Verwerkersovereenkomst
Laatst bijgewerkt: 24 februari 2026
In overeenstemming met Artikel 28 van Verordening (EU) 2016/679 (GDPR).
Wie heeft deze verwerkersovereenkomst nodig? Deze verwerkersovereenkomst is van toepassing op zakelijke klanten ("Verwerkingsverantwoordelijken") die Veluvanto gebruiken om persoonsgegevens van hun eigen klanten, werknemers of andere personen te verwerken in het kader van hun bedrijfsactiviteiten. Als u Veluvanto uitsluitend voor persoonlijk gebruik gebruikt, is het standaard Privacybeleid van toepassing.
Door Veluvanto als zakelijke klant te gebruiken, gaat u akkoord met de voorwaarden van deze verwerkersovereenkomst. Voor een ondertekende versie of een aangepaste enterprise-overeenkomst kunt u contact opnemen met legal@veluvanto.com.
1. Partijen en definities
Deze verwerkersovereenkomst ("DPA") is aangegaan tussen:
- Verwerkingsverantwoordelijke: De zakelijke klant of organisatie die akkoord is gegaan met de Veluvanto Servicevoorwaarden en Veluvanto gebruikt om persoonsgegevens te verwerken ten behoeve van hun bedrijf ("u").
- Verwerker: Veluvanto s.r.o., Korunní 2569/108, Vinohrady, 101 00 Praag 10, IČO: 249 15 122 ("Veluvanto", "wij", "ons").
Begrippen die hier niet worden gedefinieerd, hebben de betekenis zoals vastgelegd in de GDPR (Verordening (EU) 2016/679).
2. Onderwerp en aard van de verwerking
Veluvanto verwerkt persoonsgegevens namens de Verwerkingsverantwoordelijke met als doel het leveren van documentbeheerdiensten, waaronder:
- Het opslaan en indexeren van door de Verwerkingsverantwoordelijke geüploade documenten
- AI-gestuurde analyse, categorisering en extractie van metadata uit documenten
- Full-text en semantisch zoeken in documenten
- Antwoorden van de AI-chatassistent op basis van documentinhoud
- Vertaling en samenvatting van documenten
- Geautomatiseerde herinneringen op basis van documentinhoud
- Alle andere functies zoals beschreven in de servicedocumentatie van Veluvanto
3. Categorieën van verwerkte persoonsgegevens
legal.dpa.section3.prose
Bijzondere categorieën gegevens: De Verwerkingsverantwoordelijke dient geen documenten te uploaden die bijzondere categorieën persoonsgegevens bevatten (gezondheidsgegevens, ras/etnische afkomst, etc.) zoals gedefinieerd in Artikel 9 GDPR, tenzij zij voorafgaande schriftelijke toestemming van Veluvanto hebben verkregen en over een passende rechtsgrondslag voor dergelijke verwerking beschikken. Neem contact op met legal@veluvanto.com voor specifieke afspraken.
4. Categorieën van betrokkenen
De betrokkenen van wie persoonsgegevens kunnen worden verwerkt, zijn onder meer: klanten, leveranciers, zakelijke partners, werknemers en contractanten van de Verwerkingsverantwoordelijke, of andere personen van wie persoonsgegevens voorkomen in documenten die naar Veluvanto worden geüpload.
5. Duur van de verwerking
De verwerking duurt voort voor de looptijd van de serviceovereenkomst met Veluvanto. Na beëindiging van de overeenkomst wordt met de gegevens omgegaan zoals beschreven in Sectie 12 (Teruggave en verwijdering van gegevens).
