Verwerkersovereenkomst

overeenkomstig artikel 28 lid 3 Algemene Verordening Gegevensbescherming (AVG / EU 2016/679)

Overwegende dat:

• Klant gebruikmaakt van Ledger Botje, een SaaS-platform dat AI-assistenten via het Model Context Protocol (MCP) koppelt aan de Exact Online-administratie van Klant;
• Verwerker bij de uitvoering van die dienst persoonsgegevens verwerkt waarvoor Klant verwerkings­verantwoordelijke is in de zin van artikel 4 lid 7 AVG;
• Partijen daarom op grond van artikel 28 AVG schriftelijk afspraken maken over de verwerking van die persoonsgegevens, zoals neergelegd in deze overeenkomst (hierna: «DPA»).

Artikel 1 — Definities

De begrippen «persoonsgegevens», «verwerking», «verwerkings­verantwoordelijke», «verwerker», «sub-verwerker», «betrokkene», «inbreuk in verband met persoonsgegevens» (datalek) en «toezichthoudende autoriteit» hebben de betekenis die de AVG daaraan toekent. «Hoofdovereenkomst» betekent de Ledger Botje-abonnementsovereenkomst en de daarop van toepassing zijnde gebruiks­voorwaarden.

Artikel 2 — Onderwerp en duur

2.1 Deze DPA is onlosmakelijk verbonden met de Hoofdovereenkomst en regelt de verwerking van persoonsgegevens door Verwerker namens Klant.

2.2 Bij strijd tussen deze DPA en de Hoofdovereenkomst prevaleert ten aanzien van privacy en gegevensbescherming deze DPA.

2.3 Deze DPA gaat in op [DATUM] en eindigt automatisch op het moment dat de Hoofdovereenkomst eindigt, onverminderd de bepalingen die naar hun aard nawerken.

Artikel 3 — Aard, doel en duur van de verwerking

3.1 Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van Klant en uitsluitend voor de volgende doeleinden:

• het benaderen, lezen en — voor zover de gekozen abonnementsvorm dat toelaat — muteren van Klant-data in Exact Online namens Klant;
• het cachen van die data binnen een aan Klant toegewezen, gescheiden tenant-database om herhaalde API-roundtrips naar Exact Online te beperken;
• authenticatie en autorisatie van Klantgebruikers via Exact Online OAuth 2.0;
• het uitvoeren van beveiligingslogging en incidentresponse zoals bedoeld in artikel 32 AVG;
• het leveren van support op verzoek van Klant.

3.2 Verwerker verwerkt geen persoonsgegevens voor eigen doeleinden, behoudens (a) anonieme gebruiksstatistieken en (b) verwerkingen waarvoor Verwerker zelf verwerkings­verantwoordelijke is (eigen abonnements­administratie en marketingsite).

Artikel 4 — Soorten persoonsgegevens en categorieën van betrokkenen

De volgende categorieën worden — in beginsel — verwerkt (uitgebreide opgave: zie Bijlage A):

Verwerker verwerkt geen bijzondere persoons­gegevens in de zin van artikel 9 AVG en geen Burger­service­nummers (BSN). Het BSN-veld is actief uit het datamodel verwijderd.

Artikel 5 — Verplichtingen van Verwerker

5.1 Verwerker verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructies van Klant. Configuratie van het abonnement, geactiveerde MCP-tools en sync-instellingen gelden als zodanige instructie.

5.2 Verwerker zorgt dat personen die onder zijn gezag persoons­gegevens verwerken een geheim­houdings­verklaring hebben getekend of een wettelijke geheim­houdings­plicht hebben.

5.3 Verwerker treft passende technische en organisatorische maatregelen zoals beschreven in artikel 7 en Bijlage B.

5.4 Verwerker informeert Klant onverwijld indien een instructie van Klant naar zijn mening in strijd is met de AVG of andere toepasselijke wetgeving.

