Verwerkersovereenkomst (art. 28 AVG)

Partijen & contactpunten (Annex I.A • AP: algemene beschrijving)

  • Klant (verantwoordelijke): naam, adres, KvK/VAT, land
  • Contact / DPO van klant: naam, e-mail
  • Jullie (verwerker): juridische naam, adres, land
  • Security / privacy contact: e-mail (bijv. privacy@…), incident-kanaal

2) Dienst & verwerkingen (Annex I.B • AP: onderwerp/duur/aard/doel)

  1. Onderwerp van de verwerking:
    Verwerking van persoonsgegevens namens Klant via de SaaS‑dienst ANON, bestaande uit pseudonimisering en aanverwante bewerkingen van door Klant geüploade tekstbestanden en documentinhoud en operationele metadata (zoals tijdstempels en interne ID’s).
  1. Aard van de verwerking (activiteiten):
    Ontvangen van door Klant aangeleverde gegevens; opslaan, pseudonimiseren (incl. tokeniseren/maskeren van entiteiten), indexeren/zoeken, tonen aan geautoriseerde gebruikers, technische logging/monitoring t.b.v. beveiliging, en support/debugging op (gedocumenteerde) instructie van Klant; verwijdering/retour na einde.
  1. Doel(en):
    Uitsluitend het leveren, beveiligen en onderhouden van de overeengekomen SaaS‑functionaliteit aan Klant (incl. klantenondersteuning op verzoek). Geen gebruik voor eigen doeleinden (zoals modeltraining, productverbetering buiten het strikt noodzakelijke, of marketing) zonder voorafgaande schriftelijke instructie van Klant.
  1. Duur:
    Gedurende de looptijd van de Overeenkomst. Na beëindiging houdt Verwerker gegevens 30 dagen beschikbaar voor export/retour; actieve kopieën worden daarna gewist. Back‑ups worden binnen 60 dagen na beëindiging onherstelbaar verwijderd of rendered inaccessible.
  1. Locaties (regio’s):
    Verwerking en opslag vinden plaats binnen de EER, primair bij: (i) Supabase (EU‑regio) voor database/opslag; (ii) Hetzner (DE/EER) voor compute/hosting. Geen doorgiften buiten de EER voorzien; indien uitzonderlijk noodzakelijk op instructie van Klant (bijv. support‑toegang), passen Partijen hoofdstuk‑V‑waarborgen toe (o.a. EU‑SCC’s 2021/914 en een transfer impact assessment) vóórdat toegang wordt verleend. Ook (remote) lees-toegang vanuit een derde land geldt als een doorgifte.
  1. Overige context:
    Bijzondere categorieën persoonsgegevens kunnen voorkomen     in documenten; aanvullende waarborgen staan in Bijlage II (TOM’s) (strikte doelbinding, beperkte toegang, access‑logs, versleuteling).

3. Geheimhouding

Verwerker waarborgt dat personen die namens hem Persoonsgegevens verwerken, daartoe geautoriseerd zijn en een (wettelijke of contractuele) geheimhoudingsplicht hebben.

4. Gegevenstypen & betrokkenen (Annex I.B • AP)

  • Categorieën betrokkenen:
    cliënten/patiënten/leerlingen/consumenten van Klant; door Klant geautoriseerde gebruikers; medewerkers/contactpersonen van Klant.
  • Categorieën persoonsgegevens:
    geëxtraheerde tekstinhoud uit door Klant aangeleverde documenten (incl. eventuele identificerende gegevens die in die tekst voorkomen) en documenttitel (indien opgegeven). Geen overige documentmetadata (zoals bestandsnaam, formaat, grootte, auteur, EXIF). Daarnaast alleen account- en gebruiksmetadata die nodig zijn voor levering/beveiliging (tenant-ID, user-ID, tijdstempels, technische logevents); supportgegevens uitsluitend op instructie van Klant.
  • Bijzondere categorieën kúnnen voorkomen?
    Ja. Extra waarborgen: beperkte toegang (need-to-know), versleuteling in-transit & at-rest, pseudonimisering met logisch gescheiden mapping (token→bronwaarde in een apart, versleuteld veld met eigen sleutel/ACL), toegangs- en bewerkingslogs, en beperkte bewaartermijnen.

