Inhoudstafel
- Partijen & Definities
- Onderwerp en duur van de verwerking
- Aard, doel en categorieën van de verwerking
- Verplichtingen van de Verwerker
- Verplichtingen van de Verwerkingsverantwoordelijke
- Sub-verwerkers
- Beveiliging
- Datalekken
- Rechten van betrokkenen
- Doorgifte buiten de EER
- Teruggave en verwijdering van gegevens
- Audit en controle
- Aansprakelijkheid
- Slotbepalingen
Art. 1 Partijen en Definities
1.1 Partijen
Deze Verwerkersovereenkomst ("Overeenkomst") wordt gesloten tussen:
Maatschappelijke zetel: [ADRES]
BTW-nummer: [BE XXXXXXXXX]
Vertegenwoordigd door: [NAAM], [FUNCTIE]
Hierna te noemen: "Verwerkingsverantwoordelijke" of "Opdrachtgever"
— EN —
VO-Initiatives, besloten vennootschap (BV)
Maatschappelijke zetel: Antwerpen, België
BTW-nummer: BE0805.309.143
Vertegenwoordigd door: Oskar Verschoren, Zaakvoerder
E-mail: oskar@vo-initiatives.com
Hierna te noemen: "Verwerker"
1.2 Definities
In deze Overeenkomst hebben de volgende begrippen de betekenis die daaraan is toegekend in de AVG:
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
- Verwerking: elke bewerking op persoonsgegevens, al dan niet geautomatiseerd
- AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad
- VOI Agent: de door Verwerker geleverde kunstmatige-intelligentieoplossing, inclusief alle software, infrastructuur en integraties
- Sub-verwerker: een derde partij ingeschakeld door de Verwerker voor de uitvoering van de dienstverlening
- Datalek: een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4(12) AVG
Art. 2 Onderwerp en Duur
Deze Overeenkomst regelt de verwerking van persoonsgegevens door de Verwerker in het kader van de VOI Agent-dienstverlening zoals beschreven in de Dienstverleningsovereenkomst tussen partijen.
De Overeenkomst treedt in werking op de ingangsdatum van de Dienstverleningsovereenkomst en eindigt automatisch bij beëindiging van die overeenkomst, tenzij hiervan schriftelijk wordt afgeweken.
Art. 3 Aard, Doel en Categorieën van Verwerking
3.1 Aard van de verwerking
De VOI Agent verwerkt persoonsgegevens ten behoeve van de volgende activiteiten:
- Automatische verwerking en beantwoording van e-mails
- Beheer en opvolging van agenda-afspraken
- Verwerking van documenten en spreadsheets
- Opstellen en verzenden van communicaties namens de Verwerkingsverantwoordelijke
- Analyseren en samenvatten van bedrijfsinformatie
- Herinneringen en taakbeheer
- Chat-gesprekken en gedeelde bestanden in het klantdashboard
- Bediening van een computer van de Opdrachtgever via de VOI-helper — uitsluitend indien de Opdrachtgever deze optionele module activeert (zie art. 3.5)
3.2 Doel van de verwerking
Persoonsgegevens worden uitsluitend verwerkt voor de uitvoering van de dienstverlening zoals overeengekomen met de Verwerkingsverantwoordelijke, en niet voor eigen doeleinden van de Verwerker.
3.3 Categorieën van persoonsgegevens
| Categorie | Voorbeelden | Bron |
|---|---|---|
| Identificatiegegevens | Naam, adres, e-mailadres, telefoonnummer | E-mails, documenten, agenda's |
| Professionele gegevens | Bedrijfsnaam, BTW-nummer, functietitel | Facturen, correspondentie |
| Financiële gegevens | Factuurbedragen, betalingsreferenties | Facturen, boekhouddocumenten |
| Communicatiegegevens | E-mailinhoud, vergadernotities, chatberichten, gedeelde bestanden | E-mail (IMAP), agenda (ICS), dashboard-chat |
| Scherm- en invoergegevens | Schermafbeeldingen, muis- en toetsenbordinstructies | Module computer-overname (art. 3.5) — enkel indien geactiveerd |
Bijzondere categorieën: De VOI Agent verwerkt standaard geen bijzondere categorieën persoonsgegevens (gezondheid, religie, politieke voorkeur, etc.). Indien dit toch vereist is, dient hiervoor een afzonderlijk addendum te worden opgesteld.
