1. Partijen
Deze Verwerkersovereenkomst (DPA) wordt gesloten tussen:
Verwerkingsverantwoordelijke: De Klant die de Servicevoorwaarden heeft geaccepteerd en de Dienst gebruikt in de hoedanigheid van verwerkingsverantwoordelijke.
Verwerker: Alpha Digital B.V., handelend onder de naam Custos AI — Stationsplein 26, 6512 AB Nijmegen, NL · KvK 72313129
Deze Verwerkersovereenkomst maakt deel uit van en is opgenomen in de Servicevoorwaarden. Zij is gesloten overeenkomstig Artikel 28 van de AVG (GDPR).
2. Definities
- "Betrokkene" — een geïdentificeerde of identificeerbare natuurlijke persoon wiens Persoonsgegevens worden verwerkt op grond van deze Verwerkersovereenkomst.
- "Persoonsgegevens" — alle informatie met betrekking tot een Betrokkene die door de Verwerker namens de Verwerkingsverantwoordelijke wordt verwerkt in verband met de Dienst.
- "Verwerking" — elke bewerking of elk geheel van bewerkingen die op Persoonsgegevens wordt uitgevoerd, zoals gedefinieerd in Artikel 4(2) AVG.
- "Beveiligingsincident" — een inbreuk op de beveiliging die leidt tot de toevallige of onrechtmatige vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de toegang tot Persoonsgegevens.
- "Sub-verwerker" — elke derde partij die door de Verwerker wordt ingeschakeld om Persoonsgegevens namens de Verwerkingsverantwoordelijke te verwerken.
3. Reikwijdte en rollen
Deze Verwerkersovereenkomst is van toepassing op alle Verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke in verband met het verlenen van de Dienst. De Verwerkingsverantwoordelijke bepaalt de doeleinden en middelen van de Verwerking. De Verwerker verwerkt Persoonsgegevens uitsluitend namens de Verwerkingsverantwoordelijke en overeenkomstig de gedocumenteerde instructies van de Verwerkingsverantwoordelijke.
Toelichting bij AI-providers (BYOK): Deze Verwerkersovereenkomst is niet van toepassing op de verwerking van Persoonsgegevens door externe AI-providers. Onder het BYOK-model onderhoudt de Verwerkingsverantwoordelijke een rechtstreekse contractuele relatie met elke AI-provider via de eigen API-sleutels van de Verwerkingsverantwoordelijke. De Verwerker fungeert uitsluitend als technisch doorvoerkanaal dat de verzoeken van de Verwerkingsverantwoordelijke doorzendt naar de API van de AI-provider; de Verwerker bepaalt niet de doeleinden of middelen van de verwerking door AI-providers.
4. Details van de Verwerking
Onderwerp
Het aanbieden van een multi-LLM chatplatform, met inbegrip van beheer van gebruikersaccounts, chatfunctionaliteit, bestandsupload en -opslag, functies voor teamsamenwerking en bijbehorende ondersteuningsdiensten.
Categorieën betrokkenen
Werknemers, opdrachtnemers, vertegenwoordigers en andere personen van de Verwerkingsverantwoordelijke wiens Persoonsgegevens door of namens de Verwerkingsverantwoordelijke aan de Dienst worden verstrekt.
Soorten Persoonsgegevens
| Categorie | Voorbeelden |
|---|---|
| Accountgegevens | Naam, e-mailadres, gehasht wachtwoord, taalvoorkeur, MFA-configuratie |
| Gebruiksgegevens | Inlogtijdstippen, sessie-identificatoren, IP-adressen, apparaat- en browsermetadata |
| Chatgegevens | Gespreksgeschiedenis, prompts, door AI gegenereerde antwoorden, geselecteerd LLM-model per gesprek |
| Geüploade bestanden | PDF, DOCX, XLSX, afbeeldingen, CSV- en TXT-bestanden geüpload door Betrokkenen |
| Factureringsmetadata | Abonnementsplan, factureringscyclus, Stripe-klantidentificator |
| Team- en werkruimtegegevens | Naam van de organisatie, werkruimtelidmaatschap, gebruikersrollen, gedeelde prompttemplates |
| Budget- en kostengegevens | Geconfigureerde API-budgetlimieten, geschat tokengebruik en kosten per gebruiker en provider |
Bijzondere categorieën van persoonsgegevens
De Verwerker verwerkt niet opzettelijk bijzondere categorieën van Persoonsgegevens als bedoeld in Artikel 9 AVG. De Verwerkingsverantwoordelijke mag geen bijzondere categorieën van Persoonsgegevens aan de Dienst verstrekken, tenzij de Verwerkingsverantwoordelijke een geldige rechtsgrondslag en passende waarborgen op grond van Artikel 9 AVG heeft gewaarborgd.
5. Verplichtingen van de Verwerkingsverantwoordelijke
- De Verwerkingsverantwoordelijke garandeert dat er een geldige rechtsgrondslag op grond van de AVG bestaat voor de Verwerking van Persoonsgegevens via de Dienst.
