Terug naar Instellingen

Verwerkersovereenkomst

Versie 1.0 — Laatst gewijzigd op 26 februari 2026

1. Partijen

Deze Verwerkersovereenkomst (hierna: “DPA”) wordt gesloten tussen:

  • Verwerkingsverantwoordelijke: De organisatie die toegang heeft verkregen tot het DossierDicht platform en persoonsgegevens invoert ten behoeve van Wet DBA-compliance beoordelingen.
  • Verwerker: DossierDicht B.V., gevestigd in Nederland, als aanbieder van het DossierDicht SaaS-platform.

2. Doel en grondslag

DossierDicht verwerkt persoonsgegevens uitsluitend ten behoeve van de dienstverlening zoals omschreven in de Gebruiksovereenkomst: het uitvoeren van geautomatiseerde Wet DBA-risicobeoordelingen op basis van de negen Deliveroo-criteria, inclusief VBAR-analyse en het genereren van compliance memo's.

De verwerking is gebaseerd op AVG artikel 6 lid 1 sub b (uitvoering overeenkomst) en artikel 28 (verwerkersovereenkomst).

3. Aard en doel van de verwerking

De volgende categorieën persoonsgegevens worden verwerkt:

  • Gebruikersgegevens: Naam, e-mailadres en rol van medewerkers van de verwerkingsverantwoordelijke.
  • Freelancergegevens: Naam, e-mailadres, KVK-nummer, BTW-nummer, uurtarief, beroepsomschrijving en contractperioden van beoordeelde ZZP'ers.
  • Beoordelingsdata: Vragenlijstantwoorden, AI-gegenereerde risicobeoordelingen en compliance memo's.
  • Loggegevens: Tijdstempels en gebruikersacties ten behoeve van de audit trail.

4. Verplichtingen van de verwerker

DossierDicht B.V. verplicht zich tot het volgende:

  • Persoonsgegevens uitsluitend te verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke.
  • Passende technische en organisatorische maatregelen te treffen conform AVG artikel 32, waaronder versleuteling in rust en tijdens transport, role-based access control (RBAC) en multi-tenant isolatie via Row Level Security (RLS).
  • Gegevens op te slaan binnen de Europese Economische Ruimte (Supabase EU-West regio, Ireland).
  • Sub-verwerkers uitsluitend in te schakelen met voorafgaande schriftelijke toestemming en onder gelijkwaardige verplichtingen.
  • Bij een datalek de verwerkingsverantwoordelijke binnen 72 uur te informeren conform AVG artikel 33.
  • Na beëindiging van de overeenkomst alle persoonsgegevens te verwijderen of terug te geven op eerste verzoek.

5. Sub-verwerkers

DossierDicht maakt gebruik van de volgende sub-verwerkers:

  • Supabase Inc. — Databasehosting en authenticatie (EU-West, Ireland)
  • OpenAI L.L.C. — AI-analyse via de API (gegevens worden niet gebruikt voor modeltraining op basis van zakelijke API-voorwaarden)
  • Vercel Inc. — Applicatiehosting (serverless, EU Edge Network)
  • Resend Inc. — Transactionele e-mailverzending

6. Rechten van betrokkenen

De verwerkingsverantwoordelijke blijft verantwoordelijk voor het faciliteren van rechten van betrokkenen (inzage, rectificatie, verwijdering, bezwaar). DossierDicht verleent hierbij technische medewerking op verzoek.

7. Looptijd

Deze DPA is van kracht zolang de verwerkingsverantwoordelijke gebruik maakt van het DossierDicht platform. De DPA eindigt automatisch bij beëindiging van de Gebruiksovereenkomst.

8. Contact

Voor vragen over deze verwerkersovereenkomst: privacy@dossierdicht.nl