Verwerkersovereenkomst (DPA).

Deze verwerkersovereenkomst (hierna: DPA) is van toepassing tussen:

• De klant die het RespondHero-platform afneemt (hierna: Verwerkingsverantwoordelijke); en
• RespondHero, een product van Emilj, gevestigd te Wageningen, Nederland (hierna: Verwerker).

Tezamen aangeduid als Partijen. Deze DPA vormt een bijlage bij de tussen Partijen gesloten hoofdovereenkomst (hierna: Hoofdovereenkomst). In geval van tegenstrijdigheid tussen deze DPA en de Hoofdovereenkomst geldt deze DPA voor zover het de verwerking van persoonsgegevens betreft.

Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van Verwerkingsverantwoordelijke voor het leveren van AI-gedreven klantenservice via chat, WhatsApp en voice, en de bijhorende kennisbank- en analytics-functionaliteit.

Deze DPA gaat in op de datum waarop de Hoofdovereenkomst in werking treedt en blijft van kracht zolang Verwerker namens Verwerkingsverantwoordelijke persoonsgegevens verwerkt. Beëindiging volgt de Hoofdovereenkomst, met inachtneming van artikel 13 van deze DPA.

Verwerker verwerkt persoonsgegevens uitsluitend voor de volgende doeleinden:

• Het ontvangen, beantwoorden en loggen van klantvragen via chat, WhatsApp en voice op basis van de kennisbank en koppelingen die Verwerkingsverantwoordelijke ter beschikking stelt.
• Het indexeren van openbaar beschikbare informatie van Verwerkingsverantwoordelijke (productpagina's, retourbeleid, tone of voice) in de vector-store.
• Het opvragen van live data uit het shop-platform (Shopify, Lightspeed, Magento) voor orderstatus, voorraad en levering.
• Het voorbereiden van human-in-the-loop acties zoals retouren en garantieclaims.
• Het leveren van rapportages over volumes, deflectie, escalatie en kosten in het dashboard.
• Beveiliging, foutdetectie en rate-limiting ter bescherming van de dienst.

Verwerker zal persoonsgegevens niet voor andere doeleinden gebruiken, en in het bijzonder niet voor het trainen van eigen of externe machine learning modellen.

De verwerking betreft de volgende categorieën persoonsgegevens van eindklanten van Verwerkingsverantwoordelijke:

• Identificatiegegevens (voor- en achternaam, gebruikersnaam).
• Contactgegevens (emailadres, telefoonnummer indien WhatsApp of voice).
• Inhoud van klantgesprekken (vrije tekst, audio in geval van voice, bijlagen).
• Order- en transactiegegevens (ordernummers, bedragen, leveringsadressen).
• Technische metadata (IP-adres, user-agent, timestamps, taalvoorkeur).

Categorieën betrokkenen: eindklanten en prospects van de webshop van Verwerkingsverantwoordelijke.

Verwerker verwerkt geen bijzondere categorieën persoonsgegevens (AVG artikel 9). Indien Verwerkingsverantwoordelijke per ongeluk dergelijke gegevens aanlevert, instrueert Verwerker tot verwijdering.

Verwerker zegt toe:

• Instructies. Persoonsgegevens uitsluitend te verwerken op gedocumenteerde instructie van Verwerkingsverantwoordelijke, behoudens een wettelijke verplichting waaraan Verwerker zelf is onderworpen.
• Geheimhouding. Te zorgen dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan geheimhouding.
• Beveiliging. Passende technische en organisatorische maatregelen te treffen zoals beschreven in artikel 9 en bijlage B.
• Subverwerkers. Geen subverwerker in te schakelen zonder algemene of specifieke goedkeuring van Verwerkingsverantwoordelijke (artikel 7).
• Bijstand. Verwerkingsverantwoordelijke bij te staan bij het vervullen van zijn AVG-verplichtingen, in het bijzonder verzoeken van betrokkenen (artikel 12 t/m 22 AVG) en de verplichtingen op grond van AVG artikel 32 t/m 36.
• Datalekken. Verwerkingsverantwoordelijke zonder onnodige vertraging, en uiterlijk binnen 24 uur na ontdekking, te informeren over een inbreuk in verband met persoonsgegevens (artikel 10).
• Verwijdering of teruggave. Persoonsgegevens na beëindiging te verwijderen of terug te geven (artikel 13).
• Audit. Verwerkingsverantwoordelijke alle informatie ter beschikking te stellen die nodig is om naleving aan te tonen, en mee te werken aan audits (artikel 11).

