Verwerkersovereenkomst

Deze verwerkersovereenkomst (DPA) is gesloten tussen:

Deze DPA bepaalt hoe wij persoonsgegevens verwerken die u via het Platform invoert. De DPA is van kracht zolang het Abonnement loopt en eindigt automatisch bij beëindiging daarvan, behoudens bewaarplichten.

Aard: opslag, structureren, raadplegen, analyseren, doorgeven aan subsidie-uitvoerders.

Doel: u in staat stellen subsidieaanvragen voor uw eindklanten te voorbereiden, toetsen en indienen.

Soort gegevens:

• NAW, contact en KvK-gegevens van eindklanten
• Financiële gegevens (omzet, FTE, bedragen)
• Documentinhoud (jaarrekeningen, projectplannen, etc.)
• Eventuele bijzondere categorieën zijn niet toegestaan

Categorieën betrokkenen: medewerkers en contactpersonen van uw eindklanten.

Wij verbinden ons:

• Persoonsgegevens uitsluitend te verwerken op uw schriftelijke instructie (deze DPA + uw acties in het Platform)
• Geheimhouding op te leggen aan al onze medewerkers
• Passende beveiligingsmaatregelen te treffen (zie Art. 6)
• U onverwijld te informeren bij datalek (binnen 24 uur na detectie)
• U bij te staan bij verzoeken van betrokkenen (inzage, verwijdering)
• Sub-verwerkers alleen in te schakelen conform Art. 7
• Bij einde Overeenkomst: gegevens binnen 30 dagen terug te geven of te verwijderen

U verbindt zich:

• Een rechtsgrond te hebben voor elke verwerking
• Betrokkenen correct te informeren (privacyverklaring richting eindklanten)
• Geen bijzondere categorieën in te voeren zonder voorafgaand overleg
• Beveiligingsincidenten direct te melden via privacy@subsidievinder.nl

Wij implementeren tenminste:

• Versleuteling: TLS 1.3 in transit, AES-256 at rest (database + backups)
• Toegangscontrole: JWT auth + RBAC + IP-restricties op infra
• Wachtwoorden: bcrypt-gehasht met cost factor ≥ 12
• Logging: audit-trail van alle wijzigingen, 90 dagen access logs
• Backup: dagelijks, 30 dagen retentie, encrypted
• Pen-tests: jaarlijkse interne security audit
• Personeel: NDA's + behoeftegebaseerde toegang

U geeft hierbij algemene toestemming voor inschakeling van sub-verwerkers, mits wij:

• Een lijst van sub-verwerkers op onze website publiceren
• U minimaal 30 dagen vooraf informeren bij nieuwe sub-verwerkers
• Met elke sub-verwerker gelijkwaardige verplichtingen overeenkomen

Huidige sub-verwerkers:

U kunt bezwaar maken tegen een sub-verwerker binnen 14 dagen.

Doorgifte naar landen buiten de EER gebeurt alleen op basis van:

• Een adequaatheidsbesluit van de Europese Commissie, of
• Standaard Contractuele Bepalingen (SCC's) van de Europese Commissie

Voor Anthropic gebruiken wij SCC's. Voor bedrijfsnamen en gegenereerde teksten geldt aanvullend: Anthropic bewaart geen content en gebruikt deze niet voor model-training.

Wij stellen op eerste verzoek (max 1× per jaar) alle redelijke informatie ter beschikking om aan te tonen dat wij onze verplichtingen uit deze DPA naleven. Op verzoek geven wij toegang tot relevante certificeringen en jaarlijkse pen-test rapporten.

Beide partijen zijn aansprakelijk voor schade die zij toebrengen door tekortkomingen onder deze DPA. Aansprakelijkheidsbeperkingen uit de Algemene voorwaarden gelden onverkort. Bij boetes opgelegd door toezichthouders dragen partijen elk hun eigen aandeel volgens redelijkheid en billijkheid.

• Bij conflict tussen DPA en AV gaat deze DPA voor op het punt van gegevensbescherming
• Wijzigingen zijn alleen schriftelijk geldig
• Toepasselijk recht: Nederlands