Verwerkersovereenkomst
Versie 1 · Laatst bijgewerkt: 17 mei 2026 · DPA conform AVG art. 28
Deze verwerkersovereenkomst (DPA) regelt hoe Koa-AI namens jou — als zakelijke klant — persoonsgegevens van jouw eindklanten verwerkt. Conform AVG art. 28 vereist. Bij acceptatie van het abonnement geldt deze DPA automatisch; geen aparte handtekening nodig.
Partijen
Deze verwerkersovereenkomst (“DPA”) wordt aangegaan tussen:
Verwerker: H.F.V. Work Shops (handelend onder Koa-AI), Dr. Jan Schouterlaan 4a, 3145 SZ Maassluis, KvK 93226837 (hierna: “Koa-AI”).
Verwerkingsverantwoordelijke: de zakelijke klant die een Koa-AI-abonnement afsluit (hierna: “Klant”).
Door acceptatie van de algemene voorwaarden bij aanvang van het abonnement gaan partijen tevens akkoord met deze DPA. Deze DPA maakt integraal onderdeel uit van de overeenkomst.
1. Onderwerp en duur
Deze DPA regelt de verwerking van persoonsgegevens van eindklanten (klanten van Klant) door Koa-AI in het kader van de WhatsApp-bot- dienstverlening. Looptijd is gelijk aan die van het abonnement; eindigt automatisch bij beëindiging van het abonnement.
2. Aard, doel en categorieën
- Aard van verwerking: ontvangen, opslaan, analyseren, beantwoorden van WhatsApp-berichten van eindklanten; bijhouden agenda en gesprekshistorie.
- Doel: uitvoering van de Koa-AI-dienst zoals overeengekomen in het abonnement van Klant.
- Categorieën gegevens: telefoonnummer, naam (indien opgegeven), inhoud chatberichten, afspraken, sentiment-analyse.
- Categorieën betrokkenen: eindklanten van Klant (consumenten of zakelijke contacten van Klant).
2a. Geanonimiseerde productverbetering
Naast de hoofdverwerking als verwerker (sectie 2) treedt Koa-AI op als zelfstandige verwerkingsverantwoordelijke voor het hergebruik van uitsluitend geaggregeerde en geanonimiseerde gebruiksdata, voor zover deze niet redelijkerwijs herleidbaar is tot individuele eindklanten. Voorbeelden van wat hieronder valt:
- Categorieën van vragen (bv. “30% openingstijden, 20% prijzen”) en intent-distributies
- Kwaliteitsmaatstaven (response-lengte, hand-off frequentie, sentiment-trends)
- Geaggregeerde performance-statistieken (latency, succes-ratio, error-rates)
- Bot-prompts en regels die op basis van deze inzichten worden verbeterd
Wat NIET hieronder valt: individuele berichten, telefoonnummers, namen, of enige andere gegevens die direct of indirect een eindklant identificeren. Deze blijven uitsluitend onderworpen aan de verwerker-rol uit sectie 2.
Klant geeft Koa-AI hiervoor toestemming via een afzonderlijke opt-in tijdens onboarding. Deze toestemming kan op elk moment worden ingetrokken via info@koa-ai.nl. Intrekking heeft geen terugwerkende kracht voor reeds geanonimiseerde geaggregeerde data.
3. Verplichtingen van Koa-AI
- Koa-AI verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van Klant en voor de in artikel 2 genoemde doelen.
- Koa-AI zorgt ervoor dat personen die persoonsgegevens verwerken, gebonden zijn aan geheimhouding.
- Koa-AI treft passende technische en organisatorische maatregelen (zie artikel 5).
- Koa-AI assisteert Klant bij verzoeken van betrokkenen die hun AVG-rechten uitoefenen (inzage, correctie, verwijdering, portabiliteit). Klant kan zelf via dashboard data exporteren of verwijderen.
- Koa-AI ondersteunt Klant bij het uitvoeren van DPIA's (data-impactanalyses) wanneer Klant daarom vraagt.
- Na beëindiging verwijdert Koa-AI persoonsgegevens binnen 90 dagen, tenzij wettelijke bewaarplicht (fiscaal: 7 jaar voor facturen).
4. Verplichtingen van Klant
- Klant is verantwoordelijk voor rechtmatige grondslag (AVG art. 6) voor verwerking via Koa-AI.
- Klant informeert eindklanten dat zij met een AI-bot communiceren en dat hun gegevens worden verwerkt door Koa-AI als verwerker.
