Artikel 1. Partijen
Deze Verwerkersovereenkomst (“Overeenkomst”) is aangegaan tussen:
- De Verwerkingsverantwoordelijke (“Opdrachtgever”): de organisatie die een account heeft aangemaakt bij VendicAI en deze Verwerkersovereenkomst digitaal heeft geaccepteerd via het VendicAI dashboard.
- De Verwerker (“VendicAI”): The aiBoosters, gevestigd te Apeldoorn, Nederland, ingeschreven bij de Kamer van Koophandel onder nummer 99403943, die het VendicAI platform exploiteert.
Hierna gezamenlijk aangeduid als “Partijen”.
Artikel 2. Definities
In deze Overeenkomst wordt verstaan onder:
- AVG/GDPR
- Verordening (EU) 2016/679 van het Europees Parlement en de Raad (Algemene Verordening Gegevensbescherming).
- Persoonsgegevens
- Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (betrokkene), zoals gedefinieerd in artikel 4 lid 1 AVG.
- Verwerking
- Elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés (artikel 4 lid 2 AVG).
- Betrokkenen
- De natuurlijke personen wier persoonsgegevens worden verwerkt. In het kader van deze Overeenkomst betreft dit primair de klanten (eindconsumenten) van de Opdrachtgever, alsmede medewerkers van de Opdrachtgever die het VendicAI platform gebruiken.
- Sub-verwerker
- Een derde partij die door VendicAI wordt ingeschakeld om (een deel van) de verwerking uit te voeren.
- Datalek
- Een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 AVG.
- AP
- De Autoriteit Persoonsgegevens, de Nederlandse toezichthoudende autoriteit.
Artikel 3. Onderwerp, duur en aard van de verwerking
3.1 Onderwerp
VendicAI verwerkt persoonsgegevens van de klanten (eindconsumenten) van de Opdrachtgever in het kader van het leveren van AI-gestuurde klantenservice diensten. VendicAI treedt hierbij op als verwerker in de zin van artikel 4 lid 8 AVG. De Opdrachtgever is de verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG.
3.2 Duur
Deze Overeenkomst is van kracht zolang VendicAI persoonsgegevens verwerkt namens de Opdrachtgever. De duur is gekoppeld aan de looptijd van het VendicAI abonnement van de Opdrachtgever. Na beëindiging gelden de bepalingen in artikel 13 van deze Overeenkomst.
3.3 Aard en doel van de verwerking
VendicAI verwerkt persoonsgegevens voor de volgende doeleinden:
- Het ontvangen, verwerken en beantwoorden van klantvragen via chat, e-mail, WhatsApp, Instagram en andere kanalen
- Het genereren van AI-gestuurde antwoorden op klantvragen met behulp van Large Language Models (LLMs)
- Het koppelen van klantgegevens aan bestel- en orderinformatie uit e-commerce platformen (Shopify, WooCommerce, etc.)
