Deze verwerkersovereenkomst (“Verwerkersovereenkomst” of “DPA”) is opgesteld conform artikel 28 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 (“AVG”).
1. Partijen
- Verwerker: Dictto, een product van Ruberio, gevestigd te Moergestel, Nederland (KVK: [invullen]).
- Verwerkingsverantwoordelijke (“Verantwoordelijke”): de organisatie van de Gebruiker, zoals geregistreerd in het Dictto-platform.
2. Onderwerp en duur
Deze Verwerkersovereenkomst heeft betrekking op alle persoonsgegevens die de Verwerker namens de Verantwoordelijke verwerkt in het kader van het leveren van het Dictto SaaS-platform. De Verwerkersovereenkomst is van kracht gedurende de looptijd van de dienstverleningsovereenkomst tussen partijen.
3. Aard en doel van de verwerking
De Verwerker verwerkt persoonsgegevens voor de volgende doeleinden:
- Het genereren van offertes en facturen op basis van spraak-invoer en handmatige invoer
- Het opslaan en beheren van contactgegevens van klanten van de Verantwoordelijke
- Het verzenden van documenten (offertes, facturen, herinneringen, creditnota's) per e-mail namens de Verantwoordelijke
- Het verwerken van betalingen via Stripe en Stripe Connect
- Het bijhouden van documentstatus (verstuurd, geopend, geaccepteerd, betaald)
- Het genereren van UBL XML-bestanden voor e-facturatie
- Het opslaan van embeddings (vectorrepresentaties) van regelitems voor contextuele AI-suggesties
- Het bijhouden van analytics over het gebruik van de Dienst
4. Soorten persoonsgegevens
- Namen en bedrijfsnamen van klanten
- E-mailadressen en telefoonnummers
- Postadressen
- BTW-identificatienummers en KVK-nummers (of buitenlandse equivalenten)
- IBAN, BIC en naam rekeninghouder van de Verantwoordelijke
- E-facturatie-adressen (Peppol ID's)
- Financiële gegevens: offerte- en factuurbedragen, betalingsgegevens
- Spraakopnamen (tijdelijk verwerkt voor transcriptie)
- Vectorrepresentaties (embeddings) van regelitemomschrijvingen
- Gebruiksgegevens: sessie-ID's, paginaweergaven, apparaatinformatie, gehashte IP-adressen
5. Categorieën betrokkenen
- De klanten en zakelijke contacten van de Verantwoordelijke
- De medewerkers en teamleden van de Verantwoordelijke
6. Verplichtingen van de Verwerker
- Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de Verantwoordelijke, tenzij dit wettelijk verplicht is.
- Waarborgen dat alle personen die bevoegd zijn om persoonsgegevens te verwerken, gebonden zijn door geheimhoudingsverplichtingen.
- Passende technische en organisatorische beveiligingsmaatregelen treffen (zie artikel 9).
- De Verantwoordelijke bijstaan bij het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, overdraagbaarheid).
- De Verantwoordelijke bijstaan bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) indien van toepassing.
- De Verantwoordelijke zonder onredelijke vertraging (en in ieder geval binnen 72 uur) op de hoogte stellen bij het ontdekken van een inbreuk in verband met persoonsgegevens, conform artikel 33 AVG.
- Geen sub-verwerkers inschakelen zonder voorafgaande schriftelijke toestemming van de Verantwoordelijke (zie artikel 7).
7. Sub-verwerkers
De Verantwoordelijke geeft toestemming voor het gebruik van de volgende sub-verwerkers:
| Sub-verwerker | Locatie | Doel |
|---|
| Supabase | EU (Frankfurt) | Database, authenticatie, bestandsopslag |
| Vercel | EU | Hosting van de applicatie |
| OpenAI | VS | Spraaktranscriptie (Whisper), AI-structurering (GPT-4o), embeddings |
| Anthropic | VS | AI-structurering (Claude, fallback) |
| Stripe | EU (Dublin) / VS | Betalingsverwerking en Stripe Connect |
| Resend | VS | Transactionele e-mailverzending |
De Verwerker stelt de Verantwoordelijke ten minste 30 dagen van tevoren op de hoogte van voorgenomen wijzigingen in sub-verwerkers. De Verantwoordelijke kan binnen 30 dagen bezwaar maken. Indien geen overeenstemming wordt bereikt, kan de Verantwoordelijke de overeenkomst beëindigen.
