VERWERKERSOVEREENKOMST
PARTIJEN
1. , gevestigd te , ingeschreven in het handelsregister onder nummer , hierna te noemen: "Verwerkingsverantwoordelijke",
en
2. Snelnotuleren.nl (onderdeel van GroeimetAI), gevestigd te Kweekweg 23, 7315AP Apeldoorn, ingeschreven in het handelsregister onder nummer 90102304, hierna te noemen: "Verwerker",
hierna gezamenlijk te noemen: "Partijen" en afzonderlijk: "Partij",
OVERWEGINGEN
A. Verwerkingsverantwoordelijke en Verwerker zijn een overeenkomst aangegaan voor het gebruik van de diensten van Snelnotuleren.nl (hierna: de "Hoofdovereenkomst"), waarbij Verwerkingsverantwoordelijke gebruik maakt van de online applicatie van Verwerker voor het genereren van notulen op basis van audiofragmenten;
B. In het kader van deze Hoofdovereenkomst verwerkt Verwerker persoonsgegevens namens Verwerkingsverantwoordelijke;
C. De Algemene Verordening Gegevensbescherming (AVG) vereist dat Partijen afspraken maken over de verwerking van persoonsgegevens en deze vastleggen in een verwerkersovereenkomst;
KOMEN OVEREEN ALS VOLGT:
Artikel 1. Definities
In deze Verwerkersovereenkomst hebben de volgende begrippen, steeds met een hoofdletter geschreven, de volgende betekenis:
a) AVG: de Algemene Verordening Gegevensbescherming
(Verordening (EU) 2016/679);
b) Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;
c) Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze
leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de
ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;
d) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon;
e) Verwerking: elke handeling of elk geheel van handelingen met betrekking tot
Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken,
wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, samenbrengen, met elkaar in
verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de Hoofdovereenkomst.
2.2 Verwerker verwerkt de door of via Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke en op basis van de instructies van Verwerkingsverantwoordelijke zoals vastgelegd in deze Verwerkersovereenkomst. Verwerker zal de Persoonsgegevens niet voor eigen doeleinden gebruiken.
Artikel 3. Te verwerken persoonsgegevens
3.1 In het kader van de Hoofdovereenkomst verwerkt Verwerker de volgende categorieën Persoonsgegevens:
a) Namen, e-mailadressen en eventuele andere contactgegevens van personen die deelnemen aan
vergaderingen;
b) Stemgegevens (audio) van deelnemers aan vergaderingen;
c) Inhoudelijke gegevens die worden besproken tijdens vergaderingen;
d) Transcripties van vergaderingen;
e) Door de AI-dienst gegenereerde notulen.
3.2 De categorieën Betrokkenen van wie Persoonsgegevens worden verwerkt zijn:
a) Werknemers, opdrachtnemers en/of vertegenwoordigers van Verwerkingsverantwoordelijke;
b) Derden die deelnemen aan vergaderingen van Verwerkingsverantwoordelijke.
3.3 Verwerkingsverantwoordelijke staat ervoor in dat de in dit artikel bedoelde Persoonsgegevens en categorieën Betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.
Artikel 4. Doeleinden van de verwerking
4.1 Verwerker zal de Persoonsgegevens slechts voor de volgende doeleinden verwerken:
a) Het omzetten van audio-opnames naar tekst (transcriptie);
b) Het genereren van notulen op basis van de transcriptie en eventueel opgegeven agendapunten;
c) Het beschikbaar stellen van de transcriptie en notulen aan Verwerkingsverantwoordelijke;
d) Het bieden van een chatfunctie waarmee Verwerkingsverantwoordelijke vragen kan stellen over de
inhoud van de vergadering.
4.2 Verwerker zal de Persoonsgegevens niet voor enig ander doel verwerken dan door Verwerkingsverantwoordelijke is vastgesteld.
Artikel 5. Verplichtingen Verwerker
5.1 Verwerker zorgt ervoor dat hij voldoet aan de op Verwerker van toepassing zijnde wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van Persoonsgegevens, zoals de AVG.
5.2 Verwerker zal Verwerkingsverantwoordelijke op diens verzoek en binnen een redelijke termijn informeren over de door hem genomen maatregelen aangaande zijn verplichtingen onder deze Verwerkersovereenkomst.
5.3 Verwerker zal, voor zover redelijkerwijs mogelijk, bijstand verlenen aan Verwerkingsverantwoordelijke bij het vervullen van diens wettelijke verplichtingen. Dit betreft, onder meer maar niet uitsluitend, bijstand bij het uitvoeren van privacy impact assessments en bijstand bij het uitvoeren van voorafgaande raadplegingen. Verwerker kan de redelijke kosten die hiermee gemoeid zijn in rekening brengen bij Verwerkingsverantwoordelijke.
5.4 Verwerker zal alle persoonsgegevens uitsluitend verwerken op infrastructuur die zich binnen de Europese Economische Ruimte (EER) bevindt. Verwerker zal geen persoonsgegevens doorgeven aan of verwerken in landen buiten de EER zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke, tenzij hiervoor passende waarborgen zijn getroffen conform Hoofdstuk V van de AVG.
