Verwerkersovereenkomst (Data Processing Agreement)
Preambule
Deze Verwerkersovereenkomst (hierna: "DPA") vormt een integraal onderdeel van de tussen partijen gesloten overeenkomst voor het leveren van diensten door MAAT Automation. Deze DPA regelt de verwerking van persoonsgegevens door MAAT Automation (Verwerker) namens Opdrachtgever (Verwerkingsverantwoordelijke) conform de Algemene Verordening Gegevensbescherming (AVG).
Deze DPA is van toepassing op alle opdrachten waarbij MAAT Automation toegang heeft tot of persoonsgegevens verwerkt namens Opdrachtgever.
Artikel 1 - Definities
- AVG: Algemene Verordening Gegevensbescherming (EU 2016/679).
- Verwerker: MAAT Automation, KVK 98655590, BTW NL005346453B10, Startbaan 782, 1187XR Amstelveen.
- Verwerkingsverantwoordelijke: Opdrachtgever, de natuurlijke of rechtspersoon die opdracht geeft aan MAAT Automation voor dienstverlening waarbij persoonsgegevens worden verwerkt.
- Persoonsgegevens: alle informatie over een geidentificeerde of identificeerbare natuurlijke persoon zoals bedoeld in artikel 4 lid 1 AVG.
- Verwerking: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens zoals bedoeld in artikel 4 lid 2 AVG.
- Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
- Datalek: inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens.
- Subverwerker: een derde partij die Verwerker inschakelt voor (een deel van) de verwerking van persoonsgegevens.
- Diensten: AI-automatiseringen (workflow automation, AI chatbots, documentverwerking, data-integratie), managed website-abonnementen en aanverwante digitale diensten.
Artikel 2 - Toepassingsgebied en doel
2.1 Toepassingsgebied
Deze Verwerkersovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens die Verwerker uitvoert in het kader van de tussen partijen gesloten overeenkomst voor het leveren van Diensten.
2.2 Doel van de verwerking
Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de volgende doeleinden:
Bij AI-automatiseringen:
- Het implementeren van AI-tools en automatiseringen
- Het configureren van chatbots en geautomatiseerde workflows
- Het verwerken van documenten en data-extractie
- Het integreren van systemen en data-integratie
- Het analyseren van data voor optimalisatie van AI-systemen
- Het leveren van ondersteuning en onderhoud aan AI-implementaties
Bij managed website-abonnementen:
- Het verzamelen van bedrijfsinformatie via de Google Places API ten behoeve van websitecreatie
- Het genereren van websitecontent via AI (Claude API / Anthropic)
- Het bouwen, hosten en onderhouden van websites
- Het verwerken van betalingen via Stripe
- Het verwerken van contactformulieren via de website
- Het analyseren van websitegebruik via analytics tools
2.3 Aard van de verwerking
De verwerking bestaat uit: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, aligneren, afschermen, wissen en vernietigen van persoonsgegevens.
Artikel 3 - Type persoonsgegevens en categorieen betrokkenen
3.1 Type persoonsgegevens
Verwerker kan de volgende categorieen persoonsgegevens verwerken namens Verwerkingsverantwoordelijke:
Algemene contactgegevens:
- Voor- en achternaam
- E-mailadres
- Telefoonnummer
- Bedrijfsnaam en functietitel
Bedrijfsinformatie (via Google Places API):
- Bedrijfsnaam, adres en telefoonnummer
- Openingstijden en categorie
- Reviews en beoordelingen
- Website en beschrijving
Betalingsgegevens (via Stripe):
- Betaalmethode (type, laatste 4 cijfers)
- Facturatiegegevens
- Transactiehistorie
Website- en gebruikersgegevens:
- IP-adres (geanonimiseerd of niet-geanonimiseerd)
- Browsing- en klikgedrag
- Apparaat- en browserinformatie
- Tijdstempels en sessieduur
Communicatiegegevens:
- Berichten via contactformulieren
- E-mailcorrespondentie
- E-mail tracking data (opens, clicks)
AI-verwerkte data:
- Input en output van AI-systemen (Claude API)
- Gegevens verwerkt ten behoeve van documentverwerking en automatisering
3.2 Categorieen betrokkenen
De persoonsgegevens kunnen betrekking hebben op:
- Klanten en potentiele klanten van Verwerkingsverantwoordelijke
- Websitebezoekers
- Gebruikers van online diensten
- Contactpersonen van zakelijke relaties
- Deelnemers aan marketingcampagnes
3.3 Bijzondere persoonsgegevens
Tenzij uitdrukkelijk anders overeengekomen, zal Verwerker geen bijzondere categorieen persoonsgegevens verwerken zoals bedoeld in artikel 9 AVG.