- De Verwerkingsverantwoordelijke is verantwoordelijk voor het verstrekken van passende privacymededelingen aan Betrokkenen en voor het beantwoorden van verzoeken van Betrokkenen, met de ondersteuning van de Verwerker.
- De Verwerkingsverantwoordelijke is verantwoordelijk voor het waarborgen van de rechtmatigheid van gegevens die via de Dienst aan externe AI-providers worden doorgezonden, met inbegrip van het sluiten van passende verwerkersovereenkomsten met die providers.
- De Verwerkingsverantwoordelijke verstrekt gedocumenteerde instructies aan de Verwerker met betrekking tot de Verwerking. De Overeenkomst en deze Verwerkersovereenkomst vormen de initiële gedocumenteerde instructies van de Verwerkingsverantwoordelijke.
6. Verplichtingen van de Verwerker
- De Verwerker verwerkt Persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke.
- De Verwerker waarborgt dat personen die gemachtigd zijn Persoonsgegevens te verwerken, zich tot geheimhouding hebben verplicht.
- De Verwerker treft en handhaaft passende technische en organisatorische beveiligingsmaatregelen.
- De Verwerker schakelt geen andere verwerker (Sub-verwerker) in zonder te voldoen aan de voorwaarden van Artikel 8.
- De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij het nakomen van verplichtingen om te reageren op verzoeken van Betrokkenen.
- De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij het waarborgen van naleving van Artikelen 32 tot 36 AVG.
- Op verzoek van de Verwerkingsverantwoordelijke verwijdert of retourneert de Verwerker alle Persoonsgegevens na beëindiging van de dienstverlening.
7. Technische en organisatorische maatregelen
De Verwerker treft en handhaaft de volgende beveiligingsmaatregelen:
| Domein | Maatregel |
|---|---|
| Versleuteling in rust | AES-256 voor alle opgeslagen gegevens via Supabase; AES-256-GCM voor API-sleutels |
| Versleuteling in transit | TLS 1.2 of hoger op alle verbindingen |
| Authenticatie | E-mail + wachtwoord met verplichte TOTP meervoudige authenticatie |
| Toegangscontrole | Least-privilege, rolgebaseerde toegang; multi-tenantscheiding via Supabase Row Level Security (RLS) op databaseniveau |
| Netwerkbeveiliging | Uitsluitend HTTPS; HSTS; door Supabase beheerde netwerkisolatie op databaseniveau |
| Beveiligingsheaders | HSTS, X-Content-Type-Options, X-Frame-Options, CSP, Referrer-Policy, Permissions-Policy |
| Back-up | Dagelijkse geautomatiseerde versleutelde back-ups via Supabase; point-in-time recovery beschikbaar; maandelijkse hersteltests |
| Herstel | Doel-RTO: 4 uur; doel-RPO: 24 uur (niet-contractuele operationele doelstellingen) |
| Monitoring | Applicatiemonitoring via Vercel observability |
| Kwetsbaarheidsbeheer | OWASP Top 10-beoordeling; geautomatiseerde afhankelijkheidsscan (Dependabot); CodeQL statische analyse |
| Budgethandhaving | LiteLLM-gebaseerde harde budgetlimieten die API-aanroepen blokkeren vóór verzending naar AI-providers |
| Incidentrespons | Melding aan de Verwerkingsverantwoordelijke binnen 48 uur na een Beveiligingsincident |
| Gegevensopslag | Uitsluitend binnen de EU: Frankfurt, Duitsland (Supabase) en Amsterdam, Nederland (TransIP) |
8. Sub-verwerkers
De Verwerkingsverantwoordelijke verleent de Verwerker algemene toestemming om de volgende Sub-verwerkers in te schakelen:
| Sub-verwerker | Doel | Locatie |
|---|---|---|
| Supabase | Database, authenticatie, bestandsopslag | Frankfurt, Duitsland (EU) |
| TransIP B.V. | VPS-hosting voor LiteLLM-proxy (budgethandhaving, routering LLM-verzoeken) | Amsterdam, Nederland (EU) |
| Vercel, Inc. | Frontend en edge compute (website en applicatie) | EU edge-netwerk |
| Lettermint | Bezorging van transactionele e-mail | EU |
| Stripe Payments Europe, Ltd. | Betalingsverwerking en Stripe Tax | Dublin, Ierland (EU) |
De Verwerker stelt de Verwerkingsverantwoordelijke op de hoogte van eventuele voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van Sub-verwerkers, waarbij de Verwerkingsverantwoordelijke de gelegenheid krijgt bezwaar te maken tegen dergelijke wijzigingen. De kennisgeving wordt ten minste 30 dagen vóór de wijziging van kracht wordt verstrekt via de sub-verwerkerlijst op custosai.eu/nl/sub-verwerkers.
