Klatsa.nl — Van klik naar resultaat
Juridisch

Verwerkers- & Joint-Controller-overeenkomst (DPA)

Hoe Klatsa, adverteerders en publishers persoonsgegevens verwerken.

Versie: 1.1 Ingangsdatum: 4 mei 2026

Deze Verwerkers- en Joint-Controller-overeenkomst (hierna: "DPA") is een integraal onderdeel van de Algemene Voorwaarden Adverteerders en de Algemene Voorwaarden Publishers van Jaspers Media (h.o.d.n. "Klatsa"), gevestigd te Amsterdam, KvK 02093573, BTW NL002155155B89, hierna "Klatsa".

Deze DPA regelt de verwerking van persoonsgegevens binnen het Klatsa Network (app.klatsa.nl en to.klatsa.nl) tussen Klatsa enerzijds en de Adverteerder of Publisher anderzijds (hierna: "Wederpartij").

1. Definities en kader

1.1. Termen geschreven met een hoofdletter en niet hier gedefinieerd, hebben de betekenis uit de AVG (Verordening (EU) 2016/679) en/of de Algemene Voorwaarden van Klatsa.

1.2. Toepasselijke wetgeving: AVG, UAVG (Nederlandse uitvoeringswet), e-Privacy-richtlijn (Richtlijn 2002/58/EG zoals geïmplementeerd), en bindende guidance van de Autoriteit Persoonsgegevens en de European Data Protection Board.

1.3. Indien een bepaling in deze DPA strijdig is met de Algemene Voorwaarden, prevaleert deze DPA voor zover het de verwerking van persoonsgegevens betreft.

2. Rolverdeling

Binnen het Klatsa Network wisselt de rolverdeling per type verwerking. Deze DPA regelt drie scenario's:

2.1. Klatsa als Verwerker (artikel 28 AVG)

Klatsa is Verwerker namens de Wederpartij voor:

  • Het ontvangen, opslaan en doorsturen van conversie-data die door de Adverteerder via de S2S-postback wordt teruggemeld (ordernummer, orderbedrag, valuta, productcategorie en optionele meta-velden).
  • Het hosten en doorsturen van publisher-feeds en promotiemateriaal dat door de Adverteerder wordt aangeleverd, voor zover deze persoonsgegevens bevatten.

In dit scenario is de Wederpartij Verwerkingsverantwoordelijke.

2.2. Klatsa en Wederpartij als Gezamenlijke Verwerkingsverantwoordelijken (artikel 26 AVG)

Klatsa en de Wederpartij zijn Joint Controllers voor:

  • Het zetten en uitlezen van tracking-cookies en click-IDs op de browser van eindgebruikers ten behoeve van click- en conversie-attributie.
  • Het registreren van klikken (IP-adres geanonimiseerd, user-agent, referrer, geo-derivaat, tijdstip, deeplink-ID) op to.klatsa.nl.
  • De toerekening van conversies aan publishers ten behoeve van commissie-berekening en facturatie.

De rolverdeling tussen Joint Controllers is uitgewerkt in Bijlage A.

2.3. Klatsa als zelfstandig Verwerkingsverantwoordelijke

Klatsa is zelfstandig Verwerkingsverantwoordelijke voor:

  • De verwerking van account- en contactgegevens van Adverteerders en Publishers (KvK, BTW, contactpersoon, login, financiële gegevens) ten behoeve van platform-toegang, facturatie, klantenservice en compliance.
  • Fraude-detectie en netwerk-monitoring op basis van geaggregeerde data.

Hierop is uitsluitend de Privacyverklaring van Klatsa van toepassing (https://app.klatsa.nl/privacy), en niet deze DPA.