6. Verplichtingen van de Verwerker (Veluvanto)
Veluvanto (als Verwerker) zal:
- Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke (de Servicevoorwaarden en deze DPA vormen dergelijke instructies)
- Waarborgen dat personen die gemachtigd zijn om persoonsgegevens te verwerken, gebonden zijn aan geheimhoudingsverplichtingen
- Passende technische en organisatorische beveiligingsmaatregelen implementeren (Artikel 32 GDPR)
- Geen subverwerkers inschakelen zonder voorafgaande specifieke of algemene toestemming van de Verwerkingsverantwoordelijke (zie Sectie 9 voor de huidige lijst van geautoriseerde subverwerkers)
- De Verwerkingsverantwoordelijke ondersteunen bij het voldoen aan verzoeken van betrokkenen om hun rechten uit te oefenen (Artikelen 15–22 GDPR)
- De Verwerkingsverantwoordelijke bijstaan bij beveiligingsverplichtingen, melding van datalekken, DPIA's en overleg met toezichthoudende autoriteiten
- Alle persoonsgegevens verwijderen of retourneren na beëindiging van de dienstverlening (zie Sectie 12)
- De Verwerkingsverantwoordelijke alle informatie verstrekken die nodig is om de naleving van Artikel 28 GDPR aan te tonen
- De Verwerkingsverantwoordelijke zonder onnodige vertraging (binnen 72 uur na ontdekking) op de hoogte stellen van een datalek
7. Verplichtingen van de Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke zal:
- Zorgen voor een geldige rechtsgrondslag voor het verwerken van de persoonsgegevens die naar Veluvanto worden geüpload
- Betrokkenen de nodige informatie verstrekken over de verwerking (inclusief het gebruik van Veluvanto als verwerker)
- Waarborgen dat de aan Veluvanto verstrekte persoonsgegevens juist en relevant zijn
- Veluvanto niet instrueren om persoonsgegevens te verwerken op een wijze die in strijd is met de GDPR of toepasselijke wetgeving
- Voldoen aan de eigen verplichtingen als Verwerkingsverantwoordelijke onder de GDPR
8. Technische en organisatorische beveiligingsmaatregelen
Veluvanto implementeert de volgende beveiligingsmaatregelen om persoonsgegevens te beschermen:
8.1 Versleuteling
- Gegevens in beweging: TLS 1.2+ versleuteling voor alle gegevensoverdrachten
- Gegevens in rust: AES-256 versleuteling voor opgeslagen gegevens en documenten
8.2 Toegangscontrole
- Toegangscontrole op basis van rollen (RBAC) voor alle systeemtoegang
- Multi-factor authenticatie vereist voor administratieve toegang
- Principe van minimale privileges toegepast op alle medewerkers
- Toegangslogs bijgehouden voor alle gegevenstoegang
8.3 Infrastructuurbeveiliging
- Documenten en gegevens opgeslagen op Backblaze B2 object storage in EU-datacenters (Amsterdam, Nederland); Backblaze beschikt over een SOC 2 Type II-certificering
- Applicatieservers gehost op de infrastructuur van Hetzner Online GmbH in EU-datacenters (Duitsland/Finland); Hetzner beschikt over een ISO/IEC 27001:2022-certificering (SOCOTEC, geldig 2025–2028)
- Regelmatige beveiligingsbeoordelingen en penetratietesten
- Procedures voor kwetsbaarheidsbeheer en patchbeheer
- DDoS-bescherming en monitoring van netwerkbeveiliging
8.4 Organisatorische maatregelen
- Geheimhoudingsovereenkomsten voor personeel en training op het gebied van gegevensbescherming
- Procedures voor incidentrespons en een plan voor de aanpak van datalekken
- Principes van dataminimalisatie toegepast in de gehele dienstverlening
9. Subverwerkers
Door deze DPA te accepteren, verleent de Verwerkingsverantwoordelijke algemene toestemming aan Veluvanto om de volgende categorieën subverwerkers in te schakelen:
| Subverwerker | Doel | Locatie |
|---|---|---|
| Google LLC | Identity provider (OAuth-authenticatie) | VS (SCC) |
| Microsoft Corporation | Identity provider (OAuth-authenticatie) | EU/VS (Microsoft Data Protection Addendum is van toepassing) |
| Paddle.com Market Ltd. | Betalingsverwerking (merchant of record) | VK (UK Adequacy Decision) |
| Google LLC (Vertex AI) | AI-modelinferentie (Gemini-modellen) voor documentverwerking, semantisch zoeken en AI-chat | EU (Google Cloud europe-west regio; geen doorgifte buiten de EER; Google Cloud Data Processing Addendum is van toepassing; API-gegevens worden standaard niet gebruikt voor modeltraining) |
| Backblaze, Inc. | Primaire object storage voor documenten en back-ups (B2 Cloud Storage) | EU (Amsterdam, Nederland; SOC 2 Type II gecertificeerd) |
| IDrive, Inc. | Object storage voor disaster recovery | EU (Frankfurt, Duitsland) |
| Hetzner Online GmbH | Cloudinfrastructuur en applicatieservers | EU (Duitsland / Finland; ISO/IEC 27001:2022 gecertificeerd) |
| Cloudflare, Inc. | Content delivery network, DDoS-bescherming en netwerkbeveiliging (verwerkt metadata van HTTP-verzoeken: IP-adressen, user-agent strings, tijdstempels van verzoeken) | VS (SCC) |
Veluvanto zal de Verwerkingsverantwoordelijke op de hoogte stellen van voorgenomen wijzigingen in subverwerkers door deze lijst bij te werken met een opzegtermijn van ten minste 14 dagen (via e-mail of website-update). De Verwerkingsverantwoordelijke kan binnen 14 dagen na kennisgeving bezwaar maken tegen nieuwe subverwerkers. Indien Veluvanto niet aan het bezwaar tegemoet kan komen, kan de Verwerkingsverantwoordelijke de dienst beëindigen.
