business applications

Synkit Shopify-to-Billit

Data Processing Agreement

Effective date
2026-05-07
Version
1.0

This Data Processing Agreement ("DPA") supplements the agreement between Business Applications Consulting BV ("Processor", "we") and the merchant ("Controller", "you") under which the Processor provides the Synkit to Billit Shopify application (the "Service").

The Controller accepts this DPA when accessing the Service or, where applicable, by confirming acceptance during installation.

1. Definitions

Capitalised terms not defined here have the meaning given in Regulation (EU) 2016/679 ("GDPR").

  • Data Subject: an identified or identifiable natural person whose Personal Data is processed under this DPA — primarily an end customer of the Controller's Shopify store, and secondarily the Controller's own staff to the extent their data is included in order records.
  • Personal Data: as defined in GDPR Art 4(1).
  • Processing: as defined in GDPR Art 4(2).
  • Sub-processor: any processor engaged by us to process Personal Data on behalf of the Controller.

2. Subject matter and duration

The Processor processes Personal Data on behalf of the Controller solely to provide the Service: synchronising Shopify order and customer data to the Controller's Billit account for invoicing and accounting purposes.

This DPA applies for the duration of the Service.

3. Nature, purpose, and processing categories

See Annex I.B.

4. Processor obligations (GDPR Art 28)

The Processor shall:

  1. process Personal Data only on documented instructions from the Controller, including with regard to international transfers, unless required to do otherwise by EU or Member State law (in which case the Processor will inform the Controller before processing, unless that law prohibits such information on important grounds of public interest);
  2. ensure that persons authorised to process Personal Data are bound by confidentiality obligations;
  3. implement appropriate technical and organisational measures, as described in Annex II;
  4. assist the Controller, by appropriate technical and organisational measures, in fulfilling its obligation to respond to requests for exercising Data Subject rights under Chapter III GDPR;
  5. assist the Controller in complying with obligations under Articles 32–36 GDPR (security of processing, personal data breach notification, data protection impact assessment, prior consultation), taking into account the nature of processing and information available to the Processor;
  6. at the choice of the Controller, delete or return all Personal Data after the end of the provision of services, and delete existing copies, unless EU or Member State law requires storage;
  7. make available to the Controller all information necessary to demonstrate compliance with this DPA and allow for and contribute to audits as set out in Section 9.

5. Sub-processors

The Controller grants general written authorisation for the Processor to engage Sub-processors. The current list of authorised Sub-processors is set out in Annex III.

The Processor will notify the Controller of intended changes to Sub-processors with at least 30 days' notice (via the Service or by email to the registered contact). The Controller may object on reasonable data-protection grounds within that period; if the parties cannot resolve the objection, the Controller may terminate the Service.

The Processor enters into a written contract with each Sub-processor imposing data protection obligations no less protective than those in this DPA.

6. International transfers

Where Personal Data is transferred outside the European Economic Area, transfers are governed by the European Commission's Standard Contractual Clauses (Implementing Decision 2021/914), Module 2 (controller-to-processor) or Module 3 (processor-to-processor) for onward Sub-processor transfers, together with appropriate supplementary measures where required.

7. Personal data breach

The Processor notifies the Controller without undue delay, and in any event within 72 hours, after becoming aware of a Personal Data Breach affecting the Controller's data. The notification includes the information required by GDPR Art 33(3) to the extent known at that time, and is supplemented as further information becomes available.

8. Data Subject requests

The Processor will, without undue delay, notify the Controller of any request received directly from a Data Subject relating to Personal Data processed under this DPA and will not respond to such a request without the Controller's prior written instruction, unless legally required.

The Processor provides reasonable assistance to the Controller in responding to Data Subject requests, through the Service's standard tools and, where necessary, by manual data export or deletion.

9. Audit rights

The Processor makes available to the Controller, on request, all information necessary to demonstrate compliance with Article 28 GDPR and this DPA.

The Controller may conduct an audit no more than once per calendar year, on at least 30 days' written notice, during normal business hours, at the Controller's expense, and subject to reasonable confidentiality obligations. The Controller may rely on relevant third-party audit reports, certifications, or attestations made available by the Processor or its Sub-processors in lieu of an on-site audit.

10. Return and deletion

On termination of the Service, or on written request from the Controller, the Processor deletes all Personal Data within 60 days, except where EU or Member State law requires retention. The Processor confirms deletion in writing on request.

11. Liability and governing law

This DPA is governed by Belgian law. The courts of Brussels, Belgium have exclusive jurisdiction over disputes arising from this DPA.

In case of conflict between this DPA and the main service agreement, this DPA prevails to the extent of the conflict on data protection matters.

12. Governing language

The English version of this DPA is the authoritative text. Translations into other languages are provided for convenience only; in case of discrepancy between the English version and any translation, the English version prevails.

Annex I — Description of processing

A. Parties

Controller: the merchant operating a Shopify store that has installed the Synkit to Billit app, identified by their Shopify shop domain and the email address provided by Shopify at installation.