3. Onderwerp, aard, duur en doel van de verwerking

Onderdeel Specificatie
Onderwerp Verwerking van persoonsgegevens van eindgebruikers (bezoekers) en sales-data, in het kader van affiliate-tracking, conversie-attributie en commissie-afwikkeling.
Aard Verzamelen, vastleggen, structureren, opslaan, doorzenden, raadplegen, gebruiken, wissen of vernietigen.
Doel Affiliate-marketing: meten van clicks, conversies en commissies; facturatie; fraude-detectie; rapportage.
Duur Voor de duur van de overeenkomst tussen Klatsa en Wederpartij, plus eventuele wettelijke bewaartermijnen (zie artikel 8).
Categorieën betrokkenen Eindgebruikers (bezoekers van publisher-sites en adverteerder-sites).
Categorieën persoonsgegevens Zie artikel 4.

4. Categorieën persoonsgegevens

Klatsa verwerkt geen bijzondere persoonsgegevens (gezondheid, religie, politieke voorkeur, etc.).

Wel verwerkt: technische en transactionele identifiers:

  • Click-ID (ULID, anoniem identifier)
  • IP-adres (geanonimiseerd / met laatste octet op 0 na verwerking)
  • User-agent string
  • Referrer URL
  • Tijdstip klik en conversie
  • Geo-derivaat (land/regio op basis van IP, niet exacte locatie)
  • Tracking-cookie-ID (1st-party op to.klatsa.nl, max. levensduur conform Programma-Cookie-periode)
  • Conversie-data: ordernummer (gehasht of klaar-text afhankelijk van Adverteerder-keuze), orderbedrag, valuta, productcategorie, optioneel klantsegment (bijv. "nieuwe klant" / "bestaande klant")
  • Sub-ID's of custom-parameters die de Publisher meegeeft (vaak niet-persoonsgebonden)

E-mailadressen of NAW-gegevens van eindgebruikers worden door Klatsa niet standaard verwerkt. Indien een Adverteerder dergelijke data alsnog meestuurt, geldt artikel 5.4.

5. Plichten Klatsa als Verwerker (scenario 2.1)

5.1. Klatsa verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Wederpartij — opgenomen in de IO, het platform of deze DPA. Buiten deze instructies verwerkt Klatsa enkel waar dat wettelijk verplicht is, in welk geval Klatsa de Wederpartij vooraf informeert (tenzij de wet dit verbiedt).

5.2. Klatsa zorgt dat personen die toegang hebben tot persoonsgegevens, gebonden zijn aan een vertrouwelijkheidsplicht.

5.3. Klatsa neemt passende technische en organisatorische maatregelen zoals beschreven in Bijlage B.

5.4. Indien een Wederpartij persoonsgegevens aanlevert die buiten de normale categorieën van artikel 4 vallen (bijv. e-mailadressen van klanten, NAW), informeert Klatsa de Wederpartij dat deze data niet noodzakelijk zijn voor affiliate-attributie en verzoekt om verwijdering of pseudonimisering. Tot verwijdering geldt voor deze data dezelfde beveiligingsstandaard.

5.5. Bijstand betrokkenen. Klatsa staat de Wederpartij — voor zover redelijk mogelijk — bij in het beantwoorden van inzage-, correctie-, verwijderings- en bezwaarverzoeken van betrokkenen.

5.6. Bijstand DPIA en consultatie AP. Klatsa staat de Wederpartij bij bij DPIA's en eventuele voorafgaande consultatie van de Autoriteit Persoonsgegevens, voor zover dit ziet op verwerkingen onder deze DPA.

5.7. Datalek. Klatsa informeert de Wederpartij zonder onredelijke vertraging en uiterlijk binnen 48 uur na vaststelling van een inbreuk op de persoonsgegevens, met de informatie genoemd in artikel 33 lid 3 AVG. De meldingsplicht aan de AP en betrokkenen blijft bij de Wederpartij rusten (in scenario 2.1).

5.8. Einde verwerking. Na beëindiging van de overeenkomst verwijdert Klatsa de persoonsgegevens binnen 90 dagen, of geeft deze terug aan de Wederpartij in een gangbaar machineleesbaar formaat indien de Wederpartij dit binnen 30 dagen na einde verzoekt. Wettelijke bewaartermijnen blijven van toepassing (zie artikel 8).