8. Internationale doorgifte
Wanneer persoonsgegevens worden doorgegeven aan sub-verwerkers buiten de Europese Economische Ruimte (EER), gelden de volgende waarborgen:
- OpenAI, Anthropic en Resend (VS): doorgifte op basis van Standard Contractual Clauses (SCC's) zoals goedgekeurd door de Europese Commissie (Uitvoeringsbesluit 2021/914), Module 3 (verwerker naar sub-verwerker).
- Stripe (VS/EU): doorgifte op basis van SCC's en aanvullende maatregelen. Stripe verwerkt primair binnen de EU (Dublin).
Conform het Schrems II-arrest zijn aanvullende technische maatregelen getroffen:
- Audiodata naar OpenAI wordt in real time verwerkt en niet opgeslagen na verwerking
- AI-structureringsverzoeken bevatten uitsluitend de benodigde tekst, geen onnodige persoonsgegevens
- Alle doorgifte vindt plaats via versleutelde verbindingen (TLS)
De Verwerker heeft een Transfer Impact Assessment (TIA) uitgevoerd voor de doorgifte naar sub-verwerkers in de Verenigde Staten en concludeert dat de aanvullende maatregelen in combinatie met de SCC's een passend beschermingsniveau bieden.
9. Beveiligingsmaatregelen
Technische maatregelen:
- Versleuteling van alle opgeslagen data (encryption at rest)
- HTTPS/TLS voor alle data in transit
- Row Level Security (RLS) op databaseniveau, waardoor data-isolatie tussen organisaties is gewaarborgd
- Veilige authenticatie via Supabase Auth met sessiebeheer
- Webhook-handtekeningverificatie (Stripe HMAC-SHA256)
- Bestandsuploadvalidatie (type-whitelist, bestandsgroottelimieten)
- Wachtwoorden gehasht opgeslagen (nooit in platte tekst)
- IP-adressen gehasht opgeslagen in analytics (nooit rauw)
Organisatorische maatregelen:
- Toegang tot productiesystemen is beperkt tot geautoriseerd personeel
- Rolgebaseerde toegangscontrole binnen de applicatie (admin, medewerker)
- API-sleutels en credentials opgeslagen in omgevingsvariabelen, niet in broncode
- Regelmatige evaluatie van beveiligingsmaatregelen
10. Bijstand bij rechten van betrokkenen
De Verwerker staat de Verantwoordelijke bij in het voldoen aan verzoeken van betrokkenen, waaronder:
- Recht op inzage (art. 15): data-export in JSON-formaat via het platform
- Recht op rectificatie (art. 16): gegevens kunnen door de Verantwoordelijke te allen tijde worden aangepast
- Recht op verwijdering (art. 17): accountverwijdering beschikbaar via Instellingen, met anonimisering van financiële documenten (7 jaar bewaarplicht conform Nederlandse fiscale wetgeving)
- Recht op overdraagbaarheid (art. 20): volledige data-export in machineleesbaar formaat (JSON)
11. Gegevensbeschermingseffectbeoordeling (DPIA)
Indien de Verantwoordelijke een DPIA dient uit te voeren met betrekking tot de verwerking die plaatsvindt via Dictto, zal de Verwerker de daarvoor benodigde informatie verstrekken en redelijke medewerking verlenen.
12. Teruggave en verwijdering van gegevens
- Bij beëindiging van de overeenkomst verwijdert de Verwerker alle persoonsgegevens binnen 30 dagen, tenzij bewaring wettelijk verplicht is.
- Financiële documenten (offertes, facturen, creditnota's) worden geanonimiseerd maar bewaard gedurende 7 jaar conform de Nederlandse fiscale bewaarplicht (Algemene wet inzake rijksbelastingen).
- De Verantwoordelijke kan vóór accountverwijdering alle gegevens exporteren.
13. Auditrechten
De Verantwoordelijke heeft het recht om eenmaal per kalenderjaar de naleving van deze Verwerkersovereenkomst te (laten) controleren, met ten minste 30 dagen schriftelijke vooraankondiging. De audit vindt plaats tijdens kantooruren en op kosten van de Verantwoordelijke. De Verwerker verleent medewerking en verschaft redelijke toegang tot relevante documentatie en systemen.
14. Aansprakelijkheid
De aansprakelijkheid onder deze Verwerkersovereenkomst is onderworpen aan de beperkingen zoals opgenomen in de Algemene Voorwaarden.
15. Contact
Voor vragen over deze Verwerkersovereenkomst kunt u contact opnemen via [email protected].