Processor:

  • Business Applications Consulting BV
  • Broekkantstraat 4, 9051 Gent, Belgium
  • KBO/BCE: BE0456.561.677
  • Contact: legal@businapps.com

B. Description of processing

Categories of Data Subjects

  • End customers of the Controller's Shopify store
  • Controller's staff to the extent included in order records or operational metadata

Categories of Personal Data

  • Customer first and last name
  • Email address
  • Phone number
  • Billing address
  • Shipping address
  • Order data: line items, amounts, taxes, currency, order date, customer notes, Shopify customer ID

Special categories of data: none.

Frequency of transfer: continuous; triggered by new orders in Shopify (webhook-driven and scheduled sync) and by merchant-initiated manual sync.

Nature of processing: retrieval from Shopify, transient storage in Cloudflare D1, transformation, transmission to Billit, and operational logging.

Purpose: providing invoicing and accounting integration between Shopify and Billit.

Duration of processing:

  • Sync event records purged automatically after 7 days
  • Sync logs retained 30 days
  • Product cache retained 48 hours
  • Mapping data deleted within 60 days of uninstall
  • All Controller data deleted within 60 days of termination

Annex II — Technical and organisational measures

The Processor implements the following measures:

Confidentiality

  • TLS 1.2+ for all data in transit
  • Encryption at rest for all stored data (Cloudflare D1 storage-level encryption)
  • Authentication credentials encrypted with a master key separate from primary application storage
  • Access to production systems restricted to authorised personnel
  • Two-factor authentication required for administrative access to production infrastructure

Integrity

  • Source-code review and version control for all changes to the Service
  • Separation of production and non-production environments and data

Availability and resilience

  • Hosted on Cloudflare's globally distributed Workers platform
  • Automated database backups (Cloudflare D1)

Restoration

  • Documented recovery procedures

Pseudonymisation and data minimisation

  • Only data fields strictly required for invoicing are processed
  • No third-party analytics, tracking, or advertising SDKs embedded in the App

Incident management

  • 72-hour breach-notification commitment to the Controller

Annex III — Sub-processors

Name Role Country of establishment Transfer mechanism (if outside EEA)
Cloudflare, Inc. Application hosting (Workers), database (D1), edge networking United States (HQ); global edge infrastructure EU Standard Contractual Clauses (Implementing Decision 2021/914)
Billit NV Destination accounting platform receiving synchronised invoice data Belgium Within EEA — no transfer mechanism required

Verwerkersovereenkomst

Inwerkingtreding
2026-05-07
Versie
1.0

Deze Verwerkersovereenkomst ("DPA") vormt een aanvulling op de overeenkomst tussen Business Applications Consulting BV ("Verwerker", "wij") en de handelaar ("Verwerkingsverantwoordelijke", "u") op grond waarvan de Verwerker de Shopify-applicatie Synkit to Billit (de "Dienst") levert.

De Verwerkingsverantwoordelijke aanvaardt deze DPA wanneer hij de Dienst gebruikt of, indien van toepassing, door tijdens de installatie de aanvaarding te bevestigen.

1. Definities

Begrippen met hoofdletter die hier niet zijn gedefinieerd, hebben de betekenis die eraan wordt gegeven in Verordening (EU) 2016/679 ("GDPR").

  • Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon wiens Persoonsgegevens onder deze DPA worden verwerkt — in eerste instantie een eindklant van de Shopify-winkel van de Verwerkingsverantwoordelijke en in tweede instantie het eigen personeel van de Verwerkingsverantwoordelijke, voor zover hun gegevens in orderregistraties zijn opgenomen.
  • Persoonsgegevens: zoals gedefinieerd in GDPR Art 4(1).
  • Verwerking: zoals gedefinieerd in GDPR Art 4(2).
  • Subverwerker: elke verwerker die door ons is ingeschakeld om Persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke.

2. Voorwerp en duur

De Verwerker verwerkt Persoonsgegevens namens de Verwerkingsverantwoordelijke uitsluitend om de Dienst te leveren: het synchroniseren van Shopify-order- en klantgegevens naar het Billit-account van de Verwerkingsverantwoordelijke voor facturatie- en boekhoudkundige doeleinden.

Deze DPA is van toepassing voor de duur van de Dienst.

3. Aard, doel en categorieën van verwerking

Zie Bijlage I.B.

4. Verplichtingen van de Verwerker (GDPR Art 28)

De Verwerker zal:

  1. Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, ook met betrekking tot internationale doorgiften, tenzij hij hiertoe verplicht is op grond van Unierecht of het recht van een lidstaat (in welk geval de Verwerker de Verwerkingsverantwoordelijke vóór de verwerking informeert, tenzij dat recht die kennisgeving om gewichtige redenen van algemeen belang verbiedt);
  2. ervoor zorgen dat de personen die gemachtigd zijn Persoonsgegevens te verwerken, gebonden zijn aan vertrouwelijkheidsverplichtingen;
  3. passende technische en organisatorische maatregelen treffen, zoals beschreven in Bijlage II;
  4. de Verwerkingsverantwoordelijke met passende technische en organisatorische maatregelen bijstaan bij de vervulling van zijn plicht om te reageren op verzoeken tot uitoefening van de rechten van Betrokkenen op grond van Hoofdstuk III GDPR;
  5. de Verwerkingsverantwoordelijke bijstaan bij de naleving van zijn verplichtingen op grond van Artikelen 32–36 GDPR (beveiliging van verwerking, melding van inbreuken in verband met persoonsgegevens, gegevensbeschermingseffectbeoordeling, voorafgaande raadpleging), rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt;
  6. naar keuze van de Verwerkingsverantwoordelijke alle Persoonsgegevens na afloop van de dienstverlening wissen of teruggeven en bestaande kopieën verwijderen, tenzij Unierecht of het recht van een lidstaat opslag verplicht stelt;
  7. de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om de naleving van deze DPA aan te tonen en audits mogelijk maken en daaraan bijdragen, zoals beschreven in Sectie 9.

