Ga naar hoofdinhoud

Verwerkersovereenkomst

Tussen Digital Duke en Klant — versie 1.0, mei 2026

Partijen

Deze verwerkersovereenkomst (de ‘Verwerkersovereenkomst’) wordt gesloten tussen:

(1) Digital Duke, een vennootschap onder firma, gevestigd te Reitscheweg 37, 5232 BX 's-Hertogenbosch, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 73926256, hierna te noemen: ‘Verwerker’ of ‘Duke’;

en

(2) De klant die met Duke een overeenkomst tot het gebruik van het Platform is aangegaan, hierna te noemen: ‘Verwerkingsverantwoordelijke’ of ‘Klant’;

Hierna gezamenlijk te noemen: ‘Partijen’.

Overwegingen

  1. Partijen hebben een overeenkomst gesloten op grond waarvan Verwerker aan Klant het softwareplatform ‘Duke’ ter beschikking stelt, inclusief AI-agents (waaronder Sam, Tess, Noor, Jip, Mika en Alex), hierna: de ‘Hoofdovereenkomst’.
  2. Bij de uitvoering van de Hoofdovereenkomst verwerkt Verwerker persoonsgegevens namens Klant. Klant is voor deze verwerkingen verwerkingsverantwoordelijke en Verwerker is verwerker in de zin van artikel 4 lid 7 en 8 van de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679, hierna: ‘AVG’).
  3. Op grond van artikel 28 AVG dienen Partijen schriftelijk afspraken vast te leggen over deze verwerking. Deze Verwerkersovereenkomst voldoet aan dat vereiste.
  4. Deze Verwerkersovereenkomst is automatisch van toepassing op de Hoofdovereenkomst en maakt daar integraal onderdeel van uit. Bij strijdigheid prevaleert deze Verwerkersovereenkomst boven de Algemene Voorwaarden voor zover het de verwerking van persoonsgegevens betreft.

Artikel 1 — Definities

Begrippen die niet in deze Verwerkersovereenkomst zijn gedefinieerd, hebben de betekenis die daaraan in de AVG is toegekend. In aanvulling daarop:

  • Betrokkene: de natuurlijke persoon op wie de verwerkte Persoonsgegevens betrekking hebben, waaronder Eindgebruikers van Klant.
  • Eindgebruiker: een derde die via een door Klant ingezet onderdeel van het Platform (zoals de chatbot Sam) in contact komt met Klant.
  • Datalek / Inbreuk: een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4 lid 12 AVG.
  • Sub-verwerker: een door Verwerker ingeschakelde derde die in opdracht van Verwerker Persoonsgegevens verwerkt.
  • Bijlage: een aan deze Verwerkersovereenkomst gehechte bijlage, die integraal onderdeel uitmaakt van de Verwerkersovereenkomst.

Artikel 2 — Onderwerp en duur

  1. Verwerker verwerkt Persoonsgegevens uitsluitend in opdracht en op gedocumenteerde instructie van Klant, behoudens andersluidende wettelijke verplichtingen.
  2. Het onderwerp, de aard en het doel van de verwerking, de soorten Persoonsgegevens en de categorieën Betrokkenen zijn gespecificeerd in Bijlage 1.
  3. Deze Verwerkersovereenkomst geldt voor de duur van de Hoofdovereenkomst en eindigt automatisch bij beëindiging daarvan, behoudens bepalingen die naar hun aard van kracht blijven.

Artikel 3 — Instructies

  1. Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van Klant, waaronder begrepen het gebruik door Klant van het Platform, de configuratie daarvan en deze Verwerkersovereenkomst zelf.
  2. Verwerker stelt Klant onverwijld in kennis indien een instructie naar haar oordeel inbreuk maakt op de AVG of andere toepasselijke privacywetgeving.
  3. Verwerker verwerkt Persoonsgegevens niet voor eigen doeleinden, anders dan voor zover dat noodzakelijk is voor de uitvoering van de Hoofdovereenkomst, voor het beheer en de beveiliging van het Platform of zoals overeengekomen in artikel 8.

Artikel 4 — Geheimhouding

  1. Verwerker verplicht haar personeel en door haar ingeschakelde derden tot geheimhouding van de Persoonsgegevens, hetzij door een geheimhoudingsovereenkomst, hetzij door een wettelijke geheimhoudingsplicht.
  2. Toegang tot Persoonsgegevens wordt beperkt tot personen die deze toegang nodig hebben voor de uitvoering van hun werkzaamheden (need-to-know).