Artikel 4 - Verplichtingen van de Verwerker
4.1 Verwerking volgens instructies
Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van Verwerkingsverantwoordelijke, de in deze DPA beschreven verwerkingsdoeleinden, of wettelijke verplichtingen die op Verwerker rusten.
Indien Verwerker van mening is dat een instructie in strijd is met de AVG of andere wetgeving, informeert Verwerker Verwerkingsverantwoordelijke hierover onmiddellijk.
4.2 Geheimhouding
Verwerker zorgt ervoor dat alle personen die onder zijn gezag toegang hebben tot persoonsgegevens een geheimhoudingsplicht hebben (contractueel of wettelijk), zijn geinstrueerd over het belang van gegevensbescherming en uitsluitend persoonsgegevens verwerken op instructie van Verwerkingsverantwoordelijke.
4.3 Beveiliging
Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking, waaronder minimaal:
Technische maatregelen:
- SSL/TLS-encryptie (HTTPS) voor alle datatransmissie
- Beveiligde hosting bij gecertificeerde providers
- Regelmatige back-ups van gegevens
- Sterke wachtwoorden en tweefactorauthenticatie waar mogelijk
- Up-to-date software en beveiligingspatches
Organisatorische maatregelen:
- Toegangsbeperking tot persoonsgegevens (need-to-know principe)
- Autorisatieprocedures voor toegang tot systemen
- Procedures voor het veilig vernietigen van gegevens
- Incidentresponsplan voor datalekken
4.4 Bijstand bij verzoeken betrokkenen
Verwerker verleent, voor zover redelijkerwijs mogelijk en binnen zijn technische mogelijkheden, bijstand aan Verwerkingsverantwoordelijke bij het voldoen aan verzoeken van betrokkenen tot uitoefening van hun rechten onder de AVG.
Indien een betrokkene zich rechtstreeks tot Verwerker wendt, zal Verwerker dit verzoek onverwijld doorgeleiden naar Verwerkingsverantwoordelijke.
Kosten: bijstand bij complexe of grootschalige verzoeken die meer dan 2 uur werk vergen, kan tegen het geldende uurtarief in rekening worden gebracht.
4.5 Bijstand bij andere AVG-verplichtingen
Verwerker verleent Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking en de beschikbare informatie, bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA), het raadplegen van de toezichthoudende autoriteit en het waarborgen van passende beveiligingsmaatregelen.
4.6 Verwijdering of teruggave van gegevens
Na beeindiging van de dienstverlening zal Verwerker, naar keuze van Verwerkingsverantwoordelijke, alle persoonsgegevens verwijderen en bevestigen dat dit is gebeurd, of alle persoonsgegevens teruggeven in een gangbaar formaat.
Uitzondering: Verwerker mag persoonsgegevens bewaren voor zover dit wettelijk verplicht is (bijvoorbeeld fiscale bewaarplicht van 7 jaar voor facturatiegegevens).
De verwijdering of teruggave vindt plaats binnen 30 dagen na beeindiging, tenzij anders overeengekomen.
4.7 Informatieplicht en audits
Verwerker stelt alle informatie die nodig is om naleving van de AVG-verplichtingen aan te tonen, beschikbaar aan Verwerkingsverantwoordelijke.
