Verwerkersovereenkomst

Deze verwerkersovereenkomst (hierna: Overeenkomst) is onderdeel van de algemene voorwaarden tussen AIComplianceHub.nl (hierna: Verwerker) en de zakelijke klant die gebruikmaakt van het Platform (hierna: Verwerkingsverantwoordelijke).

De Verwerkingsverantwoordelijke verwerkt via het Platform persoonsgegevens ten behoeve van de naleving van de EU AI Act. De Verwerker verleent hiervoor dienstverlening en verwerkt daarbij persoonsgegevens namens de Verwerkingsverantwoordelijke in de zin van artikel 4 lid 8 AVG.

Deze Overeenkomst is opgesteld in overeenstemming met artikel 28 AVG en regelt de rechten en plichten van partijen bij de verwerking.

Deze Overeenkomst wordt elektronisch tot stand gebracht door acceptatie via het Platform en wordt aangemerkt als schriftelijk in de zin van artikel 28 lid 9 AVG.

• AVG: Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679).
• Persoonsgegevens: alle informatie over een geidentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 lid 1 AVG.
• Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
• Verwerking: elke bewerking met persoonsgegevens, zoals verzamelen, opslaan, raadplegen of verwijderen.
• Subverwerker: een derde partij die door de Verwerker wordt ingeschakeld voor de verwerking van persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke.
• Datalek: een inbreuk in verband met persoonsgegevens in de zin van artikel 4 lid 12 AVG.
• Platform: de website en webapplicatie van AIComplianceHub.nl, inclusief alle bijbehorende diensten.

De Verwerker verwerkt persoonsgegevens uitsluitend voor het leveren van het Platform aan de Verwerkingsverantwoordelijke. De verwerking omvat:

• Het opslaan en beheren van het AI-register van de Verwerkingsverantwoordelijke, inclusief beschrijvingen van AI-systemen die persoonsgegevens kunnen bevatten (bijvoorbeeld namen van verantwoordelijken en medewerkers).
• Het genereren van compliance-documenten op basis van input van de Verwerkingsverantwoordelijke.
• Het beantwoorden van vragen via de AI Act Vraagbaak waarbij context van de Verwerkingsverantwoordelijke kan worden meegestuurd.
• Het faciliteren van e-learning, teamtraining en certificering van medewerkers van de Verwerkingsverantwoordelijke.
• Het versturen van transactionele e-mail en notificaties.

De aard van de verwerking is dienstverlenend en ondersteunend. Het doel is het uitvoeren van de overeenkomst met de Verwerkingsverantwoordelijke en het naleven van wettelijke verplichtingen die op de Verwerker rusten.

Deze Overeenkomst gaat in op de datum waarop de Verwerkingsverantwoordelijke deze accepteert en loopt door zolang de Verwerker persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke. Na beeindiging van de hoofdovereenkomst eindigt deze Overeenkomst van rechtswege, met inachtneming van artikel 14.

De verwerking kan betrekking hebben op de volgende categorieen betrokkenen:

• Medewerkers, bestuurders en vertegenwoordigers van de Verwerkingsverantwoordelijke.
• Eindgebruikers en klanten van de Verwerkingsverantwoordelijke waarvan gegevens worden ingevoerd in AI-systeembeschrijvingen, risicobeoordelingen of compliance-documenten.
• Contactpersonen van leveranciers en zakenpartners die in het register worden opgenomen.
• Deelnemers aan de e-learning (cursisten en certificaathouders).

De verwerking kan de volgende categorieen persoonsgegevens omvatten:

• Identificatiegegevens: naam, functie, e-mailadres, telefoonnummer.
• Zakelijke gegevens: organisatie, afdeling, rol binnen het AI-governance-proces.
• Gegevens over training en certificering: voortgang, resultaten, behaalde certificaten.
• Auditlogs: inloggegevens, IP-adres, tijdstempels van acties in het Platform.