Verwerkingsverantwoordelijke zegt toe:

• Persoonsgegevens alleen aan Verwerker te verstrekken voor zover dat noodzakelijk is voor de in artikel 3 genoemde doeleinden.
• Een rechtsgrond te hebben voor de verwerking en, waar van toepassing, de juiste informatie te geven aan betrokkenen.
• Te zorgen dat de eigen kennisbank en koppelingen geen onnodige persoonsgegevens bevatten.
• Verwerker tijdig te informeren over wijzigingen in de aard, doel of categorieën van de verwerking die invloed hebben op deze DPA.

Verwerkingsverantwoordelijke verleent algemene voorafgaande toestemming voor het inschakelen van de subverwerkers vermeld op de pagina subverwerkers. Wijzigingen in de subverwerkerslijst (toevoegen of vervangen) worden minimaal 14 kalenderdagen vooraf aangekondigd via email aan het primaire contactadres van Verwerkingsverantwoordelijke en op de bovengenoemde pagina.

Verwerkingsverantwoordelijke heeft het recht binnen 14 dagen na aankondiging gemotiveerd bezwaar te maken. Komen Partijen er niet uit, dan heeft Verwerkingsverantwoordelijke het recht de Hoofdovereenkomst op te zeggen voor het deel dat de betreffende subverwerker raakt, zonder schadevergoedingsplicht.

Verwerker legt aan elke subverwerker dezelfde verplichtingen op als die in deze DPA zijn vastgelegd, in het bijzonder ten aanzien van beveiliging, geheimhouding en doorgifte.

De primaire infrastructuur van Verwerker draait in de Europese Unie. Voor een aantal componenten (LLM, embeddings, voice, foutdetectie) is doorgifte naar derde landen, in het bijzonder de Verenigde Staten, noodzakelijk.

Voor doorgifte naar landen zonder adequaatheidsbesluit van de Europese Commissie hanteert Verwerker de Standaardcontractbepalingen (SCC's, module 3: verwerker naar sub-verwerker; module 2 waar Verwerker als verwerkingsverantwoordelijke optreedt) van uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021. Aanvullend voert Verwerker een transfer impact assessment uit en treft, waar nodig, aanvullende technische maatregelen zoals encryptie en pseudonimisering.

Een actueel overzicht van locaties en overdrachtsmechanismen per subverwerker staat op de pagina subverwerkers.

Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, ongeoorloofde toegang of onrechtmatige verwerking. Een uitgebreide beschrijving staat in bijlage B onderaan deze DPA. De kernmaatregelen zijn:

• Tenant-isolatie via Postgres Row-Level Security en repository-laag filtering.
• Versleuteling at rest (AES-256) en in transit (TLS 1.3, HSTS afgedwongen).
• Multi-factor authenticatie verplicht voor alle administratieve toegang.
• Structured logging, retentie van security-events 90 dagen.
• Secret management via beheerde key-stores; geen geheimen in source control.
• Continuous integration met geautomatiseerde tests voor tenant-isolatie en evals.
• Streefdatum jaarlijkse externe penetratietest: Q4 2026. Tot die tijd voert Verwerker kwartaal-zelfaudits uit volgens OWASP ASVS Level 1.

Verwerker evalueert de maatregelen periodiek en past ze aan op de stand van de techniek en het feitelijke risico.

Verwerker informeert Verwerkingsverantwoordelijke zonder onnodige vertraging, en uiterlijk binnen 24 uur na ontdekking, over een inbreuk in verband met persoonsgegevens. De melding bevat in elk geval:

• De aard van de inbreuk en, waar mogelijk, de getroffen categorieën en aantallen.
• De waarschijnlijke gevolgen.
• De getroffen of voorgestelde maatregelen om de inbreuk te beperken.
• Contactgegevens voor verdere informatie.

Verwerker meldt aan privacy@respondhero.com; Verwerkingsverantwoordelijke geeft een eigen primair contactpunt op zodat Verwerker een directe lijn heeft.

Verwerker stelt na een inbreuk een postmortem op met tijdlijn, oorzaak, impact en structurele maatregel, en deelt deze met Verwerkingsverantwoordelijke.