5. Subverwerkers

De Verwerkingsverantwoordelijke verleent een algemene schriftelijke machtiging aan de Verwerker om Subverwerkers in te schakelen. De actuele lijst van toegestane Subverwerkers is opgenomen in Bijlage III.

De Verwerker informeert de Verwerkingsverantwoordelijke over voorgenomen wijzigingen van Subverwerkers met een opzegtermijn van ten minste 30 dagen (via de Dienst of per e-mail naar de geregistreerde contactpersoon). De Verwerkingsverantwoordelijke kan binnen die termijn op redelijke gegevensbeschermings­gronden bezwaar maken; indien partijen het bezwaar niet kunnen oplossen, kan de Verwerkingsverantwoordelijke de Dienst beëindigen.

De Verwerker sluit met elke Subverwerker een schriftelijke overeenkomst waarin gegevensbeschermings­verplichtingen worden opgelegd die niet minder beschermend zijn dan die in deze DPA.

6. Internationale doorgiften

Wanneer Persoonsgegevens buiten de Europese Economische Ruimte worden doorgegeven, vinden de doorgiften plaats op basis van de Standaardcontractbepalingen van de Europese Commissie (Uitvoeringsbesluit 2021/914), Module 2 (verwerkingsverantwoordelijke naar verwerker) of Module 3 (verwerker naar verwerker) voor verdere doorgiften aan Subverwerkers, samen met passende aanvullende maatregelen waar nodig.

7. Inbreuken in verband met persoonsgegevens

De Verwerker stelt de Verwerkingsverantwoordelijke zonder onnodige vertraging, en in elk geval binnen 72 uur, op de hoogte nadat hij kennis heeft genomen van een Inbreuk in verband met persoonsgegevens die de gegevens van de Verwerkingsverantwoordelijke treft. De kennisgeving bevat de op grond van GDPR Art 33(3) vereiste informatie voor zover op dat moment bekend, en wordt aangevuld naarmate verdere informatie beschikbaar komt.

8. Verzoeken van Betrokkenen

De Verwerker informeert de Verwerkingsverantwoordelijke zonder onnodige vertraging over elk verzoek dat hij rechtstreeks van een Betrokkene ontvangt en dat betrekking heeft op Persoonsgegevens die onder deze DPA worden verwerkt, en zal niet op een dergelijk verzoek reageren zonder voorafgaande schriftelijke instructie van de Verwerkingsverantwoordelijke, tenzij dit wettelijk vereist is.

De Verwerker biedt de Verwerkingsverantwoordelijke redelijke bijstand bij het beantwoorden van verzoeken van Betrokkenen, via de standaardinstrumenten van de Dienst en, waar nodig, door handmatige gegevens­export of -verwijdering.

9. Auditrechten

De Verwerker stelt op verzoek aan de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de naleving van Artikel 28 GDPR en deze DPA aan te tonen.

De Verwerkingsverantwoordelijke kan ten hoogste eenmaal per kalenderjaar een audit uitvoeren, mits een schriftelijke aankondiging van ten minste 30 dagen, tijdens normale kantooruren, op kosten van de Verwerkingsverantwoordelijke en onder voorbehoud van redelijke vertrouwelijkheidsverplichtingen. De Verwerkingsverantwoordelijke kan zich beroepen op relevante auditrapporten, certificeringen of attesten van derden die door de Verwerker of zijn Subverwerkers beschikbaar worden gesteld in plaats van een audit ter plaatse.

10. Teruggave en verwijdering

Bij beëindiging van de Dienst, of op schriftelijk verzoek van de Verwerkingsverantwoordelijke, verwijdert de Verwerker alle Persoonsgegevens binnen 60 dagen, behalve wanneer Unierecht of het recht van een lidstaat bewaring verplicht stelt. De Verwerker bevestigt de verwijdering op verzoek schriftelijk.

11. Aansprakelijkheid en toepasselijk recht

Deze DPA wordt beheerst door het Belgisch recht. De rechtbanken van Brussel, België hebben uitsluitende bevoegdheid voor geschillen die voortvloeien uit deze DPA.

In geval van tegenstrijdigheid tussen deze DPA en de hoofd­dienstenovereenkomst, prevaleert deze DPA voor zover de tegenstrijdigheid betrekking heeft op gegevensbeschermings­aangelegenheden.

12. Voertaal

De Engelse versie van deze DPA is de authentieke tekst. Vertalingen naar andere talen worden uitsluitend voor het gemak ter beschikking gesteld; in geval van tegenstrijdigheid tussen de Engelse versie en een vertaling, prevaleert de Engelse versie.

Bijlage I — Beschrijving van de verwerking

A. Partijen

Verwerkingsverantwoordelijke: de handelaar die een Shopify-winkel uitbaat waarop de Synkit to Billit-app is geïnstalleerd, geïdentificeerd door zijn Shopify shop-domein en het e-mailadres dat Shopify bij de installatie heeft verstrekt.