- Het bijhouden van gespreksgeschiedenis en klantinteracties voor servicecontinuïteit
- Het genereren van analytics en rapportages over klantenservice prestaties
- Het verwerken van retouren en klantverzoeken via gekoppelde logistieke diensten
- Het verzenden van CSAT-enquêtes en het verwerken van klanttevredenheidsscores
Artikel 4. Categorieën persoonsgegevens en betrokkenen
4.1 Categorieën betrokkenen
- Klanten (eindconsumenten) van de Opdrachtgever die contact opnemen via de ondersteunde kanalen
- Medewerkers van de Opdrachtgever die het VendicAI dashboard gebruiken
4.2 Categorieën persoonsgegevens van klanten (eindconsumenten)
| Categorie | Gegevens | Beveiliging |
|---|---|---|
| Contactgegevens | Naam, e-mailadres, telefoonnummer | AES-256-GCM versleuteling |
| Communicatie-inhoud | Berichten, e-mails, chat transcripties, bijlagen | Versleuteld opgeslagen |
| Bestelgegevens | Ordernummers, bestelhistorie, verzendadressen, betaalstatus | Via e-commerce koppeling |
| Klantprofiel | Levenslange klantwaarde, aantal bestellingen, klantlabels, aangepaste velden | Tenant-geïsoleerd |
| Tevredenheid | CSAT-scores (1-5), feedback opmerkingen | Geanonimiseerd in rapportages |
| Technische gegevens | IP-adres, user agent, sessie-informatie | Alleen voor beveiligingslogboek |
| Kanaalgegevens | WhatsApp-telefoonnummer, Instagram-gebruikersnaam, e-mailadres | Via kanaalintegratie |
4.3 Categorieën persoonsgegevens van medewerkers
- Naam en e-mailadres (versleuteld)
- Wachtwoord (gehashed, niet leesbaar)
- Rol en rechten binnen het platform
- Inloggeschiedenis, IP-adressen en user agents
- Tweefactorauthenticatie-gegevens (TOTP-sleutels, versleuteld)
Artikel 5. Verplichtingen van de Verwerker (artikel 28 lid 3 AVG)
5.1 Instructies (artikel 28 lid 3 sub a)
VendicAI verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Opdrachtgever, inclusief met betrekking tot doorgiften naar derde landen. Indien VendicAI op grond van Unierecht of lidstatelijk recht verplicht is tot verwerking, informeert VendicAI de Opdrachtgever hierover voorafgaand aan de verwerking, tenzij dit wettelijk verboden is.
5.2 Geheimhouding (artikel 28 lid 3 sub b)
VendicAI waarborgt dat alle personen die gemachtigd zijn persoonsgegevens te verwerken, zich hebben verplicht tot geheimhouding, dan wel aan een passende wettelijke geheimhoudingsplicht zijn onderworpen.
5.3 Beveiligingsmaatregelen (artikel 28 lid 3 sub c, artikel 32)
VendicAI treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De specifieke maatregelen zijn beschreven in Bijlage B van deze Overeenkomst.
5.4 Sub-verwerkers (artikel 28 lid 3 sub d)
VendicAI schakelt sub-verwerkers in op basis van algemene schriftelijke toestemming van de Opdrachtgever. De actuele lijst van sub-verwerkers is opgenomen in Bijlage C. Bij voorgenomen wijzigingen (toevoeging of vervanging van sub-verwerkers) informeert VendicAI de Opdrachtgever minimaal 30 dagen vooraf per e-mail, zodat de Opdrachtgever bezwaar kan maken. Indien de Opdrachtgever bezwaar maakt en partijen niet tot overeenstemming komen, heeft de Opdrachtgever het recht de Overeenkomst te beëindigen.
VendicAI legt aan elke sub-verwerker dezelfde verplichtingen op als in deze Overeenkomst, middels een sub-verwerkersovereenkomst. VendicAI blijft volledig aansprakelijk jegens de Opdrachtgever voor de nakoming door de sub-verwerker (artikel 28 lid 4 AVG).
5.5 Rechten van betrokkenen (artikel 28 lid 3 sub e)
VendicAI assisteert de Opdrachtgever, door passende technische en organisatorische maatregelen, bij het vervullen van de plicht om verzoeken van betrokkenen te beantwoorden met betrekking tot de uitoefening van hun rechten onder hoofdstuk III van de AVG, waaronder:
- Recht van inzage (artikel 15)
- Recht op rectificatie (artikel 16)
- Recht op gegevenswissing (“recht op vergetelheid”, artikel 17)
- Recht op beperking van verwerking (artikel 18)
- Recht op overdraagbaarheid van gegevens (artikel 20)
- Recht van bezwaar (artikel 21)
VendicAI biedt hiervoor functionaliteit in het platform, waaronder GDPR data-export en data-verwijdering per klant.