Alle subverwerkers zijn gebonden aan verwerkersovereenkomsten die gelijkwaardige verplichtingen inzake gegevensbescherming bevatten als deze DPA.
10. Internationale doorgifte van gegevens
Wanneer persoonsgegevens worden doorgegeven aan subverwerkers buiten de EER, wordt een dergelijke doorgifte beschermd door Standaardcontractbepalingen (SCC's) die zijn goedgekeurd door de Europese Commissie (Uitvoeringsbesluit (EU) 2021/914 van de Commissie), of andere passende waarborgen onder Artikel 46 GDPR. De Verwerkingsverantwoordelijke kan kopieën van deze waarborgen opvragen bij legal@veluvanto.com.
11. Bijstand bij rechten van betrokkenen
Veluvanto zal de Verwerkingsverantwoordelijke bijstaan bij het voldoen aan verzoeken van betrokkenen onder GDPR Artikelen 15–22. Waar technisch haalbaar, kan de Verwerkingsverantwoordelijke veel rechten rechtstreeks via de Veluvanto-applicatie vervullen (bijv. gegevensexport, accountverwijdering).
Voor verzoeken die directe betrokkenheid van Veluvanto vereisen, kunt u contact opnemen met privacy@veluvanto.com. Veluvanto zal binnen 5 werkdagen reageren en bijstand verlenen binnen een tijdsbestek dat de Verwerkingsverantwoordelijke in staat stelt de GDPR-reactietermijnen te halen.
12. Teruggave en verwijdering van gegevens
Na beëindiging van de dienst of op verzoek van de Verwerkingsverantwoordelijke:
- Gegevensexport: De Verwerkingsverantwoordelijke kan op elk moment tijdens de dienstverlening alle documenten en gegevens exporteren via de exportfunctie van de applicatie
- Verwijdering na beëindiging: Binnen 30 dagen na accountverwijdering of beëindiging van de dienst zal Veluvanto alle persoonsgegevens, inclusief documenten, metadata en door AI gegenereerde inhoud, permanent verwijderen, tenzij bewaring vereist is door de toepasselijke wetgeving
- Bevestiging: Op verzoek zal Veluvanto een schriftelijke bevestiging van de verwijdering verstrekken
Facturatiegegevens en wettelijk vereiste auditlogs kunnen worden bewaard zoals vereist door de Tsjechische boekhoudwetgeving (Wet nr. 563/1991 Coll.) voor een periode van maximaal 10 jaar.
13. Auditrechten
Veluvanto zal alle informatie ter beschikking stellen die nodig is om de naleving van deze DPA aan te tonen. De Verwerkingsverantwoordelijke kan een audit van de gegevensverwerkingsactiviteiten van Veluvanto aanvragen door:
- Het opvragen van documentatie over beveiligingsmaatregelen en nalevingsrapporten
- Het opvragen van auditrapporten van derden (ISO 27001-certificering, SOC 2, etc.) waar beschikbaar
- Het uitvoeren van audits of inspecties op afspraak (met een opzegtermijn van ten minste 30 dagen, op kosten van de Verwerkingsverantwoordelijke en onderworpen aan redelijke geheimhoudingsverplichtingen)
14. Melding van datalekken
In het geval van een datalek dat gegevens van de Verwerkingsverantwoordelijke treft, zal Veluvanto de Verwerkingsverantwoordelijke zonder onnodige vertraging en binnen 72 uur na ontdekking van het lek op de hoogte stellen. De melding bevat de beschikbare informatie over: de aard van de inbreuk, de categorieën en het geschatte aantal betrokkenen, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen. Aanvullende informatie zal worden verstrekt zodra deze beschikbaar komt.
15. Toepasselijk recht
Deze DPA wordt beheerst door het recht van de Tsjechische Republiek en het toepasselijke EU-recht, inclusief de GDPR. Eventuele geschillen zullen worden beslecht in overeenstemming met de bepalingen over toepasselijk recht in de Servicevoorwaarden van Veluvanto.
16. Ondertekende DPA
Als uw organisatie een afzonderlijk uitgevoerde, ondertekende DPA vereist (bijv. voor enterprise compliance-vereisten), neem dan contact met ons op vialegal@veluvanto.com. Wij zullen binnen een redelijke termijn een ondertekend exemplaar verstrekken.
17. Contact
Voor alle DPA-gerelateerde vragen:
Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praag 10
E-mail: legal@veluvanto.com
Privacy: privacy@veluvanto.com