5. Rollen & instructies (AP: uitsluitend op instructie)

  • Geen eigen doeleinden door verwerker:
    Bevestigd. Verwerker verwerkt uitsluitend namens Klant op gedocumenteerde instructies en gebruikt Persoonsgegevens niet voor eigen doelen (zoals modeltraining, productverbetering buiten het strikt noodzakelijke, profilering of marketing) zonder voorafgaande schriftelijke instructie van Klant.
  • Toegestaan gebruik van service/telemetrie (geaggregeerd, niet herleidbaar):
    Ja, limited. Verwerker mag geaggregeerde/geen-herleidbare dienststatistieken (uptime, foutcodes, performance, volumetrie) genereren en gebruiken voor beveiliging en capaciteitsbeheer; geen toegang tot of herleiding van inhoud/identiteiten en geen cross-tenant koppeling.
  • Instructie-mechanisme:
    • Alleen op instructie. Verwerker verwerkt Persoonsgegevens uitsluitend op gedocumenteerde instructies van Klant. Indien een instructie naar het oordeel van Verwerker in strijd is met toepasselijk recht, meldt Verwerker dit onverwijld en schort uitvoering op tot verduidelijking is verkregen.
    • Wie mag instrueren. Geldige instructies komen van [geautoriseerde admins/tekenbevoegde(n)] van Klant, via een geauthenticeerd kanaal. Verwerker mag bij twijfel om bevestiging vragen.
    • Kanalen. Instructies verlopen via:
      • instructies via privacy@[domein] (DSR/DPIA/export/wissing)
      • securi@[domein] voor incidenten/datalekken.
    • Ontvangstbevestiging. Verwerker bevestigt ontvangst binnen 1 werkdag; voor veiligheidsincidenten binnen één werkdag (eerste melding).
    • Uitvoering. Verwerker start uitvoering zonder onredelijke vertraging. Voor wissing/export/ beperking handelt Verwerker binnen 30 dagen; back-ups worden gezuiverd binnen 60 dagen volgens §Einde.
    • Verwerker assisteert Klant, rekening houdend met de aard van de verwerking, bij de naleving van art. 32–36 AVG (beveiliging, DPIA, en voorafgaande raadpleging), voor zover redelijk en met de beschikbare informatie.
    • Reikwijdte van instructies. Instructies kunnen o.a. zien op: configuratie & retentie, pauzeren/beperken van verwerking, wissing/export (DSR), toegang voor support (tijdelijk/least-privilege), bezwaar/instemming m.b.t. subverwerkers, en doorgifte-restricties.
    • Logging & aantoonbaarheid. Verwerker legt per instructie vast: wie (naam/e-mail), wanneer (timestamp), wat (tekst/parameters), scope (tenant/project), en actie/resultaat; logbewaring minimaal 2 jaar.
    • Kosten. Assistentie volgens deze overeenkomst is inbegrepen; buitensporige of buiten-scope werkzaamheden geschieden in overleg en tegen redelijke tarieven.
    • Geen eigen doeleinden. Instructies worden niet uitgelegd als toestemming voor eigen gebruik van Persoonsgegevens door Verwerker (zoals modeltraining/marketing), tenzij uitdrukkelijk en schriftelijk overeengekomen.