Verwerker:

  • Business Applications Consulting BV
  • Broekkantstraat 4, 9051 Gent, België
  • KBO/BCE: BE0456.561.677
  • Contact: legal@businapps.com

B. Beschrijving van de verwerking

Categorieën Betrokkenen

  • Eindklanten van de Shopify-winkel van de Verwerkingsverantwoordelijke
  • Personeel van de Verwerkingsverantwoordelijke, voor zover opgenomen in orderregistraties of operationele metadata

Categorieën Persoonsgegevens

  • Voornaam en achternaam van de klant
  • E-mailadres
  • Telefoonnummer
  • Factuuradres
  • Leveringsadres
  • Ordergegevens: orderlijnen, bedragen, btw, valuta, besteldatum, opmerkingen van de klant, Shopify klant-ID

Bijzondere categorieën van gegevens: geen.

Frequentie van doorgifte: doorlopend; geactiveerd door nieuwe bestellingen in Shopify (webhook-gedreven en geplande synchronisatie) en door handmatige synchronisatie geïnitieerd door de handelaar.

Aard van de verwerking: opvraging vanuit Shopify, tijdelijke opslag in Cloudflare D1, transformatie, doorgifte naar Billit en operationele logging.

Doel: levering van een facturatie- en boekhoudkundige integratie tussen Shopify en Billit.

Duur van de verwerking:

  • Sync event-registraties worden automatisch gewist na 7 dagen
  • Synchronisatielogboeken worden 30 dagen bewaard
  • Productcache wordt 48 uur bewaard
  • Mappinggegevens worden binnen 60 dagen na verwijdering van de App gewist
  • Alle gegevens van de Verwerkingsverantwoordelijke worden binnen 60 dagen na beëindiging gewist

Bijlage II — Technische en organisatorische maatregelen

De Verwerker implementeert de volgende maatregelen:

Vertrouwelijkheid

  • TLS 1.2+ voor alle gegevens tijdens transport
  • Versleuteling in rust voor alle opgeslagen gegevens (Cloudflare D1 storage-versleuteling)
  • Authenticatiegegevens versleuteld met een master key, gescheiden van de primaire applicatieopslag
  • Toegang tot productieomgevingen beperkt tot bevoegd personeel
  • Tweefactorauthenticatie vereist voor administratieve toegang tot productie-infrastructuur

Integriteit

  • Code-review en versiebeheer voor alle wijzigingen aan de Dienst
  • Scheiding van productie- en niet-productieomgevingen en -gegevens

Beschikbaarheid en veerkracht

  • Gehost op het wereldwijd gedistribueerde Workers-platform van Cloudflare
  • Geautomatiseerde databankback-ups (Cloudflare D1)

Herstel

  • Gedocumenteerde herstelprocedures

Pseudonimisering en gegevens­minimalisatie

  • Alleen gegevensvelden die strikt noodzakelijk zijn voor de facturatie worden verwerkt
  • Geen analytics-, tracking- of advertentie-SDK's van derden geïntegreerd in de App

Incidentbeheer

  • Toezegging tot melding van inbreuken binnen 72 uur aan de Verwerkingsverantwoordelijke

Bijlage III — Subverwerkers

Naam Rol Land van vestiging Doorgiftemechanisme (indien buiten EER)
Cloudflare, Inc. Applicatiehosting (Workers), databank (D1), edge-netwerken Verenigde Staten (hoofdkantoor); wereldwijde edge-infrastructuur EU-Standaardcontractbepalingen (Uitvoeringsbesluit 2021/914)
Billit NV Bestemmings­boekhoud­platform dat gesynchroniseerde factuurgegevens ontvangt België Binnen EER — geen doorgiftemechanisme vereist

Accord de Traitement des Données

Date d'entrée en vigueur
2026-05-07
Version
1.0

Le présent Accord de Traitement des Données (« DPA ») complète l'accord entre Business Applications Consulting BV (le « Sous-traitant », « nous ») et le marchand (le « Responsable du traitement », « vous ») au titre duquel le Sous-traitant fournit l'application Shopify Synkit to Billit (le « Service »).

Le Responsable du traitement accepte le présent DPA lorsqu'il accède au Service ou, le cas échéant, en confirmant son acceptation lors de l'installation.

1. Définitions

Les termes commençant par une majuscule qui ne sont pas définis ici ont la signification qui leur est attribuée dans le Règlement (UE) 2016/679 (« GDPR »).

  • Personne Concernée : une personne physique identifiée ou identifiable dont les Données à Caractère Personnel sont traitées au titre du présent DPA — principalement un client final de la boutique Shopify du Responsable du traitement et, à titre secondaire, le personnel du Responsable du traitement dans la mesure où ses données figurent dans des enregistrements de commandes.
  • Données à Caractère Personnel : telles que définies à l'Art 4(1) GDPR.
  • Traitement : tel que défini à l'Art 4(2) GDPR.
  • Sous-traitant ultérieur : tout sous-traitant engagé par nous pour traiter des Données à Caractère Personnel pour le compte du Responsable du traitement.

