Verwerkersovereenkomst (DPA)
Laatst bijgewerkt: 12 mei 2026
Deze Verwerkersovereenkomst (Data Processing Agreement, hierna "DPA") is van toepassing wanneer Klant ("Verwerkingsverantwoordelijke") in het kader van zijn gebruik van WedeAI persoonsgegevens van diens eindgebruikers, klanten of websitebezoekers laat verwerken door WedeAI ("Verwerker"). De DPA maakt onlosmakelijk deel uit van de overeenkomst zoals beschreven in de Algemene voorwaarden.
Artikel 1: Partijen en definities
Verwerker: WedeAI, een handelsnaam van Uniek Webdesign (KvK 42032550, gevestigd in Nederland).
Verwerkingsverantwoordelijke: de natuurlijke of rechtspersoon (Klant) die een Abonnement op WedeAI heeft afgesloten en in het kader daarvan persoonsgegevens van derden laat verwerken door WedeAI.
De begrippen "persoonsgegevens", "verwerken", "betrokkene", "datalek" en "doorgifte" hebben de betekenis zoals omschreven in de Algemene Verordening Gegevensbescherming (AVG / GDPR).
Artikel 2: Onderwerp en doel
WedeAI verwerkt persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke en voor de volgende doeleinden:
- Het hosten en weergeven van de door Verwerkingsverantwoordelijke gegenereerde Site, inclusief bezoekersinteractie
- Het ontvangen, opslaan en doorsturen van inzendingen via het contactformulier op de Site
- Het verwerken van eventuele klant- of gebruikersdata die Verwerkingsverantwoordelijke binnen de Dienst aanlevert
Artikel 3: Aard van de gegevens en betrokkenen
Categorieën betrokkenen: websitebezoekers en zakelijke contacten van Verwerkingsverantwoordelijke.
Categorieën persoonsgegevens:
- Naam en e-mailadres (bij gebruik van het contactformulier)
- Telefoonnummer (indien door bezoeker ingevuld)
- IP-adres en user-agent (in server-logs, maximaal 30 dagen)
- Inhoud van het contactformulier-bericht
- Klantgegevens die Verwerkingsverantwoordelijke zelf via add-ons (zoals reviews-widget of e-mailmarketing) door WedeAI laat verwerken
Bijzondere persoonsgegevens (zoals gezondheidsgegevens) worden alleen verwerkt indien Verwerkingsverantwoordelijke ze actief aanlevert; in dat geval geldt aanvullende zorgvuldigheid (artikel 9 AVG).
Artikel 4: Verplichtingen van WedeAI
- WedeAI verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke en zoals nodig om de Dienst te leveren
- WedeAI verstrekt geen persoonsgegevens aan derden zonder schriftelijke instructie, behoudens wettelijke verplichting
- WedeAI legt aan al haar medewerkers met toegang tot persoonsgegevens een geheimhoudingsplicht op
- WedeAI verleent Verwerkingsverantwoordelijke, op redelijk verzoek, ondersteuning bij het voldoen aan AVG-verplichtingen (zoals een Data Protection Impact Assessment of een verzoek van een betrokkene)
- Na beëindiging van de overeenkomst verwijdert WedeAI alle persoonsgegevens binnen 30 dagen, behoudens voor zover wettelijke bewaarplichten of facturatie-administratie bewaring vereisen
Artikel 5: Beveiligingsmaatregelen
WedeAI treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, onrechtmatige verwerking, ongeautoriseerde toegang of openbaarmaking:
- Versleuteling in-transit (TLS 1.3) op alle verbindingen
- Versleuteling at-rest (AES-256) op de productiedatabase en backups
- Wachtwoorden opgeslagen als bcrypt-hash
- Toegangscontrole op basis van least-privilege; alleen Bart (eigenaar) heeft beheerderstoegang
- Dagelijkse automatische backups, bewaard binnen de EU, geretendeerd voor maximaal 30 dagen
- Regelmatige software-updates en monitoring op kwetsbaarheden
- Veilige software-ontwikkeling (code review, security-tests bij grote wijzigingen)
Artikel 6: Subverwerkers
WedeAI maakt voor de uitvoering van de Dienst gebruik van de volgende subverwerkers. Met al deze partijen is een verwerkersovereenkomst gesloten of een gelijkwaardige set EU-modelcontractbepalingen.
