🔒 Verwerkersovereenkomst — AVG art. 28

Verwerkersovereenkomst Prisma

📋 Conform artikel 28 AVG (Verordening (EU) 2016/679) 📅 Datum: _______________
Bijlage bij de Dienstverleningsovereenkomst. Deze verwerkersovereenkomst is verplicht op grond van AVG art. 28 en regelt de verwerking van persoonsgegevens door Prisma in opdracht van de Klant. Dit document maakt integraal onderdeel uit van de overeenkomst en dient samen met de Algemene Voorwaarden en Dienstverleningsovereenkomst te worden ondertekend.
Partijen
De Verwerkingsverantwoordelijke (Klant)
Bedrijfsnaam
Adres
KvK-nummer
Contactpersoon
E-mailadres
De Verwerker (Prisma)
BedrijfsnaamAvae Wear t.h.v. Prisma
AdresCatharina Boudewijnshof 73, 1064PG Amsterdam
KvK-nummer99558688
ContactpersoonDino Sakovic
E-mailadresprivacy@myprisma.io
Artikel 2 — Definities
Begrippenomschrijvingen in de zin van de AVG
BegripBetekenis
AVGVerordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).
PersoonsgegevensAlle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (AVG art. 4 lid 1).
VerwerkingElke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens (AVG art. 4 lid 2).
VerwerkingsverantwoordelijkeDe Klant, die het doel van en de middelen voor de verwerking vaststelt.
VerwerkerPrisma (Avae Wear), die ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Sub-verwerkerEen derde partij die door de Verwerker wordt ingeschakeld om namens de Verwerkingsverantwoordelijke persoonsgegevens te verwerken.
BetrokkeneDe natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
DatalekEen inbreuk in verband met persoonsgegevens zoals bedoeld in AVG art. 4 lid 12.
SCCsDoor de Europese Commissie vastgestelde modelcontractbepalingen voor doorgifte naar derde landen (Uitvoeringsbesluit (EU) 2021/914).
DienstDe AI telefoonassistent van Prisma, inclusief spraakherkenning, gesprekverwerking, agendabeheer en SMS-berichten.
Artikel 3 — Onderwerp en duur van de verwerking
Koppeling aan de Dienstverleningsovereenkomst

Onderwerp: Deze Overeenkomst heeft betrekking op de verwerking van persoonsgegevens door de Verwerker in het kader van de levering van de Dienst aan de Verwerkingsverantwoordelijke.

Duur: Deze Overeenkomst treedt in werking op de datum van ondertekening en loopt zolang de Verwerker persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke. De duur is onlosmakelijk gekoppeld aan de looptijd van de onderliggende Dienstverleningsovereenkomst.

Artikel 4 — Aard en doel van de verwerking
Uitsluitend op instructie van de Verwerkingsverantwoordelijke

De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de volgende doeleinden:

  1. Gesprekverwerking: Het ontvangen, verwerken en beantwoorden van inkomende telefoongesprekken via de AI telefoonassistent.
  2. Spraakherkenning en -synthese: Het omzetten van spraak naar tekst (transcriptie) en het genereren van gesproken antwoorden.
  3. Agendabeheer: Het inplannen, wijzigen en annuleren van afspraken in de agenda van de Verwerkingsverantwoordelijke.
  4. Informatieverstrekking: Het verstrekken van informatie over diensten, prijzen en beschikbaarheid aan bellers.
  5. Notificaties: Het verzenden van SMS-berichten in verband met afspraken.
Artikel 5 — Soort persoonsgegevens en categorieën betrokkenen
Geen bijzondere categorieën (AVG art. 9)
5.1 Categorieën persoonsgegevens
CategorieGegevens
IdentificatiegegevensNaam, telefoonnummer, e-mailadres van bellers
CommunicatiegegevensGespreksopnames (audio), transcripties van gesprekken
AfspraakgegevensDatum, tijd, gevraagde dienst, naam medewerker
Technische gegevensBeltijdstip, gespreksduur, belstatus
5.2 Categorieën betrokkenen
  • Klanten en potentiële klanten van de Verwerkingsverantwoordelijke (bellers)
  • Medewerkers van de Verwerkingsverantwoordelijke (voor zover hun namen in het systeem zijn opgenomen)
5.3 Bijzondere categorieën