5.6 Bijstand bij verplichtingen (artikel 28 lid 3 sub f)
VendicAI assisteert de Opdrachtgever bij het nakomen van de verplichtingen uit artikelen 32 t/m 36 AVG, met name op het gebied van:
- Beveiliging van de verwerking (artikel 32)
- Melding van datalekken aan de toezichthouder (artikel 33)
- Melding van datalekken aan betrokkenen (artikel 34)
- Gegevensbeschermingseffectbeoordeling (DPIA, artikel 35)
- Voorafgaande raadpleging van de AP (artikel 36)
5.7 Verwijdering of teruggave (artikel 28 lid 3 sub g)
Na beëindiging van de verwerkingsdiensten verwijdert VendicAI alle persoonsgegevens of geeft deze terug aan de Opdrachtgever, naar keuze van de Opdrachtgever, en verwijdert bestaande kopieën, tenzij opslag op grond van Unierecht of lidstatelijk recht verplicht is. Zie artikel 13 voor de procedure.
5.8 Audit (artikel 28 lid 3 sub h)
VendicAI stelt alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen uit artikel 28 AVG aan te tonen, en maakt audits en inspecties door of namens de Opdrachtgever mogelijk. VendicAI draagt bij aan deze audits.
De Opdrachtgever heeft het recht om maximaal één (1) audit per kalenderjaar uit te voeren, met een opzegtermijn van minimaal 30 dagen. De audit vindt plaats op een nader overeen te komen tijdstip tijdens kantooruren. De kosten van de audit zijn voor rekening van de Opdrachtgever, tenzij de audit tekortkomingen van VendicAI aan het licht brengt.
Artikel 6. Datalekken (artikelen 33 en 34 AVG)
VendicAI informeert de Opdrachtgever zonder onredelijke vertraging en uiterlijk binnen 48 uur na kennisname van een datalek dat betrekking heeft op de persoonsgegevens die namens de Opdrachtgever worden verwerkt.
De melding bevat ten minste:
- De aard van het datalek, inclusief de categorieën betrokkenen en het geschatte aantal betrokkenen
- De naam en contactgegevens van de verantwoordelijke bij VendicAI
- De waarschijnlijke gevolgen van het datalek
- De maatregelen die VendicAI heeft genomen of voorstelt om het datalek aan te pakken, inclusief maatregelen om de mogelijke nadelige gevolgen te beperken
De Opdrachtgever is vervolgens verantwoordelijk voor het melden van het datalek bij de AP (binnen 72 uur na kennisname, artikel 33 AVG) en, indien nodig, bij de betrokkenen (artikel 34 AVG).
VendicAI documenteert alle datalekken, hun gevolgen en de genomen herstelmaatregelen, conform artikel 33 lid 5 AVG.
Artikel 7. Doorgifte buiten de EER (artikelen 44-49 AVG)
VendicAI maakt gebruik van sub-verwerkers die gevestigd zijn buiten de Europese Economische Ruimte (EER), met name in de Verenigde Staten. Voor deze doorgiften gelden de volgende waarborgen:
- EU-US Data Privacy Framework: Sub-verwerkers die gecertificeerd zijn onder het EU-US Data Privacy Framework (adequaatheidsbesluit van de Europese Commissie, 10 juli 2023) worden beschermd op basis van artikel 45 AVG.
- Standard Contractual Clauses (SCCs): Voor sub-verwerkers die niet onder het Data Privacy Framework vallen, worden de Standaardcontractbepalingen (Uitvoeringsbesluit (EU) 2021/914) gehanteerd als doorgiftemechanisme conform artikel 46 lid 2 sub c AVG.
- Aanvullende maatregelen: Waar nodig worden aanvullende technische maatregelen getroffen, zoals encryptie in transit en at rest, pseudonimisering en toegangsbeperking.
De specifieke doorgiftemechanismen per sub-verwerker zijn vermeld in Bijlage C.
Artikel 8. Technische en organisatorische maatregelen (artikel 32 AVG)
VendicAI treft de volgende maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Een uitgebreide beschrijving is opgenomen in Bijlage B.