Artikel 5 — Beveiliging

  1. Verwerker treft passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking, in overeenstemming met artikel 32 AVG. De getroffen maatregelen zijn beschreven in Bijlage 2.
  2. Verwerker evalueert deze maatregelen periodiek en past ze waar nodig aan om een beveiligingsniveau te waarborgen dat is afgestemd op het risico.
  3. Klant is zelf verantwoordelijk voor het correct configureren van de beveiligingsinstellingen van het Account, het beheer van inloggegevens en het beperken van toegang tot het Account binnen de eigen organisatie.

Artikel 6 — Datalekken

  1. Verwerker informeert Klant zonder onredelijke vertraging, en in beginsel binnen 48 uur na ontdekking, over een Datalek dat (mogelijk) Persoonsgegevens van Klant betreft.
  2. De melding bevat ten minste de informatie als bedoeld in artikel 33 lid 3 AVG, voor zover deze informatie op dat moment redelijkerwijs beschikbaar is. Indien niet alle informatie direct beschikbaar is, wordt deze in fasen aangevuld.
  3. Verwerker verleent Klant alle redelijke medewerking die nodig is om Klant in staat te stellen aan haar wettelijke verplichtingen te voldoen, waaronder eventuele meldingen aan de Autoriteit Persoonsgegevens en aan Betrokkenen.
  4. Klant is zelf verantwoordelijk voor het melden van een Datalek aan toezichthouders en/of Betrokkenen.

Artikel 7 — Rechten van betrokkenen

  1. Verwerker biedt Klant redelijke ondersteuning bij de uitoefening van rechten van Betrokkenen onder hoofdstuk III AVG (recht op inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar), voor zover dit redelijkerwijs van Verwerker kan worden gevergd.
  2. Indien een Betrokkene zich rechtstreeks tot Verwerker wendt met een verzoek of klacht, verwijst Verwerker de Betrokkene naar Klant en informeert Verwerker Klant onverwijld.
  3. Verwerker is gerechtigd redelijke kosten in rekening te brengen voor ondersteuning die de standaard functionaliteit van het Platform overstijgt.

Artikel 8 — Sub-verwerkers

  1. Klant verleent Verwerker hierbij algemene toestemming om Sub-verwerkers in te schakelen voor de verwerking van Persoonsgegevens. Een actuele lijst van Sub-verwerkers is opgenomen in Bijlage 3 en op verzoek beschikbaar via privacy@getduke.nl.
  2. Verwerker zal met iedere Sub-verwerker een schriftelijke overeenkomst sluiten die ten minste dezelfde gegevensbeschermingsverplichtingen oplegt als deze Verwerkersovereenkomst.
  3. Bij toevoeging of vervanging van een Sub-verwerker informeert Verwerker Klant ten minste 30 dagen voorafgaand. Klant heeft het recht om gemotiveerd bezwaar te maken tegen een nieuwe Sub-verwerker. Indien partijen niet binnen 30 dagen tot overeenstemming komen, kan Klant de Hoofdovereenkomst opzeggen tegen de datum van inwerkingtreding van de wijziging.
  4. Verwerker blijft jegens Klant volledig aansprakelijk voor de naleving van deze Verwerkersovereenkomst door haar Sub-verwerkers.

Artikel 9 — Doorgifte buiten de EER

  1. Voor zover Persoonsgegevens worden doorgegeven aan een land buiten de Europese Economische Ruimte, vindt deze doorgifte plaats op basis van een passend beschermingsmechanisme zoals bedoeld in hoofdstuk V AVG.
  2. Met name voor doorgiften aan OpenAI en Anthropic in de Verenigde Staten geldt: deze doorgiften vinden plaats op basis van het EU-US Data Privacy Framework en/of de Standard Contractual Clauses van de Europese Commissie (Besluit (EU) 2021/914), met aanvullende technische en organisatorische maatregelen waar nodig.

Artikel 10 — Audit

  1. Verwerker stelt Klant op haar verzoek alle informatie ter beschikking die nodig is om aan te tonen dat zij voldoet aan de verplichtingen uit deze Verwerkersovereenkomst.
  2. Klant is gerechtigd ten hoogste eenmaal per jaar een audit uit te (laten) voeren door een onafhankelijke, ter zake deskundige derde, op kosten van Klant. De audit wordt ten minste 30 dagen vooraf aangekondigd, vindt plaats op werkdagen tijdens kantooruren en mag de bedrijfsvoering van Verwerker niet onnodig verstoren.
  3. Een audit kan vaker plaatsvinden indien daartoe een concrete aanleiding bestaat (bijvoorbeeld na een Datalek).
  4. Verwerker mag voldoen aan een auditverzoek door overlegging van bestaande certificeringen, attestaties (zoals SOC 2, ISO 27001) of audit-rapporten van een onafhankelijke derde, indien deze de gevraagde informatie afdoende dekken.
  5. Auditbevindingen worden vertrouwelijk behandeld en uitsluitend gebruikt om de naleving van deze Verwerkersovereenkomst te beoordelen.

