Verwerkersovereenkomst Ultimate Set Planner
Versie 1.0 — 17 mei 2026
Deze Verwerkersovereenkomst ("Verwerkersovereenkomst" of "VWO") maakt onlosmakelijk deel uit van de Algemene Voorwaarden en de Overeenkomst tussen Ultimate Set Planner en Klant, en is van toepassing zodra Ultimate Set Planner in het kader van de Dienst persoonsgegevens verwerkt ten behoeve van Klant.
Partijen
Verwerkingsverantwoordelijke: Klant, zoals geïdentificeerd in de Overeenkomst en het Account.
Verwerker: The Art of Film, handelend onder de naam Ultimate Set Planner, gevestigd te Langezand 102, 8223 WH Lelystad, ingeschreven bij de Kamer van Koophandel onder nummer 69590079, hierna "Ultimate Set Planner".
Hierna gezamenlijk aangeduid als "Partijen".
Overwegingen
a. Ultimate Set Planner levert aan Klant een softwaretoepassing voor productiemanagement in de filmindustrie ("de Dienst");
b. in het kader van de Dienst verwerkt Ultimate Set Planner persoonsgegevens ten behoeve van Klant, waarbij Klant als verwerkingsverantwoordelijke optreedt en Ultimate Set Planner als verwerker in de zin van de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679, "AVG");
c. Partijen wensen de afspraken over deze verwerking vast te leggen overeenkomstig artikel 28 lid 3 AVG.
1. Definities
Termen die in deze Verwerkersovereenkomst met een hoofdletter beginnen hebben de betekenis die daaraan in de Algemene Voorwaarden van Ultimate Set Planner of in de AVG wordt toegekend. Aanvullend wordt verstaan onder:
1.1 Persoonsgegevens: alle persoonsgegevens in de zin van artikel 4 sub 1 AVG die Ultimate Set Planner in opdracht van Klant verwerkt, zoals nader gespecificeerd in Bijlage A.
1.2 Inbreuk in verband met persoonsgegevens (datalek): een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens (artikel 4 sub 12 AVG).
1.3 Betrokkene: de natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
1.4 Subverwerker: een door Ultimate Set Planner ingeschakelde derde partij die in opdracht van Ultimate Set Planner Persoonsgegevens verwerkt.
2. Onderwerp en duur
2.1 Deze Verwerkersovereenkomst regelt de rechten en verplichtingen van Partijen ten aanzien van de verwerking van Persoonsgegevens door Ultimate Set Planner in opdracht van Klant in het kader van de Dienst.
2.2 De Verwerkersovereenkomst geldt voor de duur van de Overeenkomst. Verplichtingen die naar hun aard bedoeld zijn om voort te duren na beëindiging (zoals geheimhouding en aansprakelijkheid) blijven van kracht.
2.3 Verwerking buiten de in deze Verwerkersovereenkomst en Bijlage A omschreven kaders vindt slechts plaats op grond van een aanvullende schriftelijke instructie van Klant of indien een wettelijke verplichting daartoe noopt.
3. Aard, doel en duur van de verwerking
3.1 De aard, het doel, de duur en de categorieën Persoonsgegevens en Betrokkenen zijn nader gespecificeerd in Bijlage A: Verwerkingsdetails.
3.2 Ultimate Set Planner verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van Klant, waaronder de instructies die voortvloeien uit de Overeenkomst, deze Verwerkersovereenkomst en het feitelijk gebruik van de Dienst door Klant.
3.3 Indien Ultimate Set Planner van oordeel is dat een instructie van Klant inbreuk maakt op de AVG of andere toepasselijke privacywetgeving, stelt Ultimate Set Planner Klant daarvan onmiddellijk in kennis.
3.4 Ultimate Set Planner verwerkt Persoonsgegevens niet voor eigen doeleinden, behoudens voor zover dit noodzakelijk is voor:
a. de uitvoering van de Dienst; b. het oplossen van technische problemen en het waarborgen van beveiliging; c. het voldoen aan wettelijke verplichtingen die op Ultimate Set Planner rusten als verwerker.
