Verwerkersovereenkomst

Download
Download English

Voor het laatst geüpdatet: 17 november 2025

Tussen:

1. Surf Agency, V.O.F.

Gevestigd te Burgemeester Oudlaan 50, 3062PA Rotterdam, Nederland, ingeschreven bij de Kamer van Koophandel onder nummer 97239402, hierna te noemen: “Verwerker”

en

2. De klant

Hierna te noemen: “Verwerkingsverantwoordelijke”

hierna gezamenlijk aangeduid als: “Partijen”.

  1. Achtergrond en Doel

De Verwerker biedt diensten op het gebied van automatisering met behulp van kunstmatige intelligentie (AI), waaronder het analyseren en verwerken van klantdata, en het stroomlijnen van bedrijfsprocessen van de Verwerkingsverantwoordelijke.

In dat kader verwerkt Verwerker persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke, en zijn Partijen gehouden een verwerkersovereenkomst te sluiten conform artikel 28 AVG.

  1. Doeleinden van verwerking

De verwerking vindt uitsluitend plaats ten behoeve van de uitvoering van de dienstverlening door Verwerker, waaronder:

  • Analyse van klantgegevens van Verwerkingsverantwoordelijke;
  • Automatisering van bedrijfsprocessen met behulp van AI;
  • Optimalisatie en integratie van ICT-systemen van Verwerkingsverantwoordelijke.

Verwerker zal de persoonsgegevens niet voor eigen doeleinden verwerken.

  1. Soorten persoonsgegevens en betrokkenen

De persoonsgegevens omvatten onder meer:

  • Naam, e-mailadres, telefoonnummer, adres;
  • Openbare gegevens (zoals social-mediaprofielen);
  • Gegevens uit CRM-systemen en andere klantendatabases.

Deze gegevens hebben betrekking op:

  • Medewerkers van Verwerkingsverantwoordelijke;
  • Klanten, eindgebruikers en prospects van Verwerkingsverantwoordelijke;
  • Eventuele partners of andere betrokken natuurlijke personen.

Er worden geen bijzondere categorieën van persoonsgegevens verwerkt.

  1. Duur van de verwerking

Deze overeenkomst treedt in werking op het moment van aanvaarding door Partijen en blijft van kracht zolang Verwerker persoonsgegevens verwerkt ten behoeve van Verwerkingsverantwoordelijke. Bij beëindiging van de samenwerking zal Verwerker, naar keuze van Verwerkingsverantwoordelijke, de persoonsgegevens:

  • Verwijderen binnen 30 dagen, of;
  • Terugleveren op gangbare wijze.
  1. Verplichtingen van de Verwerker

Verwerker garandeert dat:

  • Persoonsgegevens uitsluitend worden verwerkt op basis van schriftelijke instructies van Verwerkingsverantwoordelijke;
  • Verwerker passende technische en organisatorische beveiligingsmaatregelen neemt, waaronder encryptie, wachtwoordbeveiliging en tweefactorauthenticatie;
  • Verwerker medewerking verleent aan verzoeken van Verwerkingsverantwoordelijke met betrekking tot AVG-verplichtingen (zoals inzageverzoeken en datalekken).
  1. Subverwerkers

Verwerker mag gebruik maken van subverwerkers, mits:

  • Verwerker erop toeziet dat deze subverwerkers vergelijkbare verplichtingen naleven;
  • Een lijst van subverwerkers beschikbaar is op verzoek van Verwerkingsverantwoordelijke;
  • Verwerker de Verwerkingsverantwoordelijke informeert bij significante wijzigingen in het subverwerkerslandschap.

De Verwerkingsverantwoordelijke geeft hierbij algemene toestemming voor de inzet van subverwerkers, waaronder maar niet beperkt tot:

  • Google Cloud
  • OpenAI
  • n8n
  • Lovable
  • Supabase
  1. Doorgifte buiten de EU

Indien gegevens worden doorgegeven naar landen buiten de Europese Economische Ruimte, zoals de Verenigde Staten, zorgt Verwerker ervoor dat:

  • De doorgifte voldoet aan de AVG-vereisten;
  • Er passende waarborgen zijn, zoals standaardcontractbepalingen (SCC’s) of andere door de Europese Commissie goedgekeurde mechanismen.
  1. Beveiliging

Verwerker treft redelijke en passende beveiligingsmaatregelen tegen verlies of onrechtmatige verwerking, waaronder:

  • Beveiligde verbindingen (SSL/TLS);
  • Wachtwoordbeleid en toegangsrestricties;
  • Tweefactorauthenticatie;
  • Beveiligde opslag en logbestanden.

Bij het vaststellen van de beveiligingsmaatregelen houdt Verwerker rekening met de aard van de verwerking, het risico voor betrokkenen en de algemeen aanvaarde industriestandaarden op het gebied van gegevensbeveiliging.

De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor een veilige inrichting van zijn systemen.

  1. Audits en controles

Verwerkingsverantwoordelijke heeft het recht, maximaal éénmaal per jaar en op eigen kosten, een audit uit te voeren (zelf of via een derde), mits:

  • De Verwerker hiervan minimaal 30 dagen vooraf schriftelijk op de hoogte wordt gesteld;
  • Audits plaatsvinden op een wijze die geen disproportionele verstoring veroorzaakt;
  • Vertrouwelijkheid wordt gewaarborgd.
  1. Meldplicht datalekken

Verwerker informeert Verwerkingsverantwoordelijke onverwijld, doch uiterlijk binnen 48 uur, nadat hij kennis heeft genomen van een datalek. Verwerker verstrekt daarbij:

  • Aard van het incident;
  • Categorieën en omvang van getroffen gegevens;
  • Maatregelen die zijn genomen.

De Verwerkingsverantwoordelijke is verantwoordelijk voor de melding aan de Autoriteit Persoonsgegevens en/of betrokkene(n).

  1. Aansprakelijkheid

De aansprakelijkheid van Verwerker is beperkt tot directe schade, met een maximum van het bedrag dat in de twaalf maanden voorafgaand aan het incident is betaald voor de dienstverlening, behoudens opzet of grove nalatigheid.

Verwerker is in geen geval aansprakelijk voor:

  • Indirecte schade;
  • Verlies van data door foutieve instructies;
  • Boetes opgelegd aan Verwerkingsverantwoordelijke door toezichthouders.
  1. Slotbepalingen
  • Deze overeenkomst maakt integraal onderdeel uit van de algemene voorwaarden van Verwerker;
  • In geval van strijdigheid tussen deze overeenkomst en andere afspraken tussen Partijen met betrekking tot verwerking van persoonsgegevens, prevaleert deze overeenkomst;
  • Op deze overeenkomst is Nederlands recht van toepassing;
  • Geschillen worden voorgelegd aan de bevoegde rechter in Rotterdam.