Verwerkersovereenkomst — klant.review
LOIQ | KvK 98362127 | Versie 1.2 — maart 2026
Verwerkersovereenkomst (DPA)
Standaard verwerkersovereenkomst conform de Algemene Verordening Gegevensbescherming (AVG).
Partijen
Deze verwerkersovereenkomst is gesloten tussen:
- LOIQ, handelend onder de naam klant.review, gevestigd te Scottweg 29 A, 4462 GS Goes, ingeschreven bij de Kamer van Koophandel onder nummer 98362127, hierna te noemen "Verwerker";
- De partij die zich heeft geregistreerd voor de diensten van klant.review, hierna te noemen "Verwerkingsverantwoordelijke".
Gezamenlijk te noemen "Partijen".
Artikel 1 — Definities
- AVG: Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).
- Persoonsgegevens: alle gegevens die betrekking hebben op een geidentificeerde of identificeerbare natuurlijke persoon.
- Verwerking: elke bewerking van persoonsgegevens, waaronder verzamelen, opslaan, wijzigen, raadplegen, verstrekken, wissen of vernietigen.
- Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
- Sub-verwerker: een derde partij die door Verwerker wordt ingeschakeld voor de verwerking van persoonsgegevens.
- Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens.
Artikel 2 — Doel en reikwijdte
- Deze overeenkomst regelt de verplichtingen van Partijen ten aanzien van de verwerking van persoonsgegevens in het kader van de diensten van klant.review.
- Verwerker verwerkt persoonsgegevens uitsluitend in opdracht en ten behoeve van de Verwerkingsverantwoordelijke, conform de instructies in deze overeenkomst.
- Verwerker verwerkt de persoonsgegevens niet voor eigen doeleinden.
Artikel 3 — Categorieën persoonsgegevens
De volgende categorieën persoonsgegevens worden verwerkt:
| Categorie | Gegevens | Betrokkenen |
|---|---|---|
| Accountgegevens | Naam, e-mailadres, wachtwoord (gehasht) | Ondernemers |
| Bedrijfsgegevens | Bedrijfsnaam, KvK-nummer, adres, branche, logo | Ondernemers |
| Reviewgegevens | Reviewtekst, beoordeling, naam reviewer | Reviewers |
| Contactgegevens klanten | E-mailadres, naam (bij review-uitnodigingen) | Klanten van ondernemers |
| Betalingsgegevens | Factuurnaam, bedrag (betaling via Mollie) | Ondernemers |
| Technische gegevens | IP-adres (gehasht, fraudepreventie), sessiegegevens | Alle gebruikers |
Artikel 4 — Verplichtingen van de Verwerker
- Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist.
- Verwerker waarborgt dat personen die toegang hebben tot de persoonsgegevens gebonden zijn aan geheimhouding.
- Verwerker treft passende technische en organisatorische maatregelen ter beveiliging van de persoonsgegevens (zie Artikel 6).
- Verwerker schakelt geen sub-verwerkers in zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke (zie Artikel 5).
- Verwerker verleent medewerking aan verzoeken van betrokkenen (inzage, rectificatie, verwijdering, overdraagbaarheid) binnen de wettelijke termijnen.
- Verwerker stelt de Verwerkingsverantwoordelijke onverwijld op de hoogte van een datalek (zie Artikel 7).
- Na beeindiging van de overeenkomst verwijdert Verwerker alle persoonsgegevens, tenzij bewaring wettelijk verplicht is.
Artikel 5 — Sub-verwerkers
- Verwerkingsverantwoordelijke verleent hierbij algemene toestemming voor het inschakelen van sub-verwerkers, onder de voorwaarde dat Verwerker de Verwerkingsverantwoordelijke vooraf informeert over wijzigingen.
- Verwerker sluit met iedere sub-verwerker een overeenkomst die minimaal dezelfde verplichtingen bevat als deze overeenkomst.
- Verwerker blijft volledig verantwoordelijk voor de handelingen van sub-verwerkers.
Huidige sub-verwerkers:
| Partij | Doel | Locatie | Waarborg |
|---|---|---|---|
| Supabase | Database en authenticatie | EU (Frankfurt) | DPA |
| Vercel | Applicatie hosting | EU | DPA |
| Resend | Transactionele e-mails | VS | DPA + SCCs |
| OpenAI | AI-reactievoorstellen (geanonimiseerde data) | VS | DPA + SCCs + geen training |
| Anthropic | AI-reactievoorstellen backup (geanonimiseerde data) | VS | DPA + SCCs + geen training |
| Mollie | Betalingsverwerking (PCI-DSS) | NL | DPA |
| Moneybird | Facturatie en boekhouding | NL | DPA |
| Business Profile API (na toestemming) | EU/VS | DPA + SCCs | |
| Upstash | Rate limiting en misbruikpreventie | EU | DPA |
Artikel 6 — Beveiligingsmaatregelen
Verwerker treft ten minste de volgende maatregelen:
- Encryptie in transit: alle verbindingen zijn beveiligd met TLS 1.3.
- Encryptie at rest: databasegegevens worden versleuteld opgeslagen (AES-256).
- Toegangscontrole: Row Level Security (RLS) op databaseniveau zorgt ervoor dat iedere klant uitsluitend eigen gegevens kan raadplegen.
- Authenticatie: HttpOnly en Secure cookies, optionele tweefactorauthenticatie.