8.1 Versleuteling
- Persoonsgegevens (namen, e-mailadressen, telefoonnummers) worden versleuteld opgeslagen met AES-256-GCM
- Alle dataverbindingen zijn beveiligd met TLS 1.2 of hoger
- Database-encryptie at rest via Cloud SQL managed encryption
- Wachtwoorden worden gehashed met bcrypt (nooit leesbaar opgeslagen)
8.2 Toegangsbeveiliging
- Multi-tenant isolatie via PostgreSQL Row-Level Security (RLS)
- Role-Based Access Control (RBAC) met hiërarchische rollen: owner > admin > supervisor > agent
- JWT-authenticatie met korte token-levensduur
- Optionele tweefactorauthenticatie (TOTP) en WebAuthn/passkeys
- Rate limiting op alle API endpoints
8.3 Beschikbaarheid en herstel
- Hosting op Google Cloud Platform (Cloud Run, europe-west4, Nederland)
- Automatische backups van de database (dagelijks, 7 dagen bewaard)
- High-availability configuratie met automatische scaling
- Incident response procedure met escalatieprotocol
8.4 Logging en monitoring
- Uitgebreid auditlogboek van alle gebruikersacties (inlog, wijzigingen, dataverzoeken)
- Monitoring van systeemprestaties en beveiligingsincidenten
- Anomaliedetectie op inlogpogingen
8.5 Organisatorische maatregelen
- Principle of least privilege voor alle medewerkers
- Geheimhoudingsverplichtingen voor alle medewerkers
- Regelmatige evaluatie van beveiligingsmaatregelen
- Secure development lifecycle (code reviews, dependency scanning)
Artikel 9. Rechten van betrokkenen (artikelen 15-22 AVG)
Indien VendicAI een verzoek ontvangt van een betrokkene met betrekking tot de uitoefening van diens rechten, stuurt VendicAI dit verzoek onverwijld door naar de Opdrachtgever. VendicAI beantwoordt het verzoek niet zelf, tenzij de Opdrachtgever VendicAI hiertoe schriftelijk heeft gemachtigd.
VendicAI biedt de volgende technische functionaliteit om betrokkenenrechten te faciliteren:
- Data-export (inzage/portabiliteit): Volledige export van klantgegevens in JSON-formaat, inclusief alle gesprekken, berichten en metadata
- Data-verwijdering (vergetelheid): Soft-delete van klantprofiel met markering van verwijderdatum, gevolgd door definitieve verwijdering uit alle systemen
- Rectificatie: Klantgegevens zijn bewerkbaar via het dashboard
Artikel 10. Gegevensbeschermingseffectbeoordeling (DPIA)
Indien de Opdrachtgever op grond van artikel 35 AVG verplicht is een DPIA uit te voeren, verstrekt VendicAI alle benodigde informatie over de verwerkingsactiviteiten, technische en organisatorische maatregelen, en risico’s.
Artikel 11. Register van verwerkingsactiviteiten (artikel 30 AVG)
VendicAI houdt een register bij van alle categorieën van verwerkingsactiviteiten die namens de Opdrachtgever worden uitgevoerd, conform artikel 30 lid 2 AVG. Dit register bevat:
- De naam en contactgegevens van VendicAI
- De categorieën verwerkingen die namens elke Opdrachtgever worden uitgevoerd
- Doorgiften naar derde landen inclusief het doorgiftemechanisme
- Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
Artikel 12. Aansprakelijkheid
De aansprakelijkheid van VendicAI onder deze Overeenkomst is beperkt tot directe schade en is gemaximeerd tot het totaalbedrag dat de Opdrachtgever in de 12 maanden voorafgaand aan het schadeveroorzakende feit aan VendicAI heeft betaald.
Deze beperking geldt niet in geval van opzet of bewuste roekeloosheid van VendicAI, noch voor boetes opgelegd door de AP die direct voortvloeien uit een aantoonbare tekortkoming van VendicAI.
Iedere partij is aansprakelijk conform artikel 82 AVG. Indien VendicAI betrokken is bij dezelfde verwerking als de Opdrachtgever, is VendicAI aansprakelijk voor schade veroorzaakt door verwerking die in strijd is met de AVG of met de instructies van de Opdrachtgever.
Artikel 13. Beëindiging en teruggave van gegevens
Bij beëindiging van de dienstverlening of deze Overeenkomst:
- VendicAI stelt de Opdrachtgever in staat om binnen 30 dagen na beëindiging een volledige export van alle persoonsgegevens op te vragen in een gangbaar, machineleesbaar formaat (JSON).
