Naar inhoud
Vanelo AI
Registreren

Verwerkersovereenkomst (Bijlage A)

Versie 2.0 · 6 mei 2026

Onderdeel van de Algemene Voorwaarden. Deze Verwerkersovereenkomst (DPA) maakt onlosmakelijk deel uit van de Algemene Voorwaarden tussen Vanelo AI (Verwerker) en de Klant (Verwerkingsverantwoordelijke).

A1. Onderwerp en duur

  1. Vanelo AI verwerkt persoonsgegevens uitsluitend in het kader van het leveren van de Dienst en op gedocumenteerde instructie van de Klant. De Algemene Voorwaarden, de productdocumentatie in de App en de configuratie door de Klant vormen samen die instructies.
  2. De DPA loopt zolang de overeenkomst loopt, plus de in deze DPA beschreven bewaar- en verwijderingstermijnen.

A2. Aard, doel, categorieën gegevens en betrokkenen

  • Aard van de verwerking: opslaan, lezen, analyseren, samenstellen en verzenden van zakelijke communicatie en leaddata via de App.
  • Doel: leadgeneratie, kwalificatie, outreach en opvolging.
  • Categorieën persoonsgegevens: zakelijke contactgegevens van leads, communicatie-inhoud, mailbox-metadata, agenda-beschikbaarheid, gebruiksgegevens en account-informatie.
  • Categorieën betrokkenen: medewerkers van de Klant, leads en zakelijke contactpersonen.
  • Bijzondere categorieën: geen; de App is niet bedoeld voor verwerking van bijzondere persoonsgegevens.

A3. Verplichtingen Vanelo AI

  1. Vanelo AI verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructie van de Klant.
  2. Personen met toegang tot persoonsgegevens hebben een geheimhoudingsverplichting.
  3. Vanelo AI treft passende technische en organisatorische maatregelen, zoals beschreven in Bijlage 1 bij deze DPA.
  4. Vanelo AI ondersteunt de Klant bij het uitvoeren van rechten van betrokkenen, het melden van datalekken en het uitvoeren van een DPIA waar van toepassing, voor zover redelijkerwijs mogelijk gezien de aard van de verwerking.
  5. Vanelo AI meldt een (vermoedelijk) datalek dat persoonsgegevens van de Klant raakt zonder onredelijke vertraging, en uiterlijk binnen 24 uur na ontdekking, schriftelijk aan de Klant.

A4. Sub-verwerkers

  1. De Klant geeft algemene toestemming voor de inzet van sub-verwerkers in de hieronder genoemde categorieën, mits deze tenminste hetzelfde beschermingsniveau bieden als deze DPA.
  2. Categorieën: hosting en database, productiviteitsplatformen (Google, Microsoft) voor mailbox- en agendakoppeling, AI-tekstgeneratie en -analyse, zakelijke leaddatabronnen, workflow- en automatiseringsdiensten, transactionele e-mailbezorging, betalingsverwerking.
  3. Een actuele detaillijst per sub-verwerker is op verzoek beschikbaar via privacy@vanelo.ai.
  4. Bij beoogde toevoeging of vervanging van een sub-verwerker informeert Vanelo AI de Klant ten minste 30 dagen vooraf. De Klant mag bij wezenlijk en gemotiveerd bezwaar de overeenkomst opzeggen per ingangsdatum van de wijziging.

A5. Internationale doorgifte

Voor sub-verwerkers buiten de EER hanteert Vanelo AI de Standard Contractual Clauses van de Europese Commissie en aanvullende maatregelen waar nodig.

A6. Bijstand bij rechten van betrokkenen en datalekken

  1. Vanelo AI biedt redelijke ondersteuning bij verzoeken van betrokkenen die de Klant ontvangt.
  2. Bij een datalek levert Vanelo AI tijdig de informatie die de Klant nodig heeft om aan eigen meldplichten te voldoen.

A7. Audit en informatieverstrekking

  1. Vanelo AI laat haar Dienst periodiek onafhankelijk testen door een gespecialiseerde security partij. Het meest recente pentest-rapport wordt op verzoek aan de Klant beschikbaar gesteld onder geheimhouding.
  2. Vanelo AI verstrekt op verzoek alle redelijke informatie waaruit blijkt dat aan deze DPA wordt voldaan.

A8. Beëindiging

  1. Bij einde van de overeenkomst worden persoonsgegevens binnen 30 dagen verwijderd, behoudens een wettelijke bewaarplicht (zoals fiscale bewaarplicht voor facturatie).

A9. Aansprakelijkheid

De aansprakelijkheid onder deze DPA is gelijk aan de aansprakelijkheidsregeling in artikel 9 van de Algemene Voorwaarden.

Bijlage 1. Technische en organisatorische maatregelen

Toegangscontrole en authenticatie

  • meervoudige authenticatie verplicht voor alle medewerkers met productie-toegang
  • least-privilege beleid; toegang wordt periodiek herzien en bij uitdiensttreding direct ingetrokken
  • rolgebaseerde toegangscontrole binnen de applicatie
  • row-level security in de database, afgedwongen op rij-niveau per organisatie

Encryptie

  • versleuteling van alle netwerkverkeer met TLS 1.2 of hoger
  • versleuteling van data at rest in de primaire database
  • aanvullende kolomgebonden versleuteling van OAuth-tokens met AES-256-GCM
  • versleutelde back-ups

Applicatie- en gegevensbeveiliging

  • alle schrijfacties via een gecentraliseerde Secure Gateway met audit logging
  • input-validatie en magic-byte verificatie van bestandsuploads
  • bescherming tegen prompt-injection bij verwerking door taalmodellen
  • periodieke onafhankelijke security pentests; het meest recente pentest-rapport wordt op verzoek onder geheimhouding aan zakelijke klanten beschikbaar gesteld

Logging, monitoring en bewaartermijnen

  • audit logs van schrijfacties met een bewaartermijn van 24 maanden
  • automatische opschoning van AI-aanroep-logs na 30 dagen
  • monitoring van crons, edge functions en foutmeldingen

Back-up en continuïteit

  • dagelijkse geautomatiseerde back-ups van de primaire database