Ga direct naar inhoud

Verwerkersovereenkomst

De DPA die je juridisch afdeling meteen kan tekenen.

Standaard verwerkersovereenkomst conform GDPR art. 28, met bijlagen voor sub-processors, veiligheidsmaatregelen en internationale doorgifte. Onderteken via jouw kanaal — geen "custom legalese" per klant.

Dit is een samenvatting-op-één-pagina. De ondertekenbare PDF vraag je op via je Synergi8-contact of via de demo-flow.

1. Voorwerp & duur

Deze DPA is een bijlage bij de tussen partijen gesloten hoofdovereenkomst voor het gebruik van Lila. Loopt zolang Synergi8 persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke.

2. Aard & doel van de verwerking

Levering van het AI Business Operating System Lila: kennis-opslag, agent-uitvoering, communicatie-integraties, dashboards en audit-logs. Uitsluitend in opdracht van de verantwoordelijke en volgens gedocumenteerde instructies.

3. Categorieën betrokkenen & data

Klanten, prospects, medewerkers en sollicitanten van de verantwoordelijke. NAW, e-mail, functie, communicatie-inhoud, uploads, gedragsdata in de app. Bijzondere categorieën alleen als de klant deze zelf uploadt in een expliciet daarvoor bestemde flow.

4. Verplichtingen Synergi8 (verwerker)

Vertrouwelijkheid, passende beveiliging (art. 32), medewerking aan verzoeken van betrokkenen (art. 12-22), medewerking aan DPIA (art. 35-36), beperking tot instructies, terugsturen of vernietigen bij einde overeenkomst.

5. Datalekken & meldplicht

Melding aan verantwoordelijke binnen 48 uur na ontdekking, inclusief aard, categorieën betrokkenen, waarschijnlijke gevolgen en genomen maatregelen. Volgt AVG art. 33 lid 3.

6. Sub-processors & doorgifte

Actuele lijst op /lila/subverwerkers. Wijzigingen 30 dagen vooraf aangekondigd; verantwoordelijke heeft bezwaarrecht. Doorgifte buiten EER: standard contractual clauses (SCCs) + aanvullende maatregelen conform Schrems II.

7. Audit-recht

Verantwoordelijke mag jaarlijks een audit uitvoeren of laten uitvoeren, op werkdagen, kosten voor rekening van verantwoordelijke tenzij aantoonbare tekortkoming. Synergi8 levert desgevraagd rapporten van onafhankelijke assessments (SOC2 / ISO27001 waar beschikbaar).

8. Aansprakelijkheid & einde

Aansprakelijkheid volgens de hoofdovereenkomst. Bij einde: export van klantdata binnen 30 dagen; volledige verwijdering binnen 60 dagen, tenzij wettelijke bewaartermijn iets anders vereist.

Bijlage A · Veiligheidsmaatregelen (art. 32)

  • Row Level Security op elke tabel; rollen apart bijgehouden (geen escalatie via profiel).
  • Encryptie in-transit (TLS 1.2+) en at-rest (AES-256).
  • Least-privilege access voor Synergi8-personeel; MFA verplicht.
  • Audit-log op elke data-actie; retention 12 maanden minimaal.
  • Automatische backups (dagelijks, 30 dagen point-in-time recovery).
  • Geen training van AI-modellen op klantdata; no-retention op AI-gateway.
  • Vulnerability scans en dependency-monitoring in CI.
  • Incident response playbook met 48-uur meldplicht.

Bijlage B · Sub-processors

De actuele lijst van sub-processors met vestigingsland en overdracht-basis staat openbaar op /lila/subverwerkers. Wijzigingen worden 30 dagen vooraf aangekondigd.