5.5 Verwerker stelt Klant op verzoek alle informatie ter beschikking die nodig is om de naleving van artikel 28 AVG aan te tonen.

5.6 Verwerker is gerechtigd instructies van Klant te weigeren die buiten de scope van de Hoofdovereenkomst vallen, die naar redelijk oordeel van Verwerker een dispropor­tionele inspanning vergen, of die in strijd zijn met toepasselijk recht. Bij weigering treden Partijen onverwijld in overleg.

Artikel 6 — Verplichtingen van Klant

6.1 Klant garandeert dat de verwerking die hij aan Verwerker opdraagt rechtmatig is en dat hij over de vereiste rechtsgrond beschikt (art. 6 AVG).

6.2 Klant is verantwoordelijk voor de keuze van de AI-client (ChatGPT, Claude, Copilot, Gemini, Mistral, Perplexity, Grok, Cursor, OpenClaw of een andere MCP-client) en voor het accepteren van de gebruiks- en privacyvoorwaarden van die client. Verwerker is geen partij bij die relatie.

6.3 Klant beheert binnen Ledger Botje of de MCP-koppeling alleen-lezen of lezen-en-schrijven mag opereren. Standaard staat de MCP-koppeling op alleen-lezen.

6.4 Klant is verantwoordelijk voor de juistheid en actualiteit van de in Exact Online opgenomen persoonsgegevens.

Artikel 7 — Beveiligingsmaatregelen

Verwerker treft de in Bijlage B beschreven technische en organisatorische maatregelen, waaronder ten minste:

• versleuteling in transit (HTTPS / TLS, met HSTS);
• versleuteling at rest van klantdatabases bij de hosting­partij;
• OAuth 2.1 met verplichte PKCE voor MCP-clients en OAuth 2.0 voor Exact Online; geen wachtwoord­opslag bij Verwerker;
• tenant-scheiding: elke Klant beschikt over een eigen, gescheiden database;
• strikte toegangsbeperking voor productie­databases;
• audit logging met begrensde retentie (zie artikel 13);
• data-minimalisatie: tokens en geheime velden worden niet herkenbaar in logs opgeslagen;
• geautomatiseerde dagelijkse retentie­handhaving op audit- en security­logs.

Artikel 8 — Sub-verwerkers

8.1 Klant verleent hierbij algemene voorafgaande toestemming voor de inschakeling van sub-verwerkers, mits deze voldoen aan artikel 28 lid 4 AVG en zijn opgenomen in Bijlage C.

8.2 Verwerker informeert Klant via de Ledger Botje-website of per e-mail bij wijzigingen in de lijst van sub-verwerkers ten minste 30 dagen voor de wijziging in werking treedt. Klant kan binnen die termijn schriftelijk en gemotiveerd bezwaar maken, uitsluitend op redelijke, met de naleving van de AVG verband houdende gronden; in dat geval treden Partijen in overleg en heeft Klant in laatste instantie het recht de Hoofdovereenkomst te beëindigen.

8.3 Klant erkent en aanvaardt uitdrukkelijk dat Exact Online B.V. (bronsysteem op aanwijzing van Klant), Mollie B.V. (zelfstandig verwerkings­verantwoordelijke voor de betaalverwerking) en de door Klant gekozen AI-platforms voor de toepassing van deze DPA niet als sub-verwerker van Verwerker worden aangemerkt.

Artikel 9 — Doorgifte buiten de EER

9.1 Verwerker geeft geen persoonsgegevens door buiten de Europese Economische Ruimte (EER). De productie­hosting bevindt zich uitsluitend in datacenters binnen de EER van EU-gevestigde sub-verwerkers (op het moment van ondertekening: Nederland en Frankrijk).

9.2 Klant erkent dat indien een eindgebruiker van Klant kiest voor een AI-client buiten de EER, die gegevensstroom valt onder de relatie tussen Klant en het betreffende AI-platform en niet onder artikel 9.1 van deze DPA. Verwerker informeert Klant hierover via de gebruiks­voorwaarden en deze DPA.

