Verwerkersovereenkomst
1. Partijen en rollen
- Verwerkingsverantwoordelijke: de Klant (de onderneming die de Dienst gebruikt).
- Verwerker: Bonnenmatch, eenmanszaak van Olivier Bon, KvK 42073342.
Deze verwerkersovereenkomst hoort bij de algemene voorwaarden en de privacyverklaring.
2. Onderwerp, aard en doel van de verwerking
Bonnenmatch verwerkt persoonsgegevens uitsluitend om de Dienst te leveren: het automatisch inlezen, ordenen, matchen en bewaren van pakbonnen en facturen en het bijhouden van prijzen, in opdracht van de Klant. De duur is gelijk aan de duur van de overeenkomst.
3. Soorten persoonsgegevens en betrokkenen
| Categorieën betrokkenen | Soorten persoonsgegevens |
|---|---|
| Contactpersonen van leveranciers; medewerkers/teamleden van de Klant; afzenders van gemailde documenten | Namen, e-mailadressen en andere gegevens die toevallig op een pakbon/factuur of in een mail staan (de Dienst is niet bedoeld voor bijzondere categorieën persoonsgegevens; voer die niet in) |
4. Verwerking uitsluitend volgens instructie
Bonnenmatch verwerkt de persoonsgegevens alleen op basis van de schriftelijke instructies van de Klant — waarvan het gebruik van de Dienst en deze overeenkomst de basis vormen — en niet voor eigen doeleinden. Als de wet ons tot een verwerking verplicht, melden we dat vooraf, tenzij dat wettelijk verboden is.
5. Geheimhouding
Iedereen die namens Bonnenmatch toegang heeft tot de persoonsgegevens is tot geheimhouding verplicht.
6. Beveiliging
Bonnenmatch neemt passende technische en organisatorische maatregelen (AVG art. 32), waaronder: versleutelde verbindingen (HTTPS), versleutelde opslag van wachtwoorden, strikte scheiding van gegevens per klant, toegangsbeperking en regelmatige back-ups. De Klant beoordeelt zelf of dit beschermingsniveau passend is voor de gegevens die hij verwerkt.
7. Subverwerkers
De Klant geeft Bonnenmatch algemene toestemming om de volgende subverwerkers in te schakelen:
| Subverwerker | Doel | Locatie |
|---|---|---|
| Anthropic (Claude AI) | Automatisch uitlezen van pakbonnen/facturen | Verenigde Staten |
| TransIP | Hosting en e-mail | Nederland (EU) |
Bonnenmatch legt aan elke subverwerker dezelfde verplichtingen op als in deze overeenkomst. Bij een voorgenomen wijziging van subverwerkers informeren we de Klant, zodat deze bezwaar kan maken.
8. Doorgifte buiten de EER
Verwerking door Anthropic vindt (mede) plaats in de Verenigde Staten. Deze doorgifte is gebaseerd op de standaardcontractbepalingen (SCC's) van de Europese Commissie en/of het EU-VS Data Privacy Framework, zoals vastgelegd in de verwerkersvoorwaarden van Anthropic. Voor het overige worden de gegevens binnen de EER (Nederland) verwerkt.
9. Bijstand aan de Klant
Bonnenmatch helpt de Klant, voor zover redelijkerwijs mogelijk, bij het beantwoorden van verzoeken van betrokkenen (inzage, correctie, verwijdering enz.) en bij beveiliging, datalekken en gegevensbeschermingseffectbeoordelingen (DPIA's).
10. Datalekken
Bij een inbreuk in verband met persoonsgegevens (datalek) informeert Bonnenmatch de Klant zonder onredelijke vertraging nadat wij ervan op de hoogte zijn, met de bij ons bekende informatie, zodat de Klant zo nodig zelf de Autoriteit Persoonsgegevens en betrokkenen kan informeren. De meldplicht aan de toezichthouder ligt bij de Klant als verwerkingsverantwoordelijke.
11. Controle (audit)
De Klant mag, op eigen kosten en maximaal één keer per jaar (of na een datalek), de naleving van deze overeenkomst laten controleren, na redelijke aankondiging en zonder de bedrijfsvoering onnodig te verstoren. Bonnenmatch mag hiervoor eerst beschikbare rapportages/verklaringen aanbieden.
12. Teruggave en verwijdering
Na het einde van de overeenkomst verwijdert Bonnenmatch de persoonsgegevens of geeft ze op verzoek terug, tenzij wij wettelijk verplicht zijn ze langer te bewaren. Verwijdering of teruggave gebeurt binnen 30 dagen na beëindiging.
13. Aansprakelijkheid
Op deze verwerkersovereenkomst is de aansprakelijkheidsregeling uit de algemene voorwaarden van toepassing.
14. Slot
Bij strijd tussen deze verwerkersovereenkomst en de algemene voorwaarden gaat — uitsluitend voor het onderwerp gegevensbescherming — deze verwerkersovereenkomst voor. Op deze overeenkomst is Nederlands recht van toepassing.