De Verwerker verwerkt geen bijzondere persoonsgegevens (artikel 9 AVG) of gegevens betreffende strafrechtelijke veroordelingen (artikel 10 AVG), tenzij de Verwerkingsverantwoordelijke dergelijke gegevens zelfstandig invoert. De Verwerkingsverantwoordelijke wordt dringend geadviseerd bijzondere persoonsgegevens niet in vrije tekstvelden of chatqueries te plaatsen.

De Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting de Verwerker tot verwerking dwingt. Indien dit laatste het geval is, stelt de Verwerker de Verwerkingsverantwoordelijke hiervan voorafgaand aan de verwerking op de hoogte, tenzij de wet dit verbiedt.

Als schriftelijke instructies gelden in elk geval: deze Overeenkomst, de algemene voorwaarden, de privacyverklaring en alle handelingen van de Verwerkingsverantwoordelijke in het Platform (configuratie, invoer, rapportage-instellingen).

Indien de Verwerker van mening is dat een instructie van de Verwerkingsverantwoordelijke in strijd is met de AVG of andere toepasselijke regelgeving, meldt hij dit onverwijld aan de Verwerkingsverantwoordelijke.

De Verwerker legt alle personen die onder zijn gezag persoonsgegevens verwerken een geheimhoudingsplicht op, hetzij contractueel, hetzij via een wettelijke verplichting. Deze geheimhoudingsplicht geldt ook na beeindiging van de arbeids- of dienstverleningsrelatie.

De Verwerkingsverantwoordelijke garandeert dat hij beschikt over een rechtsgeldige grondslag voor de verwerking van de persoonsgegevens die hij in het Platform invoert of laat verwerken, en dat zijn instructies aan de Verwerker in overeenstemming zijn met de AVG en overige toepasselijke wet- en regelgeving.

De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor:

• Het voldoen aan informatieplichten jegens betrokkenen over deze verwerking.
• Het beheer van toegang tot het Platform door eigen medewerkers, waaronder het deactiveren van accounts bij uitdiensttreding.
• De juistheid en actualiteit van de ingevoerde gegevens.
• Het beoordelen of een DPIA (artikel 35 AVG) nodig is voor zijn specifieke verwerking.

De Verwerkingsverantwoordelijke vrijwaart de Verwerker voor aanspraken van derden die voortvloeien uit het niet-nakomen van de verplichtingen in dit artikel, behoudens voor zover de aanspraak wordt veroorzaakt door toerekenbaar handelen van de Verwerker.

De Verwerker treft passende technische en organisatorische maatregelen ter bescherming van de persoonsgegevens tegen verlies, onbevoegde toegang of onrechtmatige verwerking, conform artikel 32 AVG. Deze maatregelen omvatten ten minste:

• Encryptie in transit (TLS 1.2 of hoger) voor alle verbindingen met het Platform.
• Encryptie at rest op databases en back-ups (AES-256 bij Supabase).
• Toegangsbeheer met Row Level Security (RLS) op databaseniveau, waarbij gegevens gescheiden zijn per organisatie.
• Verplichte multi-factor authenticatie (MFA) voor beheerderstoegang.
• Audit-logging van gebruikersacties en plan-wijzigingen.
• Periodieke back-ups met geografische redundantie binnen de EU.
• Secure Software Development Lifecycle, inclusief code review en afhankelijkheidsscans.
• Incident-responseprocedure en datalek-meldprocedure.
• Rate limiting, input-sanitization en misbruikpreventie op publieke endpoints.
• Logisch gescheiden omgevingen voor ontwikkeling, staging en productie.

De Verwerker evalueert deze maatregelen minimaal jaarlijks en past ze aan waar nodig. Op verzoek verstrekt de Verwerker een actueel overzicht van de getroffen maatregelen.

De Verwerkingsverantwoordelijke verleent de Verwerker een algemene toestemming om de subverwerkers in te schakelen die op de subverwerkerslijst van de Verwerker staan. De subverwerkerslijst zoals geldend op het moment van acceptatie maakt onderdeel uit van deze Overeenkomst. Een snapshot van deze lijst wordt bewaard in het acceptatierecord van de Verwerkingsverantwoordelijke. De actuele versie is publiek beschikbaar op aicompliancehub.nl/sub-verwerkers.

