Verwerkers- overeenkomst.

Verwerker verwerkt door Verantwoordelijke aangeleverde persoonsgegevens (de "Klantgegevens") uitsluitend om de AIR-Tools-dienst te leveren: scans van door Verantwoordelijke geautoriseerde systemen, AI-ondersteunde compliance-analyse, bewijsopslag, facturatie en support. De verwerking begint bij activering van het abonnement en duurt voort gedurende het abonnement plus een exportperiode van 90 dagen na opzegging.

Categorieën betrokkenen: medewerkers, contractanten en (incidenteel) klanten en leveranciers van Verantwoordelijke wier gegevens voorkomen in gescande configuraties, geüploade documenten of AI-gesprekken. Categorieën persoonsgegevens: identificatie (namen, e-mailadressen), professionele context (rol, organisatie), technische identifiers (IP-adressen, user agents in auditlogs), en vrije tekst die Verantwoordelijke uploadt. Verwerkingshandelingen: opslag, gestructureerde organisatie, AI-inferentie, scanning, ophalen, verwijdering. Bijzondere categorieën: niet gevraagd of verwacht — Verantwoordelijke gaat ermee akkoord deze niet te uploaden buiten wat een functie expliciet ondersteunt. Volledig geanonimiseerde of geaggregeerde gegevens die niet meer tot een betrokkene herleidbaar zijn, zijn geen persoonsgegevens en vallen buiten deze DPA.

Verwerker verwerkt Klantgegevens uitsluitend op gedocumenteerde instructie van Verantwoordelijke, ook ten aanzien van internationale doorgiftes, tenzij EU-recht of het recht van een lidstaat anders verplicht. De Algemene voorwaarden plus het gebruik van de dienst (configuratie, instellingen, in-product-acties) vormen de gedocumenteerde instructies. Verwerker meldt het Verantwoordelijke wanneer een instructie naar zijn oordeel inbreuk maakt op het toepasselijke gegevensbeschermingsrecht.

Personeel dat Klantgegevens mag verwerken is schriftelijk gebonden aan geheimhouding en wordt bij indiensttreding én jaarlijks getraind op verantwoordelijkheden rond gegevensbescherming. Toegang wordt verleend volgens least-privilege en elk kwartaal getoetst.

Verwerker treft passende technische en organisatorische maatregelen: TLS 1.3 onderweg en AES-256 in rust; row-level security per tenant getest in CI; kolom-niveau encryptie voor secrets en integratietokens; MFA-capabele authenticatie via Supabase Auth; centrale applicatielogging met 90 dagen retentie; kwartaaltoetsing van toegangsrechten; gedocumenteerde SDLC met code-review op iedere wijziging, dependency-scanning, statische analyse en een jaarlijkse pentest; back-ups met 35 dagen rouleerbare retentie en geteste herstelprocedures. De actuele maatregelen staan op de transparantiepagina; Verwerker actualiseert deze in lijn met de evoluerende dreigingen en de stand van de techniek.

Verantwoordelijke geeft toestemming voor het inschakelen van de sub-verwerkers genoemd op de transparantiepagina (Vercel, Supabase, OpenAI, Anthropic, Firecrawl, Brave Search, Stripe, Resend, Sentry, HubSpot). Verwerker meldt minstens 30 dagen vooraf het toevoegen of vervangen van een sub-verwerker die Klantgegevens verwerkt. Verantwoordelijke kan op redelijke gronden gerelateerd aan gegevensbescherming bezwaar maken; komen partijen er binnen redelijke termijn niet uit, dan kan Verantwoordelijke de getroffen dienst zonder boete opzeggen. Verwerker bindt elke sub-verwerker schriftelijk aan verplichtingen die gelijkwaardig zijn aan die in deze DPA.