2. Objet et durée

Le Sous-traitant traite des Données à Caractère Personnel pour le compte du Responsable du traitement uniquement pour fournir le Service : la synchronisation des données de commandes et de clients Shopify vers le compte Billit du Responsable du traitement à des fins de facturation et de comptabilité.

Le présent DPA s'applique pour la durée du Service.

3. Nature, finalité et catégories de traitement

Voir Annexe I.B.

4. Obligations du Sous-traitant (Art 28 GDPR)

Le Sous-traitant :

  1. ne traite les Données à Caractère Personnel que sur instructions documentées du Responsable du traitement, y compris en ce qui concerne les transferts internationaux, sauf s'il y est tenu en vertu du droit de l'Union ou du droit d'un État membre (auquel cas le Sous-traitant informe le Responsable du traitement de cette obligation juridique avant le traitement, sauf si ce droit interdit une telle information pour des motifs importants d'intérêt général) ;
  2. veille à ce que les personnes autorisées à traiter les Données à Caractère Personnel soient soumises à une obligation de confidentialité ;
  3. met en œuvre des mesures techniques et organisationnelles appropriées, telles que décrites à l'Annexe II ;
  4. aide le Responsable du traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des Personnes Concernées en vertu du Chapitre III GDPR ;
  5. aide le Responsable du traitement à se conformer aux obligations énoncées aux Articles 32 à 36 GDPR (sécurité du traitement, notification de violation de données à caractère personnel, analyse d'impact relative à la protection des données, consultation préalable), compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant ;
  6. à la discrétion du Responsable du traitement, supprime ou restitue toutes les Données à Caractère Personnel à la fin de la prestation de services et supprime les copies existantes, sauf si le droit de l'Union ou d'un État membre exige leur conservation ;
  7. met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect du présent DPA et permet la réalisation d'audits et y contribue, comme indiqué à la Section 9.

5. Sous-traitants ultérieurs

Le Responsable du traitement accorde une autorisation écrite générale au Sous-traitant pour recourir à des Sous-traitants ultérieurs. La liste actuelle des Sous-traitants ultérieurs autorisés figure à l'Annexe III.

Le Sous-traitant informe le Responsable du traitement de toute modification envisagée des Sous-traitants ultérieurs avec un préavis d'au moins 30 jours (via le Service ou par e-mail à l'adresse de contact enregistrée). Le Responsable du traitement peut, dans ce délai, s'y opposer pour des motifs raisonnables liés à la protection des données ; si les parties ne parviennent pas à résoudre l'objection, le Responsable du traitement peut résilier le Service.

Le Sous-traitant conclut avec chaque Sous-traitant ultérieur un contrat écrit imposant des obligations de protection des données non moins protectrices que celles du présent DPA.

6. Transferts internationaux

Lorsque des Données à Caractère Personnel sont transférées hors de l'Espace économique européen, ces transferts sont régis par les Clauses Contractuelles Types de la Commission européenne (Décision d'exécution 2021/914), Module 2 (responsable du traitement vers sous-traitant) ou Module 3 (sous-traitant vers sous-traitant) pour les transferts ultérieurs vers des Sous-traitants ultérieurs, accompagnées des mesures supplémentaires appropriées lorsque nécessaire.

7. Violation de Données à Caractère Personnel

Le Sous-traitant notifie au Responsable du traitement, sans retard injustifié et en tout état de cause dans les 72 heures, toute Violation de Données à Caractère Personnel affectant les données du Responsable du traitement, dès qu'il en a connaissance. La notification comprend les informations requises par l'Art 33(3) GDPR dans la mesure où elles sont connues à ce moment-là, et est complétée au fur et à mesure que de nouvelles informations deviennent disponibles.

8. Demandes des Personnes Concernées

Le Sous-traitant notifie au Responsable du traitement, sans retard injustifié, toute demande reçue directement d'une Personne Concernée concernant des Données à Caractère Personnel traitées au titre du présent DPA et ne répond pas à une telle demande sans instruction écrite préalable du Responsable du traitement, sauf obligation légale.

Le Sous-traitant apporte une assistance raisonnable au Responsable du traitement pour répondre aux demandes des Personnes Concernées, au moyen des outils standard du Service et, si nécessaire, par une exportation ou une suppression manuelle des données.

9. Droits d'audit

Le Sous-traitant met à la disposition du Responsable du traitement, sur demande, toutes les informations nécessaires pour démontrer le respect de l'Article 28 GDPR et du présent DPA.

Le Responsable du traitement peut procéder à un audit au maximum une fois par année civile, moyennant un préavis écrit d'au moins 30 jours, pendant les heures normales de bureau, aux frais du Responsable du traitement et sous réserve d'obligations raisonnables de confidentialité. Le Responsable du traitement peut s'appuyer sur des rapports d'audit, certifications ou attestations pertinents fournis par des tiers que le Sous-traitant ou ses Sous-traitants ultérieurs mettent à disposition, en lieu et place d'un audit sur site.

10. Restitution et suppression

À la fin du Service, ou sur demande écrite du Responsable du traitement, le Sous-traitant supprime toutes les Données à Caractère Personnel dans un délai de 60 jours, sauf si le droit de l'Union ou d'un État membre exige leur conservation. Le Sous-traitant confirme la suppression par écrit sur demande.