Artikel 10 — Geheimhouding

Verwerker en zijn personeel zijn verplicht alle persoons­gegevens die hij van Klant ontvangt of verwerkt strikt vertrouwelijk te behandelen. Deze plicht blijft van kracht na beëindiging van deze DPA.

Artikel 11 — Datalekken (meldplicht)

11.1 Verwerker stelt Klant zonder onredelijke vertraging schriftelijk in kennis zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens (datalek), rekening houdend met de aard en omvang van het incident. Vermoedens die na triage niet als datalek worden bevestigd, worden niet gemeld maar wel intern gedocumenteerd conform artikel 33 lid 5 AVG.

11.2 De melding bevat in elk geval (voor zover bekend): de aard van het datalek, de getroffen categorieën betrokkenen en gegevens, de waarschijnlijke gevolgen, en de getroffen of voorgestelde maatregelen.

11.3 Klant is en blijft verantwoordelijk voor de melding aan de Autoriteit Persoonsgegevens (art. 33 AVG) en eventuele communicatie aan betrokkenen (art. 34 AVG). Verwerker biedt redelijke ondersteuning.

Artikel 12 — Bijstand bij rechten van betrokkenen

12.1 Verwerker biedt Klant, voor zover redelijkerwijs mogelijk, technische en organisatorische ondersteuning bij het beantwoorden van verzoeken van betrokkenen op grond van de artikelen 15 t/m 22 AVG (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar).

12.2 Verzoeken die rechtstreeks bij Verwerker worden ingediend en die de Klant betreffen, worden onverwijld doorgeleid naar Klant.

12.3 Verwerker reageert op een verzoek van Klant tot bijstand binnen 10 werkdagen voor verzoeken inzake inzage (art. 15 AVG), rectificatie (art. 16 AVG) of wissing (art. 17 AVG), en binnen 30 dagen voor overige verzoeken, een en ander zodanig dat Klant zijn eigen termijn onder artikel 12 AVG kan halen.

12.4 Bijstand die naar haar aard reguliere product­ondersteuning betreft, is begrepen in het abonnement. Voor uitgebreide of recurrente bijstand (bijvoorbeeld grote aantallen verzoeken, dossier­matige uitwerking, of bijstand bij een onderzoek door een toezichthouder) kan Verwerker, na voorafgaande schriftelijke kennisgeving, redelijke marktconforme uren in rekening brengen.

Artikel 13 — Bewaartermijnen

De volgende bewaartermijnen gelden, behoudens andersluidende wettelijke verplichting:

Retentie wordt geautomatiseerd afgedwongen via dagelijkse opschoning. Verzoeken tot wissing op grond van art. 17 AVG worden binnen 30 dagen afgehandeld.

Artikel 14 — Audit en controle

14.1 Verwerker stelt Klant op redelijk verzoek — en niet vaker dan eenmaal per jaar — relevante documentatie ter beschikking om de naleving van deze DPA aan te tonen, waaronder de meest recente versie van de DPIA Ledger Botje.

14.2 Een audit door of namens Klant geschiedt op kosten van Klant, na schriftelijke aankondiging van ten minste 30 dagen, en uitsluitend voor zover dit noodzakelijk is voor het toezicht op de naleving van deze DPA. De audit wordt uitgevoerd door een onafhankelijke, gekwalificeerde derde gevestigd in de EER, met vooraf schriftelijk afgestemde scope, en is beperkt tot documentatie­controle en interviews. Toegang tot productie­omgevingen of tot data van andere klanten van Verwerker is uitgesloten.

14.3 Voor zover Verwerker beschikt over geldige certificeringen of audit­rapportages (bijv. ISO 27001 of vergelijkbaar) van zijn sub-verwerkers, kunnen deze ter vervanging van een eigen audit gelden.

