Verwerkersovereenkomst AI Zakelijk
Laatst bijgewerkt: 5 september 2025
AI-uitbreiding: Deze verwerkersovereenkomst bevat aanvullende bepalingen voor AI-specifieke verwerkingen, waaronder geautomatiseerde contentgeneratie, predictive analytics, lead scoring en AI-optimalisatie. Voor de standaard verwerkersovereenkomst zonder AI-bepalingen, zie onze Verwerkersovereenkomst.
Quest AI Solutions B.V.
Zwanebloem 47, 2408 LT Alphen aan den Rijn
KvK: 98202731 • Tel: 06-50218580
Privacy Officer: Dr. A.J. Froolik
Versie / Laatste update: 5 september 2025
Verwerkersovereenkomst (VWO)
Tussen:
(1) Quest AI Solutions B.V., Zwanebloem 47, 2408 LT Alphen aan den Rijn, KvK 98202731 (“Verwerker”); en
(2) [Klantnaam] (“Verwerkingsverantwoordelijke”).
Deze VWO maakt integraal deel uit van de dienstverleningsovereenkomst (“Hoofdovereenkomst”).
Artikel 1 – Onderwerp en reikwijdte
1. Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke en in het kader van de Diensten zoals omschreven in de Hoofdovereenkomst, plus daarmee rechtstreeks samenhangende doeleinden of nadere schriftelijke instructies van Verwerkingsverantwoordelijke.
2. AI-specifieke verwerkingen. Voor zover van toepassing omvatten de Diensten: geautomatiseerde contentgeneratie, classificatie/samenvatting, predictive analytics en lead scoring, A/B-testing met AI-optimalisatie, en het trainen of fine-tunen van klant-specifieke modellen binnen de grenzen van deze VWO en de AVG.
3. Geen eigen doeleinden. Verwerker verwerkt geen persoonsgegevens voor eigen doeleinden en verstrekt deze niet aan derden, behalve met toestemming van Verwerkingsverantwoordelijke of indien wettelijk verplicht.
4. Categorieën gegevens en betrokkenen (niet limitatief). NAW-, contact- en communicatiegegevens van klanten/leads, online identifiers (IP/cookie), voorkeuren/gedrag (open/klik), afhankelijk van de campagne/dienst. Betrokkenen: klanten, leads, websitebezoekers van Verwerkingsverantwoordelijke.
5. Geautomatiseerde besluitvorming. Verwerker voert geen uitsluitend geautomatiseerde besluiten met rechtsgevolgen over betrokkenen uit; profilering vindt uitsluitend plaats binnen de instructies van Verwerkingsverantwoordelijke en met passende waarborgen.
6. Dataminimalisatie en proportionaliteit. Verwerker verwerkt slechts die persoonsgegevens die noodzakelijk zijn, past waar mogelijk pseudonimisering of anonimisering toe en beoordeelt periodiek (minimaal jaarlijks) de noodzaak van de verwerkingen.
Artikel 2 – Duur
Deze VWO geldt voor de duur waarin Verwerker persoonsgegevens verwerkt in het kader van de Hoofdovereenkomst en eindigt nadat artikel 8 (teruggave/verwijdering) is uitgevoerd.
Artikel 3 – Beveiliging, geheimhouding en datalekken
1. Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen, rekening houdend met stand van de techniek, kosten, aard van de verwerking en risico’s (bijv. encryptie, toegangsbeheer met least privilege, logging/monitoring, patching en back-ups waar passend).
2. Personen onder gezag van Verwerker (medewerkers, inhuur, subverwerkers) zijn aan geheimhouding gebonden. Toegang is beperkt tot wat noodzakelijk is.
3. Datalekken en incident response. Verwerker meldt een inbreuk in verband met persoonsgegevens onverwijld en uiterlijk binnen 24 uur na ontdekking aan Verwerkingsverantwoordelijke, via het door Verwerkingsverantwoordelijke opgegeven contactpunt. De melding bevat ten minste:
- aard van het incident,
- getroffen categorieën gegevens en betrokkenen,
- vermoedelijke omvang,
- waarschijnlijke gevolgen,
- reeds genomen en voorgestelde maatregelen,
- contactpunt voor nadere informatie.
Verwerker onderhoudt een escalatieprocedure en test deze minimaal jaarlijks (tabletop oefening).