In de hiervoor genoemde uitzonderingsgevallen handelt Ultimate Set Planner eveneens overeenkomstig de AVG.
3.5 Ultimate Set Planner gebruikt Persoonsgegevens uitdrukkelijk niet voor het trainen of verbeteren van AI-modellen, voor analyse van inhoud voor commerciële doeleinden of voor enig ander secundair gebruik.
4. Verplichtingen van Klant (verwerkingsverantwoordelijke)
4.1 Klant garandeert dat de verwerking van Persoonsgegevens op grond van deze Verwerkersovereenkomst plaatsvindt overeenkomstig de AVG en overige toepasselijke privacywetgeving.
4.2 Klant is verantwoordelijk voor:
a. de rechtmatigheid en juistheid van de verwerking, waaronder het bestaan van een geldige rechtsgrondslag (artikel 6 AVG);
b. de informatieplicht jegens Betrokkenen (artikel 13 en 14 AVG);
c. de juistheid, volledigheid en actualiteit van de aan Ultimate Set Planner ter beschikking gestelde Persoonsgegevens;
d. de naleving van de overige verplichtingen van een verwerkingsverantwoordelijke onder de AVG;
e. het uitsluitend invoeren van Persoonsgegevens in de Dienst voor zover dit voor de bedrijfsvoering van Klant noodzakelijk is en proportioneel is in verhouding tot het doel.
4.3 Klant vrijwaart Ultimate Set Planner tegen alle aanspraken van Betrokkenen, toezichthouders of derden, en alle daaruit voortvloeiende kosten en boetes, die voortvloeien uit het niet of niet volledig nakomen door Klant van zijn verplichtingen onder de AVG of deze Verwerkersovereenkomst.
5. Verplichtingen van Ultimate Set Planner (verwerker)
Ultimate Set Planner zal:
5.1 Persoonsgegevens uitsluitend verwerken overeenkomstig de instructies van Klant en zoals beschreven in deze Verwerkersovereenkomst en de Overeenkomst;
5.2 alle personen die toegang hebben tot Persoonsgegevens binden aan een geheimhoudingsplicht;
5.3 passende technische en organisatorische maatregelen treffen zoals beschreven in Bijlage C: Beveiligingsmaatregelen;
5.4 Klant bijstaan, voor zover redelijkerwijs mogelijk, bij het nakomen van zijn verplichtingen onder de AVG, waaronder:
a. de afhandeling van verzoeken van Betrokkenen (artikel 12 t/m 22 AVG);
b. het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) op grond van artikel 35 AVG;
c. voorafgaande raadplegingen van de toezichthouder op grond van artikel 36 AVG;
d. de melding en afhandeling van datalekken op grond van artikel 33 en 34 AVG.
5.5 Ultimate Set Planner is gerechtigd voor de in artikel 5.4 bedoelde bijstand een redelijke vergoeding in rekening te brengen voor zover deze de gebruikelijke ondersteuning te boven gaat, behoudens in geval van een datalek dat veroorzaakt is door een tekortkoming van Ultimate Set Planner.
6. Subverwerkers
6.1 Klant verleent Ultimate Set Planner algemene voorafgaande toestemming voor het inschakelen van Subverwerkers, mits Ultimate Set Planner:
a. een actuele lijst van Subverwerkers ter beschikking houdt (zie Bijlage B);
b. met iedere Subverwerker een verwerkersovereenkomst sluit met daarin verplichtingen die niet minder beschermend zijn dan die uit deze Verwerkersovereenkomst;
c. zorg draagt voor de geldigheid en handhaving van die afspraken.
6.2 Ultimate Set Planner informeert Klant ten minste 30 dagen vooraf over voorgenomen wijzigingen in de lijst van Subverwerkers (toevoeging of vervanging), via e-mail of een melding in de Dienst.