Artikel 11 — Aansprakelijkheid

  1. De aansprakelijkheid van Partijen onder deze Verwerkersovereenkomst is afgestemd op en wordt beheerst door de aansprakelijkheidsbepalingen uit de Hoofdovereenkomst c.q. de Algemene Voorwaarden van Duke. Voor zover daarin niet anders bepaald, geldt het volgende.
  2. Iedere Partij is verantwoordelijk voor schade die voortvloeit uit een tekortkoming in de nakoming van haar eigen verplichtingen uit deze Verwerkersovereenkomst of uit een schending van de AVG die aan haar valt toe te rekenen.
  3. De totale aansprakelijkheid van Verwerker voor schade die voortvloeit uit een schending van de AVG of deze Verwerkersovereenkomst (waaronder begrepen boetes opgelegd door de Autoriteit Persoonsgegevens of een andere toezichthouder en aanspraken van Betrokkenen) is per gebeurtenis beperkt tot € 10.000 en per kalenderjaar tot € 20.000. Een reeks samenhangende gebeurtenissen geldt als één gebeurtenis.
  4. De in dit artikel opgenomen beperkingen gelden niet bij opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
  5. Klant vrijwaart Verwerker voor aanspraken van derden, waaronder Betrokkenen, voor zover deze voortvloeien uit handelen of nalaten van Klant in strijd met deze Verwerkersovereenkomst, de AVG of een andere op Klant rustende wettelijke verplichting.

Artikel 12 — Beëindiging

  1. Bij beëindiging van de Hoofdovereenkomst zal Verwerker, naar keuze van Klant en op kosten van Klant indien dit niet via de standaard exportfunctionaliteit van het Platform mogelijk is, alle Persoonsgegevens binnen 30 dagen aan Klant retourneren of vernietigen, behoudens een wettelijke bewaarplicht.
  2. Verwerker bevestigt op verzoek schriftelijk dat de Persoonsgegevens zijn vernietigd.

Artikel 13 — Slotbepalingen

  1. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
  2. Geschillen worden bij uitsluiting voorgelegd aan de Rechtbank Oost-Brabant, 's-Hertogenbosch.
  3. Indien een bepaling van deze Verwerkersovereenkomst nietig of vernietigbaar is, blijven de overige bepalingen onverkort van kracht. Partijen zullen alsdan in onderling overleg een vervangende bepaling overeenkomen die zoveel mogelijk de bedoeling van de oorspronkelijke bepaling benadert.
  4. Wijzigingen of aanvullingen op deze Verwerkersovereenkomst zijn slechts geldig indien schriftelijk overeengekomen.

Bijlage 1 — Specificatie van de verwerking

Onderwerp en aard van de verwerking

Het ter beschikking stellen van een softwareplatform met AI-agents waarmee Klant marketingactiviteiten uitvoert, waaronder website-chatbot, content creatie, social media beheer, SEO en design.

Doel van de verwerking

Het uitvoeren van de Hoofdovereenkomst, in het bijzonder het via het Platform genereren, beheren en publiceren van content en het voeren van geautomatiseerde gesprekken met Eindgebruikers.

Categorieën Betrokkenen

  • Medewerkers, contactpersonen en gemachtigden van Klant met toegang tot het Platform;
  • Eindgebruikers (waaronder bezoekers van de website van Klant die met de chatbot Sam communiceren en personen die via formulieren of social media in contact treden met Klant);
  • Personen die voorkomen in door Klant aangeleverde content, kennisbanken of CRM-data.

Categorieën Persoonsgegevens

  • Identificatiegegevens: naam, achternaam;
  • Contactgegevens: e-mailadres, telefoonnummer, adres;
  • Inloggegevens (gehashed wachtwoord, sessie-IDs);
  • Communicatie-inhoud: chatberichten, berichten via social media, e-mailcorrespondentie;
  • Boekings- en afspraakgegevens;
  • Technische gegevens: IP-adres, browser, apparaatgegevens, cookie-IDs;
  • Eventuele overige gegevens die Klant vrijwillig invoert in het Platform.

Bijzondere categorieën persoonsgegevens

Het Platform is niet bestemd voor de verwerking van bijzondere categorieën persoonsgegevens (artikel 9 AVG) of strafrechtelijke gegevens (artikel 10 AVG). Klant zal dergelijke gegevens niet via het Platform verwerken zonder voorafgaande schriftelijke afspraken met Verwerker en zonder eigen geldige rechtsgrondslag.

Bewaartermijnen

  • Account- en configuratiegegevens: gedurende de looptijd van de Hoofdovereenkomst en 30 dagen daarna;
  • Chatgesprekken Sam: maximaal 30 dagen, tenzij anders overeengekomen;
  • Door Klant gegenereerde content: zolang deze in het Account aanwezig is;
  • Loggegevens: maximaal 26 maanden;
  • Na beëindiging Hoofdovereenkomst: zie artikel 12.