5.9. Audit. De Wederpartij mag, eens per kalenderjaar, op eigen kosten en met minimaal 30 dagen voorafgaande kennisgeving, een audit (laten) uitvoeren op de naleving van deze DPA door Klatsa. Klatsa mag in plaats daarvan een recente onafhankelijke audit-rapportage (bijv. ISAE 3402, ISO 27001) overleggen indien beschikbaar.

6. Sub-verwerkers

6.1. De Wederpartij geeft Klatsa algemene toestemming voor het inschakelen van sub-verwerkers, mits Klatsa met elke sub-verwerker een schriftelijke overeenkomst sluit met dezelfde verplichtingen als deze DPA.

6.2. De actuele lijst van sub-verwerkers staat in Bijlage C.

6.3. Klatsa informeert de Wederpartij minimaal 30 dagen vooraf over voorgenomen wijzigingen in de sub-verwerker-lijst (toevoeging, vervanging). De Wederpartij mag binnen die termijn schriftelijk en gemotiveerd bezwaar maken; bij gegrond bezwaar zoeken partijen een redelijke oplossing of mag de Wederpartij de overeenkomst beëindigen.

7. Doorgifte buiten de EER

7.1. Klatsa verwerkt persoonsgegevens standaard binnen de EER (Nederland: hosting bij DirectAdmin / LiteSpeed, EU-datacenter).

7.2. Indien doorgifte naar een derde land plaatsvindt (bijv. via een sub-verwerker), zorgt Klatsa voor passende waarborgen conform artikel 46 AVG (modelclausules / SCC's, of een adequaatheidsbesluit).

8. Bewaartermijnen

Datatype Bewaartermijn
Click-data (raw) 13 maanden, daarna geaggregeerd
Conversie-data 7 jaar (fiscale bewaarplicht facturatie)
Cookie op browser eindgebruiker Conform Programma-Cookie-periode (max. doorgaans 90 dagen)
Account- en contactdata Wederpartij Duur overeenkomst + 7 jaar (fiscaal)
Audit-logs / login-history 12 maanden
Datalek-incidentregister 5 jaar

9. Aansprakelijkheid

9.1. Aansprakelijkheid onder deze DPA is per kalenderjaar beperkt tot het bedrag genoemd in de hoofdovereenkomst (Algemene Voorwaarden), behoudens dwingendrechtelijke uitzonderingen onder de AVG.

9.2. Boetes opgelegd door de AP of een andere autoriteit aan de Wederpartij kunnen alleen op Klatsa worden verhaald voor zover deze direct aantoonbaar het gevolg zijn van een toerekenbare tekortkoming van Klatsa onder deze DPA.

10. Slot

10.1. Deze DPA gaat in op de in de hoofdovereenkomst genoemde ingangsdatum en eindigt automatisch bij einde van de hoofdovereenkomst, met uitzondering van bepalingen die naar hun aard nawerken (audit-recht, geheimhouding, bewaartermijnen, datalek-meldingen voor zover van toepassing op reeds-bestaande feiten).

10.2. Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.

Bijlage A — Joint-Controller-rolverdeling (artikel 26 AVG)

Voor de verwerkingen in scenario 2.2 verdelen Klatsa en de Wederpartij de AVG-verplichtingen als volgt:

Verplichting Verantwoordelijk
Cookie-consent vragen aan eindgebruiker (e-Privacy / TCF) Wederpartij (op de eigen site/app)
Tracking-pixel implementeren conform consent-status Wederpartij
Cookie zetten op to.klatsa.nl Klatsa
Privacyverklaring eigen site + verwijzing naar Klatsa Wederpartij
Privacyverklaring app.klatsa.nl / to.klatsa.nl Klatsa
Beveiliging tracking-infrastructuur Klatsa
Beantwoorden inzage-/verwijderingsverzoek dat bij eigen kanaal binnenkomt Eerste-aangesproken partij (met bijstand van de andere)
Datalek-melding AP en betrokkenen voor Klatsa-systeem Klatsa
Datalek-melding AP en betrokkenen voor eigen kanaal Wederpartij
Centraal contactpunt eindgebruikers (voor verwerkingen onder deze DPA) Klatsa via privacy@klatsa.nl

Klatsa publiceert de essentie van deze rolverdeling op https://app.klatsa.nl/privacy.