Artikel 6. Subverwerkers
6.1 Verwerker schakelt de volgende subverwerkers in bij het uitvoeren van de Hoofdovereenkomst:
a) Google Cloud Platform (voor hostingdiensten en infrastructuur, uitsluitend in EU-regio's);
b) AssemblyAI (voor transcriptiediensten, gevestigd in Dublin, Ierland);
c) Anthropic (voor AI-diensten, met gegevensverwerking binnen de EER);
d) Pinecone (voor vector embeddings en opslag van transcripties, met waarborgen voor
EU-gegevensbescherming waarbij de opslag in GCP EU regio);
e) LangSmith (voor monitoring van LLM interacties, 14 daagse opslag in EU regio);
f) Mollie (voor betalingsverwerking, alleen transactiestatussen, gevestigd in Nederland);
g) Namecheap PrivateMail (voor e-mailcommunicatie, met passende waarborgen voor
gegevensbescherming).
6.2 Verwerker mag geen nieuwe subverwerkers inschakelen zonder voorafgaande algemene of specifieke schriftelijke toestemming van Verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming zal Verwerker Verwerkingsverantwoordelijke informeren over beoogde veranderingen inzake de toevoeging of vervanging van Subverwerkers, waarbij Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
6.3 Verwerker zorgt ervoor dat de subverwerker gebonden is aan dezelfde gegevensbeschermingsverplichtingen als die in deze Verwerkersovereenkomst zijn opgenomen. Verwerker blijft te allen tijde verantwoordelijk voor het handelen of nalaten van de door hem ingeschakelde subverwerkers.
Artikel 7. Beveiligingsmaatregelen
7.1 Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen omvatten onder meer:
a) Hosting en opslag uitsluitend binnen de Europese Economische Ruimte (EER);
b) Versleuteling van persoonsgegevens tijdens transport (TLS) en opslag (AES-256);
c) Toegangsbeperking tot persoonsgegevens (alleen geautoriseerde medewerkers);
d) Automatische verwijdering van audiobestanden na 7 dagen;
e) Regelmatige tests en evaluaties van beveiligingsmaatregelen;
f) Logische scheiding van gegevens tussen klanten;
g) Multi-factor authenticatie voor toegang tot beheersystemen;
h) Strikte CORS-configuratie voor webapplicaties om ongeautoriseerde toegang te voorkomen.
i) Authenticatie en autorisatie van gebruikers op basis van hun rol en rechten.
Artikel 8. Datalekken
8.1 Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, maar uiterlijk binnen 48 uur na ontdekking van een Datalek. Deze melding omvat ten minste:
a) De aard van het Datalek;
b) De (vermoedelijke) gevolgen van het Datalek;
c) De maatregelen die Verwerker heeft genomen en zal nemen om negatieve gevolgen te beperken;
d) De contactgegevens voor de opvolging van de melding.
8.2 Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij het nakomen van diens verplichtingen op het gebied van datalekken, waaronder de meldplicht aan de Autoriteit Persoonsgegevens en de informatieplicht aan Betrokkenen.
Artikel 9. Bewaartermijn en verwijdering
9.1 Verwerker bewaart de verschillende categorieën persoonsgegevens niet langer dan noodzakelijk, en wel als volgt:
a) Audiobestanden: 7 dagen na upload (automatische verwijdering);
b) Transcripties en notulen: bewaard zolang het account van Verwerkingsverantwoordelijke actief is,
of totdat Verwerkingsverantwoordelijke verzoekt deze te verwijderen.
9.2 Na beëindiging van de Hoofdovereenkomst zal Verwerker, naar keuze van Verwerkingsverantwoordelijke, alle Persoonsgegevens wissen of teruggeven, en bestaande kopieën verwijderen, tenzij opslag van de Persoonsgegevens wettelijk verplicht is.
Artikel 10. Audits
10.1 Verwerker stelt Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat wordt voldaan aan de verplichtingen uit deze Verwerkersovereenkomst en de AVG.
10.2 Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden, ter controle op de naleving van deze Verwerkersovereenkomst.
10.3 Verwerker zal aan de audit meewerken en alle redelijkerwijs relevante informatie tijdig ter beschikking stellen.
10.4 De kosten van een audit komen voor rekening van Verwerkingsverantwoordelijke, tenzij uit de audit blijkt dat Verwerker niet heeft voldaan aan de verplichtingen uit deze Verwerkersovereenkomst.
Artikel 11. Aansprakelijkheid
11.1 Ten aanzien van de aansprakelijkheid van Verwerker jegens Verwerkingsverantwoordelijke, en vice versa, gelden de bepalingen uit de Hoofdovereenkomst.
11.2 Verwerker is slechts aansprakelijk voor schade die door Verwerking is veroorzaakt wanneer niet is voldaan aan de specifiek tot Verwerker gerichte verplichtingen van de AVG of wanneer Verwerker buiten of in strijd met de rechtmatige instructies van Verwerkingsverantwoordelijke heeft gehandeld.
Artikel 12. Duur en beëindiging
12.1 Deze Verwerkersovereenkomst treedt in werking op de datum van ondertekening door beide Partijen en eindigt automatisch wanneer de Hoofdovereenkomst eindigt.
12.2 De artikelen 9 (Bewaartermijn en verwijdering) en 11 (Aansprakelijkheid) blijven van kracht na beëindiging van deze Verwerkersovereenkomst.
Artikel 13. Slotbepalingen
13.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
13.2 Eventuele geschillen in verband met deze Verwerkersovereenkomst zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waarin Verwerker gevestigd is.
13.3 Deze Verwerkersovereenkomst kan alleen schriftelijk worden gewijzigd, met instemming van beide Partijen.
13.4 Indien één of meer bepalingen van deze Verwerkersovereenkomst niet rechtsgeldig blijken te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen die niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
Aldus overeengekomen en ondertekend op :
Verwerkingsverantwoordelijke:
Datum:
Verwerker:
Niels van der Werf
Datum: