring: 24/7 geautomatiseerde monitoring van security-events met alerting bij abnormale patronen.
- Personeel: NDA met alle medewerkers, security-training bij indiensttreding en jaarlijks.
- Incident response: formele datalek-procedure met 24u interne escalatie en 72u meldplicht aan Klant en toezichthouder waar van toepassing.
8. Rechten van betrokkenen
Wij stellen de Klant in staat om verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar) zelf af te handelen via de in-app exportfunctie en de beheer-interface. Wanneer een betrokkene zich rechtstreeks tot GoTrust richt, verwijzen wij hem door naar de Klant en informeren wij de Klant zonder onnodige vertraging.
9. Doorgifte buiten de EER
GoTrust verwerkt persoonsgegevens primair binnen de Europese Economische Ruimte (EER). Voor sub-verwerkers buiten de EER (zoals Anthropic PBC, VS, voor de AI-laag) baseren wij ons op de Standard Contractual Clauses van de Europese Commissie (Besluit 2021/914) aangevuld met passende technische maatregelen. De volledige lijst en bijhorende waarborgen vind je op de GDPR-pagina.
10. Audit-rechten
De Klant heeft het recht om eens per kalenderjaar, op eigen kosten en mits 30 dagen voorafgaande schriftelijke kennisgeving, de naleving van deze DPA door GoTrust te laten controleren. Wij stellen daartoe onze meest recente audit-rapporten en compliance-documentatie ter beschikking. Een diepgaandere audit ter plaatse is mogelijk in geval van een ernstige aanwijzing van non-conformiteit en wordt redelijkerwijs in onderling overleg ingepland.
11. Beëindiging en teruggave
Na beëindiging van het abonnement bewaren wij de persoonsgegevens 30 dagen in een retention-window zodat de Klant zijn data nog kan exporteren of het abonnement kan heractiveren. Daarna worden alle persoonsgegevens onomkeerbaar verwijderd, met uitzondering van:
- Boekhoudkundige documenten (facturen) die wij wettelijk 7 jaar moeten bewaren.
- Geanonimiseerde aggregaten die niet meer tot individuele personen herleidbaar zijn.
- Gegevens waarvan de bewaring vereist is door een geldende rechtsbepaling.
12. Aansprakelijkheid
De aansprakelijkheid van GoTrust voor schade voortvloeiend uit een inbreuk op deze DPA wordt beheerst door artikel 9 van de Algemene Voorwaarden. Niets in deze DPA beperkt of sluit aansprakelijkheid uit die volgens dwingend recht (waaronder artikel 82 AVG) niet kan worden beperkt of uitgesloten.
13. Toepasselijk recht en geschillen
Deze DPA wordt beheerst door het Belgisch recht. Geschillen vallen onder de exclusieve bevoegdheid van de rechtbanken van het arrondissement Oost-Vlaanderen, afdeling Dendermonde.
14. Wijzigingen
Wij behouden ons het recht voor deze DPA te wijzigen wanneer dat noodzakelijk is, bijvoorbeeld wegens wijzigingen in de wetgeving of in onze sub-verwerker-lijst. Materiële wijzigingen worden minstens 30 dagen vooraf aangekondigd via e-mail en via deze pagina. De versiegeschiedenis kan op verzoek bij privacy@pitchfire.app worden opgevraagd.
15. Contact
Voor alle vragen over deze DPA of over de verwerking van persoonsgegevens: privacy@pitchfire.app · GoTrust BV, Morelgem 24b, 9520 Vlierzele, België.