Verwerkersovereenkomst
Hoe wij persoonsgegevens in jouw opdracht verwerken - de afspraken tussen verwerkingsverantwoordelijke en verwerker.
Laatst bijgewerkt: 21 juni 2026 · v1.0
01Partijen en rollen
Deze verwerkersovereenkomst (DPA) hoort bij de overeenkomst tussen de klant en BedrijfsGPT B.V. (besloten vennootschap naar Nederlands recht, KvK 98209337), aanbieder van HAL Assist, en geldt zodra HAL Assist persoonsgegevens verwerkt in opdracht van de klant.
- De klant is de verwerkingsverantwoordelijke: hij bepaalt het doel en de middelen van de verwerking.
- BedrijfsGPT B.V. (HAL Assist) is de verwerker: wij verwerken de gegevens uitsluitend in opdracht van de klant.
Bij strijd tussen deze DPA en de algemene voorwaarden, prevaleert deze DPA voor zover het de verwerking van persoonsgegevens betreft.
02Onderwerp, duur, aard en doel
- Onderwerp - de verwerking van persoonsgegevens binnen de klantdata die de klant in HAL Assist plaatst of koppelt.
- Duur - gelijk aan de looptijd van de overeenkomst, plus de tijd die nodig is voor teruggave of verwijdering daarna.
- Aard en doel - het leveren van de dienst: het samenbrengen van e-mail, transcripts, CRM, notities en documenten en het met AI doen van suggesties, alles in opdracht van de klant.
- Soorten gegevens en betrokkenen - zie Bijlage A.
03Instructies van de klant
Wij verwerken de persoonsgegevens uitsluitend op basis van de gedocumenteerde instructies van de klant - waaronder de instructies die besloten liggen in het gebruik van de dienst - tenzij een wettelijke verplichting ons tot een andere verwerking verplicht; in dat geval melden wij dat vooraf, tenzij de wet dit verbiedt.
Menen wij dat een instructie in strijd is met de AVG of andere toepasselijke wetgeving, dan informeren wij de klant daarover.
04Vertrouwelijkheid
Wij behandelen de persoonsgegevens vertrouwelijk. Personen die wij toegang geven, zijn tot geheimhouding verplicht en krijgen alleen toegang voor zover nodig (need-to-know, least-privilege).
05Beveiligingsmaatregelen
Wij nemen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder:
- versleuteling onderweg (TLS) en in rust (encryptie at rest);
- toegang volgens least-privilege en verplichte MFA voor beheertoegang;
- logging en monitoring van toegang en gebeurtenissen;
- strikte datascheiding per klant (multi-tenant isolatie), zodat klanten elkaars gegevens niet kunnen inzien;
- hosting op Europese servers in Nederland; data verlaat in de regel de EU niet;
- AI-verwerking onder Zero Data Retention: modellen bewaren klantdata niet en trainen er niet op.
06Subverwerkers
De klant geeft ons algemene toestemming om subverwerkers in te schakelen voor de uitvoering van de dienst. De actuele lijst staat in Bijlage B.
- Met elke subverwerker sluiten wij een overeenkomst met ten minste dezelfde verplichtingen als deze DPA.
- Bij voorgenomen toevoeging of vervanging van een subverwerker informeren wij de klant tijdig, zodat de klant bezwaar kan maken op redelijke gronden die de bescherming van persoonsgegevens betreffen.
- Wij blijven jegens de klant aansprakelijk voor het handelen van onze subverwerkers.
07Bijstand bij betrokkenenverzoeken
Wij helpen de klant, rekening houdend met de aard van de verwerking en met passende technische en organisatorische maatregelen, bij het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar) en bij verplichtingen rond beveiliging, datalekmeldingen en gegevensbeschermingseffectbeoordelingen (DPIA).
Richt een betrokkene een verzoek rechtstreeks aan ons, dan verwijzen wij die door naar de klant, tenzij de klant anders instrueert.
08Datalekken
Bij een inbreuk in verband met persoonsgegevens informeren wij de klant zonder onredelijke vertraging nadat wij ervan kennis hebben genomen, met de informatie die de klant redelijkerwijs nodig heeft om aan zijn meldplicht te voldoen. Wij ondersteunen de klant bij onderzoek, beperking en afhandeling.
09Audit
Wij stellen de klant de informatie ter beschikking die nodig is om naleving van deze DPA aan te tonen, en maken audits - door de klant of een door de klant gemachtigde onafhankelijke auditor - mogelijk en werken daaraan mee. Audits vinden plaats met redelijke aankondiging, hoogstens eenmaal per jaar (behoudens een concreet incident of een toezichthouder), tijdens kantooruren, en zonder de dienstverlening of de vertrouwelijkheid jegens andere klanten te schaden.
10Teruggave en verwijdering
Na afloop van de dienst verwijderen of retourneren wij - naar keuze van de klant - alle persoonsgegevens, en verwijderen wij bestaande kopieën, tenzij wettelijke bewaarplichten ons verplichten gegevens langer te bewaren. De klant krijgt gedurende een redelijke periode de gelegenheid de klantdata te exporteren.
11Doorgifte buiten de EER
De verwerking vindt in beginsel plaats binnen de EER (Europese servers in Nederland). Voor zover een subverwerker (bijvoorbeeld Stripe of Resend) gegevens buiten de EER verwerkt, gebeurt dat uitsluitend op basis van een adequaatheidsbesluit van de Europese Commissie of EU-modelcontractbepalingen (Standard Contractual Clauses), met passende aanvullende waarborgen.
12Bijlage A - Categorieën en betrokkenen
Categorieën persoonsgegevens
| Categorie | Voorbeelden |
|---|---|
| Identiteits- en contactgegevens | naam, functie, e-mailadres, telefoonnummer van contactpersonen en relaties |
| Communicatie-inhoud | e-mailberichten, meeting-transcripts, notities en documenten van de klant |
| CRM- en commerciële gegevens | relaties, contacten, deals, pipeline-status en correspondentie |
| Account- en gebruiksgegevens | inloggegevens, rol/rechten, instellingen en loggegevens van het gebruik |
Categorieën betrokkenen
- medewerkers en gebruikers van de klant
- contactpersonen, relaties en leads van de klant
- klanten en prospects van de klant
Het is aan de klant welke gegevens hij in HAL Assist plaatst. De klant plaatst geen bijzondere categorieën persoonsgegevens, tenzij daarvoor afzonderlijk afspraken zijn gemaakt.
13Bijlage B - Subverwerkers
| Subverwerker | Doel | Regio |
|---|---|---|
| Railway | Hosting van de applicatie en database | EU |
| Cloudflare R2 | Opslag van documenten en bestanden | EU |
| Cloudflare | DNS, CDN/beveiliging en e-mailrouting | EU |
| Vercel AI Gateway + LLM-providers (Anthropic, OpenAI, Google) | Routering naar AI-modellen voor het genereren van suggesties - onder Zero Data Retention (geen opslag, geen modeltraining) | EU-gateway; modellen onder ZDR |
| Mistral | Embeddings (semantisch zoeken in je eigen data) | EU |
| Sentry | Foutmonitoring en applicatiestabiliteit | EU (Frankfurt) |
| Stripe | Verwerking van betalingen en facturatie | EU/VS (adequaatheidsbesluit / SCCs) |
| Resend | Verzenden van transactionele en contact-e-mail | EU/VS (adequaatheidsbesluit / SCCs) |
Deze lijst kan wijzigen; wijzigingen verlopen volgens de procedure in het hoofdstuk Subverwerkers, inclusief het recht van bezwaar.
14Contact
Vragen over deze verwerkersovereenkomst of een verzoek om de getekende versie? Mail hal@halassist.ai of schrijf naar BedrijfsGPT B.V., Stationsplein 45, 3013 AK Rotterdam, Nederland.