6.3 Klant heeft het recht om binnen die termijn op redelijke en goed gemotiveerde gronden, vanuit het oogpunt van gegevensbescherming, bezwaar te maken tegen een voorgenomen wijziging. Partijen treden in dat geval in overleg om een passende oplossing te vinden. Indien dit overleg niet binnen 30 dagen tot overeenstemming leidt, is Klant gerechtigd de Overeenkomst op te zeggen tegen de ingangsdatum van de wijziging.
6.4 Ultimate Set Planner blijft volledig verantwoordelijk jegens Klant voor het handelen of nalaten van Subverwerkers, alsof het haar eigen handelen of nalaten betreft, voor zover dit handelen of nalaten binnen het kader van deze Verwerkersovereenkomst valt.
7. Doorgifte buiten de EER
7.1 Ultimate Set Planner zal Persoonsgegevens uitsluitend doorgeven aan landen buiten de Europese Economische Ruimte (EER) indien daarvoor een geldige doorgiftegrondslag bestaat onder hoofdstuk V AVG, waaronder:
a. een adequaatheidsbesluit van de Europese Commissie (artikel 45 AVG); en/of
b. passende waarborgen, waaronder Standard Contractual Clauses (SCC's) van de Europese Commissie (artikel 46 AVG); en/of
c. een uitzondering op grond van artikel 49 AVG, voor zover daadwerkelijk van toepassing.
7.2 Voor doorgiftes naar de Verenigde Staten kan Ultimate Set Planner zich beroepen op het EU-US Data Privacy Framework, voor zover de betreffende Subverwerker daarop gecertificeerd is, en/of op de SCC's, aangevuld met passende technische en organisatorische maatregelen.
7.3 Op verzoek van Klant verstrekt Ultimate Set Planner informatie over de geldende doorgiftegrondslagen en, voor zover redelijk en uitvoerbaar, kopieën van de relevante contracten of relevante uittreksels daarvan.
8. Beveiliging
8.1 Ultimate Set Planner implementeert passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, conform artikel 32 AVG. De minimale set maatregelen is opgenomen in Bijlage C.
8.2 Ultimate Set Planner beoordeelt deze maatregelen periodiek en past deze waar nodig aan in lijn met technologische ontwikkelingen, dreigingen en best practices.
8.3 Ultimate Set Planner is gerechtigd Bijlage C eenzijdig aan te passen, mits het beveiligingsniveau daardoor niet wezenlijk afneemt.
9. Datalekken
9.1 Ultimate Set Planner informeert Klant zonder onnodige vertraging en uiterlijk binnen 48 uur nadat zij kennis heeft genomen van een datalek dat (mede) Persoonsgegevens van Klant raakt, via een door Klant opgegeven contactadres.
9.2 De melding bevat ten minste, voor zover op dat moment bekend:
a. een beschrijving van de aard van het datalek, waaronder, voor zover mogelijk, de categorieën en aantallen Betrokkenen en de categorieën en aantallen Persoonsgegevens;
b. de naam en contactgegevens van een aanspreekpunt voor nadere informatie;
c. de waarschijnlijke gevolgen van het datalek;
d. de getroffen en voorgestelde maatregelen om het datalek te verhelpen en gevolgen te beperken.
9.3 Ultimate Set Planner informeert Klant zodra nadere informatie beschikbaar is, totdat het datalek volledig is afgehandeld.
9.4 Het is de verantwoordelijkheid van Klant om te beoordelen of het datalek meldingsplichtig is bij de Autoriteit Persoonsgegevens (artikel 33 AVG) en/of bij Betrokkenen (artikel 34 AVG), en om die melding zelf te verzorgen. Klant dient er rekening mee te houden dat de wettelijke meldingsplicht aan de Autoriteit Persoonsgegevens geldt binnen 72 uur na kennisname van het datalek (artikel 33 lid 1 AVG); deze termijn is krap. Ultimate Set Planner ondersteunt Klant hierbij voor zover redelijk.
