← Terug naar BrandPulse

Verwerkersovereenkomst

Versie 1.0 (concept) · laatst bijgewerkt 2026-06-10

Deze verwerkersovereenkomst (hierna: DPA) maakt onlosmakelijk deel uit van de overeenkomst tussen ai-werkers (hierna: Verwerker) en de klant die BrandPulse gebruikt (hierna: Verwerkingsverantwoordelijke). Bij gebruik van BrandPulse ga je akkoord met deze tekst.

1. Definities

  • AVG: Algemene Verordening Gegevensbescherming (EU 2016/679).
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (art. 4 lid 1 AVG).
  • Verwerking: elke bewerking van Persoonsgegevens als bedoeld in art. 4 lid 2 AVG.
  • BrandPulse: de content-dienst die Verwerker levert.

2. Onderwerp en doel

Verwerker verwerkt Persoonsgegevens uitsluitend ten behoeve van de levering van BrandPulse: het analyseren van de tone of voice, het ophalen van nieuwsbronnen op opgegeven onderwerpen, het genereren van LinkedIn-content en het plannen daarvan. Verwerker gebruikt Persoonsgegevens nooit voor eigen marketing, profilering of het trainen van AI-modellen.

3. Categorieën betrokkenen en gegevens

  • Betrokkenen: de medewerkers van Verwerkingsverantwoordelijke die BrandPulse gebruiken, en personen die incidenteel voorkomen in door Verwerkingsverantwoordelijke aangeleverde of via openbare bronnen opgehaalde content.
  • Categorieën Persoonsgegevens: naam, e-mailadres, organisatie, rol, en optioneel functietitel, telefoonnummer, voorkeuren; door de gebruiker aangeleverde teksten (tone of voice, onderwerpen) en gegenereerde content.

4. Verantwoordelijkheden van Verwerker

  • Verwerkt Persoonsgegevens uitsluitend op gedocumenteerde instructie van Verwerkingsverantwoordelijke en conform deze DPA.
  • Waarborgt geheimhouding door personen die toegang hebben tot Persoonsgegevens.
  • Treft passende technische en organisatorische maatregelen (zie sectie 6).
  • Houdt een verwerkingsregister bij conform art. 30 lid 2 AVG.
  • Verleent redelijke medewerking bij de uitoefening van rechten van Betrokkenen.

5. Sub-verwerkers

Verwerkingsverantwoordelijke geeft algemene toestemming voor de volgende sub-verwerkers:

  • Railway (VS, EU-regio) — hosting van applicatie en database; opslag in de EU.
  • OpenAI, L.L.C. (VS) — AI-analyse, contentgeneratie en web search.
  • Nieuws-API (optioneel) — externe nieuwsbron indien geconfigureerd.
  • Sentry (optioneel) — foutregistratie indien ingeschakeld.

Wijziging van sub-verwerkers wordt minimaal 14 dagen vooraf gemeld, met de mogelijkheid bezwaar te maken.

6. Beveiligingsmaatregelen

  • Hosting en opslag in een datacenter binnen de Europese Unie.
  • Versleuteling in transit (TLS); wachtwoorden gehasht met bcrypt.
  • Sessies via httpOnly, Secure en SameSite cookies.
  • Strikte scheiding van klantgegevens per organisatie (multi-tenant).
  • Rate-limiting, audit-trail en need-to-know-toegang voor medewerkers.
  • Registratie uitsluitend op uitnodiging; periodieke security-reviews.

7. Datalek-meldingsplicht

Verwerker meldt een datalek dat Persoonsgegevens van Verwerkingsverantwoordelijke raakt zo spoedig mogelijk, en in elk geval binnen 48 uur na ontdekking, schriftelijk. De melding bevat ten minste de aard van het lek, de geraakte categorieën gegevens, de getroffen maatregelen en een contactpunt.

8. Bijstand bij rechten van Betrokkenen

Verwerker ondersteunt binnen redelijke termijn bij verzoeken om inzage, rectificatie, beperking, overdraagbaarheid of vergetelheid. Voor veel rechten kan Verwerkingsverantwoordelijke direct in de app terecht (gegevens en account verwijderen).

9. Audit-recht

Verwerkingsverantwoordelijke mag ten hoogste eenmaal per jaar — of vaker bij ernstige indicatie van een lek — op eigen kosten een audit (laten) verrichten. Verwerker werkt redelijk mee en kan een vooraankondiging van minimaal 30 dagen verlangen.

10. Internationale doorgifte

Voor de AI-functionaliteit worden gegevens verwerkt door OpenAI in de Verenigde Staten. Deze doorgifte vindt plaats op basis van de EU-Standaardcontractbepalingen (SCC's) en, waar van toepassing, het EU-US Data Privacy Framework. Hosting en opslag vinden plaats binnen de EU. Doorgegeven gegevens worden geminimaliseerd tot wat nodig is voor de dienst.

11. Bewaartermijnen

  • Account- en contentgegevens: tot 30 dagen na opzegging.
  • Technische logs: circa 30 dagen.
  • Audit-log: 12 maanden, daarna geaggregeerd.
  • Facturatiegegevens: 7 jaar (fiscale bewaarplicht), indien van toepassing.

12. Beëindiging

Bij beëindiging van de hoofdovereenkomst verwijdert Verwerker binnen 30 dagen alle Persoonsgegevens, behalve waar wettelijk anders vereist. In die periode kan Verwerkingsverantwoordelijke een export aanvragen via privacy@ai-werkers.nl.

13. Aansprakelijkheid

Aansprakelijkheid voor schade uit deze DPA volgt de hoofdovereenkomst en de wettelijke regels van de AVG. Verwerker is niet aansprakelijk voor schade als gevolg van een instructie van Verwerkingsverantwoordelijke die niet in overeenstemming is met de AVG.

14. Toepasselijk recht en bevoegde rechter

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker gevestigd is.

Contact

Vragen over deze DPA? Mail privacy@ai-werkers.nl. Op werkdagen reageren we binnen 48 uur.

Concept v1.0. Wordt door een Nederlandse jurist gereviewd vóór de algemene beschikbaarheid van BrandPulse. ai-werkers levert deze tekst als informatie, niet als juridisch advies; raadpleeg voor een definitieve, ondertekenbare overeenkomst een ingeschreven jurist.