Verwerkersovereenkomst

Laatst bijgewerkt: 2 mei 2026

Deze Verwerkersovereenkomst ("VWO") is een aanvulling op de Algemene Voorwaarden tussen DMA Internet Services (eenmanszaak), gevestigd te Amsterdam (KVK 34127872), hierna te noemen "Verwerker", en de zakelijke gebruiker van het ai.dma.nl platform, hierna te noemen "Verwerkingsverantwoordelijke". Deze VWO geeft uitvoering aan artikel 28 van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en regelt de verwerking van persoonsgegevens door Verwerker namens Verwerkingsverantwoordelijke.

Door de DMA AI Services te gebruiken aanvaardt Verwerkingsverantwoordelijke deze VWO. De VWO geldt zolang er een actieve dienst loopt en eindigt automatisch zodra alle diensten zijn beëindigd en de daarop volgende bewaartermijnen zijn verstreken.

1. Definities

"Persoonsgegevens", "Verwerking", "Betrokkene", "Inbreuk in verband met persoonsgegevens" en "Subverwerker" hebben de betekenis zoals gedefinieerd in artikel 4 AVG. "Diensten" verwijst naar de AI Chat, AI Content, AI SEO, AI Mail en AI SEA producten zoals beschreven in de Algemene Voorwaarden.

2. Onderwerp en duur

Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van de Diensten en uitsluitend in opdracht van Verwerkingsverantwoordelijke. De verwerking duurt voort zolang Verwerkingsverantwoordelijke gebruik maakt van een Dienst, vermeerderd met de hieronder genoemde bewaartermijnen.

3. Categorieën van betrokkenen en gegevens

Afhankelijk van de afgenomen Dienst verwerkt Verwerker de volgende categorieën persoonsgegevens:

Dienst	Betrokkenen	Gegevens
AI Chat	Bezoekers van de website van Verwerkingsverantwoordelijke	Chatconversaties (vraag + antwoord), IP-adres (geanonimiseerd na 30 dagen), optioneel naam + e-mailadres bij lead-capture, taalvoorkeur
AI Content / AI SEO	Niet van toepassing, verwerkt enkel publiek crawlbare websitecontent	Crawled paginatekst (titel, body, meta), interne links, structuur
AI Mail	Afzenders van inkomende e-mails aan het door Verwerkingsverantwoordelijke aangewezen postvak	E-mailadres, naam, onderwerp, volledige berichttekst, bijlagen-metadata (bijlagen-inhoud wordt niet opgeslagen), threading-headers (Message-ID, In-Reply-To)
AI SEA	Aangevraagd: bezoekers die op campagnes klikken (alleen geaggregeerde rapportagedata)	Klikgegevens, conversiedata (geen direct identificeerbare persoonsgegevens)
Account	Gebruikers (medewerkers) van Verwerkingsverantwoordelijke	Naam, e-mailadres, telefoon, bedrijfsnaam, gehashte wachtwoorden, sessiegegevens, IP-adres

4. Doeleinden van verwerking

Het beantwoorden van vragen via AI Chat en het opslaan van conversaties voor kwaliteitscontrole en doorverwijzing naar Verwerkingsverantwoordelijke
Het classificeren van inkomende e-mails en het genereren van conceptantwoorden binnen AI Mail
Het beheren van het account, leveren van support en facturatie via HostFact
Voldoen aan wettelijke verplichtingen (boekhouding, fraudepreventie, audits)

5. Subverwerkers

Verwerker schakelt de volgende subverwerkers in. Verwerkingsverantwoordelijke geeft hierbij algemene toestemming. Verwerker zal Verwerkingsverantwoordelijke ten minste 30 dagen vooraf informeren over wijzigingen in de lijst van subverwerkers; bezwaar is mogelijk per e-mail aan privacy@dma.nl.

Partij	Doel	Locatie
Anthropic, PBC	Uitvoeren van AI-verzoeken (Claude LLM) voor chat, content en e-mailclassificatie. Anthropic gebruikt API-data niet voor modeltraining.	Verenigde Staten (verwerking onder Standard Contractual Clauses)
DMA Internet Services (hosting)	Hosting van de applicatie en databases (eigen infrastructuur)	Nederland (datacenter Amsterdam)
Mollie / HostFact	Betalingsverwerking en factuurbeheer	Nederland
SMTP relay provider (transactionele e-mail)	Verzenden van systeem-e-mails (welkom, wachtwoord-reset, notificaties)	EU

6. Locatie en doorgifte

Persoonsgegevens worden primair opgeslagen in Nederland (datacenter Amsterdam). Doorgifte naar derde landen vindt uitsluitend plaats via Anthropic (VS) onder Standard Contractual Clauses (SCC), aangevuld met aanvullende technische en organisatorische maatregelen overeenkomstig de Schrems II-uitspraak. Conversatie- en e-mailtekst wordt enkel naar Anthropic verstuurd voor zover noodzakelijk voor het beantwoorden of classificeren van het bericht.