- Klant houdt zijn dashboard-account beveiligd en gebruikt geen gedeelde of zwakke wachtwoorden.
- Klant levert aan Koa-AI uitsluitend gegevens aan die rechtmatig zijn verkregen.
5. Beveiligingsmaatregelen
- HTTPS/TLS voor alle data-in-transit
- Wachtwoorden hashed met PBKDF2-HMAC-SHA256 (200.000 iteraties) + per-user salt — NIST SP 800-132 conform
- Meta-tokens versleuteld at-rest met Fernet (AES-128)
- Database via Render managed Postgres met automatic backups
- Rolgebaseerde toegang voor medewerkers en klant-dashboards
- Audit-trail van alle administratieve acties
- Real-time security-monitoring via Sentry
- 14-dagen rotation backups (gecodeerd opgeslagen)
- Server-locatie binnen EU (Frankfurt) voor primaire data
- Periodieke security-review van afhankelijkheden
6. Sub-verwerkers
Klant geeft hierbij algemene toestemming voor het inschakelen van sub-verwerkers door Koa-AI. Wijzigingen in de lijst worden minimaal 14 dagen vooraf via e-mail of dashboard aangekondigd; bij gegrond bezwaar kan Klant het abonnement opzeggen.
Actuele sub-verwerkers:
| Sub-verwerker | Doel | Locatie / waarborg |
|---|---|---|
| Render Inc. | App- en database-hosting | EU Frankfurt — DPA + SCC |
| Vercel Inc. | Frontend-hosting | EU Frankfurt — DPA + SCC |
| Anthropic PBC | AI-antwoordgeneratie | EU/VS — DPA + SCC |
| Stripe Inc./EU | Betaalverwerking | EU Ierland / VS — DPA + SCC |
| Meta Platforms Ireland | WhatsApp Business API | EU/VS — DPA + SCC |
| Resend Inc. | Transactionele e-mails | VS — DPA + SCC |
| Functional Software Inc. (Sentry) | Error-monitoring | EU Frankfurt — DPA |
| TransIP B.V. | Domeinregistratie + DNS | EU Nederland — DPA |
| GitHub Inc. | Code + database-backups | VS — DPA + SCC |
7. Doorgifte buiten EU/EER
Voor doorgifte van persoonsgegevens buiten de EU/EER hanteert Koa-AI de Standard Contractual Clauses (SCC, Commission Decision 2021/914) en/of het EU-VS Data Privacy Framework (DPF). Aanvullende waarborgen worden getroffen waar nodig.
8. Datalek-meldplicht
Indien Koa-AI kennis krijgt van een datalek dat (mogelijk) persoonsgegevens van Klant raakt, informeert Koa-AI Klant binnen 24 uur per e-mail met:
- Aard en omvang van het datalek
- Categorieën en aantal getroffen betrokkenen
- Vermoedelijke oorzaak en getroffen maatregelen
- Contactpersoon voor vervolgvragen
Klant is zelf verantwoordelijk voor melding aan de Autoriteit Persoonsgegevens en betrokkenen, conform AVG art. 33 en 34. Koa-AI biedt redelijke ondersteuning hierbij.
9. Audit-rechten
Klant heeft het recht eenmaal per kalenderjaar — op eigen kosten en met inachtneming van een redelijke aankondigingstermijn van minimaal 30 dagen — een audit te (laten) verrichten naar de naleving van deze DPA. Koa-AI verleent redelijke medewerking aan een onafhankelijke auditor (mits onder NDA). Een audit mag de bedrijfsvoering van Koa-AI niet onnodig verstoren.
In plaats van een audit kan Klant accepteren een door Koa-AI aangeleverd auditrapport van een externe security-audit (SOC2/ISO 27001/Pen-test), indien beschikbaar.
10. Aansprakelijkheid
De aansprakelijkheid van Koa-AI onder deze DPA is beperkt zoals opgenomen in de algemene voorwaarden. Eventuele boetes opgelegd door de Autoriteit Persoonsgegevens komen voor rekening van de partij die voor de overtreding verantwoordelijk is, conform AVG art. 82.
11. Beëindiging
Bij beëindiging van het abonnement worden de persoonsgegevens van eindklanten conform Klant's instructie verwijderd of geretourneerd binnen 90 dagen, tenzij wettelijke bewaarplicht langer bewaren vereist. Backups worden meegenomen in de rotatie en vervolgens automatisch gewist.
12. Toepasselijk recht
Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de Rechtbank Rotterdam, behoudens dwingendrechtelijke bepalingen.