Verwerkersovereenkomst

Art. 1 Partijen en Definities

1.1 Partijen

Deze Verwerkersovereenkomst ("Overeenkomst") wordt gesloten tussen:

— EN —

1.2 Definities

In deze Overeenkomst hebben de volgende begrippen de betekenis die daaraan is toegekend in de AVG:

• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
• Verwerking: elke bewerking op persoonsgegevens, al dan niet geautomatiseerd
• AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad
• AI Assistent: de door Verwerker geleverde kunstmatige-intelligentieoplossing, inclusief alle software, infrastructuur en integraties
• Sub-verwerker: een derde partij ingeschakeld door de Verwerker voor de uitvoering van de dienstverlening
• Datalek: een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4(12) AVG

Art. 2 Onderwerp en Duur

Deze Overeenkomst regelt de verwerking van persoonsgegevens door de Verwerker in het kader van de AI Assistent-dienstverlening zoals beschreven in de Dienstverleningsovereenkomst tussen partijen.

De Overeenkomst treedt in werking op de ingangsdatum van de Dienstverleningsovereenkomst en eindigt automatisch bij beëindiging van die overeenkomst, tenzij hiervan schriftelijk wordt afgeweken.

Art. 3 Aard, Doel en Categorieën van Verwerking

3.1 Aard van de verwerking

De AI Assistent verwerkt persoonsgegevens ten behoeve van de volgende activiteiten:

• Automatische verwerking en beantwoording van e-mails
• Beheer en opvolging van agenda-afspraken
• Verwerking van documenten en spreadsheets
• Opstellen en verzenden van communicaties namens de Verwerkingsverantwoordelijke
• Analyseren en samenvatten van bedrijfsinformatie
• Herinneringen en taakbeheer

3.2 Doel van de verwerking

Persoonsgegevens worden uitsluitend verwerkt voor de uitvoering van de dienstverlening zoals overeengekomen met de Verwerkingsverantwoordelijke, en niet voor eigen doeleinden van de Verwerker.

3.3 Categorieën van persoonsgegevens

Categorie	Voorbeelden	Bron
Identificatiegegevens	Naam, adres, e-mailadres, telefoonnummer	E-mails, documenten, agenda's
Professionele gegevens	Bedrijfsnaam, BTW-nummer, functietitel	Facturen, correspondentie
Financiële gegevens	Factuurbedragen, betalingsreferenties	Facturen, boekhouddocumenten
Communicatiegegevens	E-mailinhoud, vergadernotities	Gmail, agenda

3.4 Categorieën van betrokkenen

• Klanten en prospects van de Verwerkingsverantwoordelijke
• Leveranciers en zakenrelaties
• Medewerkers van de Verwerkingsverantwoordelijke

Art. 4 Verplichtingen van de Verwerker

De Verwerker verbindt zich ertoe:

1. Persoonsgegevens uitsluitend te verwerken op schriftelijke instructie van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist
2. Te waarborgen dat personen die gemachtigd zijn persoonsgegevens te verwerken, een passende vertrouwelijkheidsverbintenis hebben aangegaan
3. Alle passende technische en organisatorische maatregelen te treffen overeenkomstig artikel 32 AVG (zie art. 7)
4. De Verwerkingsverantwoordelijke bij te staan bij de nakoming van diens verplichtingen m.b.t. rechten van betrokkenen (zie art. 9)
5. De Verwerkingsverantwoordelijke bij te staan bij de nakoming van de verplichtingen uit artikelen 32-36 AVG (beveiliging, datalekken, DPIA)
6. Na afloop van de dienstverlening alle persoonsgegevens te verwijderen of terug te bezorgen (zie art. 11)
7. De Verwerkingsverantwoordelijke alle informatie te verstrekken die noodzakelijk is om de naleving aan te tonen, en audits mogelijk te maken (zie art. 12)
8. De Verwerkingsverantwoordelijke onmiddellijk te informeren indien een instructie naar zijn mening inbreuk maakt op de AVG of andere Unierechtelijke of lidstaatrechtelijke bepalingen

Art. 5 Verplichtingen van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke verbindt zich ertoe:

1. Te beschikken over een geldige rechtsgrond voor alle verwerkingen waarvoor de AI Assistent wordt ingezet
2. Betrokkenen adequaat te informeren over de verwerking van hun persoonsgegevens door middel van de AI Assistent (via de eigen privacyverklaring)
3. Uitsluitend rechtmatig verkregen persoonsgegevens te verstrekken aan de AI Assistent
4. De Verwerker schriftelijk te instrueren wanneer specifieke verwerkingen vereist zijn
5. Wijzigingen in de verwerkingsactiviteiten tijdig te melden aan de Verwerker

Art. 6 Sub-verwerkers

6.1 Toegestane sub-verwerkers

De Verwerkingsverantwoordelijke verleent hierbij algemene toestemming aan de Verwerker voor het inschakelen van de volgende sub-verwerkers:

Sub-verwerker	Rol	Land	Garantie
Hetzner Online GmbH	Serverhosting (AI Assistent infrastructuur)	Duitsland 🇩🇪	AVG — EU/EER
Google LLC	Integratie met Google Workspace (mail, agenda, documenten) — enkel indien van toepassing	VS / EU-regio's	SCCs + Google EU Data Processing Addendum
AI-modelaanbieder	Verwerking van taalinstructies door het AI-model — geanonimiseerd, niet bewaard	VS 🇺🇸	SCCs + Data Processing Agreement

6.2 Nieuwe sub-verwerkers

De Verwerker zal de Verwerkingsverantwoordelijke minimaal 14 dagen vooraf schriftelijk informeren over elke beoogde wijziging met betrekking tot de toevoeging of vervanging van sub-verwerkers. De Verwerkingsverantwoordelijke heeft het recht bezwaar te maken binnen deze termijn.

6.3 Doorstroom verplichtingen

De Verwerker legt aan alle sub-verwerkers dezelfde verplichtingen op als vastgelegd in deze Overeenkomst, en blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van die verplichtingen door de sub-verwerkers.

Art. 7 Beveiliging

De Verwerker implementeert passende technische en organisatorische maatregelen, waaronder:

Technische maatregelen

• Versleuteling van gegevens in transit (TLS 1.3) en in rust
• Beveiligde VPN-verbinding tussen componenten (Tailscale)
• Toegangscontrole via OAuth 2.0 met minimale permissies ("least privilege")
• API-authenticatie via geheime sleutels opgeslagen in omgevingsvariabelen
• Regelmatige beveiligingsupdates van de serverinfrastructuur
• Firewall-configuratie (UFW) met beperkte poortopening

Organisatorische maatregelen

• Toegang tot productiesystemen beperkt tot geautoriseerde medewerkers
• Geen opslag van persoonsgegevens buiten de expliciete verwerkingsdoelen
• Regelmatige evaluatie van beveiligingsmaatregelen
• Geheimhoudingsverplichting voor alle betrokken personen

Art. 8 Datalekken

Bij een (vermoedelijk) datalek:

1. Informeert de Verwerker de Verwerkingsverantwoordelijke binnen 24 uur nadat hij er kennis van heeft gekregen, via e-mail aan het in de Dienstverleningsovereenkomst opgegeven adres
2. Bevat deze melding ten minste: aard van het datalek, categorieën en aantal betrokkenen (geschat), contactpunt voor meer informatie, waarschijnlijke gevolgen, reeds genomen maatregelen
3. Werkt de Verwerker mee aan de melding aan de Autoriteit Persoonsgegevens / Gegevensbeschermingsautoriteit (GBA) indien vereist
4. Documenteert de Verwerker alle datalekken conform artikel 33(5) AVG

Art. 9 Rechten van Betrokkenen

De Verwerker staat de Verwerkingsverantwoordelijke bij bij de afhandeling van verzoeken van betrokkenen m.b.t.:

• Recht op inzage (art. 15 AVG)
• Recht op rectificatie (art. 16 AVG)
• Recht op gegevenswissing / "vergetelheid" (art. 17 AVG)
• Recht op beperking van de verwerking (art. 18 AVG)
• Recht op gegevensoverdraagbaarheid (art. 20 AVG)
• Recht van bezwaar (art. 21 AVG)

De Verwerker behandelt verzoeken doorgestuurd door de Verwerkingsverantwoordelijke binnen 5 werkdagen. Betrokkenen richten hun verzoeken rechtstreeks aan de Verwerkingsverantwoordelijke, niet aan de Verwerker.

