Verwerkersovereenkomst
Laatst bijgewerkt: juni 2026
Deze verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) is een aanvulling op de overeenkomst tussen de opdrachtgever (hierna: “Verwerkingsverantwoordelijke”) en NRL Automations, KvK 87679361 (hierna: “Verwerker”). Zij is van toepassing wanneer Verwerker bij de uitvoering van de overeenkomst persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke, en voldoet aan artikel 28 van de Algemene Verordening Gegevensbescherming (AVG).
Klanten kunnen deze tekst gebruiken als basis. Voor een ondertekende versie met ingevulde bijlagen, mail [email protected].
1. Definities
Begrippen als “persoonsgegevens”, “verwerking”, “betrokkene”, “subverwerker” en “inbreuk in verband met persoonsgegevens” hebben de betekenis die de AVG daaraan geeft. De Verwerkingsverantwoordelijke bepaalt doel en middelen van de verwerking; Verwerker verwerkt uitsluitend in opdracht van de Verwerkingsverantwoordelijke.
2. Onderwerp, aard en doel
Verwerker verwerkt persoonsgegevens uitsluitend voor het leveren van de overeengekomen diensten (zoals AI-agents, automatiseringen, koppelingen en maatwerksystemen). De aard, het doel, de soorten persoonsgegevens en de categorieën betrokkenen staan beschreven in Bijlage A.
3. Duur
Deze Verwerkersovereenkomst geldt zolang Verwerker namens de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, en eindigt zodra de onderliggende overeenkomst eindigt, onverminderd de bepalingen die naar hun aard van kracht blijven.
4. Instructies
Verwerker verwerkt de persoonsgegevens alleen op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders bepaalt. Verwerker informeert de Verwerkingsverantwoordelijke als een instructie naar zijn mening in strijd is met de AVG.
5. Geheimhouding
Verwerker zorgt dat personen die toegang hebben tot de persoonsgegevens tot geheimhouding zijn gehouden.
6. Beveiliging
Verwerker treft passende technische en organisatorische maatregelen (artikel 32 AVG) om een op het risico afgestemd beveiligingsniveau te waarborgen. De getroffen maatregelen staan in Bijlage C.
7. Subverwerkers
De Verwerkingsverantwoordelijke geeft algemene toestemming voor het inschakelen van de subverwerkers in Bijlage B. Verwerker legt elke subverwerker gelijkwaardige verplichtingen op en informeert de Verwerkingsverantwoordelijke bij voorgenomen wijzigingen, zodat deze bezwaar kan maken.
8. Bijstand bij rechten van betrokkenen
Verwerker helpt de Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk, bij het afhandelen van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar) en bij gegevensbeschermingseffectbeoordelingen.
9. Inbreuken in verband met persoonsgegevens
Verwerker meldt een inbreuk in verband met persoonsgegevens zonder onredelijke vertraging na ontdekking aan de Verwerkingsverantwoordelijke, met de informatie die nodig is om aan diens meldplicht te voldoen.
10. Audits
Verwerker stelt de informatie beschikbaar die nodig is om naleving aan te tonen en maakt audits door de Verwerkingsverantwoordelijke of een door deze gemachtigde auditor mogelijk, met redelijke voorafgaande kennisgeving en met inachtneming van vertrouwelijkheid.
11. Doorgifte buiten de EER
Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte vindt alleen plaats met passende waarborgen, zoals de standaardcontractbepalingen van de Europese Commissie. Enkele subverwerkers (zie Bijlage B) zijn gevestigd in de Verenigde Staten.
12. Teruggave en verwijdering
Na beëindiging verwijdert Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens of geeft deze terug, tenzij een wettelijke bewaarplicht anders bepaalt.
13. Aansprakelijkheid
Op deze Verwerkersovereenkomst zijn de aansprakelijkheidsbepalingen uit de onderliggende overeenkomst en de algemene voorwaarden van Verwerker van toepassing.
14. Wijzigingen en toepasselijk recht
Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Bij strijdigheid met de onderliggende overeenkomst gaat deze Verwerkersovereenkomst voor op het punt van gegevensbescherming.
Bijlage A — Beschrijving van de verwerking
- Doel: levering van de overeengekomen AI- en automatiseringsdiensten.
- Categorieën betrokkenen: klanten, leads, medewerkers en contactpersonen van de Verwerkingsverantwoordelijke (afhankelijk van het project).
- Soorten persoonsgegevens: doorgaans naam, e-mailadres, telefoonnummer, berichten en gespreksinhoud; geen bijzondere categorieën, tenzij uitdrukkelijk schriftelijk overeengekomen.
- Bewerkingen: verzamelen, opslaan, raadplegen, doorsturen aan subverwerkers en verwijderen.
Bijlage B — Subverwerkers
Afhankelijk van het project kan Verwerker onder andere de volgende subverwerkers inschakelen:
- Anthropic (VS) — verwerking via het Claude AI-model.
- GoHighLevel / LeadConnector — CRM, communicatie en boekingen.
- Cloudflare (VS/EER) — hosting, netwerk en beveiliging.
- Google — e-mail en kantoortoepassingen.
- Supabase — database en opslag (waar van toepassing).
- Overige projectspecifieke tools, zoals overeengekomen met de Verwerkingsverantwoordelijke.
Bijlage C — Beveiligingsmaatregelen
- Versleutelde verbindingen (HTTPS/TLS) en versleutelde opslag waar van toepassing.
- Toegang op need-to-know-basis met sterke authenticatie.
- Gebruik van API-sleutels en secrets buiten de openbare code, met beperkte rechten.
- Logging en monitoring van relevante systemen.
- Periodieke evaluatie en, waar nodig, aanpassing van maatregelen.