7. Bewaartermijnen

AI Chat conversatielogs: 90 dagen vanaf laatste activiteit, daarna automatische verwijdering
Leadgegevens (naam + e-mail uit chat): 24 maanden, tenzij Betrokkene eerder bezwaar maakt
AI Mail berichtinhoud (IMAP body): 30 dagen, daarna automatisch geanonimiseerd; metadata (afzender, datum, classificatie) blijft bewaard voor 90 dagen
Gecrawlde websitecontent: bewaard zolang de Dienst actief is, verwijderd binnen 30 dagen na opzegging
Accountgegevens: bewaard zolang het account actief is + 7 jaar voor wettelijke (fiscale) verplichtingen
Audit logs (data-export, data-delete, login): 12 maanden

8. Beveiligingsmaatregelen

Verwerker neemt passende technische en organisatorische maatregelen conform artikel 32 AVG, waaronder:

Encryptie at-rest van gevoelige velden (IMAP/SMTP-wachtwoorden, WP-app-passwords) via Fernet (AES-128 in CBC met HMAC-SHA256)
Encryptie in-transit (TLS 1.2+) voor alle externe verbindingen
Wachtwoord-hashing met PBKDF2 (werkzeug)
CSRF-bescherming, rate limiting, security headers (CSP, HSTS, X-Frame-Options)
Toegangsbeperking op basis van rollen (client / admin)
Logging van toegang en aanpassingen, IP-block-mechanisme bij misbruik
Periodieke back-ups met versleutelde opslag
Beperkt aantal personen met productie-toegang, MFA op admin-accounts

9. Rechten van betrokkenen

Verwerker assisteert Verwerkingsverantwoordelijke binnen redelijke termijn bij het afhandelen van verzoeken van Betrokkenen op grond van de artikelen 15-22 AVG (recht op inzage, rectificatie, wissing, beperking, dataportabiliteit en bezwaar). Verwerkingsverantwoordelijke kan via het dashboard zelf inzage- en wissingsverzoeken uitvoeren via /dashboard/account/data-export en /dashboard/account/data-delete. Verzoeken die directe ondersteuning vereisen kunnen worden gericht aan privacy@dma.nl en worden binnen 30 dagen beantwoord.

10. Datalekken en meldplicht

Verwerker meldt iedere inbreuk in verband met persoonsgegevens onverwijld, en in elk geval binnen 48 uur na ontdekking, schriftelijk aan Verwerkingsverantwoordelijke. De melding bevat in ieder geval: aard van de inbreuk, betrokken categorieën gegevens en personen, waarschijnlijke gevolgen, getroffen en voorgenomen maatregelen, en contactpersoon. Verwerker ondersteunt Verwerkingsverantwoordelijke bij eventuele meldingen aan de Autoriteit Persoonsgegevens en aan Betrokkenen.

11. Auditrecht

Verwerkingsverantwoordelijke heeft het recht om eens per jaar, op eigen kosten en na schriftelijke aankondiging van ten minste 14 dagen, een audit te (laten) uitvoeren ter controle van naleving van deze VWO. Verwerker stelt op eerste verzoek beschikbare informatie ter beschikking om naleving aan te tonen, waaronder beleidsdocumenten, technische beschrijvingen en relevante logs. Audits mogen de operationele werking van de Diensten niet onevenredig verstoren.

12. Aansprakelijkheid en vrijwaring

De aansprakelijkheid van Verwerker voor schade voortvloeiend uit deze VWO is beperkt zoals geregeld in de Algemene Voorwaarden, behoudens dwingendrechtelijke bepalingen van de AVG. Partijen vrijwaren elkaar over en weer voor boetes opgelegd door de toezichthouder voor zover deze het gevolg zijn van toerekenbare niet-nakoming door de andere partij.

13. Beëindiging

Bij beëindiging van de Diensten zal Verwerker, naar keuze van Verwerkingsverantwoordelijke, alle persoonsgegevens binnen 30 dagen wissen of in een gangbaar formaat (JSON) retourneren, behoudens persoonsgegevens die op grond van wettelijke bewaarverplichtingen langer moeten worden bewaard.

14. Toepasselijk recht

Op deze VWO is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.

15. Contact

Voor vragen over deze VWO, voor het uitoefenen van rechten van Betrokkenen of voor het melden van een inbreuk: privacy@dma.nl, DMA Internet Services, Amsterdam, KVK 34127872.