Verwerkersovereenkomst

Inleiding

Deze verwerkersovereenkomst (Data Processing Agreement, hierna ‘DPA’) regelt de verwerking van persoonsgegevens door Maak Jouw Impact B.V. (handelend onder de naam Het Passie Profiel, hierna ‘wij’ of ‘Het Passie Kompas’) in opdracht van een zakelijke afnemer (hierna ‘de Organisatie’) die licentieplaatsen voor Het Passie Kompas afneemt voor haar medewerkers of relaties.

Deze DPA maakt onderdeel uit van de zakelijke overeenkomst tussen de Organisatie en Het Passie Kompas en is van toepassing zodra de Organisatie de bijbehorende algemene voorwaarden heeft aanvaard. In geval van strijdigheid tussen deze DPA en de algemene voorwaarden, prevaleert deze DPA voor alle aspecten die persoonsgegevens raken.

Deze DPA voldoet aan de eisen van artikel 28 lid 3 van de Algemene Verordening Gegevensbescherming (AVG / GDPR). De DPA is beschikbaar als webpagina op hetpassiekompas.nl/dpa en kan worden gedownload of geprint voor archivering.

1. Definities

Begrippen die in deze DPA worden gebruikt en in de AVG zijn gedefinieerd, hebben dezelfde betekenis als in de AVG. Specifiek gelden de volgende definities:

• Verwerker: Maak Jouw Impact B.V., handelend onder de naam Het Passie Profiel.
• Verwerkingsverantwoordelijke: de Organisatie die zakelijk gebruik maakt van Het Passie Kompas en haar medewerkers of relaties uitnodigt als eindgebruikers.
• Eindgebruiker: een natuurlijke persoon die door de Organisatie is uitgenodigd om Het Passie Kompas te gebruiken.
• Sub-verwerker: een derde partij die door Het Passie Kompas wordt ingeschakeld om persoonsgegevens te verwerken namens de Organisatie.

2. Onderwerp, duur, aard en doel van de verwerking

Onderwerp: de verwerking van persoonsgegevens van eindgebruikers in het kader van het beschikbaar stellen en ondersteunen van Het Passie Kompas voor de Organisatie.

Duur: deze DPA geldt zolang de zakelijke overeenkomst tussen de Organisatie en Het Passie Kompas van kracht is, en blijft daarna van kracht voor zover nodig om verplichtingen ten aanzien van retentie, verwijdering of teruggave van gegevens af te wikkelen.

Aard: elektronische verwerking via een SaaS-webapplicatie, inclusief opslag, weergave, statussynchronisatie en geautomatiseerde communicatie (uitnodigingen, herinneringen).

Doel: het mogelijk maken dat de Organisatie haar medewerkers of relaties toegang biedt tot Het Passie Kompas, hun voortgang kan volgen op statusniveau, en licentieplaatsen kan beheren.

3. Soorten persoonsgegevens en categorieën betrokkenen

In het kader van deze DPA verwerkt Het Passie Kompas de volgende persoonsgegevens namens de Organisatie:

• Naam en e-mailadres van uitgenodigde eindgebruikers.
• Naam, e-mailadres en functie van organisatiebeheerders.
• Status van licentieplaatsen (uitgenodigd, geaccepteerd, gestart, afgerond) en bijbehorende tijdstempels.
• Organisatiegegevens (naam, slug, contactgegevens) en factuurgegevens.

Categorieën betrokkenen: medewerkers, relaties of andere natuurlijke personen die door de Organisatie worden uitgenodigd, en de organisatiebeheerders die namens de Organisatie het account beheren.

Bijzondere categorieën: binnen het bereik van deze DPA worden geen bijzondere categorieën persoonsgegevens (art. 9 AVG) verwerkt namens de Organisatie. Inhoudelijke coachingdata valt niet onder deze DPA, zie sectie 4 hieronder.

