Bedrijfsuil
Plan een demo

Wettelijk document

Verwerkersovereenkomst

Laatst bijgewerkt: 26 april 2026

Dit is de standaard verwerkersovereenkomst (DPA) van Bedrijfsuil B.V.. Wij sluiten deze overeenkomst af met iedere klant die persoonsgegevens via ons platform laat verwerken. Het document is opgesteld op basis van artikel 28 van de Algemene Verordening Gegevensbescherming (AVG / GDPR) en de uitvoeringsbepalingen onder de Uitvoeringswet AVG (UAVG).

Voor ondertekening worden de klantgegevens (naam onderneming, KvK, contactpersoon, ingangsdatum) ingevuld in een bijlage bij deze overeenkomst. Vraag een ingevulde versie op via privacy@bedrijfsuil.nl.

1. Definities

In deze verwerkersovereenkomst (hierna: Overeenkomst) wordt verstaan onder:

  • Verwerkingsverantwoordelijke: de klant die met Bedrijfsuil B.V. een hoofdovereenkomst is aangegaan en bepaalt welk doel en welke middelen worden gebruikt voor de verwerking van persoonsgegevens.
  • Verwerker: Bedrijfsuil B.V., gevestigd te Rotterdam, ingeschreven in het handelsregister.
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in artikel 4 lid 1 AVG.
  • Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
  • Hoofdovereenkomst: de overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker waarop deze Overeenkomst aansluit, doorgaans een SaaS-abonnement of consultancy-opdracht voor het Bedrijfsuil-platform.
  • AVG / GDPR: Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).
  • Sub-verwerker: een door Verwerker ingeschakelde derde partij die persoonsgegevens verwerkt onder verantwoordelijkheid van Verwerker.
  • Datalek: een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4 lid 12 AVG.

2. Onderwerp en doel

Deze Overeenkomst regelt de voorwaarden waaronder Verwerker persoonsgegevens verwerkt namens en in opdracht van Verwerkingsverantwoordelijke in het kader van de Hoofdovereenkomst. De verwerking vindt uitsluitend plaats voor het leveren van het Bedrijfsuil-platform en aanverwante consultancy- en ondersteuningsdiensten.

Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke (waaronder elektronische) instructies van Verwerkingsverantwoordelijke, behoudens een afwijkende wettelijke verplichting. In dat laatste geval stelt Verwerker Verwerkingsverantwoordelijke daarvan voorafgaand aan de verwerking in kennis, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

3. Aard en duur van de verwerking

De aard van de verwerking betreft het via MCP-koppelingen ontsluiten van zakelijke tools (boekhouding, CRM, e-commerce, e-mail, etc.), het beantwoorden van vragen door middel van AI, het uitvoeren van triggers en routines, en het loggen van die uitvoer. De verwerking is elektronisch en geautomatiseerd; menselijke tussenkomst vindt plaats op verzoek van Verwerkingsverantwoordelijke en bij ondersteuning.

Deze Overeenkomst geldt voor de duur van de Hoofdovereenkomst en eindigt van rechtswege op het moment dat de Hoofdovereenkomst eindigt. Verplichtingen die naar hun aard bedoeld zijn om na beëindiging te blijven gelden — waaronder geheimhouding, retournering en vernietiging van gegevens — blijven onverminderd van kracht.

4. Categorieën persoonsgegevens en betrokkenen

Afhankelijk van de tools die Verwerkingsverantwoordelijke koppelt en de vragen die worden gesteld, kan Verwerker de volgende categorieën persoonsgegevens verwerken:

  • NAW-gegevens, contactgegevens en identificerende gegevens (klanten, leveranciers, medewerkers, sollicitanten van Verwerkingsverantwoordelijke).
  • Financiële gegevens (factuur- en betaalgegevens uit boekhoud- en payment-tools).
  • Communicatiegegevens (e-mail-headers, klantcontact-historie, chat- en WhatsApp-berichten via gekoppelde inboxen).
  • Gedrags- en transactiegegevens (orderhistorie, websitebezoeken, campagne-resultaten).
  • Technische gegevens van gebruikers van het Bedrijfsuil-platform (IP-adres, sessie-ID, login-tijdstippen, audit-logs).

Categorieën betrokkenen zijn doorgaans: klanten, leveranciers, medewerkers, sollicitanten en website-bezoekers van Verwerkingsverantwoordelijke, alsmede de gebruikers die door Verwerkingsverantwoordelijke toegang krijgen tot het platform.

Verwerker verwerkt geen bijzondere of strafrechtelijke persoonsgegevens, tenzij dat schriftelijk is overeengekomen en Verwerkingsverantwoordelijke daartoe een geldige rechtsgrond heeft.