6. Beveiliging (Annex II • AP: passende TOM’s)

  • Encryptie (vereist) — In-transit TLS ≥1.2 (bij voorkeur 1.3) + HSTS; at-rest AES-256; sleutels via KMS met jaarlijkse rotatie en gescheiden per omgeving.
  • Pseudonimisering (vereist)Logisch gescheiden mapping (token→bronwaarde in apart, versleuteld veld met eigen sleutel/ACL); bronwaarde niet doorzoekbaar; toegang strikt beperkt.
  • Toegangsbeheer (vereist)RBAC/least-privilege, MFA voor admin/support & consoles, audittrails op toegang/wijzigingen, kwartaalgewijze toegangsreview.
  • Tenant-segregatie (vereist)RLS/scoping op tenant_id server-side; geen cross-tenant queries; aparte databases per omgeving (prod/stage/dev).
  • Vulnerability mgmt & patching (vereist) — Beleid + cadans: CVSS ≥9 binnen 72u, ≥7 binnen 7 dagen, overige ≤30 dagen; maandelijkse scans + dependency updates.
  • Back-ups/DR (vereist)Dagelijkse back-ups (versleuteld); RPO ≤24u; RTO ≤48u; kwartaalgewijze restore-test.
  • Tests (vereist) — Jaarlijkse externe pentest + maandelijkse geautomatiseerde scans; (optioneel) ISO 27001/SOC 2 als bewijsstuk.
  • Dataminimalisatie & bewaartermijnen (vereist) — Alleen geëxtraheerde tekst + documenttitel; geen overige document-metadata; geen inhoud in logs; wissing op verzoek binnen 30 dagen; back-ups purge 60 dagen.
  • SDLC / Change mgmt / Prod-data in test (vereist)Peer code review, CI/CD met approval-stappen, secrets in vault; geen prod-data in test (alleen synthetisch/pseudonimiseerd); emergency changes achteraf vastleggen.

7. Subverwerkers (Annex I.C + lijst • AP: toestemming + gelijke verplichtingen)

Verwerker schakelt subverwerkers alleen in met algemene voorafgaande toestemming van Klant met 30 dagen kennisgeving en bezwaarrecht; Verwerker legt subverwerkers minstens dezelfde art. 28(3)-verplichtingen op en blijft volledig aansprakelijk voor hun prestaties.

Subverwerkers:

  • Supabase: database/opslag van tenant-data binnen de dienst.
  • Hetzner: hosting/compute van de applicatie in de EER.
  • Brevo: transactionele e-mailbezorging (bijv. verificaties/reset).
  • Google Workspace / Gmail: e-mail (en evt. docs) voor support & privacy/DSR-correspondentie.

8. Rechten van betrokkenen (AP)

  • Kanaal & SLA voor DSR’s: via privacy@[domein]; wij bevestigen ontvangst binnen 2 werkdagen en assisteren Klant zonder onredelijke vertraging, uiterlijk binnen 30 dagen (art. 12(3)); rechtstreeks ontvangen verzoeken sturen we onmiddellijk door aan Klant.
  • Exportformaten:JSON en CSV (machine-leesbaar) + PDF (mens-leesbaar samenvattingsrapport).
  • Verwijdering op verzoek: actieve data gewist binnen 30 dagen; back-ups purge binnen 60 dagen; uitzonderingen alleen voor wettelijke bewaarplichten (bijv. facturatie), die we gescheiden bewaren.

9. Beveiligingsincidenten (AP: datalekken)

  1. Definitie. Een “beveiligingsincident” is een inbreuk in verband met persoonsgegevens als bedoeld in art. 4(12) AVG.
  1. Melding door Verwerker. Verwerker informeert Klant onverwijld na ontdekking; in elk geval binnen 24 uur als ontdekking op een werkdag plaatsvindt, en anders op de eerstvolgende werkdag.
  1. Ontvangstbevestiging. Verwerker bevestigt ontvangst van meldingen aan security@[domein]binnen één werkdag.
  1. Inhoud eerste melding. Ten minste: (i) aard van het incident, (ii) tijdstip van ontdekking en (vermoedelijke) oorzaak, (iii) categorieën persoonsgegevens en indicatief aantal betrokkenen/records, (iv) getroffen systemen/tenant(s), (v) voorlopige gevolgen/risico-inschatting (voor zover bekend), (vi) genomen/geplande mitigerende maatregelen, (vii) contactpunt bij Verwerker, (viii) betrokken subverwerker (indien van toepassing).
  1. Vervolgupdates. Verwerker verstrekt nadere informatie zonder onredelijke vertraging (streefinterval: 24 uur) totdat het incident is gestabiliseerd en afgesloten.
  1. Samenwerking. Verwerker verleent redelijke assistentie bij onderzoek, documentatie, eventuele meldingen door Klant aan de AP/betrokkenen en communicatie daarover; relevante logs en gegevens worden veilig beschikbaar gesteld.
  1. Opschorting/beperking. Op instructie van Klant pauzeert of beperkt Verwerker de verwerking voor de relevante dataset(s) zolang nodig.
  1. Subverwerkers. Verwerker verplicht subverwerkers incidenten onverwijld aan Verwerker te melden; Verwerker blijft volledig aansprakelijk richting Klant.
  1. Registratie. Verwerker houdt een intern incidentregister bij met oorzaken, maatregelen en tijdlijnen.
  1. Meldverantwoordelijkheid. Melding aan de toezichthouder en betrokkenen is voor rekening en verantwoordelijkheid van Klant; Verwerker meldt niet rechtstreeks, tenzij wettelijk verplicht of op schriftelijke instructie van Klant.

