Artikel 1 – Definities en begrippen

• AVG: Algemene Verordening Gegevensbescherming (EU) 2016/679.
• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
• Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens.
• Verwerkingsverantwoordelijke: stelt doel en middelen van de verwerking vast.
• Verwerker: verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke.
• Datalek: inbreuk op de beveiliging met gevolgen voor persoonsgegevens.

Artikel 2 – Doel en toepassingsgebied

Deze overeenkomst regelt de verwerking van persoonsgegevens door Connect Stuff B.V. ten behoeve van de verwerkingsverantwoordelijke in het kader van het gebruik van Converz.

Converz is een Software‑as‑a‑Service oplossing voor het transcriberen, samenvatten en verwerken van audio naar documenten, actiepunten en sjablonen met AI.

Connect Stuff B.V. is gespecialiseerd in veilige integraties, AI‑oplossingen en maatwerk software in Nederland. Doelgroepen zijn o.a. onderwijs, (semi)overheid, zorg, consultancy en zakelijke dienstverlening.

Voorbeelden van gebruik:

• Automatiseren van digitale verslaglegging
• Vastleggen van samenvattingen en besluiten
• Genereren van gestructureerde output
• Inzicht in besluitvorming

Verwerkte gegevens omvatten onder meer audio‑opnames, transcripties, namen en contactgegevens van deelnemers, metadata, notities, samenvattingen, actiepunten en inloggegevens. Verwerking vindt uitsluitend plaats onder instructie van de verwerkingsverantwoordelijke.

Artikel 3 – Verwerking van persoonsgegevens

• Verwerking uitsluitend voor uitvoering van Converz op basis van schriftelijke instructies.
• Geen gebruik voor eigen doeleinden; delen met derden uitsluitend met toestemming en met gelijkwaardige waarborgen.
• Naleving van AVG en toepasselijke wetgeving; verwerking is rechtmatig, transparant en doelgebonden.
• Concrete verwerkingen: tijdelijk opslaan van audio, genereren en opslaan van transcripties en output, logging voor beveiliging en audit, beschikbaar stellen via beveiligd dashboard.
• Geen geautomatiseerde besluitvorming met rechtsgevolgen zonder expliciete opdracht en toelaatbaarheid onder AVG.

Artikel 4 – Verplichtingen van Verwerker (Connect Stuff B.V.)

• Verwerken conform instructies en overeenkomst.
• Passende technische en organisatorische maatregelen afgestemd op risico’s en stand van de techniek.
• Geheimhoudingsplicht voor personeel en minimale toegangsrechten.
• Bijhouden van verwerkingsregister.
• Subverwerkers alleen met voorafgaande schriftelijke toestemming en gelijkwaardige contractuele verplichtingen.
• Ondersteuning bij AVG‑verplichtingen, waaronder verzoeken van betrokkenen, DPIA’s en overleg met toezichthouders.
• Informeren bij strijdige instructies.
• Geen toegang tot inhoud persoonsgegevens tenzij expliciet verleend voor support, onderhoud of incidentonderzoek.
• Verwerking binnen de EER; doorgifte buiten EER alleen met toestemming en passende waarborgen.

Artikel 5 – Verplichtingen van Verwerkingsverantwoordelijke (Klant)

• Zorgt voor rechtmatige grondslag en informatieverstrekking aan betrokkenen.
• Verkrijgt waar nodig toestemming voor opnemen en verwerken.
• Houdt toezicht op verwerking binnen de organisatie en beperkt gegevens tot wat noodzakelijk is.
• Borgt juistheid, volledigheid en actualiteit van persoonsgegevens.
• Instrueert gebruikers over juist gebruik van Converz en naleving wetgeving.
• Beoordeelt beveiligingsmaatregelen en kan nadere afspraken maken indien noodzakelijk.
• Blijft eerste aanspreekpunt voor verzoeken van betrokkenen en toezichthouders.

Artikel 6 – Beveiligingsmaatregelen

• Opslag en verwerking in ISO27001, SOC1 en SOC2 gecertificeerd datacenter in Nederland (Iron Mountain, Haarlem).
• Encryptie in rust en tijdens transport (AES‑256, TLS 1.3).
• Fysieke toegangsbeveiliging met biometrie, 24/7 cameratoezicht en meervoudige procedures.
• Authenticatie met gebruikersnaam/wachtwoord en optionele 2FA.
• Logging en monitoring van toegang en activiteiten.
• Firewalls, DDoS‑bescherming en netwerksegmentatie.
• Dagelijkse back‑ups met geografische redundantie en bewaartermijnen.