5. Verplichtingen van de Verwerker

Verwerker zal:

  1. persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, met inbegrip van doorgiften naar derde landen of internationale organisaties;
  2. waarborgen dat personen die gemachtigd zijn de persoonsgegevens te verwerken zich tot geheimhouding hebben verbonden of door een passende wettelijke verplichting tot geheimhouding zijn gebonden;
  3. alle nodige technische en organisatorische maatregelen treffen die op grond van artikel 32 AVG vereist zijn (zie sectie 6);
  4. Verwerkingsverantwoordelijke bijstaan bij het vervullen van zijn plicht om verzoeken van betrokkenen te beantwoorden (zie sectie 9);
  5. Verwerkingsverantwoordelijke bijstaan bij het waarborgen van de naleving van de verplichtingen op grond van de artikelen 32 tot en met 36 AVG, rekening houdend met de aard van de verwerking en de informatie waarover Verwerker beschikt;
  6. na beëindiging van de verleende diensten alle persoonsgegevens retourneren of vernietigen, naar keuze van Verwerkingsverantwoordelijke (zie sectie 12);
  7. Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om de naleving van de verplichtingen uit dit artikel aan te tonen, en audits mogelijk maken (zie sectie 11).

6. Beveiliging van de verwerking

Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Hieronder vallen onder meer:

  • versleuteling van persoonsgegevens in transit (TLS 1.2 of hoger) en at rest (AES-256);
  • OAuth- en/of token-gebaseerde authenticatie naar gekoppelde tools; API-credentials worden versleuteld opgeslagen en nooit in logs opgenomen;
  • rolgebaseerde toegangscontrole (RBAC) binnen het platform en logging van administratieve handelingen;
  • regelmatige back-ups met encryptie en een gedocumenteerde herstelprocedure (RPO ≤ 24 uur, RTO ≤ 8 uur);
  • beveiligingsmonitoring, periodieke kwetsbaarhedenscans en review van afhankelijkheden;
  • interne procedures voor wachtwoordbeleid, on-/offboarding, incident-response en geheimhouding voor medewerkers en onderaannemers;
  • fysieke beveiliging van datacenters via gecertificeerde leveranciers (ISO 27001 of gelijkwaardig).

Verwerker beoordeelt de getroffen maatregelen periodiek en past deze aan wanneer dat redelijkerwijs noodzakelijk is op grond van veranderende risico's of voortschrijdende techniek. Op verzoek verstrekt Verwerker een actueel beveiligingsoverzicht.

7. Sub-verwerkers

Verwerkingsverantwoordelijke verleent met het aangaan van deze Overeenkomst algemene voorafgaande toestemming voor het inschakelen van sub-verwerkers, mits Verwerker:

  1. een actuele lijst met sub-verwerkers beschikbaar stelt op verzoek via privacy@bedrijfsuil.nl;
  2. met iedere sub-verwerker schriftelijke afspraken maakt die ten minste dezelfde verplichtingen opleggen als deze Overeenkomst;
  3. Verwerkingsverantwoordelijke ten minste 30 dagen vooraf op de hoogte stelt van voorgenomen wijzigingen in de samenstelling van sub-verwerkers, waarbij Verwerkingsverantwoordelijke gemotiveerd bezwaar kan maken; bij gegrond bezwaar zoekt Verwerker een alternatief of biedt Verwerkingsverantwoordelijke het recht de Hoofdovereenkomst voor het betreffende deel te beëindigen.

Verwerker blijft jegens Verwerkingsverantwoordelijke volledig aansprakelijk voor de naleving van deze Overeenkomst door sub-verwerkers.

8. Datalekken en meldplicht

Verwerker stelt Verwerkingsverantwoordelijke zonder onredelijke vertraging — en in elk geval binnen 24 uur na ontdekking — op de hoogte van een Datalek. De melding bevat ten minste:

  • de aard van het Datalek, voor zover mogelijk inclusief categorieën en aantal getroffen betrokkenen en categorieën en aantal getroffen persoonsgegevens;
  • de naam en contactgegevens van de functionaris voor gegevensbescherming of een ander aanspreekpunt;
  • de waarschijnlijke gevolgen van het Datalek;
  • de maatregelen die zijn of worden voorgesteld om het Datalek aan te pakken en de eventuele nadelige gevolgen te beperken.

