Verwerkersovereenkomst

1. Onderwerp en duur

RecensioAI verwerkt persoonsgegevens uitsluitend in opdracht en op gedocumenteerde instructie van de Verwerkingsverantwoordelijke, in het kader van de uitvoering van de hoofdovereenkomst. De DPA geldt zolang RecensioAI persoonsgegevens verwerkt voor de Verwerkingsverantwoordelijke.

2. Aard, doel en categorieën

Aard en doel: het leveren van software voor reviewmanagement, reviewverzoeken (e-mail/SMS/QR/NFC), AI-gestuurde reviewantwoorden, sentiment- en performance-analyses, posts naar Google Business Profile, dashboards, rapportages en gerelateerde ondersteuning.

Categorieën betrokkenen:

• Medewerkers en gebruikers van de Verwerkingsverantwoordelijke (accounts).
• Eindklanten van de Verwerkingsverantwoordelijke die een reviewverzoek ontvangen of een review achterlaten.
• Auteurs van publieke reviews op gekoppelde reviewplatformen.

Categorieën persoonsgegevens:

• Contactgegevens (naam, e-mail, telefoonnummer).
• Account- en authenticatiegegevens.
• Bedrijfs- en locatiegegevens, Google account-/locatie-ID's, OAuth-tokens.
• Reviewteksten, beoordelingen, antwoorden, AI-conceptantwoorden.
• Communicatie- en campagne-metadata (verzendstatus, opens, opt-outs).
• Facturatie- en betaalgegevens via Stripe.
• Logs (auth, audit, foutmeldingen).

Er worden geen bijzondere categorieën van persoonsgegevens (art. 9 AVG) verwerkt, tenzij de Verwerkingsverantwoordelijke deze zelf in vrije tekstvelden invoert. Dit wordt afgeraden.

3. Verplichtingen van RecensioAI

• Verwerkt persoonsgegevens uitsluitend op schriftelijke (of in-app) instructie van de Verwerkingsverantwoordelijke, behalve wanneer wettelijk anders vereist.
• Garandeert dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan geheimhouding.
• Treft de technische en organisatorische maatregelen beschreven in Annex II.
• Verleent redelijke medewerking bij verzoeken van betrokkenen, datalekken, DPIA's en audits.
• Verwijdert of retourneert na beëindiging van de overeenkomst alle persoonsgegevens binnen 30 dagen, tenzij wettelijk anders vereist.

4. Sub-verwerkers

De Verwerkingsverantwoordelijke geeft RecensioAI algemene toestemming om de in Annex III genoemde sub-verwerkers in te schakelen. RecensioAI sluit met elke sub-verwerker een overeenkomst met materieel gelijkwaardige verplichtingen als deze DPA. Wijzigingen in de lijst worden ten minste 30 dagen vooraf gepubliceerd; de Verwerkingsverantwoordelijke kan binnen die termijn bezwaar maken.

5. Internationale doorgifte

Voor doorgifte naar landen buiten de EER worden passende waarborgen toegepast, in het bijzonder de EU Standard Contractual Clauses (Besluit 2021/914) en aanvullende technische en organisatorische maatregelen waar nodig.

6. Datalekken

RecensioAI informeert de Verwerkingsverantwoordelijke zonder onredelijke vertraging en in elk geval binnen 48 uur na bekendwording van een datalek dat persoonsgegevens van de Verwerkingsverantwoordelijke betreft, en verstrekt de informatie die nodig is om aan de meldplicht (art. 33–34 AVG) te voldoen.

7. Audits

RecensioAI stelt op verzoek de informatie beschikbaar die nodig is om aan te tonen dat aan deze DPA wordt voldaan, en maakt audits door de Verwerkingsverantwoordelijke (of een door deze ingeschakelde onafhankelijke auditor) mogelijk, maximaal eenmaal per jaar, na redelijke aankondiging en tijdens werkdagen, op kosten van de Verwerkingsverantwoordelijke.

8. Aansprakelijkheid en toepasselijk recht

Aansprakelijkheid is beperkt zoals overeengekomen in de algemene voorwaarden. Op deze DPA is Nederlands recht van toepassing; geschillen worden voorgelegd aan de bevoegde rechter te Oost-Brabant, locatie 's-Hertogenbosch.

Annex I — Beschrijving van de verwerking

• Account- en gebruikersbeheer.
• Reviewverzoeken via e-mail, SMS, QR en NFC.
• Inlezen, weergeven en beantwoorden van reviews van gekoppelde platforms (Google e.a.).
• AI-gegenereerde conceptantwoorden (door mens beoordeeld vóór publicatie).
• Posts en updates naar Google Business Profile.
• Sentiment- en performance-analyses, dashboards en rapportages.
• Demo-werkruimtes (automatisch verwijderd na 24 uur).
• Facturatie en abonnementsbeheer via Stripe.
• Support, helpdesk en chat.

Annex II — Technische en organisatorische maatregelen

• Row-Level Security (RLS) op elke database-tabel; toegang per rol via een veilige database-functie.
• Versleuteling tijdens transport (TLS 1.2+) en in rust (AES-256, beheerd door de hosting-provider).
• Authenticatie via Supabase Auth met gehashte wachtwoorden (bcrypt/argon2) en optionele 2FA.
• Cloudflare Turnstile op publieke formulieren ter bescherming tegen geautomatiseerde aanvallen.
• Rate-limiting, input-validatie en HTML-escaping op alle door gebruikers ingevoerde content.
• Geautomatiseerde verwijdering: demo-werkruimtes na 24 uur, scanrapporten na 10 dagen, prospects na 10 dagen.
• Backups en herstelprocedures bij de hosting-provider.
• Toegangs-, audit- en foutlogs met beperkte bewaartermijn.
• Leveranciersbeheer en verwerkersovereenkomsten met alle sub-verwerkers.

Annex III — Sub-verwerkers