Verwerkersovereenkomst OverheidsChat

1.1 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4 lid 1 AVG.

1.2 Verwerking: elke bewerking van persoonsgegevens als bedoeld in artikel 4 lid 2 AVG.

1.3 AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

1.4 Platform: het OverheidsChat-platform, inclusief de publieksassistent, het beheerpaneel en alle bijbehorende diensten.

1.5 Diensten: de diensten die Verwerker levert aan Verwerkingsverantwoordelijke op basis van de Overeenkomst van Opdracht.

2.1 Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de levering van het OverheidsChat-platform en de daarbijbehorende diensten.

2.2 De verwerking beperkt zich tot de volgende categorieën persoonsgegevens:

• Naam, functie en contactgegevens van de beheerder van Verwerkingsverantwoordelijke
• E-mailadressen van contactpersonen die worden ingevoerd tijdens de intake
• Geanonimiseerde gebruiksgegevens van de publieksassistent (geen persoonsgegevens van inwoners)

2.3 Verwerker verwerkt uitdrukkelijk geen bijzondere categorieën persoonsgegevens als bedoeld in artikel 9 AVG.

2.4 De publieksassistent is technisch zo ingericht dat inwoners en bezoekers geen persoonsgegevens hoeven in te voeren. Verwerkingsverantwoordelijke is zelf verantwoordelijk voor de inrichting van de communicatie via de assistent.

3.1 Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist.

3.2 Verwerker zorgt ervoor dat personen die gemachtigd zijn persoonsgegevens te verwerken, zich hebben verbonden tot geheimhouding.

3.3 Verwerker neemt alle passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG. De huidige maatregelen zijn beschreven in Bijlage 1.

3.4 Verwerker verleent Verwerkingsverantwoordelijke medewerking bij het vervullen van verzoeken van betrokkenen als bedoeld in hoofdstuk III AVG.

3.5 Verwerker verleent Verwerkingsverantwoordelijke alle benodigde medewerking bij het nakomen van verplichtingen uit hoofdstuk VIII AVG, waaronder het melden van datalekken.

3.6 Verwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit dit artikel zijn nagekomen.

3.7 Verwerker mag geanonimiseerde en geaggregeerde gebruiksgegevens gebruiken voor verbetering van het platform, mits deze niet herleidbaar zijn tot individuele organisaties of gebruikers.

4.1 Verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatigheid van de verwerking van persoonsgegevens die zij aan Verwerker verstrekt.

4.2 Verwerkingsverantwoordelijke garandeert dat alle aangeleverde informatiebronnen publiek toegankelijk zijn en vrij zijn van persoonsgegevens, vertrouwelijke informatie en bijzondere categorieën persoonsgegevens.

4.3 Verwerkingsverantwoordelijke draagt zorg voor het informeren van betrokkenen over de verwerking van hun persoonsgegevens, voor zover van toepassing.

4.4 Verwerkingsverantwoordelijke stelt Verwerker onverwijld op de hoogte van wijzigingen die van invloed kunnen zijn op de verwerking.

5.1 Verwerker heeft de volgende technische en organisatorische beveiligingsmaatregelen getroffen:

• Versleuteling in transit: TLS 1.2 of hoger voor alle dataverkeer
• Versleuteling in rust: versleuteling op opslaglaag via Azure en Neon
• Toegangscontrole: authenticatie via Microsoft Entra ID, rolgebaseerde toegang
• Audit logging: vastlegging van alle relevante acties
• Gegevenslocatie: alle data opgeslagen binnen de Europese Economische Ruimte
• Monitoring: continue monitoring van beschikbaarheid en beveiligingsincidenten

6.1 Verwerkingsverantwoordelijke verleent Verwerker algemene toestemming voor het inschakelen van subverwerkers, onder de voorwaarde dat Verwerker:

• Verwerkingsverantwoordelijke minimaal 30 dagen vooraf informeert bij het inschakelen van nieuwe subverwerkers
• Gelijkwaardige verplichtingen oplegt aan subverwerkers als opgenomen in deze overeenkomst

6.2 De huidige subverwerkers zijn: Vercel (hosting), Neon (database), Microsoft Azure Blob (opslag), Microsoft Azure OpenAI (AI), Microsoft Entra ID (authenticatie), Resend (e-mail).

6.3 Verwerkingsverantwoordelijke heeft het recht bezwaar te maken tegen nieuwe subverwerkers.

7.1 Verwerker verleent medewerking aan verzoeken ter uitvoering van rechten van betrokkenen (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar).

7.2 Verwerker stuurt verzoeken van betrokkenen die rechtstreeks bij Verwerker worden ingediend door naar Verwerkingsverantwoordelijke.

8.1 Verwerker meldt een inbreuk op de beveiliging van persoonsgegevens zo snel mogelijk, maar uiterlijk binnen 24 uur na ontdekking, aan Verwerkingsverantwoordelijke.

8.2 De melding bevat minimaal: de aard van de inbreuk, de categorieën en het aantal betrokkenen, de waarschijnlijke gevolgen en de getroffen maatregelen.

8.3 Verwerkingsverantwoordelijke is zelf verantwoordelijk voor het melden bij de Autoriteit Persoonsgegevens binnen de wettelijke termijn van 72 uur.

9.1 Verwerker stelt op verzoek alle informatie ter beschikking om de naleving van deze overeenkomst aan te tonen.

9.2 Verwerkingsverantwoordelijke heeft het recht een audit uit te laten voeren door een onafhankelijke derde, met een aankondigingstermijn van minimaal 30 dagen en op kosten van Verwerkingsverantwoordelijke.

10.1 Deze overeenkomst treedt in werking op de datum van ondertekening en heeft een looptijd van één jaar, met automatische verlenging.

10.2 Na beëindiging verwijdert Verwerker alle persoonsgegevens van Verwerkingsverantwoordelijke binnen 30 dagen, tenzij een wettelijke bewaartermijn anders vereist.

10.3 Op verzoek verstrekt Verwerker een exportbestand van alle gegenereerde configuraties vóór verwijdering.

11.1 Op deze overeenkomst is Nederlands recht van toepassing.

11.2 Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.