Slimme Dossiers Logo Slimme Dossiers Logo
Plan een gesprek
Plan een gesprek

JURIDISCH

Verwerkersovereenkomst

Versie 1.3 · Ingangsdatum 24 april 2026

Partijen:

(1) Klant (verwerkingsverantwoordelijke) en
(2) Botz4U B.V. (verwerker), Rotterdam

Contact: info[at]slimmedossiers.nl

Inleiding

Dit is de verwerkersovereenkomst voor Slimme Dossiers tussen Klant (verwerkingsverantwoordelijke) en Botz4U B.V. (verwerker).

Wij verwerken Klantdata uitsluitend volgens uw schriftelijke instructies en niet voor het trainen van algemene AI-modellen.

Deze DPA geldt zolang wij Slimme Dossiers aan u leveren.

1. Onderwerp en duur

Deze overeenkomst is van toepassing op de verwerking van persoonsgegevens in het kader van Slimme Dossiers. Zij geldt voor de duur van de onderliggende dienstverlening en zolang verwerker persoonsgegevens voor klant verwerkt.

2. Doel, aard, soort gegevens en betrokkenen (art. 28 AVG)

Doel: leveren van AI-ondersteunde zoek-/antwoordfunctionaliteit op basis van klantbronnen.

Aard: opslag (Azure Blob), indexering (vector-DB/embeddings), retrieval/verwerking (Azure OpenAI), logging en support.

Soorten gegevens: accountgegevens (naam, e-mail), inhoud van documenten en chat (variabel, afhankelijk van klant), technische loggegevens.

Categorieën betrokkenen: medewerkers/contractoren van klant en andere personen die in klantdocumenten voorkomen.

3. Instructies en vertrouwelijkheid

Verwerker handelt uitsluitend op schriftelijke instructies van klant. Personen die onder gezag van verwerker handelen zijn tot geheimhouding verplicht.

3a. Bijzondere persoonsgegevens en minderjarigen (buiten scope)

De Dienst is niet bedoeld voor het verwerken van (i) bijzondere categorieën persoonsgegevens in de zin van art. 9 AVG en/of (ii) persoonsgegevens van minderjarigen (<16 jaar). Klant zal dergelijke gegevens niet aanleveren of laten verwerken. Verwerker verwerkt dergelijke gegevens niet bewust en biedt geen functionaliteit die specifiek op deze verwerkingen is gericht.

Bij onbedoelde aanlevering zal Verwerker na kennisname de betreffende gegevens zonder onredelijke vertraging verwijderen en Klant informeren. Eventuele afgeleiden (zoals embeddings in de zoekindex) worden direct verwijderd bij verwijdering van de brondocumenten, conform artikel 9 van deze DPA.

Indien Klant toch een verwerkingsnoodzaak voor deze gegevens heeft, kan de Dienst niet voor die verwerking worden gebruikt, tenzij Partijen vooraf uitdrukkelijk en schriftelijk aanvullende afspraken sluiten die voldoen aan de AVG.

4. Beveiliging

Verwerker treft passende technische en organisatorische maatregelen (TOM's) om persoonsgegevens te beveiligen, waaronder encryptie in rust en transit, toegangsbeheer (RBAC/MFA), logging/monitoring en incidentprocedures. Zie Bijlage A voor een volledige omschrijving.

5. Subverwerkers

5.1 Klant geeft algemene toestemming voor inzet van subverwerkers.

5.2 Verwerker informeert klant tijdig over wijzigingen; klant kan binnen 30 dagen gemotiveerd bezwaar maken.

5.3 Verwerker legt subverwerkers gelijkwaardige verplichtingen op en blijft aansprakelijk voor hun handelen. Zie Bijlage B.

5.4 AI-diensten — geen training op klantdata

Verwerker zal AI-diensten uitsluitend inzetten op een wijze die waarborgt dat door of namens de Klant aangeleverde (persoons)gegevens niet door subverwerkers worden gebruikt voor het trainen of verbeteren van modellen die voor derden beschikbaar zijn. Verwerker steunt hierbij op de productvoorwaarden van Azure OpenAI (waarin Microsoft garandeert dat klantdata niet gebruikt wordt voor training van algemene modellen) en vergelijkbare waarborgen bij andere AI-subverwerkers. Op verzoek verstrekt Verwerker redelijke informatie over de relevante contractuele waarborgen en configuratie-instellingen.

6. Doorgiften buiten de EER

Indien doorgifte buiten de EER plaatsvindt, past verwerker passende waarborgen toe (zoals de EU-standaardcontractbepalingen (SCC's) of – indien van toepassing – het Data Privacy Framework) en neemt aanvullende maatregelen waar nodig. Op verzoek verstrekt verwerker een beschrijving of kopie van de relevante waarborgen en, waar mogelijk, informatie over de betrokken derde landen.

Externe zoekdienst. Indien Klant "internet-zoeken" activeert, kan verwerking via Google Programmable Search / Custom Search JSON API plaatsvinden. Dat kan een doorgifte buiten de EER meebrengen. Vóór doorgifte filtert Verwerker de zoekopdracht op Nederlandse PII-patronen (e-mailadressen, telefoonnummers, BSN's en IBANs); deze worden vervangen door placeholders en verlaten niet de EER. Voor de resterende doorgifte baseert Verwerker zich op de EU-U.S. Data Privacy Framework-certificering van Google LLC en/of, waar nodig, de EU-Standaardcontractbepalingen (SCC's).

