N
Plancycle Notari

Verwerkersovereenkomst (DPA)

Laatst bijgewerkt: 21 april 2026

Template. Zakelijke klanten die een DPA vereisen kunnen dit document als uitgangspunt gebruiken. Voor productie moet dit door een AVG-jurist gereviewd worden en op naam worden ondertekend. Voor "klik om akkoord te gaan"-scenario's moet de acceptatie technisch geregistreerd worden met tijdstempel.

Partijen

  • Verwerkingsverantwoordelijke (Controller): de Klant zoals geïdentificeerd bij account-registratie of in een onderliggend Dienstencontract.
  • Verwerker (Processor): Plancycle BV, KVK [nummer], gevestigd te [adres].

1. Onderwerp en duur

Deze verwerkersovereenkomst is onderdeel van de hoofdovereenkomst tussen Controller en Processor en geldt voor de duur van de levering van de Notari-dienst. Na beëindiging verplicht Processor zich tot teruggave of verwijdering van persoonsgegevens, tenzij wettelijke bewaarplicht anders vereist.

2. Aard, doel en duur van de verwerking

  • Aard: transcriptie van audio, AI-analyse en rapport-generatie.
  • Doel: uitvoering van de Notari-dienst zoals door Controller aan Processor opgedragen.
  • Duur: voor de looptijd van het Controller-account.

3. Categorieën betrokkenen en persoonsgegevens

  • Betrokkenen: gebruikers van de Controller (medewerkers, klanten, leveranciers, deelnemers van opgenomen gesprekken).
  • Gegevens: audio-opnames, gesproken tekst, namen en rollen zoals in het gesprek genoemd, meta-data (datum, titel, deelnemers-invoer).
  • Bijzondere categorieën: alleen voor zover Controller deze zelf in de audio introduceert. Processor verwerkt deze niet doelbewust.

4. Verplichtingen Processor

  • Verwerkt persoonsgegevens uitsluitend in opdracht van Controller, tenzij wettelijk vereist.
  • Zorgt voor passende technische en organisatorische maatregelen (art. 32 AVG) — zie bijlage beveiligingsmaatregelen.
  • Waarborgt geheimhouding door medewerkers en sub-verwerkers.
  • Assisteert Controller bij verzoeken van betrokkenen (inzage, rectificatie, verwijdering, portabiliteit).
  • Assisteert bij DPIA's en voorafgaande raadplegingen indien vereist.
  • Meldt datalekken binnen 72 uur na ontdekking aan Controller met alle bekende informatie.

5. Sub-verwerkers

Processor maakt gebruik van de volgende sub-verwerkers:

Sub-verwerkerRolLocatie
Microsoft Ireland Operations Ltd. (Azure)Hosting, Azure OpenAI, databaseEU — West Europe
Mollie B.V.BetalingsverwerkingEU — Nederland

Controller verleent algemene toestemming voor het inschakelen van deze sub-verwerkers. Processor informeert Controller minimaal 30 dagen vooraf bij toevoeging of vervanging van een sub-verwerker. Controller heeft in dat geval het recht om bezwaar te maken; bij gemotiveerd bezwaar zoeken partijen in overleg naar een oplossing, eventueel leidend tot beëindiging zonder boete.

6. Doorgifte buiten de EER

Processor geeft geen persoonsgegevens door buiten de Europese Economische Ruimte. Mocht een toekomstige sub-verwerker dit wel vereisen, dan gebeurt dat uitsluitend onder de Standard Contractual Clauses (SCC's) van de Europese Commissie of een ander adequaat mechanisme.

7. Beveiligingsmaatregelen (bijlage)

  • TLS-versleuteling (TLS 1.2+) voor data in transit.
  • Data at rest: encryptie door Azure (AES-256) op storage- en database-niveau.
  • Wachtwoorden met bcrypt-hashing (kosten-factor 12).
  • Rol-gebaseerde toegang met principe van minimale rechten.
  • Audit-logging van admin-acties met 2 jaar retentie.
  • Automatische back-ups met 7 dagen retentie, herstel-procedures getest.
  • Network-isolatie: database alleen bereikbaar via firewall-whitelist.
  • Security-incident response procedure, inclusief 72-uur-meldplicht.

8. Audit-rechten

Controller heeft het recht om eens per jaar, op eigen kosten, een audit uit te voeren of te laten uitvoeren door een onafhankelijke derde, na 30 dagen schriftelijke aankondiging. Processor stelt alle relevante documentatie beschikbaar die nodig is om naleving aan te tonen.

9. Aansprakelijkheid

Aansprakelijkheid volgt de beperking uit de hoofdovereenkomst. Voor boetes opgelegd door de AP aan Controller als direct gevolg van schuldig handelen van Processor, neemt Processor die boete voor eigen rekening binnen de aansprakelijkheids-cap van de hoofdovereenkomst.

10. Beëindiging en retour/vernietiging

Bij beëindiging verwijdert Processor binnen 30 dagen alle persoonsgegevens en bestaande kopieën, tenzij wettelijke bewaarplicht voortgezette bewaring vereist (bijv. fiscale bescheiden, 7 jaar). Op verzoek levert Processor de data in een gangbaar machine-leesbaar formaat op.

11. Toepasselijk recht

Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de rechter te Amsterdam.

Ondertekening

Door gebruik van Notari accepteert Controller deze DPA. Voor handmatige ondertekening (bijv. voor je inkoop-administratie): stuur een verzoek naar privacy@plancycle.io, wij leveren een PDF ter ondertekening.