Bijlage B — Beveiligingsmaatregelen

Organisatorisch:

  • Geheimhoudingsplicht voor alle medewerkers en vrijwilligers met platform-toegang.
  • Need-to-know-toegangsbeleid en rolgebaseerde rechten (Filament-policies).
  • Gedocumenteerd incident-response-proces.
  • Periodieke awareness-training voor medewerkers (beveiliging, phishing, AVG-basics).

Technisch:

  • HTTPS/TLS 1.2+ op alle endpoints (app.klatsa.nl, to.klatsa.nl).
  • HSTS, secure cookies (SameSite=Lax waar functioneel mogelijk).
  • Wachtwoorden gehasht met bcrypt (Laravel default), 2FA-optie voor admins.
  • Database (PostgreSQL 18) met restrictieve firewall, alleen toegankelijk vanaf de applicatie-server.
  • Dagelijkse encrypted database-backups, retentie 30 dagen.
  • Server-zijdige logging (errors via Sentry) zonder PII in stack-traces waar mogelijk.
  • Monitoring op verdachte loginpatronen, brute force, ongebruikelijke API-calls.
  • Patches: kritieke security-updates binnen 14 dagen na release.
  • IP-adressen worden in click-logs geanonimiseerd (laatste octet → 0) zodra ze niet langer nodig zijn voor real-time fraude-detectie (max. 7 dagen onversleuteld).

Software-keten:

  • Composer-dependencies regelmatig gecontroleerd (composer audit).
  • Geen onnodige derde-partij JavaScript op to.klatsa.nl.

Bijlage C — Sub-verwerkers (per ingangsdatum)

Sub-verwerker Doel Vestiging Rechtsgrond doorgifte
OVHcloud (OVH SAS) — DirectAdmin + LiteSpeed Webhosting app.klatsa.nl en to.klatsa.nl Frankrijk / Nederland (EU) EU/EER, geen doorgifte buiten EER. OVH-DPA versie 17.10.2025 ondertekend bij ingebruikname.
Postmark (ActiveCampaign LLC) Transactionele e-mail (account-, factuur-, notificatie-mails) Verenigde Staten EU SCC's (modelclausules) + DPA Postmark
Sentry (Functional Software, Inc.) Error-monitoring (PII actief gestript vóór verzending: IP, e-mail, request-body) EU-region (Frankfurt) ingesteld EU/EER hosting, DPA Sentry
Google Ireland Ltd. — Google Analytics 4 Anonieme gebruiksstatistieken op klatsa.nl (alléén bij consent bezoeker, IP-anonymisering aan, geen advertentie-koppeling) Ierland (EU); engineering-toegang vanuit VS EU SCC's (modelclausules) + DPA Google Ads Data Processing Terms
Jortt (Jortt B.V.) Boekhouding / facturatie-export Nederland (EU) EU/EER, geen doorgifte
ABN AMRO Bank N.V. Uitbetaling commissies Nederland (EU) EU/EER, geen doorgifte (wettelijke bankrelatie)

Klatsa actualiseert deze lijst en publiceert wijzigingen op https://app.klatsa.nl/legal/dpa.

Contact

Voor vragen over deze DPA of de verwerking van persoonsgegevens:

Jaspers Media — Klatsa Network E-mail: privacy@klatsa.nl Adres: Kerkstraat 310, 1017 HC Amsterdam KvK: 02093573 · BTW: NL002155155B89

Versie 1.0 · Laatst bijgewerkt 1 mei 2026.
Vragen? legal@klatsa.nl