- Na afloop van deze termijn van 30 dagen verwijdert VendicAI alle persoonsgegevens van de Opdrachtgever definitief, inclusief alle kopieën en backups, tenzij bewaring wettelijk verplicht is.
- VendicAI bevestigt schriftelijk dat alle gegevens zijn verwijderd.
- Gegevens die op grond van wettelijke bewaarplichten moeten worden bewaard (zoals fiscale gegevens, 7 jaar) worden na afloop van de wettelijke termijn alsnog verwijderd.
Artikel 14. Toepasselijk recht en geschillen
Op deze Overeenkomst is Nederlands recht van toepassing. Geschillen die voortvloeien uit deze Overeenkomst worden voorgelegd aan de bevoegde rechter te Apeldoorn, Nederland.
Artikel 15. Wijzigingen
VendicAI kan deze Overeenkomst wijzigen om te voldoen aan gewijzigde wet- en regelgeving of gewijzigde verwerkingsactiviteiten. Bij materiële wijzigingen informeert VendicAI de Opdrachtgever minimaal 30 dagen vooraf per e-mail. Indien de Opdrachtgever niet instemt met de wijziging, heeft de Opdrachtgever het recht de Overeenkomst te beëindigen.
Bijlage A: Verwerkingsactiviteiten
| Activiteit | Gegevens | Grondslag | Bewaartermijn |
|---|---|---|---|
| Klantenservice via chat, e-mail, WhatsApp, Instagram | Naam, e-mail, telefoonnummer, berichtinhoud, bijlagen | Uitvoering overeenkomst | Duur abonnement + 30 dagen |
| AI-gegenereerde antwoorden | Berichtinhoud, klantcontext, bestelgegevens | Uitvoering overeenkomst | Niet bewaard door LLM-provider (API-modus) |
| E-commerce koppeling (Shopify, WooCommerce) | Klantprofielen, bestelhistorie, productgegevens | Uitvoering overeenkomst | Duur abonnement + 30 dagen |
| Analytics en rapportages | Geaggregeerde gespreksstatistieken, CSAT-scores | Gerechtvaardigd belang | Duur abonnement + 30 dagen |
| GDPR data-export en verwijdering | Alle klantgegevens in JSON-formaat | Wettelijke verplichting | Exportbestand: 48 uur |
| Auditlogboek | Gebruikers-ID, IP-adres, actie, tijdstip | Gerechtvaardigd belang / wettelijke verplichting | 1 jaar |
| Facturatie | Bedrijfsnaam, KvK, btw-nummer, facturatieadres | Wettelijke verplichting | 7 jaar (fiscale bewaarplicht) |
Bijlage B: Technische en organisatorische maatregelen (TOMs)
Versleuteling en pseudonimisering
- AES-256-GCM veldniveau-encryptie voor PII (namen, e-mails, telefoonnummers)
- SHA-256 hashing voor doorzoekbare versleutelde velden (e-mail lookup zonder decryptie)
- bcrypt wachtwoordhashing met voldoende rounds
- TLS 1.2+ voor alle dataverbindingen
- Encryptie at rest via Google Cloud SQL managed encryption
- Versleutelde opslag van OAuth-tokens en API-sleutels van integraties
Toegangsbeveiliging
- PostgreSQL Row-Level Security (RLS) voor tenant-isolatie
- Hiërarchisch RBAC-systeem (owner > admin > supervisor > agent > member)
- JWT-authenticatie met korte token-levensduur en refresh-token rotatie
- Optionele TOTP tweefactorauthenticatie
- WebAuthn/FIDO2 passkey-ondersteuning
- Rate limiting op alle API-endpoints
- Brute-force bescherming op inlogpogingen
- Principle of least privilege voor alle systeemtoegang
Beschikbaarheid en veerkracht
- Hosting op Google Cloud Platform, regio europe-west4 (Eemshaven, Nederland)
- Cloud Run met automatische horizontale scaling
- Cloud SQL met dagelijkse automatische backups (7 dagen bewaard)
- Point-in-time recovery mogelijkheid voor de database
- Circuit breaker patronen voor externe API-afhankelijkheden (LLM fallback)