Art. 10 Doorgifte Buiten de EER

Voor verwerkingen waarbij persoonsgegevens worden doorgegeven aan sub-verwerkers buiten de Europese Economische Ruimte (EER) — met name Anthropic (VS) en Google (VS) — zijn de volgende waarborgen van toepassing:

• Standaard Contractuele Clausules (SCCs) conform Uitvoeringsbesluit (EU) 2021/914
• Data Processing Addenda met respectieve sub-verwerkers
• Technische maatregelen ter minimalisatie van blootstelling van persoonsgegevens (prompt-ontwerp, minimale gegevensinvoer)

Art. 11 Teruggave en Verwijdering van Gegevens

Na beëindiging van de Dienstverleningsovereenkomst:

1. Verwijdert de Verwerker alle persoonsgegevens van de Verwerkingsverantwoordelijke van zijn systemen binnen 30 dagen, tenzij wettelijke bewaarplicht anders vereist
2. Op verzoek van de Verwerkingsverantwoordelijke bezorgt de Verwerker een exportbestand van alle verwerkte gegevens in een gangbaar formaat (CSV/JSON) vóór de verwijdering
3. Certificeert de Verwerker schriftelijk dat alle gegevens zijn verwijderd
4. Google Workspace-gegevens (Gmail, Drive, Sheets) blijven eigendom van de Verwerkingsverantwoordelijke en worden door intrekking van de OAuth-toegang afgeschermd — deze gegevens worden door de Verwerker niet bewaard

Art. 12 Audit en Controle

De Verwerker:

• Stelt alle nodige informatie beschikbaar om de naleving van deze Overeenkomst aan te tonen
• Staat audits toe door de Verwerkingsverantwoordelijke of een door hem gemandateerde auditor, mits 30 dagen voorafgaandelijke schriftelijke kennisgeving
• Draagt de kosten van zijn eigen medewerking; de kosten van externe auditoren zijn voor rekening van de Verwerkingsverantwoordelijke
• Mag een maximaal 1 audit per kalenderjaar weigeren indien de timing operationeel niet haalbaar is, en stelt een alternatieve datum voor

Art. 13 Aansprakelijkheid

De aansprakelijkheid van partijen voor schade als gevolg van een inbreuk op de AVG is als volgt geregeld:

• Elke partij is aansprakelijk voor de schade veroorzaakt door een verwerking die niet in overeenstemming is met de AVG en waarvoor zij verantwoordelijk is
• De Verwerker is niet aansprakelijk voor schade veroorzaakt door niet-naleving van instructies van de Verwerkingsverantwoordelijke of door handelingen van de Verwerkingsverantwoordelijke zelf
• De aansprakelijkheid van de Verwerker onder deze Overeenkomst is beperkt tot het bedrag betaald door de Verwerkingsverantwoordelijke in de 12 maanden voorafgaand aan de schadeveroorzakende gebeurtenis

Art. 14 Slotbepalingen

14.1 Toepasselijk recht

Op deze Overeenkomst is Belgisch recht van toepassing. Alle geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechtbanken van het arrondissement Antwerpen.

14.2 Wijzigingen

Wijzigingen aan deze Overeenkomst zijn enkel geldig indien schriftelijk overeengekomen door beide partijen. De Verwerker behoudt het recht deze Overeenkomst eenzijdig aan te passen bij wijzigingen in de AVG of gerelateerde regelgeving, mits 30 dagen voorafgaande kennisgeving.

14.3 Onverbindbare bepalingen

Indien enige bepaling van deze Overeenkomst nietig of niet-afdwingbaar is, blijven de overige bepalingen onverminderd van kracht.

14.4 Hiërarchie

In geval van tegenstrijdigheid tussen de bepalingen van deze Verwerkersovereenkomst en de Dienstverleningsovereenkomst, prevaleert deze Verwerkersovereenkomst voor alles wat de verwerking van persoonsgegevens betreft.

Handtekeningen

Partijen verklaren deze Verwerkersovereenkomst te hebben gelezen, begrepen en te aanvaarden:

Vragen over deze overeenkomst? Neem contact op via oskar@vo-initiatives.com