Auditrecht: Verwerkingsverantwoordelijke heeft het recht audits en inspecties uit te voeren, mits dit schriftelijk minimaal 14 dagen van tevoren wordt aangekondigd, gebeurt op een redelijk tijdstip tijdens kantooruren, niet vaker dan 1 keer per jaar plaatsvindt (tenzij datalek of vermoeden van niet-naleving) en de auditor een geheimhoudingsverklaring ondertekent.
Artikel 5 - Subverwerkers
5.1 Toestemming gebruik subverwerkers
Verwerkingsverantwoordelijke geeft Verwerker hierbij algemene toestemming voor het inschakelen van subverwerkers voor de uitvoering van specifieke verwerkingsactiviteiten.
5.2 Huidige subverwerkers
Verwerker maakt op dit moment gebruik van de volgende subverwerkers:
| Subverwerker | Dienst | Locatie | Waarborgen |
|---|---|---|---|
| Stripe, Inc. | Betalingsverwerking (abonnementen) | Verenigde Staten / EU | Standaard contractbepalingen EU, PCI DSS gecertificeerd |
| Anthropic (Claude API) | AI-verwerking voor contentgeneratie en automatisering | Verenigde Staten | Standaard contractbepalingen EU, geen opslag API-data voor training |
| Google LLC | Google Places API, Google Analytics, Gmail | Verenigde Staten | Standaard contractbepalingen EU, adequaatheidsbesluit (DPF) |
| Formspree, Inc. | Verwerking contactformulieren | Verenigde Staten | Standaard contractbepalingen EU |
| Calendly LLC | Online afspraakplanning | Verenigde Staten | Standaard contractbepalingen EU |
| E-mail service provider | E-mail outreach en tracking | EU / Verenigde Staten | Standaard contractbepalingen EU (indien buiten EU) |
5.3 Wijziging subverwerkers
Bij voorgenomen wijzigingen betreffende de toevoeging of vervanging van subverwerkers zal Verwerker Verwerkingsverantwoordelijke hiervan minimaal 14 dagen vooraf schriftelijk (per e-mail) op de hoogte stellen.
Verwerkingsverantwoordelijke heeft het recht om binnen deze periode schriftelijk bezwaar te maken tegen de inschakeling van de nieuwe subverwerker.
5.4 Verplichtingen subverwerkers
Verwerker zal met elke subverwerker een schriftelijke overeenkomst aangaan die minimaal dezelfde gegevensbeschermingsverplichtingen oplegt als in deze DPA zijn opgenomen.
5.5 Aansprakelijkheid subverwerkers
Verwerker blijft volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van de subverwerker indien deze tekortschiet.
Artikel 6 - Doorgifte naar derde landen
6.1 Locatie verwerking
Persoonsgegevens worden in beginsel verwerkt binnen de Europese Economische Ruimte (EER).
6.2 Doorgifte buiten de EER
Voor bepaalde diensten (zoals Stripe, Anthropic, Google, Formspree, Calendly) kan doorgifte van persoonsgegevens naar landen buiten de EER plaatsvinden.
Verwerker zal alleen persoonsgegevens doorgeven naar landen buiten de EER indien er een adequaatheidsbesluit van de Europese Commissie is (artikel 45 AVG), er passende waarborgen zijn getroffen zoals standaard contractbepalingen (artikel 46 AVG), of er een andere rechtmatige grondslag bestaat volgens de AVG.
6.3 Informatieplicht
Verwerker informeert Verwerkingsverantwoordelijke op verzoek over welke landen buiten de EER betrokken zijn bij de verwerking en welke waarborgen zijn getroffen.
Artikel 7 - Datalekken
7.1 Definitie datalek
Een datalek is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging, of ongeoorloofde verstrekking van of toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
7.2 Meldplicht Verwerker
Verwerker meldt een datalek onverwijld en in ieder geval binnen 48 uur na ontdekking aan Verwerkingsverantwoordelijke.
