Juridisch

Verwerkersovereenkomst

Hoe wij persoonsgegevens in jouw opdracht verwerken - de afspraken tussen verwerkingsverantwoordelijke en verwerker.

Laatst bijgewerkt: 21 juni 2026 · v1.0

01Partijen en rollen

Deze verwerkersovereenkomst (DPA) hoort bij de overeenkomst tussen de klant en BedrijfsGPT B.V. (besloten vennootschap naar Nederlands recht, KvK 98209337), aanbieder van HAL Assist, en geldt zodra HAL Assist persoonsgegevens verwerkt in opdracht van de klant.

  • De klant is de verwerkingsverantwoordelijke: hij bepaalt het doel en de middelen van de verwerking.
  • BedrijfsGPT B.V. (HAL Assist) is de verwerker: wij verwerken de gegevens uitsluitend in opdracht van de klant.

Bij strijd tussen deze DPA en de algemene voorwaarden, prevaleert deze DPA voor zover het de verwerking van persoonsgegevens betreft.

02Onderwerp, duur, aard en doel

  • Onderwerp - de verwerking van persoonsgegevens binnen de klantdata die de klant in HAL Assist plaatst of koppelt.
  • Duur - gelijk aan de looptijd van de overeenkomst, plus de tijd die nodig is voor teruggave of verwijdering daarna.
  • Aard en doel - het leveren van de dienst: het samenbrengen van e-mail, transcripts, CRM, notities en documenten en het met AI doen van suggesties, alles in opdracht van de klant.
  • Soorten gegevens en betrokkenen - zie Bijlage A.

03Instructies van de klant

Wij verwerken de persoonsgegevens uitsluitend op basis van de gedocumenteerde instructies van de klant - waaronder de instructies die besloten liggen in het gebruik van de dienst - tenzij een wettelijke verplichting ons tot een andere verwerking verplicht; in dat geval melden wij dat vooraf, tenzij de wet dit verbiedt.

Menen wij dat een instructie in strijd is met de AVG of andere toepasselijke wetgeving, dan informeren wij de klant daarover.

04Vertrouwelijkheid

Wij behandelen de persoonsgegevens vertrouwelijk. Personen die wij toegang geven, zijn tot geheimhouding verplicht en krijgen alleen toegang voor zover nodig (need-to-know, least-privilege).

05Beveiligingsmaatregelen

Wij nemen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder:

  • versleuteling onderweg (TLS) en in rust (encryptie at rest);
  • toegang volgens least-privilege en verplichte MFA voor beheertoegang;
  • logging en monitoring van toegang en gebeurtenissen;
  • strikte datascheiding per klant (multi-tenant isolatie), zodat klanten elkaars gegevens niet kunnen inzien;
  • hosting op Europese servers in Nederland; data verlaat in de regel de EU niet;
  • AI-verwerking onder Zero Data Retention: modellen bewaren klantdata niet en trainen er niet op.

06Subverwerkers

De klant geeft ons algemene toestemming om subverwerkers in te schakelen voor de uitvoering van de dienst. De actuele lijst staat in Bijlage B.

  • Met elke subverwerker sluiten wij een overeenkomst met ten minste dezelfde verplichtingen als deze DPA.
  • Bij voorgenomen toevoeging of vervanging van een subverwerker informeren wij de klant tijdig, zodat de klant bezwaar kan maken op redelijke gronden die de bescherming van persoonsgegevens betreffen.
  • Wij blijven jegens de klant aansprakelijk voor het handelen van onze subverwerkers.

07Bijstand bij betrokkenenverzoeken

Wij helpen de klant, rekening houdend met de aard van de verwerking en met passende technische en organisatorische maatregelen, bij het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar) en bij verplichtingen rond beveiliging, datalekmeldingen en gegevensbeschermingseffectbeoordelingen (DPIA).

Richt een betrokkene een verzoek rechtstreeks aan ons, dan verwijzen wij die door naar de klant, tenzij de klant anders instrueert.