3.4 Categorieën van betrokkenen
- Klanten en prospects van de Verwerkingsverantwoordelijke
- Leveranciers en zakenrelaties
- Medewerkers van de Verwerkingsverantwoordelijke
3.5 Optionele module: computer-overname (VOI-helper)
Indien de Verwerkingsverantwoordelijke de VOI-helper installeert en koppelt, kan de VOI Agent taken uitvoeren op de betreffende computer. Hiervoor gelden de volgende waarborgen:
- Expliciete koppeling per toestel: de koppeling vereist een koppelcode uit de helper én een bevestiging op het toestel zelf; elke opdracht wordt geauthenticeerd met een toestelgebonden geheim
- Zichtbaarheid: tijdens bediening toont het toestel een permanent zichtbare indicator; de gebruiker kan de overname op elk moment pauzeren of beëindigen (kill-switch) en de koppeling intrekken
- Bevestiging bij gevoelige acties: de agent vraagt bevestiging vóór onomkeerbare handelingen; de helper weigert technisch het invoeren van tekst in wachtwoordvelden
- Dataminimalisatie: schermafbeeldingen worden alleen gemaakt wanneer nodig voor de taakuitvoering en worden niet langer bewaard dan de taak vereist
- Werkposten van medewerkers: installatie op een werkpost van een medewerker is uitsluitend toegestaan nadat de Verwerkingsverantwoordelijke aan zijn informatieplicht heeft voldaan (zie art. 5)
Art. 4 Verplichtingen van de Verwerker
De Verwerker verbindt zich ertoe:
- Persoonsgegevens uitsluitend te verwerken op schriftelijke instructie van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist
- Te waarborgen dat personen die gemachtigd zijn persoonsgegevens te verwerken, een passende vertrouwelijkheidsverbintenis hebben aangegaan
- Alle passende technische en organisatorische maatregelen te treffen overeenkomstig artikel 32 AVG (zie art. 7)
- De Verwerkingsverantwoordelijke bij te staan bij de nakoming van diens verplichtingen m.b.t. rechten van betrokkenen (zie art. 9)
- De Verwerkingsverantwoordelijke bij te staan bij de nakoming van de verplichtingen uit artikelen 32-36 AVG (beveiliging, datalekken, DPIA)
- Na afloop van de dienstverlening alle persoonsgegevens te verwijderen of terug te bezorgen (zie art. 11)
- De Verwerkingsverantwoordelijke alle informatie te verstrekken die noodzakelijk is om de naleving aan te tonen, en audits mogelijk te maken (zie art. 12)
- De Verwerkingsverantwoordelijke onmiddellijk te informeren indien een instructie naar zijn mening inbreuk maakt op de AVG of andere Unierechtelijke of lidstaatrechtelijke bepalingen
Art. 5 Verplichtingen van de Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke verbindt zich ertoe:
- Te beschikken over een geldige rechtsgrond voor alle verwerkingen waarvoor de VOI Agent wordt ingezet
- Betrokkenen adequaat te informeren over de verwerking van hun persoonsgegevens door middel van de VOI Agent (via de eigen privacyverklaring)
- Uitsluitend rechtmatig verkregen persoonsgegevens te verstrekken aan de VOI Agent
- De Verwerker schriftelijk te instrueren wanneer specifieke verwerkingen vereist zijn
- Wijzigingen in de verwerkingsactiviteiten tijdig te melden aan de Verwerker
- Bij gebruik van de module computer-overname op werkposten van medewerkers: die medewerkers vooraf en aantoonbaar te informeren over aard, doel en omvang van de monitoring, conform het Belgische arbeidsrecht (o.a. cao nr. 81) — de Verwerker stelt hiervoor een informatienota ter beschikking
Art. 6 Sub-verwerkers
6.1 Toegestane sub-verwerkers
De Verwerkingsverantwoordelijke verleent hierbij algemene toestemming aan de Verwerker voor het inschakelen van de volgende sub-verwerkers:
| Sub-verwerker | Rol | Land | Garantie |
|---|---|---|---|
| Hetzner Online GmbH | Serverhosting (VOI Agent infrastructuur) | Duitsland | AVG — EU/EER |
| OpenAI, L.L.C. | AI-model (taalverwerking): instructies en de voor de taak noodzakelijke inhoud (zoals e-mail- of chatfragmenten) worden aan het model doorgegeven; niet gebruikt voor modeltraining | VS — EU-dataresidency zodra toegekend | Data Processing Addendum + EU-VS Data Privacy Framework / SCCs |
| Stripe Payments Europe, Ltd. | Betalingsverwerking (facturatie van de dienstverlening) | Ierland / VS | Stripe DPA + Data Privacy Framework / SCCs |
| AgentMail, Inc. | Verzending van systeemmails (inlogcodes, servicemeldingen) | VS | DPA + SCCs |
De actuele lijst van sub-verwerkers staat steeds op vo-initiatives.com/verwerkersovereenkomst.
