Quest AI Solutions B.V.
Zwanebloem 47, 2408 LT Alphen aan den Rijn
KvK: 98202731 • Tel: 06-50218580
Privacy Officer: Dr. A.J. Froolik
Versie / Laatste update: 5 september 2025

Verwerkersovereenkomst (VWO)

Tussen:
(1) Quest AI Solutions B.V., Zwanebloem 47, 2408 LT Alphen aan den Rijn, KvK 98202731 (“Verwerker”); en
(2) [Klantnaam] (“Verwerkingsverantwoordelijke”).

Deze VWO maakt integraal deel uit van de dienstverleningsovereenkomst (“Hoofdovereenkomst”).

Artikel 1 – Onderwerp en reikwijdte

1. Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke en in het kader van de Diensten zoals omschreven in de Hoofdovereenkomst, plus daarmee rechtstreeks samenhangende doeleinden of nadere schriftelijke instructies van Verwerkingsverantwoordelijke.

2. Verwerker verwerkt persoonsgegevens niet voor eigen doeleinden en verstrekt deze niet aan derden, behalve met toestemming van Verwerkingsverantwoordelijke of indien wettelijk verplicht.

3. Categorieën gegevens/betrokkenen (niet limitatief): NAW-, contact- en communicatiegegevens van klanten/leads, online identifiers (IP/cookie), voorkeuren/gedrag (open/klik), afhankelijk van de campagne/dienst. Betrokkenen: klanten, leads, websitebezoekers van Verwerkingsverantwoordelijke.

4. Verwerkingsverantwoordelijke waarborgt de rechtmatigheid van de verwerkingen en verstrekt volledige, rechtmatige instructies. Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken die voortvloeien uit schending van die verplichtingen door Verwerkingsverantwoordelijke.

Artikel 2 – Duur

Deze VWO geldt voor de duur waarin Verwerker persoonsgegevens verwerkt in het kader van de Hoofdovereenkomst en eindigt nadat artikel 8 (teruggave/verwijdering) is uitgevoerd.

Artikel 3 – Beveiliging, geheimhouding en datalekken

1. Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen, rekening houdend met stand van de techniek, kosten, aard van de verwerking en risico’s (o.a. encryptie, toegangsbeheer, logging, need-to-know, patching en back-ups waar passend).

2. Personen onder gezag van Verwerker (medewerkers, inhuur, subverwerkers) zijn aan geheimhouding gebonden. Toegang is beperkt tot wat noodzakelijk is voor de werkzaamheden.

3. Datalekken: bij een inbreuk in verband met persoonsgegevens informeert Verwerker Verwerkingsverantwoordelijke onverwijld en verstrekt informatie over aard, omvang, gevolgen en getroffen maatregelen, zodat Verwerkingsverantwoordelijke tijdig (binnen 72 uur indien meldplichtig) melding kan doen aan de AP en, waar vereist, aan betrokkenen. Verwerker verleent redelijke medewerking bij onderzoek en afhandeling.

Artikel 4 – Subverwerkers

1. Verwerkingsverantwoordelijke verleent toestemming voor inzet van subverwerkers zoals opgenomen in Bijlage A (Lijst subverwerkers). Verwerker informeert vooraf over wijzigingen, met mogelijkheid tot gemotiveerd bezwaar door Verwerkingsverantwoordelijke.

2. Verwerker legt subverwerkers ten minste dezelfde gegevensbeschermingsverplichtingen op als in deze VWO en blijft aansprakelijk voor hun handelen alsof het eigen handelen betrof.

Artikel 5 – Rechten van betrokkenen en ondersteuning

1. Verwerker assisteert Verwerkingsverantwoordelijke, voor zover redelijk, bij het afhandelen van verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, dataportabiliteit, bezwaar). Verzoeken die rechtstreeks bij Verwerker binnenkomen, worden onverwijld doorgeleid.

2. Verwerker ondersteunt, waar passend, bij DPIA’s, voorafgaande raadpleging en het aantonen van naleving (accountability). Verwerker kan een redelijke vergoeding vragen voor omvangrijke ondersteuning buiten het reguliere kader.

Artikel 6 – Audit

Verwerkingsverantwoordelijke mag, maximaal eenmaal per 12 maanden en met 30 dagen aankondiging, (laten) auditen binnen een redelijke scope en tijdvenster. Verwerker werkt mee en verstrekt relevante informatie met inachtneming van vertrouwelijkheid. Kosten voor rekening van Verwerkingsverantwoordelijke, tenzij sprake is van een ernstige toerekenbare tekortkoming aan zijde van Verwerker.

Artikel 7 – Doorgifte buiten de EER

Doorgifte buiten de EER vindt alleen plaats met passende waarborgen (bijv. EU-adequaatheidsbesluit of Standard Contractual Clauses en, waar nodig, aanvullende maatregelen). Verwerker informeert Verwerkingsverantwoordelijke welke waarborgen worden toegepast voor subverwerkers buiten de EER.

Artikel 8 – Teruggave en verwijdering

1. Bij het einde van de Hoofdovereenkomst of op schriftelijk verzoek van Verwerkingsverantwoordelijke levert Verwerker de persoonsgegevens terug in een gangbaar, gestructureerd formaat of verwijdert deze zorgvuldig, naar keuze van Verwerkingsverantwoordelijke.

2. Verwerker bevestigt schriftelijk de voltooiing. Verwerker mag gegevens bewaren voor zover wettelijk verplicht (alleen voor die plicht) en houdt ze dan afgeschermd.

Artikel 9 – Aansprakelijkheid, recht en forum

1. De aansprakelijkheidsregeling (inclusief beperkingen en uitsluitingen) uit de Hoofdovereenkomst/Algemene Voorwaarden is van overeenkomstige toepassing op deze VWO.

2. Nederlands recht is van toepassing; geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement van de vestigingsplaats van Verwerker, nadat partijen een redelijke poging hebben gedaan tot minnelijke oplossing.

Bijlage A – Subverwerkers (indicatief)

Subverwerker	Vestiging	Waarborg
Make.com	EU	EU-verwerking
n8n	EU / self-hosted	EU-verwerking
Relevance.ai	Buiten EER mogelijk	Standard Contractual Clauses (SCC)
Mailchimp	VS	Standard Contractual Clauses (SCC)
ActiveCampaign	EU / VS	Standard Contractual Clauses (SCC)

Download dit document als PDF.

Zie ook onze Algemene Voorwaarden, ons Privacybeleid en ons Cookiebeleid.