Juridisch
Verwerkersovereenkomst
Laatste wijziging: 20 mei 2026. Deze verwerkersovereenkomst (Data Processing Agreement, DPA) is opgesteld op grond van artikel 28 AVG. Klantkraan treedt op als verwerker; de opdrachtgever is verwerkingsverantwoordelijke. De DPA is door verwijzing onderdeel van de algemene voorwaarden.
1. Definities
Termen als verwerkingsverantwoordelijke, verwerker, persoonsgegevens en subverwerker hebben de betekenis die daaraan wordt gegeven in artikel 4 AVG. Onder ‘Diensten’ worden de diensten verstaan zoals beschreven in de hoofdovereenkomst.
2. Onderwerp, duur, aard en doel
- Onderwerp: het uitvoeren van de Klantkraan-diensten zoals beschreven in de Service Description.
- Duur: voor de looptijd van de hoofdovereenkomst plus een retentie-window van 60 dagen.
- Aard: ontvangen, opslaan, transcriberen, analyseren en doorsturen van persoonsgegevens.
- Doel: het beantwoorden en afhandelen van inkomende communicatie namens de verwerkingsverantwoordelijke.
- Categorieën van betrokkenen en gegevens: zie Annex I.
3. Instructies
De verwerker handelt uitsluitend op gedocumenteerde instructies van de verwerkingsverantwoordelijke. Indien een instructie naar het oordeel van de verwerker inbreuk maakt op de AVG of andere wetgeving, meldt de verwerker dit onverwijld.
4. Vertrouwelijkheid van personeel
Conform art. 28 lid 3 sub b AVG bindt de verwerker alle personen die persoonsgegevens verwerken aan geheimhouding. Dit geldt ook voor ingehuurde krachten, virtual assistants en ontwikkelpartners.
5. Beveiligingsmaatregelen (art. 32 AVG)
De verwerker neemt de in Annex II opgenomen technische en organisatorische maatregelen:
- EU-only data residency (Hetzner Frankfurt, Neon EU, Cloudflare EU Workers).
- Versleuteling at-rest (Postgres TDE) en in-transit (TLS 1.3).
- Rolgebaseerde toegang (Bitwarden Business plus audit-log).
- Per-client tenant-isolatie via
client_idin alle queries. - Automatische, versleutelde, off-site back-ups op dagbasis.
- Logging via Sentry plus een audit-trail in Postgres.
- Incident response playbook (zie §8).
6. Sub-processors
- De verwerkingsverantwoordelijke geeft algemene toestemming voor de sub-processors op de actuele sub-processor lijst.
- Wijzigingen worden minimaal 30 dagen vooraf aangekondigd. Bezwaar binnen die termijn geeft de verwerkingsverantwoordelijke een opzeggingsrecht.
- De verwerker legt aan elke sub-processor dezelfde verplichtingen op (flow-down).
7. Rechten van betrokkenen
De verwerker biedt redelijke assistentie aan de verwerkingsverantwoordelijke bij verzoeken van betrokkenen op grond van de art. 12–22 AVG, binnen 14 dagen. De eerste twee verzoeken per kwartaal zijn kosteloos; daarna geldt een tarief van €75 per uur.
8. Meldplicht datalekken
Conform art. 33–34 AVG meldt de verwerker een datalek binnen 48 uur aan de verwerkingsverantwoordelijke (strikter dan de wettelijke 72 uur richting de Autoriteit Persoonsgegevens). De melding bevat: aard van de inbreuk, betrokken categorieën, geschatte aantallen, contactpersoon en getroffen maatregelen.
9. DPIA en voorafgaande raadpleging
Conform art. 35–36 AVG verstrekt de verwerker redelijke informatie ten behoeve van de DPIA van de verwerkingsverantwoordelijke. De verwerker heeft een eigen DPIA per service-tier uitgevoerd.
10. Teruggave en verwijdering
- Export in JSON of CSV is beschikbaar gedurende 30 dagen na einde overeenkomst.
- Wissing vindt plaats binnen 60 dagen na einde (30 dagen export-window plus 30 dagen retentie-window).
- Op verzoek bevestigt de verwerker de wissing schriftelijk.
11. Audit-rechten
- Eenmaal per jaar, en daarnaast bij gerede vermoedens van non-compliance.
- De kosten worden gedragen door de verwerkingsverantwoordelijke, tenzij non-compliance wordt vastgesteld.
- Aankondiging minimaal 30 dagen vooraf, schriftelijk.
- Uitvoering door een onafhankelijke derde onder NDA, zonder verstoring van de bedrijfsvoering.
12. Internationale doorgiften
Doorgiften buiten de EER vinden uitsluitend plaats met een geldig doorgifte-mechanisme. Bij gebruik van Anthropic, Cloudflare, Synthflow, ElevenLabs of Resend worden de EU Standard Contractual Clauses 2021/914 (module 3) toegepast, aangevuld met een Transfer Impact Assessment en aanvullende technische maatregelen.
13. Aansprakelijkheid
De wederzijdse aansprakelijkheid is beperkt tot het bedrag van twaalf maanden vergoedingen, met een absoluut maximum van €25.000. Deze beperking geldt niet bij opzet of bewuste roekeloosheid.
14. Toepasselijk recht
Op deze DPA is uitsluitend Nederlands recht van toepassing. Geschillen worden bij uitsluiting voorgelegd aan de Rechtbank Den Haag.
Annex I — Categorieën van persoonsgegevens
| Categorie | Voorbeelden | Bron |
|---|---|---|
| Identificatiegegevens | Naam, telefoonnummer | Inbound calls |
| Adresgegevens | Adres, postcode | Caller dictation |
| Communicatiegegevens | Audio-opnames, transcripten | Synthflow + CM.com |
| Klantgeschiedenis | Eerdere klussen, voorkeuren | Attio |
| Locatiegegevens | Service-postcode | Booking flow |
| Financiële gegevens | Voorrijkosten, kostenraming | Gespreksinhoud |
Klantkraan verwerkt geen strafrechtelijke gegevens, BSN of andere bijzondere categorieën als doel. Bellers kunnen onbedoeld bijzondere gegevens (bijvoorbeeld gezondheidsgegevens) noemen; hiervoor geldt een audit- en redactieprocedure.
Annex II — Technische en organisatorische maatregelen
- EU-only hosting.
- Versleuteling at-rest en in-transit.
- Per-client tenant-isolatie.
- Rolgebaseerde toegang plus audit-log.
- Dagelijkse versleutelde back-ups.
- Incident response playbook.
- Jaarlijkse penetratietest vanaf jaar 2.
Annex III — Sub-processors
De actuele lijst staat op klantkraan.nl/legal/subprocessors en wordt bijgehouden bij elke wijziging.