08Datalekken

Bij een inbreuk in verband met persoonsgegevens informeren wij de klant zonder onredelijke vertraging nadat wij ervan kennis hebben genomen, met de informatie die de klant redelijkerwijs nodig heeft om aan zijn meldplicht te voldoen. Wij ondersteunen de klant bij onderzoek, beperking en afhandeling.

09Audit

Wij stellen de klant de informatie ter beschikking die nodig is om naleving van deze DPA aan te tonen, en maken audits - door de klant of een door de klant gemachtigde onafhankelijke auditor - mogelijk en werken daaraan mee. Audits vinden plaats met redelijke aankondiging, hoogstens eenmaal per jaar (behoudens een concreet incident of een toezichthouder), tijdens kantooruren, en zonder de dienstverlening of de vertrouwelijkheid jegens andere klanten te schaden.

10Teruggave en verwijdering

Na afloop van de dienst verwijderen of retourneren wij - naar keuze van de klant - alle persoonsgegevens, en verwijderen wij bestaande kopieën, tenzij wettelijke bewaarplichten ons verplichten gegevens langer te bewaren. De klant krijgt gedurende een redelijke periode de gelegenheid de klantdata te exporteren.

11Doorgifte buiten de EER

De verwerking vindt in beginsel plaats binnen de EER (Europese servers in Nederland). Voor zover een subverwerker (bijvoorbeeld Stripe of Resend) gegevens buiten de EER verwerkt, gebeurt dat uitsluitend op basis van een adequaatheidsbesluit van de Europese Commissie of EU-modelcontractbepalingen (Standard Contractual Clauses), met passende aanvullende waarborgen.

12Bijlage A - Categorieën en betrokkenen

Categorieën persoonsgegevens

CategorieVoorbeelden
Identiteits- en contactgegevensnaam, functie, e-mailadres, telefoonnummer van contactpersonen en relaties
Communicatie-inhoude-mailberichten, meeting-transcripts, notities en documenten van de klant
CRM- en commerciële gegevensrelaties, contacten, deals, pipeline-status en correspondentie
Account- en gebruiksgegevensinloggegevens, rol/rechten, instellingen en loggegevens van het gebruik

Categorieën betrokkenen

  • medewerkers en gebruikers van de klant
  • contactpersonen, relaties en leads van de klant
  • klanten en prospects van de klant

Het is aan de klant welke gegevens hij in HAL Assist plaatst. De klant plaatst geen bijzondere categorieën persoonsgegevens, tenzij daarvoor afzonderlijk afspraken zijn gemaakt.

13Bijlage B - Subverwerkers

SubverwerkerDoelRegio
RailwayHosting van de applicatie en databaseEU
Cloudflare R2Opslag van documenten en bestandenEU
CloudflareDNS, CDN/beveiliging en e-mailroutingEU
Vercel AI Gateway + LLM-providers (Anthropic, OpenAI, Google)Routering naar AI-modellen voor het genereren van suggesties - onder Zero Data Retention (geen opslag, geen modeltraining)EU-gateway; modellen onder ZDR
MistralEmbeddings (semantisch zoeken in je eigen data)EU
SentryFoutmonitoring en applicatiestabiliteitEU (Frankfurt)
StripeVerwerking van betalingen en facturatieEU/VS (adequaatheidsbesluit / SCCs)
ResendVerzenden van transactionele en contact-e-mailEU/VS (adequaatheidsbesluit / SCCs)

Deze lijst kan wijzigen; wijzigingen verlopen volgens de procedure in het hoofdstuk Subverwerkers, inclusief het recht van bezwaar.

14Contact

Vragen over deze verwerkersovereenkomst of een verzoek om de getekende versie? Mail hal@halassist.ai of schrijf naar BedrijfsGPT B.V., Stationsplein 45, 3013 AK Rotterdam, Nederland.