6.2 Nieuwe sub-verwerkers
De Verwerker zal de Verwerkingsverantwoordelijke minimaal 14 dagen vooraf schriftelijk informeren over elke beoogde wijziging met betrekking tot de toevoeging of vervanging van sub-verwerkers. De Verwerkingsverantwoordelijke heeft het recht bezwaar te maken binnen deze termijn.
6.3 Doorstroom verplichtingen
De Verwerker legt aan alle sub-verwerkers dezelfde verplichtingen op als vastgelegd in deze Overeenkomst, en blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van die verplichtingen door de sub-verwerkers.
Art. 7 Beveiliging
De Verwerker implementeert passende technische en organisatorische maatregelen, waaronder:
Technische maatregelen
- Versleuteling van gegevens in transit (TLS 1.3) en in rust
- Koppelingsgeheimen (e-mail, agenda, API-sleutels) worden éénrichting opgeslagen met strikte bestandsrechten en zijn na opslag niet meer opvraagbaar via de webinterface
- Toestelgebonden authenticatie voor computer-overname: opdrachten vereisen een per toestel gegenereerd geheim; alleen de hash daarvan verlaat het toestel
- Operator-acties verlopen via cryptografisch ondertekende links (HMAC); webhooks worden op handtekening geverifieerd
- Interne diensten luisteren uitsluitend op het loopback-adres en zijn enkel via de beveiligde webproxy bereikbaar
- Regelmatige beveiligingsupdates; processen draaien onder supervisie met automatische herstart en bewaking
- Per-klant gescheiden agent-omgevingen met eigen sleutels en kostenlimieten
Organisatorische maatregelen
- Toegang tot productiesystemen beperkt tot geautoriseerde medewerkers
- Geen opslag van persoonsgegevens buiten de expliciete verwerkingsdoelen
- Regelmatige evaluatie van beveiligingsmaatregelen
- Geheimhoudingsverplichting voor alle betrokken personen
Art. 8 Datalekken
Bij een (vermoedelijk) datalek:
- Informeert de Verwerker de Verwerkingsverantwoordelijke binnen 24 uur nadat hij er kennis van heeft gekregen, via e-mail aan het in de Dienstverleningsovereenkomst opgegeven adres
- Bevat deze melding ten minste: aard van het datalek, categorieën en aantal betrokkenen (geschat), contactpunt voor meer informatie, waarschijnlijke gevolgen, reeds genomen maatregelen
- Werkt de Verwerker mee aan de melding aan de Autoriteit Persoonsgegevens / Gegevensbeschermingsautoriteit (GBA) indien vereist
- Documenteert de Verwerker alle datalekken conform artikel 33(5) AVG
Meldpunt GBA (België): www.gegevensbeschermingsautoriteit.be · Tel: +32 2 274 48 00
Melding vereist binnen 72 uur na vaststelling van het datalek (art. 33 AVG).
Art. 9 Rechten van Betrokkenen
De Verwerker staat de Verwerkingsverantwoordelijke bij bij de afhandeling van verzoeken van betrokkenen m.b.t.:
- Recht op inzage (art. 15 AVG)
- Recht op rectificatie (art. 16 AVG)
- Recht op gegevenswissing / "vergetelheid" (art. 17 AVG)
- Recht op beperking van de verwerking (art. 18 AVG)
- Recht op gegevensoverdraagbaarheid (art. 20 AVG)
- Recht van bezwaar (art. 21 AVG)
De Verwerker behandelt verzoeken doorgestuurd door de Verwerkingsverantwoordelijke binnen 5 werkdagen. Betrokkenen richten hun verzoeken rechtstreeks aan de Verwerkingsverantwoordelijke, niet aan de Verwerker.