De melding bevat minimaal: de aard van het datalek, de (naar schatting) betrokken categorieen en aantallen betrokkenen en persoonsgegevens, de waarschijnlijke gevolgen van het datalek en de voorgestelde of reeds genomen maatregelen.
7.3 Samenwerking bij datalekken
Verwerker werkt volledig mee aan onderzoek naar datalekken en verleent alle redelijke bijstand aan Verwerkingsverantwoordelijke bij het voldoen aan de meldplicht aan de toezichthouder, het informeren van betrokkenen en het beperken van de gevolgen.
7.4 Documentatie
Verwerker documenteert alle datalekken, inclusief de feiten, gevolgen en genomen maatregelen. Deze documentatie wordt op verzoek ter beschikking gesteld.
Artikel 8 - Verplichtingen Verwerkingsverantwoordelijke
8.1 Rechtmatigheid verwerking
Verwerkingsverantwoordelijke is en blijft te allen tijde verantwoordelijk voor de naleving van de AVG bij de verwerking van persoonsgegevens, de rechtmatigheid van de verwerking, het hebben van een geldige grondslag voor de verwerking en het informeren van betrokkenen (via een privacyverklaring).
8.2 Instructies
Verwerkingsverantwoordelijke verstrekt tijdig duidelijke, schriftelijke instructies aan Verwerker over de te verrichten verwerkingen.
8.3 Juistheid en volledigheid gegevens
Verwerkingsverantwoordelijke staat in voor de juistheid, volledigheid en rechtmatigheid van de persoonsgegevens die zij aan Verwerker verstrekt.
Artikel 9 - Aansprakelijkheid
9.1 AVG-aansprakelijkheid
Iedere partij is conform de AVG aansprakelijk voor schade veroorzaakt door een verwerking die in strijd is met de AVG.
Verwerker is alleen aansprakelijk voor schade veroorzaakt door de verwerking indien hij niet heeft voldaan aan de specifiek op verwerkers rustende verplichtingen uit de AVG, of hij heeft gehandeld buiten of in strijd met de rechtmatige instructies van Verwerkingsverantwoordelijke.
9.2 Beperking aansprakelijkheid
Onverminderd artikel 9.1 is de aansprakelijkheid van Verwerker beperkt conform de tussen partijen gesloten Algemene Voorwaarden, met dien verstande dat de totale aansprakelijkheid is beperkt tot het bedrag dat is betaald voor de betreffende opdracht (met een maximum van EUR 5.000), Verwerker niet aansprakelijk is voor indirecte schade en de aansprakelijkheid is beperkt tot het bedrag dat door de verzekering wordt uitgekeerd.
Artikel 10 - Duur en beeindiging
10.1 Looptijd
Deze Verwerkersovereenkomst treedt in werking op het moment van ondertekening of aanvaarding van de opdracht en blijft van kracht zolang Verwerker persoonsgegevens verwerkt namens Verwerkingsverantwoordelijke.
10.2 Einde overeenkomst
Bij beeindiging van de dienstverlening eindigt deze DPA automatisch, tenzij Verwerker op grond van wettelijke verplichtingen persoonsgegevens moet blijven bewaren.
10.3 Gevolgen beeindiging
Bij beeindiging van deze DPA verwijdert of retourneert Verwerker alle persoonsgegevens conform Artikel 4.6, verstrekt Verwerker schriftelijke bevestiging van de verwijdering en vernietigt Verwerker alle bestaande kopieen (tenzij bewaring wettelijk verplicht is).
Artikel 11 - Wijzigingen
11.1 Wijzigingen in wetgeving
Indien wijzigingen in de AVG of andere toepasselijke wetgeving aanpassingen in deze DPA noodzakelijk maken, zullen partijen in goed overleg deze DPA aanpassen.
11.2 Eenzijdige wijziging door Verwerker
Verwerker behoudt zich het recht voor deze DPA eenzijdig te wijzigen indien dit noodzakelijk is vanwege gewijzigde wet- of regelgeving, aanpassingen in de dienstverlening of richtsnoeren van toezichthoudende autoriteiten.