De Verwerker informeert de Verwerkingsverantwoordelijke minimaal 30 dagen voor een voorgenomen wijziging (toevoeging, vervanging of verwijdering) van een subverwerker via e-mail aan de organisatie-eigenaar, met vermelding van de nieuwe subverwerker, het doel van de verwerking en de locatie.

De Verwerkingsverantwoordelijke heeft het recht binnen deze termijn gemotiveerd bezwaar te maken tegen de nieuwe subverwerker. Partijen treden in dat geval in redelijk overleg. Indien geen oplossing wordt gevonden, heeft de Verwerkingsverantwoordelijke het recht de overeenkomst op te zeggen met ingang van de datum van de voorgenomen wijziging.

De Verwerker verplicht elke subverwerker tot dezelfde waarborgen inzake gegevensbescherming als opgenomen in deze Overeenkomst. De Verwerker blijft volledig aansprakelijk voor het handelen van subverwerkers.

De Verwerker streeft ernaar alle verwerkingen binnen de Europese Economische Ruimte (EER) te laten plaatsvinden. Waar dat niet mogelijk is, vindt doorgifte uitsluitend plaats op basis van een van de in hoofdstuk V AVG genoemde grondslagen.

Voor verwerking door Anthropic PBC (Verenigde Staten) geldt: Anthropic is gecertificeerd onder het EU-US Data Privacy Framework. Aanvullend sluit de Verwerker Standard Contractual Clauses (SCC's) als contractuele waarborg voor het geval het adequaatheidsbesluit wegvalt. Voor alle andere subverwerkers vindt verwerking binnen de EER plaats.

De Verwerker voert voor doorgifte naar een land zonder adequaatheidsbesluit een Transfer Impact Assessment (TIA) uit overeenkomstig de richtsnoeren van de European Data Protection Board. De TIA beoordeelt of aanvullende maatregelen noodzakelijk zijn om een beschermingsniveau te waarborgen dat in wezen gelijkwaardig is aan het Uniebeschermingsniveau. Op verzoek verstrekt de Verwerker een samenvatting van de TIA aan de Verwerkingsverantwoordelijke.

De Verwerker verleent de Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking, alle redelijke bijstand bij het vervullen van verzoeken van betrokkenen met betrekking tot hun rechten onder de AVG (inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar).

De Verwerker stelt de Verwerkingsverantwoordelijke zo snel mogelijk op de hoogte van een rechtstreeks aan de Verwerker gericht verzoek van een betrokkene en behandelt het verzoek niet zelfstandig, tenzij met schriftelijke toestemming.

De Verwerker faciliteert inzage-, export- en verwijderingsverzoeken waar mogelijk via self-service-functionaliteit in het Platform. Voor complexere verzoeken kan een redelijke vergoeding worden gevraagd conform artikel 12 lid 5 AVG.

De Verwerker informeert de Verwerkingsverantwoordelijke zonder onredelijke vertraging, en uiterlijk binnen 72 uur nadat de Verwerker kennis heeft genomen van een datalek dat persoonsgegevens van de Verwerkingsverantwoordelijke raakt.

De melding bevat ten minste:

• De aard van het datalek, met vermelding van de categorieen en het geschatte aantal getroffen betrokkenen en records.
• De waarschijnlijke gevolgen van het datalek.
• De genomen en voorgestelde maatregelen om het datalek te verhelpen en gevolgen te beperken.
• Contactgegevens van de verantwoordelijke persoon bij de Verwerker voor nadere informatie.

De melding aan de Autoriteit Persoonsgegevens (artikel 33 AVG) en, waar vereist, aan betrokkenen zelf (artikel 34 AVG) is de verantwoordelijkheid van de Verwerkingsverantwoordelijke. De Verwerker verleent daarbij alle redelijke bijstand, waaronder het verstrekken van informatie die nodig is voor beide meldingen.