Er worden geen bijzondere categorieën persoonsgegevens verwerkt in de zin van AVG art. 9. Mocht een beller onverhoopt bijzondere persoonsgegevens delen tijdens een gesprek, dan worden deze niet doelbewust opgeslagen of verwerkt. De Verwerkingsverantwoordelijke draagt er zorg voor dat zijn bellers geen bijzondere categorieën gegevens aan de Assistent verstrekken.

Artikel 6 — Verplichtingen van de Verwerker
Instructiegebondenheid, vertrouwelijkheid, beveiliging, datalekken, audit

6.1 Instructiegebondenheid — De Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke. Indien de Verwerker op grond van EU- of nationaal recht verplicht is tot verwerking, stelt hij de Verwerkingsverantwoordelijke vooraf in kennis, tenzij die wetgeving dit verbiedt.

6.2 Vertrouwelijkheid — De Verwerker waarborgt dat personen die persoonsgegevens verwerken, gebonden zijn aan een passende geheimhoudingsverplichting.

6.3 Beveiliging — De Verwerker treft passende technische en organisatorische maatregelen conform AVG art. 32 (zie art. 9 van deze Overeenkomst).

6.4 Sub-verwerkers — De Verwerker schakelt geen nieuwe sub-verwerker in zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. Bij algemene toestemming (art. 8) informeert de Verwerker dertig (30) dagen vooraf bij wijzigingen, met bezwaarmogelijkheid voor de Verwerkingsverantwoordelijke.

6.5 Rechten betrokkenen — De Verwerker verleent bijstand bij het beantwoorden van verzoeken van betrokkenen (AVG hoofdstuk III) en informeert de Verwerkingsverantwoordelijke binnen twee (2) werkdagen bij directe verzoeken.

6.6 Bijstand verplichtingen — De Verwerker verleent bijstand bij AVG art. 32–36 (beveiliging, DPIA, meldplicht datalekken, voorafgaande raadpleging).

6.7 Meldplicht datalekken — De Verwerker meldt een datalek binnen 24 uur na ontdekking aan de Verwerkingsverantwoordelijke, met minimaal: (a) aard van het lek, (b) contactpersoon, (c) waarschijnlijke gevolgen, (d) genomen maatregelen.

6.8 Audit-recht — De Verwerker stelt alle benodigde informatie ter beschikking en faciliteert audits door de Verwerkingsverantwoordelijke of diens gemachtigde, mits ten minste dertig (30) dagen van tevoren aangekondigd. Kosten zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit tekortkomingen van de Verwerker aantoont.

6.9 Teruggave en verwijdering bij beëindiging — Na beëindiging wist of retourneert de Verwerker naar keuze van de Verwerkingsverantwoordelijke alle persoonsgegevens binnen dertig (30) dagen. De Verwerker verstrekt op verzoek een schriftelijke bevestiging van verwijdering.