9.5 Ultimate Set Planner documenteert alle datalekken die haar Dienst raken in een intern register.
10. Rechten van Betrokkenen
10.1 Ultimate Set Planner zal Klant, voor zover redelijkerwijs mogelijk, bijstaan bij het reageren op verzoeken van Betrokkenen tot uitoefening van hun rechten onder de AVG (inzage, rectificatie, wissen, beperking, bezwaar, dataportabiliteit, intrekken toestemming).
10.2 Ultimate Set Planner zal verzoeken die zij rechtstreeks van een Betrokkene ontvangt en die de verwerking namens Klant betreffen, niet zelfstandig afhandelen, maar doorsturen naar Klant.
10.3 De functionaliteit van de Dienst stelt Klant in staat om Persoonsgegevens zelf in te zien, te wijzigen, te verwijderen of te exporteren. Klant erkent dat deze functionaliteit primair bedoeld is om Klant in staat te stellen verzoeken van Betrokkenen zelf af te handelen.
11. Audit
11.1 Ultimate Set Planner toont jaarlijks, op verzoek van Klant, aan dat zij voldoet aan de verplichtingen uit deze Verwerkersovereenkomst, door:
a. het verstrekken van documentatie over de geïmplementeerde beveiligingsmaatregelen (waaronder Bijlage C);
b. het verstrekken van een ingevulde standaard-vragenlijst over gegevensbescherming;
c. het beschikbaar stellen van eventuele beschikbare certificeringen, attestaties of externe rapportages (zoals ISO 27001, SOC 2) van Subverwerkers.
11.2 Klant is gerechtigd om eenmaal per kalenderjaar, op eigen kosten, een audit door een onafhankelijke en aan Ultimate Set Planner aanvaardbare auditor (gebonden aan geheimhouding) te (laten) verrichten ter beoordeling van de naleving van deze Verwerkersovereenkomst, mits:
a. Klant ten minste 60 dagen vooraf schriftelijk om de audit verzoekt;
b. de audit plaatsvindt op werkdagen tijdens kantooruren;
c. de audit de bedrijfsvoering van Ultimate Set Planner niet onnodig verstoort en geen toegang geeft tot vertrouwelijke informatie van andere klanten;
d. Klant Ultimate Set Planner de bevindingen onverwijld verstrekt en Ultimate Set Planner de gelegenheid geeft eventuele tekortkomingen binnen een redelijke termijn te herstellen.
11.3 Aanvullende of frequentere audits zijn slechts gerechtvaardigd bij een concreet en gemotiveerd vermoeden van een wezenlijke schending door Ultimate Set Planner, of indien een toezichthouder daartoe verplicht.
11.4 De redelijke kosten van medewerking van Ultimate Set Planner aan een audit (waaronder bestede tijd boven 4 uur per audit) zijn voor rekening van Klant tegen het op dat moment geldende uurtarief van Ultimate Set Planner, behoudens indien de audit een wezenlijke tekortkoming van Ultimate Set Planner aantoont.
12. Geheimhouding
12.1 Ultimate Set Planner en haar medewerkers en ingeschakelde derden zijn verplicht tot geheimhouding van de Persoonsgegevens. Deze geheimhoudingsplicht blijft van kracht ook na beëindiging van deze Verwerkersovereenkomst.
12.2 Doorbreking van de geheimhouding is uitsluitend toegestaan indien en voor zover een wettelijke verplichting daartoe noopt. In dat geval informeert Ultimate Set Planner Klant vooraf, tenzij de wet zich daartegen verzet.
13. Einde van de verwerking
13.1 Bij beëindiging van de Overeenkomst, om welke reden dan ook, zal Ultimate Set Planner:
a. de verwerking van Persoonsgegevens staken;
b. Klant gedurende 30 dagen na beëindigingsdatum in de gelegenheid stellen Persoonsgegevens via de daartoe beschikbare functionaliteit te exporteren;
c. na het verstrijken van die termijn alle Persoonsgegevens uit haar productiesystemen verwijderen, behoudens voor zover bewaring wettelijk verplicht is of voor zover de Persoonsgegevens onderdeel uitmaken van back-ups die in de normale roulatie binnen een redelijke termijn (maximaal 90 dagen) worden overschreven.