Verwerkingsverantwoordelijke heeft het recht om eenmaal per kalenderjaar, en daarbuiten in geval van een redelijk vermoeden van een tekortkoming, een audit uit te voeren of te laten uitvoeren door een onafhankelijke derde. De audit wordt minimaal 30 dagen vooraf aangekondigd, vindt plaats op werkdagen tijdens kantooruren en verstoort de dienstverlening zo min mogelijk.

Verwerker werkt redelijkerwijs mee, levert documentatie aan over beveiligingsmaatregelen, sub-verwerkers en logboeken, en faciliteert de auditor. De kosten van de audit komen voor rekening van Verwerkingsverantwoordelijke, tenzij de audit een materiële tekortkoming aantoont waarvoor Verwerker verantwoordelijk is.

De aansprakelijkheid van Partijen onder deze DPA is geregeld in de Hoofdovereenkomst. Niets in deze DPA beperkt of sluit aansprakelijkheid uit die op grond van dwingend recht niet kan worden beperkt of uitgesloten, in het bijzonder de aansprakelijkheid op grond van AVG artikel 82 jegens betrokkenen.

Bij beëindiging van de Hoofdovereenkomst, om welke reden dan ook, verwijdert Verwerker alle persoonsgegevens van Verwerkingsverantwoordelijke binnen 30 kalenderdagen, of geeft deze op verzoek terug in een gangbaar formaat (JSON of CSV). Backups worden verwijderd in lijn met het rolling backup-schema, uiterlijk binnen 90 dagen.

Verwerker bevestigt schriftelijk wanneer verwijdering of teruggave is voltooid. Wettelijke bewaarplichten (zoals fiscale verplichtingen op factuurdata) vormen een uitzondering; deze gegevens blijven beveiligd opgeslagen tot het einde van de wettelijke termijn en worden daarna alsnog verwijderd.

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Arnhem, behoudens dwingendrechtelijke afwijkende bevoegdheidsregels.

De feitelijke verwerking onder deze DPA omvat:

Verwerker treft de volgende technische en organisatorische maatregelen, waarbij de opsomming niet limitatief is.

Toegang en authenticatie

• Magic-link authenticatie via Supabase Auth, geen wachtwoorden.
• Multi-factor authenticatie verplicht voor alle administratieve accounts.
• Rolgebaseerde toegang binnen tenants (owner, admin, editor, viewer).
• Jaarlijkse access review, gelogd en gearchiveerd.

Tenant-isolatie en data-integriteit

• Postgres Row-Level Security afgedwongen op alle tenant-tabellen.
• Repository-laag filtering met verplicht tenant_id.
• CI-test die cross-tenant reads blokkeert; build breekt bij regressie.
• Tenant-id afgeleid uit een geverifieerde JWT, nooit uit request body of URL.

Versleuteling

• AES-256 at rest voor database, vector store en object storage.
• TLS 1.3 in transit, HSTS afgedwongen op alle publieke endpoints.
• Sleutelbeheer via Supabase managed keys.

Logging, monitoring en alerting

• Structured logs (JSON) met request-id, tenant-id en gebruikers-id waar van toepassing.
• Application-logs 30 dagen, security-events 90 dagen.
• Sentry voor foutdetectie zonder PII in payloads.
• Alerts op kosten-uitschieters per tenant, tenant-id mismatches en verdachte authenticatiepatronen.

Hallucinatie- en risico-guardrails

• Tool-classificatie (safe / confirm_required / forbidden), zie ook de trust-pagina.
• Live data voor prijzen, voorraad, orderstatus en levering. Geen modelgeheugen.
• "Ik weet het niet" als verplichte fallback bij lage zekerheid.
• Eval-suite in CI met drempel 95% pass op safety, 80% op kwaliteit.
• Vier-uurs SLA op correctie van foutieve uitspraken.

Continuïteit en herstel

• Dagelijkse automatische backups via Supabase, retentie 30 dagen.
• Point-in-time recovery binnen retentievenster.
• Recovery time objective (RTO): 8 uur; recovery point objective (RPO): 24 uur.

Personeel

• Geheimhoudingsverklaring in arbeids- of opdrachtovereenkomst.
• Beveiligingstraining bij indiensttreding en jaarlijks daarna.
• Toegang ingericht volgens least-privilege; revocatie binnen 24 uur na uitdiensttreding.

Vragen over deze DPA, het ondertekenen of het opvragen van een PDF-versie kun je sturen naar privacy@respondhero.com.