Artikel 7 – Incidenten en datalekken

• Melding aan verwerkingsverantwoordelijke onverwijld en uiterlijk binnen 48 uur na kennisname.
• Melding bevat aard, oorzaak, ontdekkingstijd, categorieën gegevens/betrokkenen, gevolgen, maatregelen en contactpersoon.
• Alle redelijke inspanningen voor beperking van inbreuk en ondersteuning bij meldplichten.
• Intern datalekregister en melding van relevante beveiligingsincidenten zonder directe impact.

Artikel 8 – Audit en toezicht

• Recht op audit maximaal eenmaal per jaar of bij vermoeden van schending, met aankondiging minimaal twee weken vooraf en zonder onredelijke verstoring.
• Onderwerpen: maatregelen, bewaartermijnen, subverwerkers, rechten van betrokkenen, logging en monitoring.
• Volledige medewerking en verstrekking van relevante informatie.
• Corrigerende maatregelen bij tekortkomingen; kosten voor rekening van verwerkingsverantwoordelijke.

Artikel 9 – Bewaartermijnen en verwijdering

• Bewaren niet langer dan noodzakelijk of wettelijk vereist.
• Audio‑opnames: maximaal 90 dagen, of direct verwijderen na transcriptie op verzoek.
• Transcripties, samenvattingen, actiepunten en metadata: maximaal 12 maanden, tenzij eerder verwijderverzoek.
• Gebruikersgegevens: gedurende actief account en maximaal 30 dagen na deactivering.
• Verwijderverzoeken worden binnen 14 dagen verwerkt, behoudens wettelijke verplichtingen of integriteit van de dienst.
• Volledige en veilige verwijdering, inclusief uit back‑ups binnen redelijke termijn; tussentijds blokkeren van toegang indien nodig.
• Gevolgen van directe audioverwijdering: geen hergebruik voor kwaliteitscontrole, modelverbetering of context bij audits.

Artikel 10 – Wijzigingen en annulering

• Wijzigingen alleen geldig indien schriftelijk overeengekomen door beide partijen.
• Verwerker kan wijzigen bij gewijzigde wetgeving of ingrijpende productwijzigingen; tijdige informatie en overlegmogelijkheid.
• Einde overeenkomst bij beëindiging hoofd-/leveringsovereenkomst, tenzij anders overeengekomen.
• Na beëindiging: wissen of op verzoek terugbezorgen van persoonsgegevens, tenzij wettelijke opslag.
• Bepalingen die naar hun aard doorwerken blijven van kracht.

Artikel 11 – Aansprakelijkheid

• Beperkt conform hoofd-/leveringsovereenkomst of, bij ontbreken daarvan, tot het bedrag dat in het voorafgaande kalenderjaar is betaald voor Converz.
• Directe schade omvat vaststelling, voorkoming/beperking en nakoming van de overeenkomst.
• Geen aansprakelijkheid voor indirecte schade zoals gevolgschade, gederfde winst, gemiste besparingen, gegevensverlies of bedrijfsstagnatie.
• Geen aansprakelijkheid voor schendingen door verwerkingsverantwoordelijke.
• Uitzondering bij opzet of bewuste roekeloosheid van leidinggevenden.
• Verjaring van vorderingen na één jaar, tenzij dwingend recht anders bepaalt.

Artikel 12 – Toepasselijk recht en geschillen

• Uitsluitend Nederlands recht.
• Eerst onderling overleg; bij uitblijven oplossing de bevoegde rechter in het arrondissement van statutaire vestiging van verwerker, tenzij dwingend recht anders bepaalt.
• Mogelijkheid tot arbitrage of geschillencommissie indien schriftelijk overeengekomen.
• Bij strijdigheid met hoofd-/leveringsovereenkomst prevaleert deze GVO voor zover het de verwerking van persoonsgegevens betreft.

Artikel 13 – Contactgegevens

Connect Stuff B.V., Tingietersweg 2, 2031 ES Haarlem, support@connectstuff.nl, +31 (0)85 – 0805248

Ondertekening

Aldus overeengekomen en in tweevoud ondertekend. Plaats en datum worden ingevuld door partijen. Voor Connect Stuff B.V. en de verwerkingsverantwoordelijke worden naam, functie en handtekening toegevoegd.