10. Audits & informatie (AP)

  1. Informatieplicht: Verwerker stelt op verzoek relevante info beschikbaar (beleid/TOM’s, certificeringen/rapporten, subverwerkerslijst) om naleving aan te tonen.
  1. Auditvormen geaccepteerd:Third-party reports (bijv. ISO 27001/SOC 2), remote review (documenten/interviews), en on-site audit (redelijk, max. 1× per 12 mnd of bij materieel incident/toezichthouder).
  1. Voorwaarden:30 dagen vooraf schriftelijke notice (7 dagen bij incident/regulator), NDA verplicht, tijdens kantooruren, minimale verstoring, geen toegang tot data van andere klanten of broncode buiten noodzaak.
  1. Duur & scope: proportioneel; standaard ≤ 1 werkdag; scope beperkt tot verwerkingen onder deze DPA.
  1. Kosten: voor rekening van Klant; bij materiële non-compliance draagt Verwerker herstel + redelijke her-auditkosten.
  1. Remediatie: geconstateerde tekortkomingen worden binnen 30 dagen (of anders redelijk overeengekomen) verholpen.
  1. Verwerker houdt een register van verwerkingsactiviteiten bij conform art. 30(2) AVG en stelt dit op verzoek ter beschikking aan de toezichthouder.

11. Einde dienstverlening (AP: wissen/retour)

  1. Optie klant:
    1. Retour: export in JSON/CSV (desgevraagd PDF-rapport) binnen 30 dagen; na export wordt data gewist.
    1. Wissen: actieve data gewist binnen 30 dagen; bevestiging binnen 30 dagen; back-ups volgens onderstaand schema.
  1. Back-up purge:60 dagen; methode: actieve opslag secure erase; back-ups ontoegankelijk gemaakt tot purge; beide stappen gelogd.
  1. Default: geen keuze binnen 30 dagenwissen volgens bovenstaande.
  1. Uitzonderingen: wettelijke bewaarplichten (bijv. facturatie) worden gescheiden, minimaal en afgeschermd bewaard en daarna ook verwijderd.

12. Recht & forum / toezicht

  1. Toepasselijk recht & forum:Nederlands recht; bevoegde rechter: Rechtbank Amsterdam (onverminderd dwingendrechtelijke regels en toezichtbevoegdheden).
  1. Bevoegde EU-toezichthouder (klant):Autoriteit Persoonsgegevens (Nederland).

13. Handtekening/aanvaarding

  • Methode (click-wrap): Door het aanvinken van de checkboxen “Algemene Voorwaarden” en “Verwerkersovereenkomst” bij registratie gaat Klant akkoord; deze elektronische aanvaarding geldt als schriftelijk in de zin van art. 28(9) AVG.
  • Versiebeheer & logging: Verwerker legt vast: document-type en -versie, URL, datum/tijd, IP, User-Agent, account-/organisatienaam en e-mail van de acceptant.
  • Inwerkingtreding: De DPA geldt vanaf elektronische acceptatie en zolang Verwerker namens Klant persoonsgegevens verwerkt.
  • Kopie beschikbaar: Klant kan een actuele kopie en acceptatiebevestiging (PDF) downloaden; op verzoek levert Verwerker een tegengetekende bevestigingspagina.