Bijlage 2 — Technische en organisatorische maatregelen

Verwerker treft onder meer de volgende maatregelen ter beveiliging van Persoonsgegevens:

Toegangsbeveiliging

  • Toegang tot productieomgevingen alleen via gepersonaliseerde accounts met sterke wachtwoorden en multi-factor authenticatie;
  • Toegangsrechten op basis van het need-to-know-principe en periodiek geëvalueerd;
  • Logging van toegang tot productieomgevingen.

Versleuteling

  • Alle dataverkeer tussen gebruiker en Platform via TLS 1.2 of hoger;
  • Wachtwoorden worden gehasht opgeslagen met een industriestandaard hashing-algoritme;
  • Gevoelige configuratiegegevens (API-keys, tokens) worden versleuteld opgeslagen.

Infrastructuur en hosting

  • Hosting bij Railway, met data-opslag binnen de Europese Unie (Amsterdam);
  • Periodieke back-ups met geografische redundantie;
  • Securitymonitoring en alerting op verdachte activiteiten.

Organisatorisch

  • Geheimhoudingsplicht voor medewerkers;
  • Awareness en training met betrekking tot informatiebeveiliging en privacy;
  • Periodieke evaluatie en aanpassing van het beveiligingsbeleid;
  • Procedure voor melden en afhandelen van datalekken.

AI-specifieke maatregelen

  • Persoonsgegevens worden niet gebruikt voor het trainen van foundation-modellen van OpenAI of Anthropic. Voor de OpenAI API geldt het zakelijke model waarbij invoer en uitvoer niet worden gebruikt voor modeltraining;
  • Voor productontwikkeling wordt uitsluitend gebruikgemaakt van geanonimiseerde of geaggregeerde gegevens, zonder dat deze tot natuurlijke personen herleidbaar zijn.

Bijlage 3 — Sub-verwerkers

Onderstaande Sub-verwerkers zijn op het moment van inwerkingtreding van deze Verwerkersovereenkomst goedgekeurd. De actuele lijst is op verzoek beschikbaar via privacy@getduke.nl.

Sub-verwerkerDoelLocatie
Railway (hosting)Hosting van applicatie en databaseAmsterdam (EU)
OpenAI, L.L.C.Inferentie van AI-modellen voor het genereren van content en chatresponsenVerenigde Staten (EU-US Data Privacy Framework)
Anthropic PBCProductontwikkeling op basis van geanonimiseerde / geaggregeerde data, zonder herleidbare persoonsgegevensVerenigde Staten (EU-US Data Privacy Framework)
Stripe Payments Europe Ltd.Verwerking van betalingenIerland (EU) en Verenigde Staten (DPF)
Resend (Drie Hond, Inc.)Verzending van transactionele e-mails (welkom, wachtwoord, notificaties)EU/Verenigde Staten (Standard Contractual Clauses)
DataForSEO LLCKeyword- en SEO-data ten behoeve van groeiplannen en concurrentie-analyses (agent Jip)Europese Unie
Functional Software Inc. (Sentry)Foutmonitoring en applicatie-stabiliteit (alleen technische foutgegevens; geen marketingdata)Europese Unie
Google LLC / Google Ireland Ltd.Op verzoek van Klant: Workspace-, Calendar-, Analytics-, Search Console-, en Google Mijn Bedrijf-integratiesEU/VS (DPF)
Meta Platforms Ireland Ltd.Op verzoek van Klant: Facebook- en Instagram-integratiesEU/VS (DPF)
Microsoft Ireland Operations Ltd.Op verzoek van Klant: Calendar- en Mail-integratiesEU/VS (DPF)
Automattic Inc. (WordPress)Op verzoek van Klant: WordPress-integratie voor publicatie van contentVerenigde Staten

Integraties die op verzoek en met instemming van Klant worden geactiveerd, leiden ertoe dat de betreffende derde kan worden ingezet als Sub-verwerker of, afhankelijk van de configuratie, een eigen verwerkingsverantwoordelijke kan zijn voor bepaalde verwerkingen.

Aldus overeengekomen

Deze Verwerkersovereenkomst geldt automatisch tussen Partijen vanaf het moment dat Klant een Hoofdovereenkomst is aangegaan met Digital Duke en wordt geacht door beide Partijen te zijn aanvaard zonder afzonderlijke ondertekening, tenzij Klant uitdrukkelijk om een ondertekend exemplaar verzoekt.

Digital Duke

Reitscheweg 37, 5232 BX 's-Hertogenbosch

KvK 73926256 — BTW NL859712394B01

hello@getduke.nlprivacy@getduke.nl