Verwerkersovereenkomst · v1.0 · 2026

Verwerkersovereenkomst

Digital Companions ↔ de Klant (eindklant)

Deze verwerkersovereenkomst maakt integraal deel uit van de overeenkomst tussen Digital Companions (verwerker) en de Klant (verwerkingsverantwoordelijke). Ze dient ook als Bijlage 4 van de reseller-overeenkomst en is afgestemd op de business-suites.

Deze Verwerkersovereenkomst maakt integraal deel uit van de Overeenkomst tussen Move To Happiness Hub BV, handelend onder de naam “Digital Companions” (“DC”, de Verwerker), en de Klant (de Verwerkingsverantwoordelijke). In een reseller-context wordt het Platform aangebracht of doorverkocht via een reseller; de rolverdeling hieronder blijft gelden tussen DC en de Klant, waarbij de reseller in voorkomend geval als afzonderlijke verwerker of tussenpersoon optreedt op basis van een eigen verwerkersafspraak.

Artikel 1. Definities

AVG: Verordening (EU) 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon wiens Persoonsgegevens worden verwerkt.

Datalek: een inbreuk op de beveiliging die per ongeluk of onrechtmatig leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of toegang tot Persoonsgegevens.

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

Subverwerker: een derde die door de Verwerker wordt ingeschakeld om namens hem Persoonsgegevens te verwerken.

Verwerker: DC, die Persoonsgegevens namens de Verwerkingsverantwoordelijke verwerkt.

Verwerkingsverantwoordelijke: de Klant, die het doel en de middelen van de verwerking bepaalt.

Toezichthoudende Autoriteit: in België de Gegevensbeschermingsautoriteit (GBA).

Artikel 2. Doel

2.1 Deze Verwerkersovereenkomst bepaalt onder welke voorwaarden de Verwerker de Persoonsgegevens in opdracht van de Verwerkingsverantwoordelijke verwerkt in het kader van het gebruik van het Platform en de Suites.

2.2 De Overeenkomst en deze Verwerkersovereenkomst bepalen samen het onderwerp en de duur van de verwerking.

Artikel 3. Toegestane verwerking

3.1 De Verwerker verwerkt de Persoonsgegevens uitsluitend op basis van de schriftelijke instructies van de Verwerkingsverantwoordelijke, die voortvloeien uit de Overeenkomst en het gebruik van het Platform: onboarding, gebruikersbeheer, hosting, ondersteuning, communicatie, en de uitvoering van de Agents binnen de afgenomen Suites.

3.2 De verwerkte categorieën Persoonsgegevens zijn beperkt tot: basisidentificatiegegevens (voornaam, naam), contactgegevens (e-mailadres), professionele gegevens (functie, afdeling, statuut) en de inhoud van de interacties met de Agents binnen de business-suites.

3.3 Voor de business-suites (Marketing, Sales, HR-support, Customer Success) worden geen bijzondere categorieën van persoonsgegevens in de zin van artikel 9 AVG verwerkt, en in het bijzonder geen gezondheidsgegevens. Verwerkingen die wél gezondheidsgegevens betreffen (Wellbeing-suite) vallen buiten deze Verwerkersovereenkomst en vereisen een afzonderlijke regeling met aangepaste waarborgen en rechtsgrond (artikel 9(2) AVG).

3.4 De categorieën Betrokkenen zijn: de medewerkers en, in voorkomend geval, de klanten van de Verwerkingsverantwoordelijke die het Platform gebruiken.

3.5 Voor verwerkingen waarbij Eindgebruikers rechtstreeks gegevens aan DC verstrekken en DC zelf doel en middelen bepaalt, treedt DC op als zelfstandig verwerkingsverantwoordelijke (zie de privacyverklaring), buiten deze Verwerkersovereenkomst.

Artikel 4. Rechten en verplichtingen van de Verwerkingsverantwoordelijke

4.1 De Verwerkingsverantwoordelijke verstrekt de informatie van de artikelen 13 en 14 AVG aan de Betrokkenen en waarborgt dat de verwerking, met inbegrip van de doorgifte aan de Verwerker, rechtmatig gebeurt.

4.2 De Verwerkingsverantwoordelijke bepaalt doel en middelen, geeft enkel rechtmatige instructies en houdt een register van verwerkingsactiviteiten conform artikel 30(1) AVG.

4.3 Door de Verwerkingsverantwoordelijke aangeleverd materiaal dat Persoonsgegevens bevat, blijft zijn eigendom.

Artikel 5. Rechten en verplichtingen van de Verwerker

5.1 De Verwerker verwerkt enkel de strikt noodzakelijke Persoonsgegevens, uitsluitend op basis van de instructies van de Verwerkingsverantwoordelijke en voor de omschreven doeleinden.

5.2 De Verwerker waarborgt de vertrouwelijkheid en zorgt dat zijn medewerkers tot geheimhouding gebonden zijn en enkel toegang hebben voor zover nodig.

5.3 De Verwerker verwerkt en bewaart de Persoonsgegevens binnen de Europese Economische Ruimte. De Verwerker host op Microsoft Azure (EU-regio). Voor de AI-inferentie routeert de Verwerker, waar een EU-residency-eis geldt, naar een EU-resident model-backend; doorgifte buiten de EER gebeurt enkel met passende waarborgen (artikel 46 AVG, standaardcontractbepalingen) en voorafgaande melding aan de Verwerkingsverantwoordelijke.

5.4 De Verwerker gebruikt de Persoonsgegevens niet om AI-modellen van derden te trainen.

5.5 De Verwerker staat de Verwerkingsverantwoordelijke binnen het redelijke bij voor verzoeken van Betrokkenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar) en stuurt een rechtstreeks ontvangen verzoek door naar de Verwerkingsverantwoordelijke.

5.6 De Verwerker staat bij voor gegevensbeschermingseffectbeoordelingen en voor verzoeken van de Toezichthoudende Autoriteit, in voorkomend geval tegen een vergoedingsregeling. De Verwerker houdt een register conform artikel 30(2) AVG.

5.7 Na afloop wist de Verwerker de Persoonsgegevens of bezorgt ze terug, naar keuze van de Verwerkingsverantwoordelijke, tenzij een wettelijke bewaarplicht geldt.

Artikel 6. Subverwerkers

6.1 De Verwerkingsverantwoordelijke verleent de Verwerker een algemene machtiging om Subverwerkers in te schakelen. De Verwerker informeert over wijzigingen; de Verwerkingsverantwoordelijke kan op redelijke gronden bezwaar maken binnen veertien (14) dagen. Wordt binnen één (1) maand geen oplossing gevonden, dan kan elke Partij de Overeenkomst beëindigen.

6.2 De Verwerker legt elke Subverwerker dezelfde verplichtingen op en blijft volledig verantwoordelijk ten aanzien van de Verwerkingsverantwoordelijke.

6.3 De actuele Subverwerkers staan in Bijlage B.

Artikel 7. Vertrouwelijkheid

7.1 De Verwerker houdt de Persoonsgegevens en alle in dit kader ontvangen informatie vertrouwelijk; deze plicht geldt ook voor zijn medewerkers en Subverwerkers en blijft na beëindiging gelden.

7.2 De plicht geldt niet wanneer een wettelijke bepaling of rechterlijk bevel tot mededeling verplicht, of wanneer de informatie openbaar bekend is.

Artikel 8. Beveiligingsmaatregelen

8.1 Partijen nemen passende technische en organisatorische maatregelen om de Persoonsgegevens te beschermen, rekening houdend met de stand van de techniek en de risico’s. De maatregelen staan in Bijlage A.

8.2 De Verwerker informeert de Verwerkingsverantwoordelijke over genomen maatregelen en draagt de kosten van technologische aanpassingen die nodig zijn om aan de beschermingsplicht te blijven voldoen.

Artikel 9. Melding van een datalek

9.1 Stelt de Verwerker een Datalek vast, dan meldt hij dit onverwijld aan de Verwerkingsverantwoordelijke, met minstens: de aard van de inbreuk en de betrokken categorieën en aantallen; de contactgegevens van het aanspreekpunt; de waarschijnlijke gevolgen; en de genomen of voorgestelde maatregelen.

9.2 Het komt de Verwerkingsverantwoordelijke toe te beoordelen of hij het Datalek meldt aan de Toezichthoudende Autoriteit (artikel 33 AVG) of aan de Betrokkenen (artikel 34 AVG).

Artikel 10. Duur en beëindiging

10.1 Deze Verwerkersovereenkomst loopt zolang de Overeenkomst van kracht is en eindigt op hetzelfde ogenblik, tenzij naleving van de Privacywetgeving een eerdere beëindiging vereist.

10.2 Na afloop wist de Verwerker alle Persoonsgegevens of bezorgt ze terug naar keuze van de Verwerkingsverantwoordelijke, en verwijdert bestaande kopieën en back-ups, tenzij de wet de opslag vereist.

Bijlage A: Technische en organisatorische maatregelen

MaatregelType
Beleid inzake informatiebeveiligingOrganisatorisch
Rollen en verantwoordelijkheden informatiebeveiligingOrganisatorisch
Procedure voor detectie, melding en respons bij incidenten en datalekkenOrganisatorisch
Opleiding en geheimhoudingsverplichtingen medewerkersOrganisatorisch
Toegangsrechten op basis van rollen en need-to-knowTechnisch
Digitale toegangsbeveiliging (sterke authenticatie, passwordless/SSO)Technisch
Versleuteling in transit en at restTechnisch
Bescherming tegen virussen en malwareTechnisch
Back-up van gegevensTechnisch
Logging en monitoring (gescheiden van de billing-meter)Technisch
Row-Level Security per tenant in de databaseTechnisch
Pseudonimisatie en anonimisatie waar passendTechnisch
Testen in een afgesloten testomgevingTechnisch

Bijlage B: Lijst van Subverwerkers

SubverwerkerDoelLocatie / waarborg
Microsoft AzureHosting en infrastructuur van het PlatformEU-regio (EER)
AnthropicAI-inferentie (Claude-modellen)EU-residency via Bedrock/Vertex-EU waar vereist; anders SCC’s
OpenAI / Azure OpenAIAI-inferentie (OpenAI-modellen)EU Data Zone (EER) waar vereist
StripeFacturatie en betalingenEER / SCC’s
BrevoE-mailcommunicatieFrankrijk (EER)
WordPressHet maken en beheren van websitesNader te bevestigen
CombellVoor het hosten van websites en e-mailadressenNader te bevestigen

Wijzigingen aan deze lijst worden gemeld conform artikel 6 van deze Verwerkersovereenkomst.

Digital CompAInions

AI-suites die het repetitieve werk overnemen. Groei zonder extra loonkost.

© 2026 Digital Companions · by Move to Happiness