9. Rechten van betrokkenen
De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij het beantwoorden van verzoeken van Betrokkenen die hun rechten uitoefenen op grond van Hoofdstuk III AVG (inclusief inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar). Voor zover technisch uitvoerbaar voorziet de Verwerker de Verwerkingsverantwoordelijke van de middelen om dergelijke verzoeken te vervullen, inclusief via self-servicefunctionaliteit in het platform.
10. Beveiligingsincidenten
- De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld en in ieder geval binnen 48 uur op de hoogte nadat hij kennis heeft genomen van een Beveiligingsincident dat Persoonsgegevens betreft die namens de Verwerkingsverantwoordelijke worden verwerkt.
- De kennisgeving bevat: een beschrijving van de aard van het Beveiligingsincident; de naam en contactgegevens van het contactpunt; een beschrijving van de waarschijnlijke gevolgen; en een beschrijving van de genomen of voorgestelde maatregelen.
- Indien het niet mogelijk is alle informatie tegelijk te verstrekken, verstrekt de Verwerker de informatie gefaseerd zonder verdere onredelijke vertraging.
- De kennisgeving van een Beveiligingsincident wordt niet beschouwd als een erkenning van schuld of aansprakelijkheid door de Verwerker.
11. Auditrecht
- De Verwerker stelt de Verwerkingsverantwoordelijke alle redelijkerwijs benodigde informatie ter beschikking om naleving van deze Verwerkersovereenkomst en Artikel 28 AVG aan te tonen.
- De Verwerkingsverantwoordelijke kan een audit uitvoeren, mits: ten minste 30 dagen schriftelijke vooraankondiging; maximaal één keer per kalenderjaar (tenzij een Beveiligingsincident heeft plaatsgevonden); audits tijdens kantooruren; en kosten gedragen door de Verwerkingsverantwoordelijke.
- De Verwerker kan aan auditvereisten voldoen door relevante externe auditrapporten of certificeringen te verstrekken (bijv. ISO 27001, SOC 2 Type II) voor zover beschikbaar.
12. Teruggave en verwijdering van gegevens
- Tijdens de looptijd van de Overeenkomst kan de Verwerkingsverantwoordelijke Persoonsgegevens te allen tijde exporteren via de self-service exportfunctionaliteit (JSON- en CSV-formaten).
- Na beëindiging bewaart de Verwerker de Persoonsgegevens van de Verwerkingsverantwoordelijke gedurende 30 kalenderdagen om gegevensexport mogelijk te maken.
- Na de bewaarperiode van 30 dagen verwijdert de Verwerker alle Persoonsgegevens en bevestigt de verwijdering schriftelijk op verzoek van de Verwerkingsverantwoordelijke.
- Geüploade bestanden worden standaard automatisch verwijderd 30 kalenderdagen na upload. Beheerders kunnen individuele bestanden vastzetten om automatische verwijdering te voorkomen; vastgezette bestanden blijven bewaard totdat ze expliciet worden verwijderd. Enterprise-klanten kunnen via hun contract aangepaste bewaarbeleid afspreken.
- Back-upkopieën met Persoonsgegevens worden verwijderd overeenkomstig het back-upbewaarschema (30 dagen).
13. Internationale doorgifte van gegevens
De Verwerker slaat alle klantapplicatiegegevens (accountgegevens, chatgegevens, geüploade bestanden) uitsluitend op binnen de EER en verwerkt deze aldaar: database en bestandsopslag in Frankfurt, Duitsland (via Supabase); LLM-verzoekproxy en budgethandhaving in Amsterdam, Nederland (via TransIP).
Bepaalde Sub-verwerkers (Stripe, Vercel, Lettermint) kunnen beperkte categorieën gegevens buiten de EER verwerken. In elk geval zorgt de Verwerker ervoor dat passende overdrachtsmechanismen van kracht zijn, waaronder Standaardcontractbepalingen (SCC's) vastgesteld door de Europese Commissie.
14. Overige bepalingen
- Strijdigheid: In geval van strijdigheid tussen deze Verwerkersovereenkomst en de Overeenkomst prevaleert deze Verwerkersovereenkomst met betrekking tot de Verwerking van Persoonsgegevens.
- Wijzigingen: Deze Verwerkersovereenkomst kan door de Verwerker worden gewijzigd om wijzigingen in de toepasselijke gegevensbeschermingswetgeving te weerspiegelen, met ten minste 30 dagen kennisgeving van materiële wijzigingen.
- Toepasselijk recht: Op deze Verwerkersovereenkomst is het recht van Nederland van toepassing. Eventuele geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.
- Taal: Deze Verwerkersovereenkomst is opgesteld in de Nederlandse taal. In geval van strijdigheid tussen de Nederlandse versie en de Engelse versie prevaleert de Engelse versie.
15. Contactgegevens
Voor vragen over deze Verwerkersovereenkomst:
Alpha Digital B.V., handelend onder de naam Custos AI
Stationsplein 26, 6512 AB Nijmegen, Nederland
E-mail: