Verwerkersovereenkomst

Versie: 21 april 2026

Deze Verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Swipe Media, een vennootschap onder firma ingeschreven bij de Kamer van Koophandel onder nummer 58227067, met als vennoten E. Duppen en T. Duppen (hierna: Verwerker), uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna: Verwerkingsverantwoordelijke) op grond van de tussen partijen gesloten overeenkomst (hierna: de Hoofdovereenkomst).

Deze Verwerkersovereenkomst wordt van toepassing zodra Verwerkingsverantwoordelijke een dienst van Verwerker afneemt waarbij persoonsgegevens worden verwerkt, en maakt onlosmakelijk onderdeel uit van de Hoofdovereenkomst en/of de algemene voorwaarden van Verwerker. Door akkoord te gaan met de Hoofdovereenkomst aanvaardt Verwerkingsverantwoordelijke tevens deze Verwerkersovereenkomst.

Artikel 1 — Doeleinden van verwerking

1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van hosting en onderhoud van websites, domeinregistratie, AI-gestuurde chatbotdiensten, plus de doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.

1.2 De persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1 (algemene dienstverlening) en Bijlage 2 (AI Chatbot). Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

1.3 De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

Artikel 2 — Verplichtingen Verwerker

2.1 Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming.

2.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.

2.3 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

2.4 De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.

2.5 Verwerker zal Verwerkingsverantwoordelijke de noodzakelijke medewerking verlenen wanneer er in het kader van een verwerking een gegevensbeschermingseffectbeoordeling, ook wel data protection impact assessment (DPIA) of voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn.

Artikel 3 — Doorgifte van persoonsgegevens

3.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (EER). Doorgifte naar landen buiten de EER is toegestaan, mits aan de wettelijke voorwaarden daarvoor voldaan is, waaronder de inzet van passende waarborgen zoals de Standard Contractual Clauses (SCC’s) van de Europese Commissie.

3.2 Verwerker zal Verwerkingsverantwoordelijke, indien zij daarom expliciet verzoekt, melden in welk land of welke landen de persoonsgegevens worden verwerkt.

3.3 Specifiek voor de AI Chatbotdienst geldt dat persoonsgegevens worden doorgegeven aan Anthropic PBC (Verenigde Staten) als sub-verwerker. Deze doorgifte vindt plaats op basis van de Standard Contractual Clauses zoals vastgelegd in de Data Processing Addendum van Anthropic. Meer details zijn opgenomen in Bijlage 2.

Artikel 4 — Verdeling van verantwoordelijkheid

4.1 De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.

4.2 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij Verwerkingsverantwoordelijke.

4.3 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.

4.4 Verwerkingsverantwoordelijke is en blijft zelf verantwoordelijk voor: het informeren van betrokkenen over de verwerking (onder meer via de eigen privacyverklaring); het verkrijgen van eventuele toestemming indien wettelijk vereist; het correct opnemen van deze verwerking in het eigen verwerkingsregister; en het zelf beoordelen of de verwerking passend is binnen de eigen bedrijfsvoering en wettelijke verplichtingen.

Artikel 5 — Inschakelen van derden of onderaannemers

5.1 Verwerkingsverantwoordelijke geeft Verwerker hierbij toestemming om bij de verwerking van persoonsgegevens, op grond van deze Verwerkersovereenkomst, gebruik te maken van derden (sub-verwerkers) met inachtneming van de toepasselijke privacywetgeving.

5.2 Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker aan de Verwerkingsverantwoordelijke een lijst met namen van de door haar ingeschakelde derden. Op basis hiervan kan Verantwoordelijke op redelijke gronden bezwaar aantekenen tegen het inschakelen van deze derden. In dat geval treden partijen in overleg om tot een werkbare oplossing te komen.

5.3 Verwerker zorgt ervoor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker is overeengekomen.

5.4 Voor de AI Chatbotdienst wordt specifiek gebruikgemaakt van Anthropic PBC als sub-verwerker. Details zijn opgenomen in Bijlage 2.

Artikel 6 — Beveiliging

6.1 Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

6.2 Verwerker is verantwoordelijk voor de naleving van de door Partijen afgesproken, en door Verwerker te nemen, maatregelen.

Artikel 7 — Meldplicht

7.1 In het geval van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) zal Verwerker Verwerkingsverantwoordelijke daarover onverwijld dan wel uiterlijk binnen vierentwintig (24) uur informeren naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Verwerkingsverantwoordelijke is en blijft verantwoordelijk voor een eventuele wettelijke verplichtingen daartoe. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. De meldplicht geldt ongeacht de impact van het lek.

7.2 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:

  • de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
  • de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  • de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

7.3 Verwerkingsverantwoordelijke zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en/of betrokkenen.

Artikel 8 — Afhandeling verzoeken van betrokkenen

8.1 In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten (artikel 15-22 AVG) richt aan Verwerker, zullen Partijen het verzoek van de betrokkene in onderling overleg afhandelen. Verwerkingsverantwoordelijke blijft in dat geval wel eindverantwoordelijk voor de afhandeling.