| Subverwerker | Doel | Locatie |
|---|---|---|
| Anthropic PBC | AI-generatie via Claude API. Input wordt niet gebruikt voor modeltraining. | VS (SCC) |
| Vercel Inc. | Applicatie- en site-hosting, CDN. | EU (Frankfurt) / SCC |
| Neon Inc. | Productiedatabase (Postgres). | EU (Frankfurt) |
| Stripe Payments Europe Ltd. | Betaalverwerking en factuuradministratie. | Ierland (EU) |
| Resend Inc. | Transactionele e-mail (signup, password reset, formulier-doorzendingen). | VS (EU-regio AWS) / SCC |
WedeAI informeert Verwerkingsverantwoordelijke minimaal 30 dagen vooraf bij wijzigingen in de lijst van subverwerkers. Bij gegronde bezwaren kan Verwerkingsverantwoordelijke de overeenkomst opzeggen zonder kosten.
Artikel 7: Doorgifte buiten de EER
Doorgifte naar landen buiten de Europese Economische Ruimte (zoals de VS) vindt uitsluitend plaats op basis van EU-modelcontractbepalingen (Standard Contractual Clauses) zoals goedgekeurd door de Europese Commissie, aangevuld met technische beveiliging (versleuteling in-transit en at-rest) en organisatorische maatregelen.
Artikel 8: Datalekken
Bij een (vermoeden van een) datalek waarbij persoonsgegevens van Verwerkingsverantwoordelijke betrokken zijn, informeert WedeAI Verwerkingsverantwoordelijke onverwijld, doch uiterlijk binnen 48 uur na bekendwording. WedeAI verstrekt daarbij:
- De aard van het lek en de getroffen categorieën van persoonsgegevens
- De vermoedelijke omvang en de oorzaak
- De genomen of voorgestelde maatregelen
- Contactgegevens voor nadere informatie
De wettelijke meldplicht aan de Autoriteit Persoonsgegevens (artikel 33 AVG) en aan betrokkenen (artikel 34 AVG) ligt bij Verwerkingsverantwoordelijke, tenzij anders overeengekomen.
Artikel 9: Rechten van betrokkenen
WedeAI ondersteunt Verwerkingsverantwoordelijke bij verzoeken van betrokkenen (inzage, correctie, verwijdering, dataportabiliteit). Verwerkingsverantwoordelijke kan via het dashboard zelf bepaalde acties uitvoeren (bijvoorbeeld een formulier-inzending verwijderen). Voor verzoeken die handmatige uitvoering vereisen, hanteert WedeAI een termijn van twee weken.
Artikel 10: Audit
Eens per kalenderjaar kan Verwerkingsverantwoordelijke op eigen kosten een audit (laten) uitvoeren naar de naleving van deze DPA, met inachtneming van een redelijke termijn (minimaal twee weken vooraf aankondigen). Resultaten zijn vertrouwelijk. WedeAI behoudt het recht om in plaats van een fysieke audit een actueel veiligheidsrapport of certificering aan te bieden.
Artikel 11: Aansprakelijkheid
De aansprakelijkheidsregeling uit artikel 10 van de Algemene voorwaarden is van overeenkomstige toepassing op deze DPA. Onverlet artikel 82 AVG over hoofdelijke aansprakelijkheid jegens betrokkenen, geldt tussen partijen een beperking tot directe schade en tot maximaal het bedrag dat Klant in de drie maanden voorafgaand aan het schadeveroorzakend feit aan WedeAI heeft betaald.
Artikel 12: Duur en beëindiging
Deze DPA gaat in op het moment dat Klant een Abonnement afsluit en eindigt automatisch op het moment dat de hoofdovereenkomst eindigt, met inachtneming van de in artikel 4 genoemde verwijderingsplicht.
Artikel 13: Toepasselijk recht
Op deze DPA is uitsluitend Nederlands recht van toepassing. Geschillen worden bij voorkeur in overleg opgelost; lukt dat niet, dan worden ze voorgelegd aan de bevoegde rechter in het arrondissement waarbinnen Uniek Webdesign is gevestigd.
Artikel 14: Vragen
Vragen over deze DPA of verzoeken om wijzigingen? Mail info@uniekwebdesign.nl.
Deze DPA is opgesteld op basis van de AVG en gangbare SaaS-praktijken in Nederland, maar is niet door een gespecialiseerd jurist beoordeeld. Voor bedrijven die zwaar leunen op een formele DPA (zorg, financieel, overheid) raden we aanvullende juridische beoordeling aan via ICTRecht of vergelijkbaar.