11. Responsabilité et droit applicable

Le présent DPA est régi par le droit belge. Les tribunaux de Bruxelles, Belgique sont seuls compétents pour les litiges découlant du présent DPA.

En cas de conflit entre le présent DPA et l'accord de service principal, le présent DPA prévaut dans la mesure où le conflit porte sur des questions de protection des données.

12. Langue faisant foi

La version anglaise du présent DPA est le texte faisant foi. Les traductions dans d'autres langues sont fournies uniquement à titre de commodité ; en cas de divergence entre la version anglaise et une traduction, la version anglaise prévaut.

Annexe I — Description du traitement

A. Parties

Responsable du traitement : le marchand exploitant une boutique Shopify dans laquelle l'application Synkit to Billit est installée, identifié par son domaine Shopify et l'adresse e-mail fournie par Shopify lors de l'installation.

Sous-traitant :

  • Business Applications Consulting BV
  • Broekkantstraat 4, 9051 Gand, Belgique
  • KBO/BCE : BE0456.561.677
  • Contact : legal@businapps.com

B. Description du traitement

Catégories de Personnes Concernées

  • Clients finaux de la boutique Shopify du Responsable du traitement
  • Personnel du Responsable du traitement, dans la mesure où il figure dans les enregistrements de commandes ou les métadonnées opérationnelles

Catégories de Données à Caractère Personnel

  • Prénom et nom du client
  • Adresse e-mail
  • Numéro de téléphone
  • Adresse de facturation
  • Adresse de livraison
  • Données de commande : lignes d'articles, montants, taxes, devise, date de commande, notes du client, identifiant Shopify du client

Catégories particulières de données : aucune.

Fréquence des transferts : en continu ; déclenchés par de nouvelles commandes dans Shopify (synchronisation pilotée par webhook et synchronisation planifiée) ainsi que par une synchronisation manuelle initiée par le marchand.

Nature du traitement : récupération depuis Shopify, stockage temporaire dans Cloudflare D1, transformation, transmission vers Billit et journalisation opérationnelle.

Finalité : fourniture d'une intégration de facturation et de comptabilité entre Shopify et Billit.

Durée du traitement :

  • Les enregistrements sync events sont purgés automatiquement après 7 jours
  • Les journaux de synchronisation sont conservés 30 jours
  • Le cache produit est conservé 48 heures
  • Les données de correspondance sont supprimées dans les 60 jours suivant la désinstallation
  • Toutes les données du Responsable du traitement sont supprimées dans les 60 jours suivant la résiliation

Annexe II — Mesures techniques et organisationnelles

Le Sous-traitant met en œuvre les mesures suivantes :

Confidentialité

  • TLS 1.2+ pour toutes les données en transit
  • Chiffrement au repos pour toutes les données stockées (chiffrement de stockage Cloudflare D1)
  • Identifiants d'authentification chiffrés au moyen d'une master key, séparée du stockage applicatif principal
  • Accès aux systèmes de production restreint au personnel autorisé
  • Authentification à deux facteurs requise pour les accès administratifs à l'infrastructure de production

Intégrité

  • Revue de code et gestion de versions pour toutes les modifications du Service
  • Séparation des environnements et données de production et hors production

Disponibilité et résilience

  • Hébergé sur la plateforme Workers de Cloudflare, distribuée mondialement
  • Sauvegardes automatisées de la base de données (Cloudflare D1)

Rétablissement

  • Procédures de récupération documentées

Pseudonymisation et minimisation des données

  • Seuls les champs de données strictement nécessaires à la facturation sont traités
  • Aucun SDK tiers d'analytique, de suivi ou de publicité intégré dans l'App

Gestion des incidents

  • Engagement de notification des violations dans les 72 heures au Responsable du traitement

Annexe III — Sous-traitants ultérieurs

Nom Rôle Pays d'établissement Mécanisme de transfert (hors EEE)
Cloudflare, Inc. Hébergement de l'application (Workers), base de données (D1), réseau edge États-Unis (siège) ; infrastructure edge mondiale Clauses Contractuelles Types de l'UE (Décision d'exécution 2021/914)
Billit NV Plateforme comptable de destination recevant les données de facture synchronisées Belgique Au sein de l'EEE — aucun mécanisme de transfert requis

Auftragsverarbeitungsvertrag

Datum des Inkrafttretens
2026-05-07
Version
1.0

Dieser Auftragsverarbeitungsvertrag ("DPA") ergänzt den Vertrag zwischen Business Applications Consulting BV ("Auftragsverarbeiter", "wir") und dem Händler ("Verantwortlicher", "Sie"), auf dessen Grundlage der Auftragsverarbeiter die Shopify-Anwendung Synkit to Billit (der "Dienst") bereitstellt.

Der Verantwortliche akzeptiert diesen DPA mit der Nutzung des Dienstes oder, soweit anwendbar, durch Bestätigung der Annahme während der Installation.

1. Begriffsbestimmungen

Großgeschriebene Begriffe, die hier nicht definiert sind, haben die Bedeutung, die ihnen in der Verordnung (EU) 2016/679 ("GDPR") zugewiesen ist.