Art. 10 Doorgifte Buiten de EER
Voor verwerkingen waarbij persoonsgegevens worden doorgegeven aan sub-verwerkers buiten de Europese Economische Ruimte (EER) — met name OpenAI (VS), Stripe (VS) en AgentMail (VS) — zijn de volgende waarborgen van toepassing:
- EU-VS Data Privacy Framework (DPF): adequaatheidsbesluit conform art. 45 AVG voor gecertificeerde ontvangers
- Standaard Contractuele Clausules (SCCs) conform Uitvoeringsbesluit (EU) 2021/914, als aanvullende of vervangende waarborg
- Data Processing Addenda met de respectieve sub-verwerkers
- Technische maatregelen ter minimalisatie van blootstelling (alleen taak-noodzakelijke inhoud in prompts; geen gebruik voor modeltraining)
EU-dataresidency: De Verwerker heeft bij OpenAI EU-dataresidency aangevraagd. Zodra actief worden AI-verwerkingen volledig binnen de EU uitgevoerd en opgeslagen (zero data retention) en vervalt de doorgifte aan OpenAI (VS). De sub-verwerkerslijst in art. 6 wordt daarop aangepast.
Art. 11 Teruggave en Verwijdering van Gegevens
Na beëindiging van de Dienstverleningsovereenkomst:
- Verwijdert de Verwerker alle persoonsgegevens van de Verwerkingsverantwoordelijke van zijn systemen binnen 30 dagen, tenzij wettelijke bewaarplicht anders vereist
- Op verzoek van de Verwerkingsverantwoordelijke bezorgt de Verwerker een exportbestand van alle verwerkte gegevens in een gangbaar formaat (CSV/JSON) vóór de verwijdering
- Certificeert de Verwerker schriftelijk dat alle gegevens zijn verwijderd
- Koppelingen worden door de Verwerkingsverantwoordelijke zelf ingetrokken: het app-wachtwoord voor e-mail wordt bij de eigen provider verwijderd, de geheime agenda-link vernieuwd en de computer-koppeling in het dashboard ontkoppeld — de brongegevens blijven steeds eigendom van en onder controle van de Verwerkingsverantwoordelijke
Art. 12 Audit en Controle
De Verwerker:
- Stelt alle nodige informatie beschikbaar om de naleving van deze Overeenkomst aan te tonen
- Staat audits toe door de Verwerkingsverantwoordelijke of een door hem gemandateerde auditor, mits 30 dagen voorafgaandelijke schriftelijke kennisgeving
- Draagt de kosten van zijn eigen medewerking; de kosten van externe auditoren zijn voor rekening van de Verwerkingsverantwoordelijke
- Mag een maximaal 1 audit per kalenderjaar weigeren indien de timing operationeel niet haalbaar is, en stelt een alternatieve datum voor
Art. 13 Aansprakelijkheid
De aansprakelijkheid van partijen voor schade als gevolg van een inbreuk op de AVG is als volgt geregeld:
- Elke partij is aansprakelijk voor de schade veroorzaakt door een verwerking die niet in overeenstemming is met de AVG en waarvoor zij verantwoordelijk is
- De Verwerker is niet aansprakelijk voor schade veroorzaakt door niet-naleving van instructies van de Verwerkingsverantwoordelijke of door handelingen van de Verwerkingsverantwoordelijke zelf
- De aansprakelijkheid van de Verwerker onder deze Overeenkomst is beperkt tot het bedrag betaald door de Verwerkingsverantwoordelijke in de 12 maanden voorafgaand aan de schadeveroorzakende gebeurtenis
Art. 14 Slotbepalingen
14.1 Toepasselijk recht
Op deze Overeenkomst is Belgisch recht van toepassing. Alle geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechtbanken van het arrondissement Antwerpen.
14.2 Wijzigingen
Wijzigingen aan deze Overeenkomst zijn enkel geldig indien schriftelijk overeengekomen door beide partijen. De Verwerker behoudt het recht deze Overeenkomst eenzijdig aan te passen bij wijzigingen in de AVG of gerelateerde regelgeving, mits 30 dagen voorafgaande kennisgeving.
14.3 Onverbindbare bepalingen
Indien enige bepaling van deze Overeenkomst nietig of niet-afdwingbaar is, blijven de overige bepalingen onverminderd van kracht.
14.4 Hiërarchie
In geval van tegenstrijdigheid tussen de bepalingen van deze Verwerkersovereenkomst en de Dienstverleningsovereenkomst, prevaleert deze Verwerkersovereenkomst voor alles wat de verwerking van persoonsgegevens betreft.
Handtekeningen
Partijen verklaren deze Verwerkersovereenkomst te hebben gelezen, begrepen en te aanvaarden:
Verwerkingsverantwoordelijke
[NAAM ONDERTEKENAAR], [FUNCTIE]
Handtekening & datum
Plaats: _______________
Verwerker
VO-Initiatives
Oskar Verschoren, Zaakvoerder
Handtekening & datum
Plaats: Antwerpen
Vragen over deze overeenkomst? Neem contact op via oskar@vo-initiatives.com