Verwerkersovereenkomst
Deze verwerkersovereenkomst (DPA) hoort bij de overeenkomst tussen de Afnemer (verwerkingsverantwoordelijke) en Voxori (verwerker) en voldoet aan AVG art. 28.
Partijen
Verwerkingsverantwoordelijke: de Afnemer, zoals vermeld in de hoofdovereenkomst.
Verwerker: Prime Invest B.V. h.o.d.n. Voxori, Rotterdam, Nederland, KvK 93607083.
Artikel 1 — Onderwerp en duur
De verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de Dienst en in opdracht van de verwerkingsverantwoordelijke. Deze overeenkomst geldt zolang de hoofdovereenkomst loopt.
Artikel 2 — Aard en doel van de verwerking
Het aannemen van telefoongesprekken, het omzetten van spraak naar tekst (transcriptie), het opslaan van gespreksgegevens, het inplannen van afspraken in de agenda en het versturen van SMS-bevestigingen namens de verwerkingsverantwoordelijke.
Artikel 3 — Categorieën betrokkenen en gegevens
| Betrokkenen | Persoonsgegevens |
|---|---|
| Bellers (klanten van de Afnemer) | Naam, telefoonnummer, gespreksaudio, transcriptie, afspraakdetails, eventueel door de beller genoemde informatie |
Artikel 4 — Instructies
De verwerker verwerkt de gegevens alleen op gedocumenteerde instructie van de verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist. Acht de verwerker een instructie in strijd met de AVG, dan meldt hij dat.
Artikel 5 — Geheimhouding
Personen die toegang hebben tot de gegevens zijn tot geheimhouding verplicht.
Artikel 6 — Beveiliging (art. 32)
De verwerker treft passende technische en organisatorische maatregelen, zoals beschreven in Bijlage 3.
Artikel 7 — Sub-verwerkers
De verwerkingsverantwoordelijke geeft algemene toestemming voor het inschakelen van de sub-verwerkers in Bijlage 2. De verwerker informeert ten minste 30 dagen vooraf over voorgenomen wijzigingen of toevoegingen. De verwerkingsverantwoordelijke kan binnen die termijn gemotiveerd bezwaar maken; bij gegrond bezwaar zoekt de verwerker een alternatief en, indien dat redelijkerwijs niet mogelijk is, heeft de verwerkingsverantwoordelijke het recht de overeenkomst tegen de ingangsdatum van de wijziging op te zeggen. Met elke sub-verwerker gelden dezelfde verplichtingen als in deze overeenkomst (art. 28 lid 4 AVG). Een actueel sub-verwerkersregister is op verzoek beschikbaar.
Artikel 8 — Bijstand
De verwerker helpt de verwerkingsverantwoordelijke bij verzoeken van betrokkenen en bij beveiligings-, datalek- en DPIA-verplichtingen (art. 32–36).
Artikel 9 — Datalekken
De verwerker meldt een (vermoed) datalek zonder onredelijke vertraging en uiterlijk binnen 24 uur na ontdekking aan de verwerkingsverantwoordelijke, met alle informatie die nodig is voor diens eventuele melding aan de Autoriteit Persoonsgegevens (binnen 72 uur).
Artikel 10 — Bewaartermijnen
| Gegevens | Bewaartermijn |
|---|---|
| Transcripties — Starter | 7 dagen, daarna automatisch verwijderd |
| Transcripties — Professional | Standaard 12 maanden, instelbaar (korter) via het dashboard |
| Transcripties — Business | Standaard 24 maanden, instelbaar (korter) via het dashboard |
| Gespreksaudio | Standaard niet opgeslagen; alleen bij opt-in van de verwerkingsverantwoordelijke, maximaal 30 dagen |
| Agenda-events (cache) | Tot intrekking van de agenda-autorisatie + 30 dagen |
| SMS-logbestanden | 30 dagen |
Het volledige bewaarschema en de instelbare termijnen zijn vastgelegd in het bewaar- en vernietigingsbeleid, dat van rechtswege onderdeel van deze overeenkomst uitmaakt.
Artikel 11 — Teruggave en verwijdering
Na het einde van de overeenkomst verwijdert de verwerker alle persoonsgegevens binnen 30 dagen, of geeft deze terug indien gevraagd, tenzij wettelijke bewaarplichten anders vereisen.
Artikel 12 — Audit
De verwerker stelt de informatie beschikbaar die nodig is om naleving aan te tonen en werkt mee aan audits, ten hoogste eenmaal per kalenderjaar en op redelijke voorwaarden. Buiten dit reguliere ritme heeft de verwerkingsverantwoordelijke recht op een aanvullende audit na een datalek of beveiligingsincident dat de gegevens van betrokkenen raakt, of na een onderbouwd verzoek van een toezichthouder.
Artikel 13 — Aansprakelijkheid en recht
Op deze overeenkomst is Nederlands recht van toepassing. De aansprakelijkheidsregeling van de hoofdovereenkomst is tussen partijen van overeenkomstige toepassing. Aansprakelijkheid jegens betrokkenen op grond van AVG art. 82 wordt niet door deze regeling beperkt voor zover dat naar dwingend recht niet is toegestaan.
Bijlage 1 — Verwerkingsdetails
Onderwerp: telefonische klantontvangst en afspraakplanning. Duur: gelijk aan de hoofdovereenkomst. Aard: transcriptie, opslag, SMS-doorgifte, agenda-boeking.
Bijlage 2 — Sub-verwerkers
De verwerker schakelt sub-verwerkers in voor de volgende functies:
| Functie | Locatie | Waarborg doorgifte |
|---|---|---|
| Telefonie / communicatie | Deels buiten EER | SCC's |
| Spraak- en taaltechnologie (herkenning, synthese, taalbegrip) | Deels buiten EER | SCC's |
| Agenda- en planningsintegratie | Deels buiten EER | SCC's |
| SMS-verzending | EU + VS | SCC's |
| Hosting / opslag | Amsterdam (NL, EER) | Binnen EER |
Een actueel en specifiek overzicht van de ingeschakelde sub-verwerkers wordt op verzoek verstrekt en bij een voorgenomen wijziging vooraf gemeld, zodat de verwerkingsverantwoordelijke bezwaar kan maken (art. 28 lid 2 AVG).
Bijlage 3 — Technische en organisatorische maatregelen
- Versleuteling van gegevens in transit (TLS) en in rust.
- Toegangsbeheer op basis van noodzaak (least privilege) en sterke authenticatie.
- Logging en monitoring van toegang en verwerkingen.
- Gescheiden omgevingen per afnemer (multi-tenant isolatie).
- Periodieke evaluatie en, waar passend, back-ups met beperkte bewaartermijn.