Verwerker verleent Verwerkingsverantwoordelijke alle redelijke medewerking om binnen de 72-uurstermijn van artikel 33 AVG een melding te doen aan de Autoriteit Persoonsgegevens en, waar van toepassing, de betrokkenen te informeren. Verwerker meldt zelf niet aan de AP zonder voorafgaande afstemming, tenzij Verwerkingsverantwoordelijke in gebreke blijft.

9. Rechten van betrokkenen

Indien een betrokkene rechtstreeks bij Verwerker een verzoek indient op grond van de artikelen 15 tot en met 22 AVG (recht op inzage, rectificatie, vergetelheid, beperking, dataportabiliteit, bezwaar of het niet onderworpen worden aan geautomatiseerde besluitvorming), leidt Verwerker dit verzoek zonder onnodige vertraging door naar Verwerkingsverantwoordelijke en handelt het verzoek niet zelfstandig af.

Verwerker stelt passende technische en organisatorische maatregelen ter beschikking om Verwerkingsverantwoordelijke te helpen bij het beantwoorden van dergelijke verzoeken, voor zover dat redelijkerwijs mogelijk is.

10. Internationale doorgifte

Verwerker verwerkt persoonsgegevens primair binnen de Europese Economische Ruimte (EER). Wanneer voor specifieke functionaliteit een sub-verwerker buiten de EER wordt ingeschakeld (bijvoorbeeld voor AI-verwerking via Anthropic), gebeurt dit uitsluitend op basis van een in artikel 46 AVG genoemde rechtsgrond, doorgaans de modelcontractbepalingen (Standard Contractual Clauses) van de Europese Commissie van 4 juni 2021, aangevuld met aanvullende maatregelen waar nodig (bijvoorbeeld Transfer Impact Assessment).

Verwerkingsverantwoordelijke kan op verzoek inzicht krijgen in de getroffen waarborgen.

11. Audits

Verwerkingsverantwoordelijke heeft het recht om eens per jaar — of vaker bij een redelijk vermoeden van non-compliance, een Datalek of een wijziging in regelgeving — een audit uit te (laten) voeren ter verificatie van naleving van deze Overeenkomst.

De audit wordt minimaal 30 dagen vooraf aangekondigd, vindt plaats tijdens kantooruren en wordt uitgevoerd door een onafhankelijke deskundige die voorafgaand een geheimhoudingsverklaring tekent. Verwerker stelt op verzoek bestaande audit-rapporten en certificeringen (zoals ISO 27001 of SOC 2) ter beschikking om de inspanning voor beide partijen te beperken. Kosten van de audit zijn voor Verwerkingsverantwoordelijke, tenzij uit de audit volgt dat Verwerker materieel tekortschiet.

12. Einde van de verwerking

Bij beëindiging van de Hoofdovereenkomst:

  1. retourneert Verwerker op verzoek van Verwerkingsverantwoordelijke binnen 30 dagen alle persoonsgegevens in een gangbaar gestructureerd formaat (bijvoorbeeld JSON of CSV); en
  2. vernietigt Verwerker vervolgens alle persoonsgegevens en back-up-kopieën, tenzij wettelijke bewaarplicht zich daartegen verzet. Vernietiging vindt plaats binnen uiterlijk 90 dagen na beëindiging.

Op verzoek bevestigt Verwerker schriftelijk dat de retournering/vernietiging is voltooid.

13. Aansprakelijkheid

De aansprakelijkheid van partijen onder deze Overeenkomst sluit aan op de aansprakelijkheidsbepalingen van de Hoofdovereenkomst, met inachtneming van artikel 82 AVG. Voor zover daarvan niet kan worden afgeweken, is iedere partij aansprakelijk voor de schade die voortvloeit uit het niet-naleven van haar verplichtingen onder de AVG.

14. Wijzigingen

Verwerker mag deze Overeenkomst eenzijdig wijzigen wanneer een wijziging in wet- of regelgeving daartoe aanleiding geeft. Substantiële wijzigingen worden minimaal 30 dagen vooraf aangekondigd via e-mail. Indien Verwerkingsverantwoordelijke gemotiveerd bezwaar maakt en partijen er niet uitkomen, kan Verwerkingsverantwoordelijke de Hoofdovereenkomst zonder kosten beëindigen.

15. Toepasselijk recht en geschillen

Op deze Overeenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Rotterdam, tenzij dwingend recht een andere rechter aanwijst.

Contact

Vragen, audit-verzoeken en datalekmeldingen kunnen worden gericht aan privacy@bedrijfsuil.nl. Voor uitoefening van rechten van betrokkenen verwijst Bedrijfsuil B.V. terug naar de Verwerkingsverantwoordelijke (de klant van wiens zakelijke tools de gegevens afkomstig zijn).