Artikel 9 — Geheimhouding en vertrouwelijkheid

9.1 Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.

Artikel 10 — Audit

10.1 Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van misbruik van persoonsgegevens door medewerkers van de verwerker, naleving van alle punten uit de Verwerkersovereenkomst, en alles dat daar direct verband mee houdt.

10.2 Deze audit mag plaatsvinden bij een concreet vermoeden van misbruik van persoonsgegevens.

10.3 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.

10.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

10.5 De kosten van de audit worden door Verwerkingsverantwoordelijke gedragen.

Artikel 11 — Aansprakelijkheid

11.1 Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de regeling geldt zoals opgenomen in de algemene voorwaarden van Verwerker. Bij gebreke daarvan geldt de normale wettelijke regeling.

Artikel 12 — Duur en beëindiging

12.1 Deze Verwerkersovereenkomst komt tot stand op het moment dat Verwerkingsverantwoordelijke akkoord gaat met de Hoofdovereenkomst en/of de algemene voorwaarden van Verwerker waarvan deze Verwerkersovereenkomst onderdeel uitmaakt.

12.2 Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Hoofdovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.

12.3 Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker — naar keuze van Verwerkingsverantwoordelijke — alle persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke, en/of deze originele persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen.

12.4 Verwerker is gerechtigd deze overeenkomst van tijd tot tijd te herzien. Zij zal minimaal drie maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen tegen het einde van deze drie maanden indien zij niet akkoord kan gaan met de wijzigingen.

Artikel 13 — Toepasselijk recht en geschillenbeslechting

13.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

13.2 Alle geschillen welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.

Bijlage 1: Algemene dienstverlening

Specificatie persoonsgegevens en betrokkenen

Persoonsgegevens

Verwerker zal in het kader van artikel 1.1 van de Verwerkersovereenkomst, voor hosting, onderhoud van websites en domeinregistratie, de volgende persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:

  • Telefoonnummer
  • Financiële gegevens
  • E-mailadres
  • NAW-gegevens
  • Inloggegevens
  • Website
  • Geslacht
  • Werkzaam bij organisatie

Categorieën betrokkenen

  • Klanten of leveranciers

Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.

Bijlage 2: AI Chatbot

Specificatie persoonsgegevens, sub-verwerker en bewaartermijnen

Omschrijving van de dienst

De AI Chatbot is een WordPress-plugin die bezoekers van de website van Verwerkingsverantwoordelijke in staat stelt om via een chatvenster vragen te stellen. De chatbot genereert antwoorden op basis van de content van de website van Verwerkingsverantwoordelijke, met gebruikmaking van een AI-taalmodel van een sub-verwerker.

Persoonsgegevens

In het kader van de AI Chatbotdienst worden de volgende persoonsgegevens verwerkt:

  • Inhoud van chatberichten (tekst die vrijwillig door bezoekers wordt ingevoerd)
  • Bij een expliciet contactverzoek: naam, e-mailadres en optioneel telefoonnummer
  • Technische gegevens: tijdstip van het gesprek, sessie-identificatie, gehasht IP-adres (voor rate limiting)

Categorieën betrokkenen

  • Websitebezoekers van Verwerkingsverantwoordelijke

Sub-verwerker

Anthropic PBC, gevestigd in de Verenigde Staten. Anthropic levert het AI-model (Claude) dat de chatberichten verwerkt om antwoorden te genereren.

Anthropic verwerkt de ingevoerde tekst tijdelijk om een antwoord te genereren, bewaart deze maximaal 30 dagen voor misbruikdetectie en gebruikt de gegevens niet voor het trainen van modellen. Doorgifte naar de Verenigde Staten vindt plaats op basis van de Standard Contractual Clauses (SCC’s) van de Europese Commissie, zoals vastgelegd in de Data Processing Addendum van Anthropic.

Bewaartermijn

Chatgesprekken worden opgeslagen in de WordPress-database op de hosting van Verwerkingsverantwoordelijke. Gesprekken worden na de door Verwerkingsverantwoordelijke in de plugin-instellingen ingestelde bewaartermijn automatisch verwijderd. De standaardbewaartermijn bedraagt 90 dagen.

Beveiligingsmaatregelen

  • Opslag van gesprekken in de WordPress-database van Verwerkingsverantwoordelijke, gehost op beveiligde servers
  • Versleutelde verbinding (HTTPS/TLS) tussen de website en de Anthropic API
  • Beperkte toegang tot gespreksdata, uitsluitend voor bevoegde WordPress-beheerders
  • Automatische verwijdering van gesprekken na de ingestelde bewaartermijn
  • Hashing van IP-adressen waar deze worden gebruikt voor rate limiting

Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 2 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.