13.2 Op verzoek van Klant verstrekt Ultimate Set Planner een schriftelijke bevestiging van de verwijdering.
14. Aansprakelijkheid
14.1 Op de aansprakelijkheid van Partijen onder deze Verwerkersovereenkomst is artikel 15 van de Algemene Voorwaarden van toepassing, met dien verstande dat de in dat artikel opgenomen beperkingen en uitsluitingen niet gelden voor zover dit op grond van artikel 82 AVG of andere dwingendrechtelijke bepalingen niet is toegestaan.
14.2 Indien Ultimate Set Planner en Klant beide aansprakelijk worden gesteld voor schade voortvloeiend uit eenzelfde verwerking, draagt elke Partij het deel van de schade dat overeenkomt met haar deel van de verantwoordelijkheid, overeenkomstig artikel 82 AVG.
15. Rangorde en wijzigingen
15.1 Bij strijdigheid tussen deze Verwerkersovereenkomst en de Algemene Voorwaarden of overige onderdelen van de Overeenkomst prevaleert deze Verwerkersovereenkomst voor zover het de verwerking van Persoonsgegevens betreft.
15.2 Ultimate Set Planner is gerechtigd deze Verwerkersovereenkomst te wijzigen indien wijzigingen in wet- of regelgeving, jurisprudentie of richtsnoeren van toezichthouders daartoe nopen, of indien wijzigingen in de Dienst dat redelijkerwijs vereisen. Wijzigingen worden ten minste 30 dagen vooraf aangekondigd. Het bepaalde in artikel 19 van de Algemene Voorwaarden is van overeenkomstige toepassing.
16. Toepasselijk recht en geschillen
16.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
16.2 Geschillen worden bij uitsluiting voorgelegd aan de Rechtbank Midden-Nederland, locatie Lelystad, onverminderd het recht van Ultimate Set Planner om een geschil aanhangig te maken bij de op grond van de wet bevoegde rechter.
Bijlage A — Verwerkingsdetails
A.1 Onderwerp en aard van de verwerking Ultimate Set Planner verwerkt Persoonsgegevens namens Klant in het kader van productiemanagement voor de filmindustrie. De verwerking omvat opslag, raadpleging, weergave, ordening, structurering, analyse, doorgifte aan Subverwerkers ten behoeve van levering van de Dienst, en verwijdering van Persoonsgegevens.
A.2 Doel van de verwerking
- Het beschikbaar stellen, beheren en weergeven van productie-, planning-, crew-, transport- en lichtplangegevens binnen het account van Klant;
- Het ondersteunen van Klant bij planningsanalyse via AI-functionaliteit (zie A.4);
- Het mogelijk maken van samenwerking tussen door Klant geautoriseerde gebruikers binnen het account.
A.3 Categorieën Betrokkenen
- Medewerkers, freelancers, zzp'ers en crewleden van producties van Klant;
- Castleden en figuranten;
- Contactpersonen van leveranciers en samenwerkingspartners;
- Eindgebruikers binnen de organisatie van Klant.
A.4 Categorieën Persoonsgegevens
Standaard:
- Naam, contactgegevens (e-mail, telefoonnummer);
- Functie / rolomschrijving binnen productie;
- Werkgever of bedrijfsnaam;
- Beschikbaarheid en planninggegevens;
- Tariefgegevens (voor zover Klant deze invoert);
- Transport- en locatiegegevens in het kader van producties;
- Inhoud van uploads, waaronder draaiplanningen en lichtplannen.
Optioneel, indien Klant deze invoert:
- Rijbewijscategorieën en certificaten (geen kopieën van identiteitsdocumenten);
- Specialisaties en notities.
