Verwerkersovereenkomst

op grond van artikel 28 Algemene Verordening Gegevensbescherming (AVG)

Artikel 1. Partijen

Deze verwerkersovereenkomst (hierna: 'Overeenkomst') is aangegaan tussen:

  1. De Verwerkingsverantwoordelijke (hierna: 'Opdrachtgever'): [NAAM KLANT], gevestigd te [ADRES KLANT], ingeschreven bij de KVK onder nummer [KVK KLANT].
  2. De Verwerker: ProcesIQ, gevestigd te Burgemeester Jhr. Quarles van Uffordlaan 101, 7321 ZN Apeldoorn, ingeschreven bij de KVK onder nummer 97210404.

Hierna gezamenlijk aangeduid als 'Partijen' en afzonderlijk als 'Partij'.

Artikel 2. Definities

In deze Overeenkomst wordt verstaan onder:

  • AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679.
  • Persoonsgegevens: alle informatie over een geidentificeerde of identificeerbare natuurlijke persoon.
  • Verwerking: elke bewerking van persoonsgegevens, waaronder verzamelen, opslaan, raadplegen, gebruiken, doorsturen en verwijderen.
  • Dienst: de AI-gestuurde automatiseringsdienst 'Zenzo', aangeboden door ProcesIQ.
  • Datalek: een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens.

Artikel 3. Doel en grondslag van de verwerking

3.1

De Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van en ten behoeve van de Opdrachtgever, in het kader van de Dienst.

3.2

De Dienst omvat het geautomatiseerd verwerken van bedrijfscommunicatie via koppelingen met de systemen van de Opdrachtgever, waaronder:

  • E-mail (Gmail): lezen van inkomende e-mails, opstellen van conceptantwoorden.
  • Agenda (Google Calendar): lezen van afspraken, signaleren van conflicten.
  • Berichtenverkeer (Slack): lezen van berichten en mentions, opstellen van conceptreacties.
  • Vergaderverslagen (Fathom/Fellow): lezen van transcripties en samenvattingen.

3.3

De verwerking vindt plaats op basis van de dienstverleningsovereenkomst tussen Partijen.

Artikel 4. Soort persoonsgegevens en categorieen betrokkenen

4.1

De volgende categorieen persoonsgegevens worden verwerkt:

  • Naam, e-mailadres en functie van contactpersonen in e-mails en agenda-uitnodigingen.
  • Inhoud van zakelijke e-mails, Slack-berichten en vergaderverslagen.
  • Agenda-items (onderwerp, tijd, deelnemers).

4.2

De categorieen betrokkenen zijn:

  • Medewerkers van de Opdrachtgever.
  • Zakelijke contacten en relaties van de Opdrachtgever.
  • Deelnemers aan vergaderingen met de Opdrachtgever.

Artikel 5. Verplichtingen van de Verwerker

De Verwerker:

  • 5.1 Verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Opdrachtgever, tenzij een wettelijke verplichting anders vereist.
  • 5.2 Waarborgt dat personen die toegang hebben tot de persoonsgegevens zich hebben verbonden aan geheimhouding.
  • 5.3 Treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen (zie Bijlage 1).
  • 5.4 Maakt geen gebruik van de persoonsgegevens voor eigen doeleinden, waaronder het trainen van AI-modellen.
  • 5.5 Verwijdert of retourneert alle persoonsgegevens na afloop van de dienstverlening, naar keuze van de Opdrachtgever, en verwijdert bestaande kopieen tenzij opslag wettelijk verplicht is.

Artikel 6. Sub-verwerkers

6.1

De Opdrachtgever verleent de Verwerker hierbij algemene toestemming om sub-verwerkers in te schakelen. De Verwerker informeert de Opdrachtgever vooraf over voorgenomen wijzigingen in sub-verwerkers.

6.2

Op het moment van ondertekening maakt de Verwerker gebruik van de volgende sub-verwerkers:

Sub-verwerker Doel Locatie
Anthropic AI-modelverwerking (Claude API) Verenigde Staten
Hetzner Online GmbH VPS-hosting (serverinfrastructuur) Duitsland (EU)
Google LLC Cloud MCP-koppelingen (Gmail, Calendar) EU / Verenigde Staten

6.3

De Verwerker legt aan sub-verwerkers dezelfde verplichtingen op als in deze Overeenkomst.

6.4

De Opdrachtgever kan bezwaar maken tegen een nieuwe sub-verwerker binnen 14 dagen na kennisgeving. Bij gegrond bezwaar spannen Partijen zich in voor een alternatief.

Artikel 7. Doorgifte buiten de EER

7.1

Persoonsgegevens worden verwerkt door Anthropic (VS). Deze doorgifte is gebaseerd op de standaardcontractbepalingen (SCC's) van de Europese Commissie (Uitvoeringsbesluit (EU) 2021/914), die onderdeel uitmaken van de Data Processing Addendum van Anthropic.

7.2

Anthropic bewaart API-input en -output gedurende maximaal 7 dagen ten behoeve van misbruikdetectie en veiligheidsmonitoring, waarna de gegevens automatisch worden verwijderd. Deze gegevens worden niet gebruikt voor het trainen van AI-modellen.

7.3

De serverinfrastructuur (Hetzner) bevindt zich binnen de EU.

7.4

De Verwerker informeert de Opdrachtgever als wijzigingen in wetgeving impact hebben op de rechtmatigheid van doorgifte.

Artikel 8. Beveiliging

8.1

De Verwerker treft passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens tegen verlies of onrechtmatige verwerking. Deze maatregelen zijn beschreven in Bijlage 1.

8.2

De Verwerker evalueert periodiek of de maatregelen nog passend zijn en past deze zo nodig aan.