- AI data minimalisatie: persoonsgegevens (namen, e-mailadressen, telefoonnummers) worden verwijderd voordat reviewteksten aan AI-diensten worden aangeboden. AI-diensten slaan geen gegevens op en gebruiken deze niet voor training.
- Monitoring: technische fouten worden geregistreerd zonder persoonsgegevens.
- Rate limiting: bescherming tegen misbruik op alle API-endpoints.
- Regelmatige audits: periodieke beveiligingsaudits en code reviews.
Artikel 7 — Datalekken
- Verwerker informeert de Verwerkingsverantwoordelijke zonder onredelijke vertraging, en in ieder geval binnen 48 uur na ontdekking van een datalek.
- De melding bevat ten minste: de aard van het datalek, de categorieën en het geschatte aantal betrokkenen, de waarschijnlijke gevolgen, en de maatregelen die zijn genomen.
- Verwerker verleent alle medewerking die nodig is voor de melding aan de Autoriteit Persoonsgegevens (binnen 72 uur) en aan betrokkenen.
- Verwerker documenteert alle datalekken, inclusief de feiten, gevolgen en genomen maatregelen.
Artikel 8 — Bewaartermijnen
| Gegevens | Bewaartermijn |
|---|---|
| Accountgegevens, bedrijfsprofielen, reviews | Tot verwijdering account (30 dagen bedenktijd) |
| Facturen en betalingsgegevens | 7 jaar (wettelijke bewaarplicht) |
| E-mail verzendlogs | 90 dagen |
| Gebruiksstatistieken | 90 dagen |
| IP-adressen (fraudepreventie, gehasht) | 90 dagen |
| IP-adressen (rate limiting) | 1 uur |
| Verificatiedocumenten | Tot verificatie, daarna automatische verwijdering |
Na beeindiging van de overeenkomst verwijdert Verwerker alle persoonsgegevens binnen 30 dagen, tenzij bewaring wettelijk verplicht is (factuurgegevens: 7 jaar).
Artikel 9 — Rechten van betrokkenen
- Verwerker verleent medewerking aan verzoeken van betrokkenen op grond van artikelen 15 t/m 22 AVG (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar).
- Verwerker biedt self-service functionaliteit voor inzage en verwijdering via het account dashboard.
- Verwerker biedt een data export functie (JSON-formaat) voor het recht op overdraagbaarheid (artikel 20 AVG).
- Verwerker reageert binnen 5 werkdagen op verzoeken die niet via self-service kunnen worden afgehandeld.
Artikel 10 — Audit
- Verwerkingsverantwoordelijke heeft het recht om audits uit te voeren of te laten uitvoeren om naleving van deze overeenkomst te controleren.
- Verwerker verleent alle redelijke medewerking aan audits en stelt relevante informatie beschikbaar.
- Kosten van een audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit tekortkomingen aan het licht brengt.
Artikel 11 — Internationale doorgifte
- Persoonsgegevens worden primair verwerkt binnen de Europese Unie.
- Voor sub-verwerkers buiten de EU (OpenAI, Anthropic, Resend, Google) zijn EU Standard Contractual Clauses (SCCs) van toepassing conform artikel 46 lid 2 sub c AVG.
- AI-verwerking (OpenAI, Anthropic) geschiedt uitsluitend op geanonimiseerde reviewteksten. Persoonsgegevens worden verwijderd voordat data de EU verlaat.
Artikel 12 — Aansprakelijkheid
- De aansprakelijkheid van Verwerker is beperkt tot directe schade als gevolg van aantoonbare tekortkomingen in de nakoming van deze overeenkomst.
- De totale aansprakelijkheid is beperkt tot het bedrag dat Verwerkingsverantwoordelijke in de 12 maanden voorafgaand aan het schadeveroorzakende feit aan Verwerker heeft betaald.
- Verwerker is niet aansprakelijk voor schade die het gevolg is van instructies van de Verwerkingsverantwoordelijke.
Artikel 13 — Looptijd en beeindiging
- Deze overeenkomst treedt in werking op het moment dat Verwerkingsverantwoordelijke een account aanmaakt bij klant.review en blijft van kracht zolang de dienst wordt afgenomen.
- Bij beeindiging van de dienst worden alle persoonsgegevens verwijderd conform Artikel 8, na een bedenktijd van 30 dagen.
- Bepalingen die naar hun aard bestemd zijn om na beeindiging voort te duren (geheimhouding, aansprakelijkheid) blijven van kracht.
Artikel 14 — Toepasselijk recht
- Op deze overeenkomst is Nederlands recht van toepassing.
- Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Zeeland-West-Brabant.
Ondertekening
Door gebruik te maken van de diensten van klant.review gaat Verwerkingsverantwoordelijke akkoord met deze verwerkersovereenkomst. Voor een ondertekend exemplaar kunt u contact opnemen via info@klant.review.
Verwerker
LOIQ (klant.review)
Scottweg 29 A, 4462 GS Goes
KvK: 98362127
Datum: _______________
Handtekening: _______________
Verwerkingsverantwoordelijke
Bedrijfsnaam: _______________
KvK: _______________
Contactpersoon: _______________
Datum: _______________
Handtekening: _______________
Vragen?
Heb je vragen over de verwerkersovereenkomst of wil je een ondertekend exemplaar ontvangen?