Klant verklaart geen bijzondere categorieën van persoonsgegevens (gezondheid, religie, ras/etniciteit, politieke voorkeur, biometrie, vakbondslidmaatschap, seksuele voorkeur) en geen strafrechtelijke gegevens in de Dienst te zullen invoeren, behoudens voor zover daarvoor schriftelijk aanvullende afspraken met Ultimate Set Planner zijn gemaakt.
A.5 Duur van de verwerking Voor de duur van de Overeenkomst, vermeerderd met de in artikel 13 genoemde periodes voor export en back-up-rotatie.
Bijlage B — Subverwerkers
De volgende Subverwerkers zijn ingeschakeld op het moment van inwerkingtreding van deze Verwerkersovereenkomst:
| Subverwerker | Vestiging | Data-locatie | Doel | Doorgiftegrondslag (indien buiten EER) |
|---|---|---|---|---|
| Supabase Inc. | Verenigde Staten | EU (Frankfurt, DE) | Database, authenticatie, bestandsopslag | SCC's en/of EU-US DPF |
| Vercel Inc. | Verenigde Staten | EU edge (Frankfurt/Amsterdam) | Hosting van de applicatie | SCC's en/of EU-US DPF |
| Anthropic PBC | Verenigde Staten | VS (EU-routing waar beschikbaar) | AI-verwerking (analyse van planningdocumenten via Claude-modellen) | SCC's en/of EU-US DPF |
| Lettermint B.V. | Nederland | Nederland | Verzending van service- en transactionele e-mail | Niet van toepassing (EER) |
| Mollie B.V. | Nederland | Nederland | Verwerking van betalingen en abonnementen | Niet van toepassing (EER) |
| Cloudflare Inc. | Verenigde Staten | Wereldwijd edge, EU-routing | Domeinregistratie, DNS en CDN | SCC's en/of EU-US DPF |
De actuele lijst is beschikbaar in de Dienst onder accountinstellingen of op verzoek via privacy@ultimatesetplanner.app.
Bijlage C — Beveiligingsmaatregelen (TOM)
Ultimate Set Planner treft ten minste de volgende technische en organisatorische maatregelen:
Technisch
- TLS 1.2+ versleuteling van al het netwerkverkeer met en binnen de Dienst;
- Encryptie van Persoonsgegevens in rust ("encryption at rest") op het niveau van de database-laag;
- Veilige authenticatie met wachtwoordhashing volgens stand der techniek (bcrypt of vergelijkbaar);
- Rolgebaseerde toegangscontrole en row-level security in de database, zodat gebruikers uitsluitend toegang hebben tot gegevens binnen hun eigen account;
- Sessiebeheer met veilige cookies en redelijke verloopperiodes;
- Logging van toegang tot productiesystemen en gevoelige operaties;
- Periodieke back-ups van databases met versleutelde opslag en gedocumenteerde herstelprocedures;
- Bescherming van eindpunten van beheerders (versleutelde harde schijven, sterke authenticatie, automatische updates);
- Beheerde applicatie-omgeving met up-to-date afhankelijkheden en periodieke veiligheidsscans.
Organisatorisch
- Geheimhoudingsverplichtingen voor alle personen die toegang hebben tot Persoonsgegevens;
- Toegangsbeleid waarbij toegang tot productiedata alleen wordt verleend voor zover noodzakelijk voor het uitvoeren van de werkzaamheden;
- Toegangsbeperkingen tot productiesystemen, met onmiddellijke intrekking bij beëindiging van werkzaamheden;
- Procedures voor het detecteren, beoordelen en afhandelen van datalekken;
- Documentatie van verwerkingen, beveiligingsmaatregelen en incidenten;
- Periodieke evaluatie van het beveiligingsbeleid en bijstelling waar nodig;
- Selectie van Subverwerkers op basis van hun beveiligingsniveau en contractuele waarborgen.
Contact privacy en gegevensbescherming:
The Art of Film (h.o.d.n. Ultimate Set Planner) Langezand 102, 8223 WH Lelystad E-mail: privacy@ultimatesetplanner.app
Deze Verwerkersovereenkomst is voor het laatst gewijzigd op 17 mei 2026.