- Health check monitoring met automatische herstart
Logging, monitoring en incidentrespons
- Uitgebreid auditlogboek van alle gebruikersacties
- IP-adres en user agent logging bij authenticatie-events
- Datalekmelding binnen 48 uur aan verwerkingsverantwoordelijke
- Incidentresponsproces met escalatieniveaus
- Google Cloud Logging voor systeemmonitoring
Ontwikkeling en onderhoud
- Secure development lifecycle met code reviews
- Automatische dependency scanning op kwetsbaarheden
- Gescheiden ontwikkel-, test- en productieomgevingen
- Zod-validatie op alle API-inputs ter voorkoming van injectie-aanvallen
- Regelmatige beveiligingsaudits en updates
Organisatorische maatregelen
- Geheimhoudingsverplichtingen voor alle medewerkers
- Beperkte toegang tot productieomgeving (need-to-know basis)
- Veilig beheer van cryptografische sleutels via Google Cloud Secret Manager
- Regelmatige evaluatie en verbetering van beveiligingsmaatregelen
Bijlage C: Lijst van sub-verwerkers
Onderstaande sub-verwerkers worden door VendicAI ingeschakeld voor de uitvoering van de dienstverlening. De Opdrachtgever geeft hierbij algemene toestemming voor het gebruik van deze sub-verwerkers (artikel 28 lid 2 AVG).
| Sub-verwerker | Locatie | Doel | Waarborg doorgifte |
|---|---|---|---|
| Google Cloud Platform (Cloud SQL, Cloud Run, GCS) | Nederland (europe-west4) | Hosting, database, opslag, GDPR-exports | EU-regio, geen doorgifte |
| OpenAI (API) | Verenigde Staten | AI-antwoorden genereren via GPT-4o / GPT-4o-mini | DPA + SCCs, zero data retention (API-modus) |
| Anthropic (API) | Verenigde Staten | Fallback AI-antwoorden via Claude (bij OpenAI storing) | DPA + SCCs, geen dataopslag |
| Mollie | Nederland | Betalingsverwerking en facturatie | EU-gevestigd, geen doorgifte |
| Moneybird | Nederland | Boekhouding en factuuradministratie | EU-gevestigd, geen doorgifte |
Optionele sub-verwerkers (alleen bij activatie door Opdrachtgever)
De volgende sub-verwerkers worden uitsluitend ingeschakeld wanneer de Opdrachtgever de betreffende integratie activeert in het VendicAI dashboard:
| Sub-verwerker | Locatie | Doel | Waarborg doorgifte |
|---|---|---|---|
| Shopify | VS / Canada | E-commerce koppeling (klant-, bestel-, productgegevens) | DPA + SCCs |
| Meta (WhatsApp Cloud API) | Verenigde Staten | WhatsApp-berichten verzenden en ontvangen | DPA + SCCs |
| Meta (Instagram Messaging API) | Verenigde Staten | Instagram Direct Messages verwerken | DPA + SCCs |
| Google (Gmail API) | Verenigde Staten | E-mailkanaal via Gmail OAuth | Google Workspace DPA + SCCs |
| Microsoft (Graph API) | Verenigde Staten | E-mailkanaal via Office 365 OAuth | Microsoft DPA + SCCs |
| Zendesk | Verenigde Staten | Ticketsysteem-integratie en migratie | DPA + SCCs |
| Unipile | EU | Unified messaging API voor kanaalintegraties | EU-gevestigd, geen doorgifte |
| SendCloud | Nederland | Retourlabels en verzendstatus | EU-gevestigd, geen doorgifte |
| Returnista | Nederland | Retourverwerking en drop-off punten | EU-gevestigd, geen doorgifte |
| Returnless | Nederland | Retourportaal en zelfservice retouren | EU-gevestigd, geen doorgifte |
Contactgegevens Verwerker
The aiBoosters
KvK: 99403943
Apeldoorn, Nederland
E-mail: privacy@theaiboosters.com
Website: govendic.com
Voor vragen over deze Verwerkersovereenkomst of de verwerking van persoonsgegevens kunt u contact opnemen via bovenstaand e-mailadres.