4. Rolverdeling tussen Het Passie Kompas en de Organisatie

Het is belangrijk om scherp af te bakenen welke verwerkingen onder deze DPA vallen en welke niet, omdat de rolverdeling tussen partijen verschilt per type gegeven.

De coachinginhoud wordt door eindgebruikers vrijwillig en op basis van uitdrukkelijke toestemming (artikel 9 lid 2 sub a AVG) rechtstreeks aan Het Passie Kompas verstrekt. De Organisatie heeft geen instructiebevoegdheid over deze data en geen recht op inzage daarin, tenzij de eindgebruiker zelf actief inzage geeft via een door de eindgebruiker geïnitieerde deelfunctie.

5. Plichten van Het Passie Kompas als verwerker

Met betrekking tot de in sectie 3 genoemde gegevens verbindt Het Passie Kompas zich tot het volgende:

• Wij verwerken persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Organisatie, behoudens wettelijke verplichtingen.
• Wij waarborgen dat personen die betrokken zijn bij de verwerking gehouden zijn aan vertrouwelijkheid.
• Wij nemen passende technische en organisatorische maatregelen conform artikel 32 AVG (zie sectie 7).
• Wij schakelen geen sub-verwerkers in zonder voorafgaande algemene of specifieke schriftelijke toestemming van de Organisatie (zie sectie 8).
• Wij bieden de Organisatie redelijke bijstand bij het voldoen aan rechten van betrokkenen (zie sectie 10) en aan haar verplichtingen rond datalekken, beveiliging en gegevensbeschermingseffectbeoordelingen.
• Wij stellen de Organisatie alle informatie ter beschikking die nodig is om aan te tonen dat aan deze verplichtingen wordt voldaan, en werken mee aan audits zoals beschreven in sectie 12.
• Bij beëindiging van de overeenkomst wissen of geven wij de gegevens terug, naar keuze van de Organisatie, conform sectie 13.

6. Plichten van de Organisatie als verwerkingsverantwoordelijke

• De Organisatie zorgt voor een geldige rechtsgrond voor het verstrekken van persoonsgegevens van eindgebruikers aan Het Passie Kompas.
• De Organisatie informeert haar eindgebruikers over de verwerking conform artikel 13 AVG, en wijst hen op het privacybeleid van Het Passie Kompas.
• De Organisatie zorgt dat haar instructies aan Het Passie Kompas niet in strijd zijn met de AVG of andere toepasselijke wetgeving.
• De Organisatie werkt mee aan vragen van Het Passie Kompas die voortvloeien uit deze DPA, waaronder het afhandelen van rechten van betrokkenen die zich bij Het Passie Kompas melden.

7. Beveiligingsmaatregelen (artikel 32 AVG)

Het Passie Kompas heeft passende technische en organisatorische maatregelen getroffen, waaronder:

• Versleuteling: alle gegevens zijn versleuteld tijdens transport (TLS 1.2+) en op opslagniveau (Supabase platformversleuteling).
• Toegangscontrole: Row Level Security (RLS) op databaseniveau, magic-link-authenticatie zonder lokale wachtwoordopslag, principe van minste rechten.
• Misbruikpreventie: rate-limiting op alle gevoelige endpoints, dagelijkse kostenplafonds op AI-functies, HMAC-handtekeningverificatie op binnenkomende webhooks.
• Auditlog: administratieve handelingen door medewerkers van Het Passie Kompas worden vastgelegd in een interne auditlog.
• Back-ups: dagelijkse point-in-time recovery via ons databaseplatform.
• Datacenters in de EU: primaire opslag en verwerking vinden plaats in Ierland en Duitsland (zie sectie 8 voor uitzonderingen).
• Periodieke audits: wij voeren regelmatig interne security-audits uit en houden een register van openstaande en gesloten bevindingen bij.

Een gedetailleerde beschrijving van onze technische en organisatorische maatregelen, en het volledige register van verwerkingsactiviteiten conform artikel 30 AVG, is op verzoek beschikbaar voor de Organisatie via info@hetpassiekompas.nl.

