1. Partijen
Deze Verwerkersovereenkomst is aangegaan tussen:
- De Verwerkingsverantwoordelijke (“Opdrachtgever”): de organisatie die een account heeft aangemaakt bij VendicAI en deze Verwerkersovereenkomst digitaal heeft geaccepteerd via het VendicAI dashboard.
- De Verwerker (“VendicAI”): The aiBoosters, gevestigd te Apeldoorn, Nederland, KvK 99403943.
2. Definities
- AVG/GDPR
- Verordening (EU) 2016/679 van het Europees Parlement en de Raad.
- Persoonsgegevens
- Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (art. 4 lid 1 AVG).
- Verwerking
- Elke bewerking met betrekking tot persoonsgegevens (art. 4 lid 2 AVG).
- Betrokkenen
- De klanten (eindconsumenten) van de Opdrachtgever en medewerkers die het VendicAI platform gebruiken.
- Sub-verwerker
- Een derde partij die door VendicAI wordt ingeschakeld om (een deel van) de verwerking uit te voeren.
- Datalek
- Een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 AVG.
3. Onderwerp, duur en aard van de verwerking
3.1 Onderwerp
VendicAI verwerkt persoonsgegevens van klanten (eindconsumenten) van de Opdrachtgever in het kader van AI-gestuurde klantenservice. VendicAI treedt hierbij op als verwerker; de Opdrachtgever is de verwerkingsverantwoordelijke.
3.2 Duur
Deze Overeenkomst is van kracht zolang VendicAI persoonsgegevens verwerkt namens de Opdrachtgever, gekoppeld aan de looptijd van het abonnement.
3.3 Doeleinden
- Ontvangen en beantwoorden van klantvragen via chat, e-mail, WhatsApp en Instagram
- Genereren van AI-gestuurde antwoorden via Large Language Models (LLMs)
- Koppelen van klantgegevens aan order- en besteldata (Shopify, WooCommerce)
- Bijhouden van gespreksgeschiedenis voor servicecontinuïteit
- Genereren van analytics en rapportages
- Verwerken van retouren en klantverzoeken
4. Categorieën persoonsgegevens en betrokkenen
| Categorie | Gegevens | Beveiliging |
|---|---|---|
| Contactgegevens | Naam, e-mailadres, telefoonnummer | AES-256-GCM versleuteling |
| Communicatie-inhoud | Berichten, e-mails, chat transcripties | Versleuteld opgeslagen |
| Bestelgegevens | Ordernummers, producten, bedragen | Tenant-isolatie (RLS) |
| Gedragsgegevens | Klanttevredenheid (CSAT), gespreksstatistieken | Geanonimiseerd in analytics |
5. Verplichtingen van VendicAI (Verwerker)
VendicAI verplicht zich tot:
- Uitsluitend verwerken van persoonsgegevens op basis van gedocumenteerde instructies van de Opdrachtgever.
- Vertrouwelijkheid garanderen van alle medewerkers die toegang hebben tot persoonsgegevens.
- Implementatie van passende technische en organisatorische beveiligingsmaatregelen (zie Bijlage B).
- Geen sub-verwerkers inschakelen zonder voorafgaande schriftelijke toestemming van de Opdrachtgever (algemene toestemming geldt voor de sub-verwerkers in Bijlage C).
- Ondersteuning van de Opdrachtgever bij het nakomen van verplichtingen jegens betrokkenen.
- Verwijdering of teruggave van persoonsgegevens na beëindiging van de Overeenkomst.
6. Verplichtingen van de Opdrachtgever (Verwerkingsverantwoordelijke)
- De Opdrachtgever garandeert een geldige rechtsgrondslag te hebben voor de verwerking van persoonsgegevens van eindconsumenten.
- De Opdrachtgever informeert eindconsumenten over het gebruik van VendicAI in zijn eigen privacyverklaring.
- De Opdrachtgever zorgt voor tijdige, volledige en juiste instructies aan VendicAI.
7. Beveiliging
VendicAI implementeert passende technische en organisatorische maatregelen conform artikel 32 AVG. Een volledig overzicht staat in Bijlage B van dit document, inclusief: AES-256-GCM encryptie, TLS 1.2+ transport, Row-Level Security, 2FA en WebAuthn, hosting in Nederland (Google Cloud europe-west4).
8. Sub-verwerkers
VendicAI maakt gebruik van sub-verwerkers zoals vermeld in Bijlage C. Door het accepteren van deze Overeenkomst geeft de Opdrachtgever algemene toestemming voor het gebruik van deze sub-verwerkers.
VendicAI informeert de Opdrachtgever minimaal 30 dagen vooraf over wijzigingen in de lijst van sub-verwerkers. De Opdrachtgever kan bezwaar maken; indien het bezwaar gegrond is, kan de overeenkomst worden ontbonden.
Huidige sub-verwerkers (Bijlage C)
| Sub-verwerker | Doel | Land |
|---|---|---|
| Google Cloud Platform | Hosting & infrastructuur (regio NL) | NL/EU |
| Neon (PostgreSQL) | Database (EU-regio) | EU |
| OpenAI | AI-antwoorden (API, geen opslag) | VS (SCC) |
| Anthropic | AI-fallback (API, geen opslag) | VS (SCC) |
| Mollie | Betalingsverwerking | NL |
| Upstash (Redis) | Cache & queue (EU-regio) | EU |
9. Datalekken
- VendicAI stelt de Opdrachtgever binnen 48 uur na ontdekking van een datalek op de hoogte.
- De melding bevat minimaal: aard van het lek, categorieën en aantallen betrokkenen, waarschijnlijke gevolgen en genomen maatregelen.
- VendicAI verleent alle medewerking die de Opdrachtgever nodig heeft voor meldplichtprocedures bij de AP.
10. Rechten van betrokkenen
VendicAI biedt in het dashboard tools voor de Opdrachtgever om te voldoen aan rechten van betrokkenen: inzage, export, rectificatie en verwijdering van klantgegevens. VendicAI reageert op verzoeken van betrokkenen die direct bij VendicAI worden ingediend door hen door te verwijzen naar de Opdrachtgever.
11. Doorgifte buiten de EER
Doorgiften buiten de EER (naar OpenAI en Anthropic in de VS) zijn gebaseerd op Standard Contractual Clauses (SCCs) en het EU-US Data Privacy Framework. VendicAI hanteert aanvullende technische maatregelen (encryptie, geen opslag van data door deze providers).
12. Audits en bewijs van naleving
- VendicAI stelt op verzoek van de Opdrachtgever alle informatie beschikbaar die nodig is om naleving van artikel 28 AVG aan te tonen.
- Audits kunnen maximaal eenmaal per jaar worden aangevraagd, met een aankondigingstermijn van 30 dagen.
13. Beëindiging en teruggave van gegevens
- Na beëindiging van de Overeenkomst verwijdert VendicAI alle persoonsgegevens van de Opdrachtgever binnen 30 dagen, tenzij wettelijke bewaartermijnen van toepassing zijn.
- De Opdrachtgever kan binnen 30 dagen na beëindiging een volledige data-export opvragen via het dashboard of via privacy@theaiboosters.com.
14. Toepasselijk recht
Op deze Overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Apeldoorn.
Vragen over deze Verwerkersovereenkomst?
Neem contact op via privacy@theaiboosters.com. Wij reageren binnen 30 dagen op uw verzoek.