Artikel 9. Datalekken

9.1

De Verwerker meldt een datalek aan de Opdrachtgever zonder onredelijke vertraging en waar mogelijk binnen 24 uur na ontdekking.

9.2

De melding bevat ten minste:

  • De aard van het datalek, inclusief de categorieen en het geschatte aantal betrokkenen.
  • De waarschijnlijke gevolgen van het datalek.
  • De maatregelen die zijn genomen of voorgesteld om het datalek aan te pakken.

9.3

De Verwerker werkt volledig mee aan het onderzoek en de afhandeling van het datalek.

Artikel 10. Verplichtingen van de Opdrachtgever

10.1

De Opdrachtgever is als verwerkingsverantwoordelijke verantwoordelijk voor de rechtmatigheid van de verwerking van persoonsgegevens.

10.2

De Opdrachtgever informeert de betrokkenen (waaronder medewerkers en zakelijke contacten) wier persoonsgegevens via de Dienst worden verwerkt over het gebruik van AI-gestuurde automatisering. Dit omvat ten minste:

  • Het feit dat zakelijke communicatie (e-mail, agenda, Slack-berichten) geautomatiseerd wordt verwerkt.
  • Het doel van de verwerking (het genereren van conceptantwoorden, samenvattingen en overzichten).
  • De identiteit van de verwerker (ProcesIQ) en de inzet van AI-technologie (Anthropic Claude).

10.3

De Opdrachtgever draagt zorg voor een geldige grondslag voor de verwerking van persoonsgegevens van betrokkenen, waaronder medewerkers.

Artikel 11. Rechten van betrokkenen

11.1

De Verwerker helpt de Opdrachtgever bij het voldoen aan verzoeken van betrokkenen op grond van de AVG (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar).

11.2

De Verwerker stuurt verzoeken van betrokkenen die rechtstreeks bij de Verwerker binnenkomen onverwijld door naar de Opdrachtgever.

Artikel 12. Audit

12.1

De Verwerker stelt alle informatie beschikbaar die nodig is om naleving van deze Overeenkomst aan te tonen.

12.2

De Opdrachtgever heeft het recht om maximaal eenmaal per jaar een audit uit te voeren of te laten uitvoeren, met een redelijke aankondigingstermijn van ten minste 14 dagen.

12.3

De kosten van de audit zijn voor rekening van de Opdrachtgever, tenzij de audit een tekortkoming aan het licht brengt.

Artikel 13. Looptijd en beeindiging

13.1

Deze Overeenkomst treedt in werking op de datum van ondertekening en loopt zolang de Verwerker persoonsgegevens verwerkt in het kader van de Dienst.

13.2

Bij beeindiging van de dienstverleningsovereenkomst eindigt ook deze Overeenkomst. De verplichtingen uit artikelen 5.5, 8 en 9 blijven van kracht.

13.3

Na beeindiging verwijdert de Verwerker alle persoonsgegevens binnen 30 dagen, tenzij wettelijke bewaarplichten anders vereisen.

Artikel 14. Toepasselijk recht

14.1

Op deze Overeenkomst is Nederlands recht van toepassing.

14.2

Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement van de vestigingsplaats van de Verwerker.

Ondertekening

Aldus overeengekomen en in tweevoud ondertekend:

Opdrachtgever Verwerker (ProcesIQ)
Naam: Naam: N. Erenstein
Functie: Functie: Eigenaar
Datum: Datum:
Handtekening: Handtekening:

Bijlage 1. Technische en organisatorische maatregelen

De Verwerker treft de volgende maatregelen ter bescherming van persoonsgegevens:

Toegangsbeheersing

  • OAuth 2.0-authenticatie per klant: elke klant heeft eigen tokens die uitsluitend toegang geven tot de eigen systemen.
  • SSH-toegang tot de VPS is beperkt tot de beheerder (key-based authenticatie).
  • Firewall (UFW) beperkt toegang tot poorten 22, 80 en 443.

Dataminimalisatie

  • Prompts bevatten geen klantdata, uitsluitend instructies.
  • Logs bevatten metadata (tijdstip, status, tokens), geen volledige e-mailinhoud of berichtentekst.
  • Gevoelige onderwerpen (HR, salaris, juridisch) worden per klant uitgesloten van verwerking.

Serverbeveiliging

  • VPS gehost bij Hetzner (Duitsland, EU), ISO 27001-gecertificeerd datacenter.
  • HTTPS/TLS-encryptie voor alle dataverkeer (SSL-certificaten via Let's Encrypt).
  • HSTS-headers op alle webendpoints.
  • Content-Security-Policy headers ter voorkoming van XSS en injection.

Monitoring en incidentrespons

  • Automatische failure-alerts bij storingen (e-mail naar beheerder).
  • Dagelijkse en wekelijkse health checks met kosten- en performancerapportage.
  • Output-validatie na elke run (detectie van verlopen tokens, autorisatiefouten).

Dataretentie

  • Logbestanden worden automatisch opgeruimd: JSON logs na 30 dagen, dagrapporten na 90 dagen, weekrapporten na 365 dagen.
  • Na beeindiging van de dienstverlening worden alle klantgerelateerde bestanden binnen 30 dagen verwijderd.

AI-verwerking (Anthropic)

  • De AI-verwerking vindt plaats via de Anthropic API. Anthropic bewaart API-input en -output maximaal 7 dagen voor misbruikdetectie en veiligheidsmonitoring, waarna de gegevens automatisch worden verwijderd.
  • Data die via de API wordt verzonden, wordt niet gebruikt voor het trainen van AI-modellen. Dit is contractueel vastgelegd in de Anthropic Data Processing Addendum.
  • De doorgifte naar Anthropic (VS) is juridisch geborgd via Standard Contractual Clauses (SCC's) conform Uitvoeringsbesluit (EU) 2021/914.