8. Sub-verwerkers

De Organisatie geeft Het Passie Kompas algemene toestemming voor het inschakelen van de hieronder vermelde sub-verwerkers. Deze lijst weerspiegelt de stand op de datum bovenaan deze DPA en wordt actueel gehouden in het privacybeleid sectie 5.

Anthropic en ElevenLabs verwerken uitsluitend coachinginhoud die onder onze eigen verwerkingsverantwoordelijkheid valt (zie sectie 4) en raken geen gegevens die onder deze DPA vallen. Zij zijn voor volledigheid in de tabel opgenomen.

Wijzigingen in de sub-verwerkerslijst: wij informeren de Organisatie ten minste 30 dagen vooraf via e-mail aan het bekende contactadres van de organisatiebeheerder, en kondigen de wijziging tegelijkertijd aan in het privacybeleid. De Organisatie heeft binnen die periode het recht om gemotiveerd bezwaar te maken tegen de toevoeging of vervanging. Bij gegrond bezwaar treden partijen in overleg; als geen overeenstemming wordt bereikt, kan de Organisatie de overeenkomst opzeggen tegen de datum waarop de wijziging zou ingaan.

Met elke sub-verwerker hebben wij een schriftelijke overeenkomst die ten minste dezelfde bescherming biedt als deze DPA.

9. Internationale doorgifte

Voor de gegevens die onder deze DPA vallen vindt geen doorgifte buiten de Europese Economische Ruimte (EER) plaats. Alle in sectie 8 genoemde sub-verwerkers die deze gegevens raken (Supabase, Vercel, Lettermint, Plug & Pay/Mollie, Upstash, PostHog) zijn binnen de EER gevestigd of verwerken vanuit EU-instances.

Voor verwerkers die uitsluitend coachinginhoud raken (Anthropic en ElevenLabs in de Verenigde Staten) gelden EU Standard Contractual Clauses respectievelijk het Data Privacy Framework als waarborg voor doorgifte. Deze verwerkingen vallen buiten de reikwijdte van deze DPA en worden geregeld in ons privacybeleid.

10. Bijstand bij rechten van betrokkenen

Het Passie Kompas biedt de Organisatie redelijke technische en organisatorische bijstand bij het voldoen aan verzoeken van betrokkenen op grond van artikel 15 t/m 22 AVG (recht op inzage, rectificatie, verwijdering, beperking, dataportabiliteit, bezwaar en niet-onderwerping aan geautomatiseerde besluitvorming).

In de praktijk:

• Eindgebruikers kunnen zelf inzage krijgen, hun account bewerken en hun account verwijderen via ‘Mijn account’ binnen Het Passie Kompas.
• Een verzoek dat zich bij Het Passie Kompas meldt en betrekking heeft op gegevens onder deze DPA, wordt zonder onnodige vertraging doorgeleid naar de Organisatie en, indien mogelijk, door ons binnen een redelijke termijn ondersteund.
• Reden­lijke kosten voor uitgebreide of repetitieve verzoeken die buiten de standaardfunctionaliteit vallen, kunnen op basis van een vooraf afgestemd uurtarief in rekening worden gebracht.

11. Datalekken

Indien Het Passie Kompas een inbreuk in verband met persoonsgegevens (datalek) detecteert die de gegevens onder deze DPA raakt, informeren wij de Organisatie zonder onnodige vertraging, zodat de Organisatie tijdig kan voldoen aan haar meldplicht richting de Autoriteit Persoonsgegevens (artikel 33 AVG, 72 uur na constatering).

Onze melding bevat ten minste:

• De aard van de inbreuk en, indien mogelijk, de categorieën en aantallen betrokkenen en gegevens.
• De waarschijnlijke gevolgen.
• De maatregelen die wij hebben getroffen of voorstellen om de inbreuk aan te pakken.
• Een contactpersoon voor verdere informatie.