⚖ Debatanalyse — Verwerkerplichten
Juridische grondslag
AVG art. 28 lid 3: exhaustieve lijst van verplichte VOK-bepalingen. Art. 33: 72-uurs meldplicht AP bij datalek (wij hanteren 24 uur intern voor doormelding naar VV). Art. 28 lid 3 sub g: teruglevering/verwijdering bij beëindiging verplicht. Audit-recht art. 28 lid 3 sub h.
Beschermt Prisma
Door verwerking strikt te beperken tot schriftelijke instructies (6.1) is Prisma nooit aansprakelijk voor een verwerking die de klant zelf heeft geïnitieerd. 24-uurs meldplicht intern geeft klant maximale reactietijd voor AP-melding (72 uur). Auditkosten bij klant tenzij fout van Prisma = geen misbruik van auditrecht.
Klant bezwaar + weerlegging
Bezwaar: "Jullie verwerken data bij Amerikaanse bedrijven, dat mag niet." Weerlegging: Prisma verwerkt uitsluitend op basis van klantinstructies en heeft SCCs + TIA's op orde (art. 10). Bezwaar: "Ik wil mijn data terug als ik stop." Weerlegging: Art. 6.9 garandeert retournering binnen 30 dagen na beëindiging.
Artikel 7 — Verplichtingen van de Verwerkingsverantwoordelijke
Klant draagt primaire AVG-verantwoordelijkheid
  1. De Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot verwerking van persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
  2. De Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de AVG, in het bijzonder voor het vaststellen van de rechtmatigheid van de verwerking en het informeren van betrokkenen overeenkomstig de artikelen 13 en 14 AVG.
  3. De Verwerkingsverantwoordelijke zorgt ervoor dat bellers worden geïnformeerd dat zij met een AI-systeem spreken, in overeenstemming met de EU AI Act (Verordening (EU) 2024/1689). Prisma ondersteunt dit door bij aanvang van elk gesprek een automatische mededeling af te spelen.
Artikel 8 — Sub-verwerkers
Lijst van ingeschakelde sub-verwerkers met SCC-waarborgen

De Verwerkingsverantwoordelijke verleent hierbij algemene schriftelijke toestemming voor het inschakelen van de hieronder genoemde sub-verwerkers. De Verwerker informeert de Verwerkingsverantwoordelijke ten minste dertig (30) dagen vooraf bij wijzigingen in deze lijst, met bezwaarmogelijkheid.


Sub-verwerkerVestigingDoelWaarborg
Vapi Inc.Verenigde StatenVoice AI-platform, gesprekverwerkingSCCs + TIA
ElevenLabsVS / EUSpraaksynthese (text-to-speech)SCCs + TIA
DeepgramVerenigde StatenSpraakherkenning (speech-to-text)SCCs + TIA
OpenAI / Microsoft AzureEU West EuropeTaalmodel (NLP)EU-verwerking, Microsoft DPA
Twilio Ireland Ltd.Ierland (EU)Telefonie, SMSEU-verwerking, Twilio DPA
Google LLCEU West EuropeGoogle Calendar agenda-integratieEU-verwerking, Google DPA, SCCs

Waar mogelijk worden persoonsgegevens verwerkt binnen de EER. Voor sub-verwerkers buiten de EER gelden de waarborgen van artikel 10.

⚖ Debatanalyse — Sub-verwerkers
Juridische grondslag
AVG art. 28 lid 2: sub-verwerker vereist schriftelijke toestemming VV. Art. 28 lid 4: sub-verwerker gebonden aan dezelfde verplichtingen. Uitvoeringsbesluit (EU) 2021/914: SCCs voor doorgifte buiten EER. Twilio IE + Google EU + Azure EU: primair EER-verwerking, SCCs als extra waarborg.
Beschermt Prisma
Algemene toestemming in dit document = geen handtekening nodig bij elke sub-verwerker-wijziging. Prisma mag de lijst uitbreiden mits 30 dagen vooraf gemeld. Doordat klant dit document tekent, accepteert hij ook de VS-verwerkers met SCCs. Prisma kan niet worden aangesproken voor sub-verwerker-storingen mits adequate maatregelen getroffen.
Klant bezwaar + weerlegging
Bezwaar: "Ik wil niet dat mijn klantdata naar de VS gaat." Weerlegging: Vapi, ElevenLabs en Deepgram zijn VS-gebaseerd maar verwerken onder SCCs + TIA. OpenAI gebruikt Azure EU West (Amsterdam/Ierland). Twilio verwerkt via Twilio Ireland. Google via EU data centers. Absolute EU-only verwerking is technisch niet mogelijk zonder de core-AI-functionaliteit in te leveren.
Artikel 9 — Technische en organisatorische maatregelen (TOM)
AVG art. 32 beveiligingsmaatregelen
  • Versleuteling: Alle gegevens worden versleuteld tijdens transport (TLS 1.2+) en in rust (AES-256). API-communicatie uitsluitend via versleutelde verbindingen.
  • Toegangsbeheer: Toegang tot persoonsgegevens beperkt tot geautoriseerd personeel op need-to-know basis. Multi-factor authenticatie (MFA) verplicht voor alle systemen met persoonsgegevens. Toegangsrechten worden periodiek geëvalueerd.
  • Pseudonimisering: Waar technisch haalbaar worden persoonsgegevens gepseudonimiseerd verwerkt. Interne verwijzingen gebruiken anonieme identifiers.
  • Beschikbaarheid en veerkracht: De Dienst draait op cloud-infrastructuur met redundantie en automatische failover. Regelmatige back-ups ter voorkoming van gegevensverlies.
  • Monitoring en logging: Toegang tot persoonsgegevens wordt gelogd voor audit-doeleinden. Beveiligingsincidenten worden gemonitord en geëscaleerd conform het incidentresponsplan.
  • Automatische verwijdering: Gespreksopnames worden automatisch verwijderd na 30 dagen. Transcripties na 90 dagen. Afspraakgegevens na de overeenkomstduur plus 1 jaar.
  • Beveiligingstests: Periodieke beveiligingsbeoordelingen op eigen systemen en processen.
⚖ Debatanalyse — TOM / Beveiliging
Juridische grondslag
AVG art. 32 lid 1: "passende technische en organisatorische maatregelen." Factoren: stand der techniek, uitvoeringskosten, aard/omvang/context, risico's. TLS 1.2+ en AES-256 zijn de huidige industrie-standaard. Bewaartermijnen volgen art. 5 lid 1 sub e (opslagbeperking): niet langer dan noodzakelijk.
Beschermt Prisma
Specifieke TOM-lijst in contract: Prisma kan aantonen dat maatregelen zijn getroffen bij AP-onderzoek. Korte bewaartermijnen (30/90 dagen) minimaliseren het risico-oppervlak bij een datalek. MFA-verplichting: interne medewerkers kunnen niet "per ongeluk" toegang hebben. Logging maakt audit-trail mogelijk.
Klant bezwaar + weerlegging
Bezwaar: "30 dagen voor opnames is te kort, ik wil terugluisteren." Weerlegging: AVG-principe opslagbeperking vereist minimale bewaartermijnen. 30 dagen is ruim voldoende voor kwaliteitscontrole. Bezwaar: "Is AES-256 genoeg?" Weerlegging: AES-256 is de NIST-standaard voor overheidsclassificatie TOP SECRET. Voor zakelijke gesprekken meer dan toereikend.
Artikel 10 — Doorgifte buiten de EER
SCCs en Transfer Impact Assessments
  1. Doorgifte van persoonsgegevens naar landen buiten de EER vindt uitsluitend plaats indien passende waarborgen zijn getroffen conform AVG hoofdstuk V.
  2. Voor doorgiften naar de Verenigde Staten worden Standard Contractual Clauses (SCCs) gehanteerd (Uitvoeringsbesluit (EU) 2021/914), aangevuld met een Transfer Impact Assessment (TIA) en waar nodig aanvullende technische maatregelen zoals versleuteling en pseudonimisering.
  3. De Verwerker informeert de Verwerkingsverantwoordelijke onverwijld indien een waarborg voor doorgifte niet langer geldig is of een autoriteit doorgifte verbiedt.
⚖ Debatanalyse — Doorgifte buiten EER
Juridische grondslag
AVG hoofdstuk V (art. 44-49): uitputtende lijst van doorgifte-mechanismen. Uitvoeringsbesluit (EU) 2021/914: nieuwe SCCs na Schrems II (16 juli 2020). TIA verplicht na Schrems II (HvJ EU C-311/18): verificatie van feitelijk beschermingsniveau in ontvangende land. EU-US Data Privacy Framework (2023): adequaatheidsbesluit voor gecertificeerde VS-bedrijven.
Beschermt Prisma
SCCs + TIA = juridisch robuuste doorgifte-grondslag na Schrems II. Prisma is niet aansprakelijk voor inlichtingendienst-toegang in de VS zolang TIA-verplichtingen zijn nagekomen (EDPB-aanbevelingen). Meldplicht bij ongeldigheid (lid 3) geeft Prisma actief beheer van het risico.
Klant bezwaar + weerlegging
Bezwaar: "Na Schrems II mogen gegevens toch niet naar de VS?" Weerlegging: Schrems II vernietigde het Privacy Shield maar niet de SCCs. Met SCCs + TIA + aanvullende maatregelen (versleuteling) is doorgifte naar de VS rechtmatig. Bovendien heeft de EU in 2023 een nieuw adequaatheidsbesluit genomen voor het EU-US DPF, dat meerdere VS-partijen dekt.
Artikel 11 — Aansprakelijkheid
Cap op 12 maanden betaalde dienstverlening
  1. De aansprakelijkheid van de Verwerker jegens de Verwerkingsverantwoordelijke voor schade voortvloeiend uit een toerekenbare tekortkoming in de nakoming van deze Overeenkomst is beperkt tot het totaalbedrag dat de Verwerkingsverantwoordelijke in de twaalf (12) maanden voorafgaand aan de schadeveroorzakende gebeurtenis aan de Verwerker heeft betaald voor de Dienst.
  2. De in lid 1 genoemde beperking geldt niet voor schade veroorzaakt door opzet of bewuste roekeloosheid van de Verwerker, noch voor boetes opgelegd door een toezichthouder als direct gevolg van een aantoonbare tekortkoming van de Verwerker.
  3. De Verwerker vrijwaart de Verwerkingsverantwoordelijke tegen aanspraken van derden die voortvloeien uit het niet-nakomen van de verplichtingen van de Verwerker uit deze Overeenkomst.
Artikel 12 — Looptijd en beëindiging
Automatisch gekoppeld aan Dienstverleningsovereenkomst
  1. Deze Overeenkomst is onlosmakelijk verbonden met de onderliggende Dienstverleningsovereenkomst en eindigt van rechtswege bij beëindiging daarvan.
  2. Bij beëindiging van deze Overeenkomst zijn de bepalingen van artikel 6.9 (teruggave en verwijdering) van toepassing.
  3. Artikelen die naar hun aard bestemd zijn om na beëindiging voort te duren — waaronder vertrouwelijkheid, aansprakelijkheid en meldplicht — blijven na beëindiging van kracht.
Artikel 13 — Overige bepalingen
Wijzigingen, recht, geschillen, rangorde

13.1 Wijzigingen — Wijzigingen in deze Overeenkomst zijn slechts geldig indien schriftelijk overeengekomen door beide Partijen.

13.2 Toepasselijk recht — Op deze Overeenkomst is uitsluitend Nederlands recht van toepassing.

13.3 Geschillen — Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Amsterdam.

13.4 Rangorde — In geval van tegenstrijdigheid tussen deze Verwerkersovereenkomst en de Algemene Voorwaarden of andere overeenkomsten, prevaleert deze Verwerkersovereenkomst voor wat betreft de verwerking van persoonsgegevens.

Ondertekening
Artikel 14 — Ondertekening
Beide partijen ondertekenen in tweevoud

Aldus overeengekomen en in tweevoud ondertekend op _______________ te _______________


De Verwerker — Prisma (Avae Wear)
Handtekening

Naam
Functie
Datum
De Verwerkingsverantwoordelijke (Klant)
Handtekening

Naam
Functie
Datum

Deze verwerkersovereenkomst is opgesteld conform de vereisten van AVG art. 28 en treedt in werking op de datum van ondertekening door beide Partijen. De overeenkomst maakt integraal deel uit van de Dienstverleningsovereenkomst Prisma.

Prisma is een handelsnaam van Avae Wear  ·  KvK: 99558688  ·  privacy@myprisma.io