Verwerker zal Verwerkingsverantwoordelijke minimaal 30 dagen vooraf op de hoogte stellen van wijzigingen.
Artikel 12 - Slotbepalingen
12.1 Toepasselijk recht
Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
12.2 Geschillenbeslechting
Alle geschillen voortvloeiend uit of verband houdend met deze DPA zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker is gevestigd (Amsterdam), tenzij dwingende wetgeving anders voorschrijft.
12.3 Onderdeel van hoofdovereenkomst
Deze DPA maakt een onlosmakelijk onderdeel uit van de tussen partijen gesloten overeenkomst voor het leveren van Diensten en de daarbij horende Algemene Voorwaarden.
Bij strijdigheid tussen deze DPA en andere overeenkomsten of voorwaarden, prevaleert deze DPA voor zover het de verwerking van persoonsgegevens betreft.
12.4 Hierarchie
In geval van tegenstrijdigheid of onduidelijkheid geldt de volgende hierarchie:
- Specifieke schriftelijke afspraken tussen partijen over de verwerking
- Deze Verwerkersovereenkomst (DPA)
- Algemene Voorwaarden
- De hoofdovereenkomst
12.5 Nietigheid
Indien een bepaling van deze DPA nietig of vernietigbaar blijkt te zijn, laat dit de geldigheid van de overige bepalingen onverlet. Partijen zullen de nietige bepaling vervangen door een geldige bepaling die zoveel mogelijk het doel en de strekking van de nietige bepaling benadert.
Contactgegevens
Verwerker:
MAAT Automation
Startbaan 782
1187XR Amstelveen
KVK: 98655590
BTW: NL005346453B10
E-mail: casperheringa@gmail.com
Telefoon: 06-11778188
Verwerkingsverantwoordelijke:
[In te vullen bij ondertekening per opdracht, of automatisch de contractpartij zoals vermeld in de hoofdovereenkomst]
Bijlage A - Technische en organisatorische maatregelen
Verwerker heeft de volgende technische en organisatorische maatregelen geimplementeerd:
1. Toegangsbeveiliging:
- Sterke wachtwoordeisen (minimaal 12 tekens, hoofdletters, kleine letters, cijfers)
- Tweefactorauthenticatie (2FA) waar mogelijk
- Unieke gebruikersaccounts per medewerker/contractor
2. Netwerkbeveiliging:
- SSL/TLS-certificaten voor alle websites en applicaties
- Regelmatige beveiligingsupdates en patches
- Gebruik van VPN bij remote toegang tot kritieke systemen
3. Databeveiliging:
- Encryptie van data in transit (HTTPS/TLS)
- Encryptie van data at rest waar technisch mogelijk
- Regelmatige back-ups
- Veilig wissen van data bij verwijdering
4. Fysieke beveiliging:
- Laptops en apparaten met schijfversleuteling
- Automatische vergrendeling van werkstations na inactiviteit
5. Organisatorische maatregelen:
- Geheimhoudingsverklaring voor medewerkers en onderaannemers
- Incidentresponsplan en -procedures
- Regelmatige review van toegangsrechten
6. Subverwerkers:
- Selectie van AVG-compliant subverwerkers
- Verwerkersovereenkomsten met alle subverwerkers
- Keuze voor gecertificeerde hostingproviders waar mogelijk
7. Privacy by design:
- Minimale gegevensverwerking (dataminimalisatie)
- IP-anonimisering in Google Analytics waar mogelijk
- Pseudonimisering waar technisch haalbaar
Deze maatregelen worden periodiek geevalueerd en indien nodig bijgesteld naar aanleiding van technologische ontwikkelingen, nieuwe dreigingen of wijzigingen in wet- en regelgeving.
Deze Verwerkersovereenkomst is opgesteld conform de Algemene Verordening Gegevensbescherming (AVG / GDPR) en vormt een integraal onderdeel van de Algemene Voorwaarden van MAAT Automation. Versie 2.0 - maart 2026.