Artikel 15 — Teruggave en vernietiging

Bij beëindiging van de Hoofdovereenkomst, of eerder op verzoek van Klant, verwijdert Verwerker alle persoonsgegevens van Klant uit productie­systemen binnen 30 dagen. Gecachete ERP-data wordt direct na intrekking van de OAuth-koppeling onbruikbaar en automatisch opgeschoond. Persoonsgegevens in versleutelde back-ups worden vernietigd binnen de standaard back-uprotatie van Verwerker (maximaal 90 dagen) of bij eerste herschrijving; gedurende die periode zijn deze gegevens niet voor productie­doeleinden toegankelijk. Verwerker bewaart uitsluitend gegevens die hij op grond van een wettelijke bewaarplicht moet bewaren.

Artikel 16 — Aansprakelijkheid

De aansprakelijkheid van Partijen onder deze DPA wordt beheerst door de aansprakelijkheids­bepaling in de Hoofdovereenkomst, onverminderd hetgeen artikel 82 AVG voorschrijft.

Artikel 17 — Looptijd en beëindiging

Deze DPA loopt zolang Verwerker namens Klant persoonsgegevens verwerkt. Beëindiging van de Hoofdovereenkomst beëindigt deze DPA automatisch, behoudens bepalingen die naar hun aard van kracht blijven (waaronder geheimhouding, aansprakelijkheid en de verplichting tot vernietiging).

Artikel 18 — Toepasselijk recht en geschillen

Op deze DPA is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker is gevestigd, behoudens dwingendrechtelijke bevoegdheid.

Artikel 19 — Slotbepalingen

19.1 Wijzigingen op deze DPA zijn slechts geldig indien schriftelijk overeengekomen door beide Partijen.

19.2 Indien een bepaling van deze DPA nietig of vernietigbaar blijkt, blijven de overige bepalingen onverkort van kracht. Partijen zullen alsdan in overleg treden over een nieuwe bepaling die de strekking van de oorspronkelijke bepaling zoveel mogelijk benadert.

Bijlage A — Beschrijving van de verwerking

A.1 Doelen. Zie artikel 3.

A.2 Categorieën van betrokkenen. Werknemers van Klant, klantrelaties van Klant (debiteuren/crediteuren), zakelijke contactpersonen in transacties, eindgebruikers van Klantgebruikers (voor zover via auditlogs).

A.3 Soorten persoons­gegevens.

• Identificatie- en contactgegevens: naam, adres, e-mail, telefoon;
• Authenticatiegegevens: gebruikersnaam, OAuth-tokens (versleuteld);
• Transactiegegevens: orders, facturen, leveringen, voorraad, betaal­mandaten, IBAN;
• Technische metadata: IP-adres bij login, sessie-id, user-agent, MCP-tool-call-logs;
• Abonnements- en facturatiegegevens (voor zover Verwerker als zelfstandig verantwoordelijke acteert).

A.4 Geen bijzondere persoonsgegevens. Verwerker verwerkt geen gegevens als bedoeld in artikel 9 AVG. Het BSN wordt niet verwerkt.

A.5 Locaties. Productie­omgeving uitsluitend in Nederland en Frankrijk (binnen de EER).

Bijlage B — Technische en organisatorische maatregelen (art. 32 AVG)

De onderstaande maatregelen vormen de stand van implementatie op het moment van ondertekening. Verwerker behoudt zich het recht voor afzonderlijke maatregelen aan te passen, mits het beveiligings­niveau ten minste gelijkwaardig blijft.

Bijlage C — Sub-verwerkers

Niet als sub-verwerker van Verwerker beschouwd: Exact Online (bronsysteem op aanwijzing van Klant), Mollie B.V. (zelfstandig verwerkings­verantwoordelijke voor betalingen) en de door Klant gekozen AI-platforms (OpenAI, Anthropic, Microsoft, Google, Mistral, Perplexity, xAI, Anysphere e.a.).