Operationele opslag is volledig in de EU (Vercel en Supabase EU-Frankfurt). Voor sub-verwerkers met VS-gevestigde accountdata (op dit moment OpenAI, Anthropic, Firecrawl, Brave Search, Resend, HubSpot en mogelijk Sentry afhankelijk van organisatieregio) berusten doorgiftes op de Modelovereenkomsten van de Europese Commissie, Module 2 (verwerkingsverantwoordelijke-naar-verwerker) en, waar van toepassing, Module 3 (verwerker-naar-verwerker), in de op dat moment goedgekeurde versie, plus de aanvullende technische en organisatorische maatregelen uit clausule 5. Wanneer de sub-verwerker gecertificeerd is onder het EU-VS Data Privacy Framework, vult die certificering de SCC's aan.

Verwerker biedt redelijke technische ondersteuning aan Verantwoordelijke om verzoeken van betrokkenen onder art. 12–22 AVG te beantwoorden (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar, geautomatiseerde besluitvorming). Het platform biedt self-service export en verwijdering van Verantwoordelijke's gegevens; voor alles daarbuiten: privacy@air-tools.nl. We reageren binnen 5 werkdagen. Rekening houdend met de aard van de verwerking en de bij Verwerker beschikbare informatie biedt Verwerker Verantwoordelijke tevens redelijke ondersteuning bij gegevensbeschermingseffectbeoordelingen (art. 35 AVG) en een eventuele voorafgaande raadpleging van de toezichthouder (art. 36).

Verwerker meldt zonder onnodige vertraging — en in elk geval binnen 72 uur na ontdekking — een datalek dat Klantgegevens raakt aan Verantwoordelijke. De melding bevat: aard van het lek, categorieën en aantallen betrokkenen en records, vermoedelijke gevolgen, en de getroffen of voorgenomen maatregelen. Verwerker hanteert een gedocumenteerd incident-response-runbook en draait jaarlijks een tabletop-oefening. Verwerker werkt mee aan meldingen aan toezichthouders en betrokkenen waar Verantwoordelijke partij is.

Met redelijke schriftelijke kennisgeving en maximaal eenmaal per twaalf maanden (vaker bij een datalek of waar de wet dit eist) mag Verantwoordelijke de naleving van deze DPA toetsen. Verwerker beantwoordt auditverzoeken in eerste instantie door de meest recente externe beoordelingen te delen (samenvatting pentest, beantwoorde security-vragenlijst) en specifieke schriftelijke vragen. On-site audits, voor zover strikt noodzakelijk en niet via documentatie te dekken, zijn voor rekening van Verantwoordelijke en worden zo gepland dat operationele verstoring beperkt blijft. Elke partij draagt de eigen auditkosten.

Bij beëindiging van het abonnement stelt Verwerker Klantgegevens 90 dagen beschikbaar voor export en verwijdert ze daarna uit primaire opslag; binnen de daaropvolgende 35 dagen rollen ze uit de back-ups. Op gedocumenteerd verzoek vóór het verstrijken van de 90 dagen verwijdert Verwerker de gegevens eerder en bevestigt dat schriftelijk. Back-up-verwijdering valt binnen de 35-daagse rouleercyclus na de verwijdering uit primaire opslag.

Aansprakelijkheid uit deze DPA wordt geregeerd door — en telt mee tegen — de aansprakelijkheidslimiet uit de Algemene voorwaarden. Wettelijke aansprakelijkheid voor schending van art. 82 AVG blijft onaangetast voor zover de wet beperking verbiedt.

Nederlands recht. Bevoegde rechter: de bevoegde rechter van de Rechtbank Gelderland. De van toepassing zijnde versie van de SCC's is Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021 in zijn op dat moment geldende vorm.

Privacy-/DPA-contact bij AIR-Tools B.V.: privacy@air-tools.nl. We streven naar reactie binnen één werkdag.

Heb je voor je administratie een door beide partijen getekende PDF van deze DPA op briefpapier nodig, mail dan privacy@air-tools.nl met de volledige juridische naam van je organisatie, KvK-nummer en e-mailadres van de tekeningsbevoegde. We tekenen binnen vijf werkdagen tegen. De contractuele inhoud is dezelfde als de hier gepubliceerde versie.