Artikel 1 — Partijen
Deze verwerkersovereenkomst is van toepassing tussen de Klant (verwerkingsverantwoordelijke) en EverWise B.V. (verwerker), gevestigd in Nederland. De overeenkomst maakt onlosmakelijk deel uit van de hoofdovereenkomst (abonnement).
Artikel 2 — Onderwerp en duur
EverWise verwerkt persoonsgegevens uitsluitend ten behoeve van de dienstverlening via het Platform. De duur van de verwerking is gelijk aan de looptijd van het abonnement. Na beeindiging worden gegevens verwijderd conform artikel 11.
Artikel 3 — Categorieën persoonsgegevens
De volgende categorieën persoonsgegevens worden verwerkt:
| Categorie | Voorbeelden |
|---|---|
| Identificatiegegevens | Naam, e-mailadres, functietitel |
| Gebruiksgegevens | Toetsresultaten, voortgang, XP-punten, streaks |
| Communicatiegegevens | AI-chatgeschiedenis, spraakfragmenten (tijdelijk) |
| Technische gegevens | IP-adres, browsertype, sessiegegevens |
Artikel 4 — Verplichtingen EverWise
EverWise verplicht zich tot het volgende:
- Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de Klant.
- Geheimhoudingsplicht voor alle medewerkers die toegang hebben tot persoonsgegevens.
- Passende technische en organisatorische beveiligingsmaatregelen treffen.
- De Klant bijstaan bij het nakomen van diens verplichtingen onder de AVG.
- Na beeindiging alle persoonsgegevens verwijderen of retourneren.
Artikel 5 — Subverwerkers
EverWise maakt gebruik van de volgende subverwerkers:
| Subverwerker | Locatie | Doel | Waarborg |
|---|---|---|---|
| Supabase | EU (Frankfurt) | Database, authenticatie, opslag | AVG-compliant, EU hosting |
| Anthropic | VS | Primair AI-model (Claude) | SCCs, geen modeltraining op data |
| Mistral | EU (Frankrijk) | Fallback AI-model | EU-verwerking |
| Vercel | EU (edge) | Hosting, CDN, serverless functies | EU edge network |
EverWise informeert de Klant minimaal 30 dagen vooraf over wijzigingen in subverwerkers. De Klant kan bezwaar maken; bij gegrond bezwaar zoekt EverWise een alternatief of kan de Klant het abonnement opzeggen.
Artikel 6 — Beveiligingsmaatregelen
EverWise treft de volgende beveiligingsmaatregelen:
- Versleuteling in transit (TLS 1.3) en at rest (AES-256)
- Toegangscontrole op basis van rollen (RBAC) met multi-factor authenticatie voor beheerders
- Regelmatige beveiligingsaudits en penetratietests
- Automatische back-ups met versleuteling
- Logging en monitoring van toegang tot persoonsgegevens
- Incidentresponsplan met meldprocedure binnen 48 uur
Artikel 7 — Rechten van betrokkenen
EverWise ondersteunt de Klant bij het afhandelen van verzoeken van betrokkenen (inzage, correctie, verwijdering, overdracht, beperking, bezwaar). Verzoeken worden binnen 5 werkdagen doorgestuurd naar de Klant. EverWise biedt technische mogelijkheden voor data-export in gestructureerde formaten.
Artikel 8 — Datalekken
Bij een (vermoedelijk) datalek meldt EverWise dit binnen 48 uur aan de Klant, inclusief: de aard van het lek, de getroffen categorieën persoonsgegevens, het geschatte aantal betrokkenen, de waarschijnlijke gevolgen, en de genomen of voorgestelde maatregelen. EverWise werkt volledig mee aan eventuele meldingen bij de Autoriteit Persoonsgegevens.
Artikel 9 — Audits
De Klant heeft het recht om, maximaal eenmaal per jaar en met minimaal 30 dagen vooraankondiging, een audit uit te voeren of te laten uitvoeren door een onafhankelijke derde partij. EverWise werkt hieraan mee en verstrekt alle benodigde informatie. Kosten van de audit zijn voor rekening van de Klant, tenzij de audit tekortkomingen aan het licht brengt.
Artikel 10 — Doorgifte buiten de EER
Doorgifte van persoonsgegevens buiten de Europese Economische Ruimte vindt uitsluitend plaats op basis van Standard Contractual Clauses (SCCs) conform het besluit van de Europese Commissie. Dit is momenteel van toepassing op de verwerking door Anthropic (VS). EverWise streeft ernaar om verwerking zoveel mogelijk binnen de EU te houden.
Artikel 11 — Looptijd en beeindiging
Deze verwerkersovereenkomst eindigt gelijktijdig met het abonnement. Na beeindiging verwijdert EverWise alle persoonsgegevens binnen 90 dagen, tenzij wettelijke bewaarplichten anders vereisen. De Klant kan tot 30 dagen na beeindiging een volledige data-export opvragen.
Artikel 12 — Contact
Voor vragen over deze verwerkersovereenkomst kunt u contact opnemen via:
E-mail: privacy@everwise.nl
Website: www.everwise.nl