Artikel 4 – Subverwerkers
1. Verwerkingsverantwoordelijke verleent toestemming voor inzet van subverwerkers zoals opgenomen in Bijlage A (Lijst subverwerkers). Verwerker informeert vooraf over wijzigingen, met mogelijkheid tot gemotiveerd bezwaar binnen 10 werkdagen; partijen zullen in redelijkheid een oplossing zoeken.
2. Verwerker legt subverwerkers ten minste dezelfde gegevensbeschermingsverplichtingen op als in deze VWO en blijft aansprakelijk voor hun handelen alsof het eigen handelen betrof.
Artikel 5 – Rechten van betrokkenen en ondersteuning
1. Verwerker assisteert Verwerkingsverantwoordelijke, voor zover redelijk, bij het afhandelen van verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, dataportabiliteit, bezwaar). Verzoeken die rechtstreeks bij Verwerker binnenkomen, worden onverwijld doorgeleid.
2. Verwerker ondersteunt, waar passend, bij DPIA’s, voorafgaande raadpleging en het aantonen van naleving (accountability). Verwerker kan een redelijke vergoeding vragen voor omvangrijke ondersteuning buiten het reguliere kader.
Artikel 6 – Doorgifte buiten de EER
Doorgifte buiten de EER vindt alleen plaats met passende waarborgen (bijv. EU-Standard Contractual Clauses en aanvullende maatregelen). Verwerker verstrekt op verzoek informatie over de relevante waarborgen per subverwerker en, indien beschikbaar, een samenvatting van TIA’s.
Artikel 7 – Audit
Verwerkingsverantwoordelijke mag, maximaal eenmaal per 12 maanden en met 30 dagen aankondiging, (laten) auditen binnen een redelijke scope en tijdvenster. Verwerker werkt mee en verstrekt relevante informatie met inachtneming van vertrouwelijkheid. Kosten voor rekening van Verwerkingsverantwoordelijke, tenzij sprake is van een ernstige toerekenbare tekortkoming aan zijde van Verwerker.
Artikel 8 – Teruggave en verwijdering (exit)
1. Bij einde van de Hoofdovereenkomst of op schriftelijk verzoek levert Verwerker persoonsgegevens binnen 30 dagen terug in een gangbaar, gestructureerd formaat (CSV, JSON of anders overeengekomen) of verwijdert deze zorgvuldig, naar keuze van Verwerkingsverantwoordelijke.
2. Verwerker verstrekt op verzoek een certificaat van vernietiging. Back-upretentie kan leiden tot latere definitieve verwijdering, maar back-ups worden na de exit niet meer actief gebruikt.
3. Kosten. Redelijke kosten voor export- en ondersteuningswerkzaamheden worden vergoed tegen de op dat moment geldende uurtarieven, tenzij partijen anders overeenkomen.
Artikel 9 – Aansprakelijkheid, recht en forum
1. De aansprakelijkheidsregeling uit de Hoofdovereenkomst/Algemene Voorwaarden is van overeenkomstige toepassing.
2. Nederlands recht is van toepassing; geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement van de vestigingsplaats van Verwerker, nadat partijen hebben getracht het geschil minnelijk op te lossen.
Bijlage A – Subverwerkers
Indicatief, afhankelijk van de Diensten en configuratie:
| Subverwerker | Vestiging | Waarborg | Dienst |
|---|---|---|---|
| Make.com | EU | — | iPaaS / automations |
| n8n | EU of self-hosted | — | iPaaS / automations |
| Relevance.ai | Buiten EER mogelijk | SCC’s | AI-diensten |
| Mailchimp | VS | SCC’s | E-mailmarketing |
| ActiveCampaign | EU / VS | SCC’s | Marketing automation |
| OpenAI / Anthropic | Buiten EER mogelijk, indien geactiveerd | SCC’s | AI-modellen |
| Google Cloud Platform / Google Analytics | EU / VS, indien geactiveerd | SCC’s | Hosting / analytics |
| CDN / hostingproviders (bijv. Cloudflare) | Divers, indien ingezet | SCC’s | CDN / hosting |
| Social media platforms (bijv. LinkedIn, Meta) | VS, indien geactiveerd | SCC’s | Campagnes t.b.v. Verwerkingsverantwoordelijke |
Download dit document als PDF.
Zie ook onze Algemene Voorwaarden, ons Privacybeleid en ons Cookiebeleid.