De Verwerker verleent de Verwerkingsverantwoordelijke redelijke bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) in de zin van artikel 35 AVG en bij de voorafgaande raadpleging van de toezichthouder in de zin van artikel 36 AVG, voor zover dit verband houdt met de verwerking via het Platform.

De bijstand omvat in elk geval het verstrekken van relevante documentatie, zoals een overzicht van technische en organisatorische maatregelen, subverwerkers en dataflows.

Na beeindiging van de hoofdovereenkomst geeft de Verwerker de persoonsgegevens van de Verwerkingsverantwoordelijke naar keuze van deze laatste terug of verwijdert deze, tenzij een wettelijke verplichting bewaring vereist. De Verwerkingsverantwoordelijke kan deze keuze kenbaar maken via privacy@aicompliancehub.nl of via de self-service-functies in het Platform. Bij gebreke van een keuze binnen 90 dagen na beeindiging verwijdert de Verwerker de persoonsgegevens automatisch.

Gedurende de genoemde termijn van 90 dagen kan de Verwerkingsverantwoordelijke de gegevens exporteren via de daarvoor bestemde functies in het Platform.

De Verwerker verwijdert kopieen en back-ups volgens de reguliere back-up-retentiecycli (maximaal 35 dagen). Na verwijdering verstrekt de Verwerker op verzoek een schriftelijke verklaring van vernietiging.

Geanonimiseerde en geaggregeerde gegevens die niet herleidbaar zijn tot een natuurlijke persoon of organisatie kan de Verwerker blijven gebruiken voor het verbeteren van het Platform.

De Verwerker stelt de Verwerkingsverantwoordelijke in staat de naleving van deze Overeenkomst te controleren door, op schriftelijk verzoek, informatie beschikbaar te stellen. Dit omvat in elk geval: de actuele subverwerkerslijst, het overzicht van technische en organisatorische maatregelen, en (indien beschikbaar) onafhankelijke beveiligingscertificeringen of audit-rapporten.

Een on-site audit door de Verwerkingsverantwoordelijke of een onafhankelijke derde partij is mogelijk maximaal eenmaal per jaar, na een aankondigingstermijn van 30 dagen, tijdens kantooruren en zonder verstoring van de dienstverlening. De kosten van de audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit een ernstige tekortkoming van de Verwerker aantoont.

De aansprakelijkheid van partijen onder deze Overeenkomst wordt beheerst door de aansprakelijkheidsbepalingen in de algemene voorwaarden. Dit laat onverlet de eigen aansprakelijkheid van elke partij jegens betrokkenen en toezichthouders op grond van de AVG (artikel 82).

Deze Overeenkomst is onlosmakelijk verbonden met de hoofdovereenkomst en eindigt gelijktijdig daarmee. De verplichtingen uit artikel 12 (datalekken, voor zover nog niet gemeld), artikel 14 (teruggave en verwijdering) en artikel 15 (audit, gedurende 12 maanden) blijven na beeindiging van kracht.

De Verwerker kan deze Overeenkomst wijzigen om ontwikkelingen in wet- en regelgeving, technische maatregelen of subverwerkers te weerspiegelen. Materiele wijzigingen worden minimaal 30 dagen vooraf aangekondigd via e-mail aan de organisatie-eigenaar, en vereisen opnieuw acceptatie bij volgende login.

Niet-materiele wijzigingen (tekstuele verbeteringen, correcties) kunnen direct worden doorgevoerd; de versie en laatst-bijgewerkt-datum worden altijd bijgewerkt.

Op deze Overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland, overeenkomstig de algemene voorwaarden.

Voor vragen over deze Overeenkomst of over gegevensbescherming kunt u contact opnemen via:

• E-mail: privacy@aicompliancehub.nl
• Post: AIComplianceHub.nl, Nederland (adres op verzoek)
• Website: aicompliancehub.nl/contact

De onderstaande tabel is de actuele subverwerkerslijst en maakt onderdeel uit van deze Overeenkomst. Wijzigingen worden vooraf aangekondigd volgens artikel 8 van deze Overeenkomst.