  • Betroffene Person: eine identifizierte oder identifizierbare natürliche Person, deren Personenbezogene Daten gemäß diesem DPA verarbeitet werden — in erster Linie ein Endkunde des Shopify-Shops des Verantwortlichen und in zweiter Linie das eigene Personal des Verantwortlichen, soweit dessen Daten in Bestelldatensätzen enthalten sind.
  • Personenbezogene Daten: wie in GDPR Art 4(1) definiert.
  • Verarbeitung: wie in GDPR Art 4(2) definiert.
  • Unterauftragsverarbeiter: jeder Auftragsverarbeiter, den wir beauftragen, um Personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten.

2. Gegenstand und Dauer

Der Auftragsverarbeiter verarbeitet Personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Erbringung des Dienstes: die Synchronisierung von Shopify-Bestell- und Kundendaten in das Billit-Konto des Verantwortlichen zu Abrechnungs- und Buchhaltungszwecken.

Dieser DPA gilt für die Dauer des Dienstes.

3. Art, Zweck und Verarbeitungskategorien

Siehe Anlage I.B.

4. Pflichten des Auftragsverarbeiters (GDPR Art 28)

Der Auftragsverarbeiter wird:

  1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeiten, auch im Hinblick auf internationale Übermittlungen, sofern er nicht durch das Recht der Union oder eines Mitgliedstaats zu einer anderweitigen Verarbeitung verpflichtet ist (in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Vorgaben vor der Verarbeitung mit, es sei denn, das Recht verbietet eine solche Mitteilung aus wichtigem öffentlichem Interesse);
  2. sicherstellen, dass die zur Verarbeitung Personenbezogener Daten befugten Personen einer Vertraulichkeitsverpflichtung unterliegen;
  3. geeignete technische und organisatorische Maßnahmen ergreifen, wie in Anlage II beschrieben;
  4. den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen dabei unterstützen, seine Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte Betroffener Personen gemäß Kapitel III GDPR zu erfüllen;
  5. den Verantwortlichen bei der Einhaltung der in den Artikeln 32–36 GDPR genannten Pflichten unterstützen (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes Personenbezogener Daten, Datenschutz-Folgenabschätzung, vorherige Konsultation), unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen;
  6. nach Wahl des Verantwortlichen alle Personenbezogenen Daten nach Beendigung der Diensterbringung löschen oder zurückgeben und bestehende Kopien löschen, sofern nicht das Recht der Union oder eines Mitgliedstaats eine Speicherung verlangt;
  7. dem Verantwortlichen alle Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung dieses DPA erforderlich sind, und Überprüfungen ermöglichen und dazu beitragen, wie in Abschnitt 9 beschrieben.

5. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Die aktuelle Liste der genehmigten Unterauftragsverarbeiter ist in Anlage III aufgeführt.

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern mit einer Vorankündigung von mindestens 30 Tagen (über den Dienst oder per E-Mail an die registrierte Kontaktadresse). Der Verantwortliche kann innerhalb dieser Frist aus berechtigten datenschutzrechtlichen Gründen Einspruch erheben; können die Parteien den Einspruch nicht beilegen, kann der Verantwortliche den Dienst kündigen.

Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag ab, der datenschutzrechtliche Pflichten auferlegt, die nicht weniger schutzgewährend sind als die in diesem DPA.

6. Internationale Übermittlungen

Werden Personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums übermittelt, erfolgen die Übermittlungen auf der Grundlage der Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss 2021/914), Modul 2 (Verantwortlicher an Auftragsverarbeiter) oder Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter) für weitergehende Übermittlungen an Unterauftragsverarbeiter, zusammen mit geeigneten ergänzenden Maßnahmen, sofern erforderlich.

7. Verletzungen des Schutzes Personenbezogener Daten

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, in jedem Fall jedoch innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes Personenbezogener Daten, die Daten des Verantwortlichen betrifft. Die Benachrichtigung enthält die in GDPR Art 33(3) genannten Informationen, soweit zu diesem Zeitpunkt bekannt, und wird ergänzt, sobald weitere Informationen verfügbar werden.

8. Anträge Betroffener Personen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich über jeden Antrag, den er direkt von einer Betroffenen Person erhält und der Personenbezogene Daten betrifft, die unter diesem DPA verarbeitet werden, und beantwortet einen solchen Antrag nicht ohne vorherige schriftliche Weisung des Verantwortlichen, sofern dies nicht gesetzlich vorgeschrieben ist.

Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessener Weise bei der Beantwortung von Anträgen Betroffener Personen, über die Standardwerkzeuge des Dienstes und, soweit erforderlich, durch manuellen Datenexport oder manuelle Löschung.

9. Prüfungsrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Artikel 28 GDPR und dieses DPA erforderlich sind.

Der Verantwortliche kann höchstens einmal pro Kalenderjahr eine Prüfung durchführen, mit einer schriftlichen Vorankündigung von mindestens 30 Tagen, während der üblichen Geschäftszeiten, auf Kosten des Verantwortlichen und vorbehaltlich angemessener Vertraulichkeitsverpflichtungen. Der Verantwortliche kann sich auf einschlägige Drittprüfberichte, Zertifizierungen oder Bestätigungen stützen, die der Auftragsverarbeiter oder seine Unterauftragsverarbeiter zur Verfügung stellen, anstatt eine Vor-Ort-Prüfung durchzuführen.