7. Datalekken en assistentie

Verwerker meldt zonder onredelijke vertraging iedere inbreuk in verband met persoonsgegevens aan klant met relevante informatie. Verwerker verleent redelijke assistentie bij verzoeken van betrokkenen, DPIA's en contacten met toezichthouders. Verwerker reageert niet zelfstandig op verzoeken van betrokkenen, tenzij klant daartoe schriftelijk instructies geeft of verwerker daartoe wettelijk verplicht is; in dat geval informeert verwerker klant, tenzij de wet dit verbiedt.

8. Audits en informatie

Verwerker stelt alle informatie ter beschikking om naleving aan te tonen en staat audits toe (max. 1 per 12 maanden, met redelijke aankondiging, zonder onevenredige verstoring). Third-party assurance-rapporten (bijv. ISO/SOC) kunnen audits deels vervangen.

9. Verwijderen of retourneren

Na afloop van de dienstverlening verwijdert verwerker alle persoonsgegevens of retourneert deze op verzoek binnen 90 dagen; back-ups worden conform retentiebeleid overschreven.

Embeddings in de zoekindex worden direct verwijderd bij verwijdering door de klant, doorgaans binnen enkele minuten. Bij systeemverstoringen is verwijdering gegarandeerd binnen 72 uur.

10. Aansprakelijkheid en rangorde

Aansprakelijkheid volgt uit de onderliggende overeenkomst (incl. beperkingen/uitsluitingen). Bij strijdigheid prevaleert deze DPA voor zover het de verwerking van persoonsgegevens betreft. Nederlands recht en de rechtbank van het arrondissement van de statutaire zetel van verwerker zijn van toepassing.

11. Wijzigingen van deze DPA

Verwerker kan deze verwerkersovereenkomst aanpassen. Bij materiële wijzigingen informeert verwerker klant per e-mail aan de bij verwerker bekende beheer- of accountcontacten en/of via de Dienst, ten minste dertig (30) dagen vóór de ingangsdatum van de wijziging, tenzij een kortere termijn noodzakelijk is wegens wet- of regelgeving of beveiligingsredenen. De actuele versie is beschikbaar via de Dienst of op de website van verwerker.

Bijlage A — Technische en organisatorische maatregelen (TOM's)

Infrastructuur

  • Hosting in Microsoft Azure, regio West Europe
  • Encryptie in rust (AES-256) en transit (TLS 1.2+)
  • Azure DDoS Basic protectie op platformniveau

Toegangsbeheer

  • Multi-factor authenticatie verplicht voor alle administratieve toegang
  • Least-privilege toegangsmodel binnen Azure (Role-Based Access Control)
  • Kortlevende SAS-tokens voor storage-toegang

Data-management

  • Geautomatiseerde verwijderprocedures voor documenten en embeddings
  • Directe verwijdering uit de zoekindex bij verwijdering door de klant (doorgaans binnen enkele minuten; gegarandeerd binnen 72 uur bij systeemverstoringen)
  • Geautomatiseerde back-ups van storage en index

Applicatie-security

  • Environment-based secret management
  • Geautomatiseerde dependency-scans (via GitHub Dependabot)
  • PII-filter op web-search queries (e-mailadressen, telefoonnummers, BSN's en IBANs worden vóór doorgifte naar externe zoekdienst vervangen door placeholders)

Monitoring en incidentrespons

  • Azure Monitor met alerts op beveiligings- en beschikbaarheidsevents
  • Gedocumenteerde incidentresponsprocedure
  • Datalekmelding binnen wettelijke termijnen (AVG art. 33-34)

Subverwerkers

  • Verwerkersovereenkomsten met alle sub-verwerkers
  • No-training garanties bij AI-subverwerkers (conform Azure OpenAI productvoorwaarden)

Bijlage B — Subverwerkers

Microsoft (Azure) — compute, opslag en AI

  • Azure Blob Storage (EU-regio's): opslag van door klant geüploade documenten en gegenereerde afgeleiden
  • Azure Cognitive Search (vector index) (EU-regio's): opslag en doorzoekbaar maken van embeddings. Verwijdering uit de index gebeurt direct bij verwijderopdracht van de klant via directe API-aanroep (doorgaans binnen enkele minuten)
  • Azure OpenAI (EU-regio's): inferencing op prompts en context; geen training op klantdata conform Microsoft's productvoorwaarden
  • Azure Document Intelligence (EU-regio's, indien geactiveerd): machine-lezen van documenten t.b.v. tekstextractie
  • Bot Framework Direct Line (EU-endpoint): transport van chatberichten tussen webapp en bot (geen modeltraining)

Google LLC

Programmable Search / Custom Search JSON API: levert webresultaten om antwoorden te gronden wanneer internet-zoeken is ingeschakeld (optioneel). Verwerking kan buiten de EER plaatsvinden; Verwerker past PII-filtering toe op uitgaande queries en steunt op Google's EU-U.S. Data Privacy Framework-certificering en/of SCC's voor rechtmatige doorgifte.

Clerk

Authenticatie/identity (EU/EER datacenters waar mogelijk; alternatieve waarborgen bij doorgifte buiten EER).

Stripe Payments Europe

Betalingen/facturatie.

Wijzigingen subverwerkers

Verwerker informeert klant vooraf over relevante wijzigingen; klant kan binnen 30 dagen bezwaar maken (zie DPA, art. 5).