Verwerkersovereenkomst (DPA)

Inleiding

Deze verwerkersovereenkomst (hierna: DPA) maakt integraal onderdeel uit van de algemene voorwaarden van ScopiQ en is van toepassing wanneer de Gebruiker via ScopiQ persoonsgegevens van derden verwerkt. Door akkoord te gaan met de algemene voorwaarden gaat de Gebruiker tevens akkoord met deze DPA. De DPA voldoet aan de eisen van artikel 28 van Verordening (EU) 2016/679 (AVG).

Partijen

Verwerkingsverantwoordelijke: de Gebruiker van ScopiQ (hierna: Opdrachtgever).

Verwerker: de eenmanszaak van S.S. Buijs (handelend onder de naam Sebastiaan Buijs), h/o ScopiQ, gevestigd te Bergselaan 48 B01, 3037 CB Rotterdam, KvK 78749042, btw NL003374892B43 (hierna: ScopiQ).

1. Onderwerp, aard en duur

1.1 Onderwerp. ScopiQ verwerkt in opdracht van de Opdrachtgever persoonsgegevens die de Opdrachtgever invoert in het ScopiQ-platform, uitsluitend ten behoeve van het leveren van de overeengekomen dienst.

1.2 Aard en doel. Opslag, structurering en AI-gestuurde verwerking van intake-notities, klantgegevens en projectinformatie ten behoeve van het genereren van voorstellen, offertes, e-mails en aanverwante documenten voor de Opdrachtgever.

1.3 Duur. Deze DPA geldt zolang de overeenkomst tussen de Opdrachtgever en ScopiQ van kracht is, inclusief eventuele naleveringsperiodes voor data-export na beëindiging.

2. Type persoonsgegevens en categorieën betrokkenen

2.1 Categorieën betrokkenen: klanten, prospects, projectdeelnemers en andere contactpersonen van de Opdrachtgever die de Opdrachtgever opneemt in ScopiQ.

2.2 Categorieën persoonsgegevens: naam, contactgegevens (e-mail, telefoon, adres), bedrijfsgegevens, projectinhoud en intake-notities, correspondentie en door AI gegenereerde output.

2.3 Bijzondere persoonsgegevens. De Opdrachtgever verbindt zich ertoe geen bijzondere persoonsgegevens in de zin van artikel 9 AVG (zoals gezondheid, politieke voorkeur, religie) of strafrechtelijke gegevens in ScopiQ in te voeren, tenzij schriftelijk anders overeengekomen met passende aanvullende waarborgen.

3. Instructierecht en rolafbakening

3.1 Uitsluitend in opdracht. ScopiQ verwerkt de onder deze DPA vallende persoonsgegevens — te weten de door de Opdrachtgever in het platform ingevoerde Klantgegevens — uitsluitend op basis van schriftelijke of gedocumenteerde instructies van de Opdrachtgever, waaronder begrepen de instructies die voortvloeien uit het gebruik van de functionaliteit van het platform. ScopiQ verwerkt deze gegevens niet voor eigen doeleinden.

3.2 Afbakening met controller-verwerkingen. Deze DPA heeft uitsluitend betrekking op de hierboven bedoelde Klantgegevens. Gegevens die ScopiQ verwerkt in haar eigen rol als verwerkingsverantwoordelijke — zoals account-, abonnements-, facturatie-, beveiligings- en gebruiksgegevens van de Opdrachtgever zelf — vallen buiten het bereik van deze DPA en worden beheerst door het privacybeleid.

3.3 Verplichte wetgeving. Indien ScopiQ op grond van Unierecht of lidstatelijk recht verplicht wordt tot een verwerking die buiten het instructierecht valt, stelt ScopiQ de Opdrachtgever vooraf op de hoogte van dat wettelijk voorschrift, tenzij die kennisgeving op grond van dat recht verboden is.

4. Vertrouwelijkheid

ScopiQ verplicht alle personen die onder haar gezag persoonsgegevens verwerken tot geheimhouding, tenzij een wettelijke verplichting tot mededeling bestaat.

5. Beveiligingsmaatregelen

ScopiQ treft passende technische en organisatorische maatregelen conform artikel 32 AVG, waaronder:

Versleuteling in transit via TLS voor alle communicatie met het platform en met subverwerkers.
Row Level Security in de database, zodat iedere Opdrachtgever uitsluitend zijn eigen gegevens kan benaderen.
Authenticatie via login links, waardoor geen wachtwoorden worden opgeslagen.
Least-privilege toegang tot productiesystemen; toegang is beperkt tot wat strikt noodzakelijk is voor de werking van de dienst.
Geautomatiseerde back-ups in versleutelde vorm, met reguliere retentiecycli.
Logging en monitoring van beveiligingsrelevante gebeurtenissen.

ScopiQ evalueert deze maatregelen periodiek en past ze aan waar nodig in het licht van de stand van de techniek en geïdentificeerde risico's.