10. Rückgabe und Löschung

Bei Beendigung des Dienstes oder auf schriftlichen Antrag des Verantwortlichen löscht der Auftragsverarbeiter alle Personenbezogenen Daten innerhalb von 60 Tagen, sofern nicht das Recht der Union oder eines Mitgliedstaats eine Aufbewahrung verlangt. Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage schriftlich.

11. Haftung und anwendbares Recht

Dieser DPA unterliegt belgischem Recht. Die Gerichte in Brüssel, Belgien sind ausschließlich zuständig für Streitigkeiten aus diesem DPA.

Im Falle eines Widerspruchs zwischen diesem DPA und der Hauptdienstleistungsvereinbarung hat dieser DPA Vorrang, soweit der Widerspruch datenschutzrechtliche Angelegenheiten betrifft.

12. Maßgebliche Sprache

Die englische Fassung dieses DPA ist die maßgebliche Fassung. Übersetzungen in andere Sprachen werden ausschließlich zur Bequemlichkeit bereitgestellt; im Falle einer Abweichung zwischen der englischen Fassung und einer Übersetzung hat die englische Fassung Vorrang.

Anlage I — Beschreibung der Verarbeitung

A. Parteien

Verantwortlicher: der Händler, der einen Shopify-Shop betreibt, in dem die Synkit to Billit-App installiert ist, identifiziert durch seine Shopify Shop-Domain und die von Shopify bei der Installation bereitgestellte E-Mail-Adresse.

Auftragsverarbeiter:

  • Business Applications Consulting BV
  • Broekkantstraat 4, 9051 Gent, Belgien
  • KBO/BCE: BE0456.561.677
  • Kontakt: legal@businapps.com

B. Beschreibung der Verarbeitung

Kategorien Betroffener Personen

  • Endkunden des Shopify-Shops des Verantwortlichen
  • Personal des Verantwortlichen, soweit in Bestelldatensätzen oder operativen Metadaten enthalten

Kategorien Personenbezogener Daten

  • Vor- und Nachname des Kunden
  • E-Mail-Adresse
  • Telefonnummer
  • Rechnungsadresse
  • Lieferadresse
  • Bestelldaten: Bestellpositionen, Beträge, Steuern, Währung, Bestelldatum, Kundenanmerkungen, Shopify Kunden-ID

Besondere Kategorien Personenbezogener Daten: keine.

Häufigkeit der Übermittlung: kontinuierlich; ausgelöst durch neue Bestellungen in Shopify (Webhook-gesteuerte und geplante Synchronisierung) sowie durch vom Händler initiierte manuelle Synchronisierung.

Art der Verarbeitung: Abruf aus Shopify, vorübergehende Speicherung in Cloudflare D1, Transformation, Übermittlung an Billit und operative Protokollierung.

Zweck: Bereitstellung einer Abrechnungs- und Buchhaltungsintegration zwischen Shopify und Billit.

Dauer der Verarbeitung:

  • Sync event-Datensätze werden nach 7 Tagen automatisch gelöscht
  • Synchronisationsprotokolle werden 30 Tage aufbewahrt
  • Produkt-Cache wird 48 Stunden aufbewahrt
  • Mapping-Daten werden innerhalb von 60 Tagen nach Deinstallation gelöscht
  • Alle Daten des Verantwortlichen werden innerhalb von 60 Tagen nach Beendigung gelöscht

Anlage II — Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt folgende Maßnahmen um:

Vertraulichkeit

  • TLS 1.2+ für alle Daten in der Übertragung
  • Verschlüsselung im Ruhezustand für alle gespeicherten Daten (Cloudflare D1 Speicherverschlüsselung)
  • Authentifizierungsdaten mit einer master key verschlüsselt, getrennt vom primären Anwendungsspeicher
  • Zugriff auf Produktionssysteme auf autorisiertes Personal beschränkt
  • Zwei-Faktor-Authentifizierung erforderlich für administrative Zugriffe auf Produktionsinfrastruktur

Integrität

  • Code-Review und Versionskontrolle für alle Änderungen am Dienst
  • Trennung von Produktions- und Nicht-Produktionsumgebungen und -daten

Verfügbarkeit und Belastbarkeit

  • Gehostet auf der weltweit verteilten Workers-Plattform von Cloudflare
  • Automatisierte Datenbank-Backups (Cloudflare D1)

Wiederherstellung

  • Dokumentierte Wiederherstellungsverfahren

Pseudonymisierung und Datenminimierung

  • Nur die für die Rechnungsstellung unbedingt erforderlichen Datenfelder werden verarbeitet
  • Keine Drittanbieter-Analyse-, Tracking- oder Werbe-SDKs in der App eingebettet

Vorfallmanagement

  • Zusage zur Benachrichtigung des Verantwortlichen bei Verletzungen innerhalb von 72 Stunden

Anlage III — Unterauftragsverarbeiter

Name Rolle Niederlassungsland Übermittlungsmechanismus (sofern außerhalb des EWR)
Cloudflare, Inc. Anwendungs-Hosting (Workers), Datenbank (D1), Edge-Netzwerk Vereinigte Staaten (Hauptsitz); globale Edge-Infrastruktur EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914)
Billit NV Ziel-Buchhaltungsplattform, die synchronisierte Rechnungsdaten empfängt Belgien Innerhalb des EWR — kein Übermittlungsmechanismus erforderlich