Wij ondersteunen de Organisatie waar nodig bij haar eventuele meldplicht aan betrokkenen op grond van artikel 34 AVG.

12. Audit-recht

De Organisatie heeft het recht om te controleren of Het Passie Kompas voldoet aan de verplichtingen onder deze DPA. Wij bieden hiertoe de volgende vormen van toetsing:

• Schriftelijke toetsing: wij beantwoorden een schriftelijke vragenlijst van de Organisatie en stellen op redelijk verzoek bewijs van getroffen technische en organisatorische maatregelen ter beschikking. Dit is de standaardvorm van toetsing.
• On-site of remote audit: ten hoogste eenmaal per kalenderjaar, met een aankondigingstermijn van ten minste 30 dagen, op kosten van de Organisatie en uitgevoerd door een onafhankelijke auditor met een geheimhoudingsverklaring. De audit vindt plaats tijdens kantooruren en mag onze normale bedrijfsvoering niet onevenredig verstoren. Bevindingen die de Organisatie kennis geven van vertrouwelijke informatie van derden of van bedrijfsgeheimen kunnen worden geanonimiseerd of samengevat.
• Onmiddellijke audit bij datalek: bij een gedocumenteerd datalek dat de Organisatie raakt, vervalt de jaarlimiet en kan op redelijke termijn een aanvullende audit worden uitgevoerd.

13. Bewaartermijn en beëindiging

Bij beëindiging van de overeenkomst, om welke reden dan ook, geldt het volgende:

• Eindgebruikers behouden gedurende 30 dagen na beëindiging de mogelijkheid om hun gegevens via ‘Mijn account’ te exporteren.
• De Organisatie kan, op haar verzoek en binnen die 30 dagen, een export ontvangen van de onder deze DPA verwerkte gegevens (uitnodigingen, statussen, organisatieconfiguratie). Dit op een gangbaar, machineleesbaar formaat.
• Na afloop van het exportvenster verwijderen wij alle gegevens onder deze DPA binnen 30 dagen, behoudens gegevens waarvan de bewaring wettelijk verplicht is (zoals fiscale gegevens, met een wettelijke bewaartermijn van zeven jaar).
• Coachinginhoud van eindgebruikers valt onder ons eigen privacybeleid en wordt door de eindgebruiker zelf beheerd via self-service verwijdering.

14. Aansprakelijkheid

De aansprakelijkheid van partijen onder of in verband met deze DPA wordt beheerst door de bepalingen daarover in de zakelijke hoofdovereenkomst tussen de Organisatie en Het Passie Kompas. Deze DPA voegt geen extra aansprakelijkheidsregeling toe en beperkt geen aansprakelijkheid die uit de AVG voortvloeit.

15. Toepasselijk recht en geschillen

Op deze DPA is Nederlands recht van toepassing. Geschillen die voortvloeien uit of verband houden met deze DPA worden voorgelegd aan de bevoegde rechter van de Rechtbank Den Haag, behoudens dwingendrechtelijke uitzonderingen.

16. Wijzigingen in deze DPA

Wij kunnen deze DPA van tijd tot tijd wijzigen om te blijven voldoen aan veranderende wet- en regelgeving, om sub-verwerkers actueel te houden of om verbeteringen door te voeren. Materiële wijzigingen worden ten minste 30 dagen vooraf via e-mail aan de organisatiebeheerder gecommuniceerd. Niet-materiële wijzigingen (tekstuele verduidelijkingen, contactgegevens, kleine correcties) gaan in op het moment van publicatie.

De steeds actuele versie van deze DPA is te vinden op hetpassiekompas.nl/dpa. Eerdere versies bewaren wij intern en stellen wij op verzoek beschikbaar.

Contact

Voor vragen over deze DPA, een verzoek om aanvullende documentatie, of het inplannen van een audit kun je contact opnemen via info@hetpassiekompas.nl.