6. Subverwerkers

6.1 Toestemming. De Opdrachtgever geeft door aanvaarding van deze DPA algemene toestemming voor de inschakeling van subverwerkers, mits ScopiQ met iedere subverwerker een overeenkomst sluit waarin dezelfde verplichtingen worden opgelegd als in deze DPA.

6.2 Actuele lijst. De actuele lijst van subverwerkers is te vinden in sectie 6 van het privacybeleid en omvat op dit moment: Supabase, Anthropic, Resend, Vercel en Mollie.

6.3 Wijzigingen. ScopiQ informeert de Opdrachtgever minimaal dertig dagen vóór toevoeging of vervanging van een subverwerker, zodat de Opdrachtgever bezwaar kan maken. Bij gegrond bezwaar kunnen partijen in overleg een alternatief vinden; bij gebreke daarvan heeft de Opdrachtgever het recht de overeenkomst kosteloos op te zeggen.

7. Internationale doorgifte

Persoonsgegevens worden primair verwerkt binnen de Europese Economische Ruimte (EER). Voor zover doorgifte naar derde landen plaatsvindt — in het bijzonder naar subverwerkers in de Verenigde Staten zoals Anthropic en Resend — geschiedt dit op basis van de Standard Contractual Clauses (SCC) van de Europese Commissie (Uitvoeringsbesluit 2021/914) dan wel een ander passend transfermechanisme conform hoofdstuk V AVG.

8. Assistentie bij rechten van betrokkenen

ScopiQ assisteert de Opdrachtgever, rekening houdend met de aard van de verwerking, bij het nakomen van de verplichting te reageren op verzoeken van betrokkenen om uitoefening van hun rechten (artikelen 12 tot en met 23 AVG). ScopiQ stelt hiertoe waar mogelijk selfservice-functionaliteit beschikbaar (inzage, export, verwijdering). Verzoeken die ScopiQ rechtstreeks van betrokkenen van de Opdrachtgever ontvangt, worden onverwijld doorgestuurd naar de Opdrachtgever.

9. Datalekken

ScopiQ informeert de Opdrachtgever onverwijld — en uiterlijk binnen 48 uur na ontdekking — over iedere inbreuk in verband met persoonsgegevens (artikel 33 lid 2 AVG). De melding bevat ten minste: de aard van de inbreuk, de betrokken categorieën en aantallen (bij benadering) van betrokkenen en persoonsgegevens, de waarschijnlijke gevolgen, en de genomen of voorgestelde maatregelen. ScopiQ assisteert de Opdrachtgever bij het doen van eventuele meldingen aan de Autoriteit Persoonsgegevens en/of betrokkenen.

10. DPIA en voorafgaande raadpleging

ScopiQ verleent, rekening houdend met de aard van de verwerking en de beschikbare informatie, redelijke bijstand aan de Opdrachtgever bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) conform artikel 35 AVG en bij voorafgaande raadpleging van de toezichthouder conform artikel 36 AVG.

11. Audit- en informatierechten

ScopiQ stelt op schriftelijk verzoek van de Opdrachtgever alle informatie ter beschikking die redelijkerwijs nodig is om aan te tonen dat aan de verplichtingen van artikel 28 AVG en deze DPA wordt voldaan. De Opdrachtgever heeft het recht om, met een aankondigingstermijn van minimaal dertig dagen en niet vaker dan eenmaal per jaar (behoudens in geval van een gegrond vermoeden van niet-naleving of na een datalek), op eigen kosten een audit uit te (laten) voeren door een onafhankelijke, aan geheimhouding gebonden auditor. Audits vinden plaats op werkdagen en mogen de normale bedrijfsvoering van ScopiQ niet onredelijk verstoren.

12. Teruggave en verwijdering bij einde

Na beëindiging van de overeenkomst heeft de Opdrachtgever dertig dagen om een export van de gegevens aan te vragen in een gangbaar, machineleesbaar formaat (CSV). Na afloop van deze termijn verwijdert ScopiQ de persoonsgegevens uit de actieve productiesystemen, behoudens voor zover en zolang opslag wettelijk verplicht is. Back-ups worden automatisch overschreven volgens de reguliere retentiecyclus.

13. Aansprakelijkheid

De aansprakelijkheid van ScopiQ onder deze DPA is beperkt conform artikel 8 van de algemene voorwaarden, met dien verstande dat de beperkingen niet gelden voor aansprakelijkheid die op grond van artikel 82 AVG of ander dwingend recht niet kan worden beperkt.

14. Toepasselijk recht en geschillen

Op deze DPA is Nederlands recht van toepassing. Geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechter in het arrondissement Rotterdam, tenzij dwingend recht een andere bevoegde rechter aanwijst.

15. Contact

Vragen over deze verwerkersovereenkomst? Mail naar info@scopiq.nl.