The Next WilsonThe Next WilsonAlle documenten
Terug naar overzicht

The Next Wilson BV

Smedestraat 2  |  6411 CR Heerlen  |  info@thenextwilson.ai  |  KvK: 95481753

Verwerkersovereenkomst

Versie 2025-2  |  Datum inwerkingtreding: 1 januari 2025

Partijen

Deze verwerkersovereenkomst (hierna: VWO) is gesloten tussen:

Verwerkingsverantwoordelijke

De rechtspersoon of natuurlijke persoon die de Algemene Voorwaarden van The Next Wilson BV heeft geaccepteerd (hierna: de Klant). De identiteit en contactgegevens van de Klant zijn vastgelegd in het acceptatieregister conform Artikel 2 lid 1 van de Algemene Voorwaarden.

Verwerker

OrganisatieThe Next Wilson BV
AdresSmedestraat 2, 6411 CR Heerlen
KvK-nummer95481753
ContactpersoonOjo Meijers
E-mailinfo@thenextwilson.ai

In aanmerking nemende dat:

  • De Verwerkingsverantwoordelijke gebruik maakt van de diensten van de Verwerker voor het ontwikkelen, implementeren en onderhouden van AI-assistenten en aanverwante softwareoplossingen;
  • De Verwerker bij de uitvoering van deze diensten persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke;
  • Partijen met het oog op de vereisten van de Algemene Verordening Gegevensbescherming (AVG / GDPR) afspraken wensen te maken over de verwerking van deze persoonsgegevens;
  • Deze VWO integraal onderdeel uitmaakt van de hoofdovereenkomst tussen Partijen en de Algemene Voorwaarden van The Next Wilson;
  • Deze VWO van kracht wordt op het moment dat de Klant de Algemene Voorwaarden accepteert, zonder dat afzonderlijke ondertekening van deze VWO vereist is;

zijn Partijen het volgende overeengekomen:

Artikel 1. Definities

AVG:
Algemene Verordening Gegevensbescherming (EU) 2016/679 en de daaruit voortvloeiende nationale wetgeving.
Persoonsgegevens:
Alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon zoals bedoeld in artikel 4 lid 1 AVG.
Verwerking:
Een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens zoals bedoeld in artikel 4 lid 2 AVG.
Subverwerker:
Een derde partij die door de Verwerker wordt ingeschakeld voor de verwerking van persoonsgegevens in het kader van de dienstverlening.
Taalmodel (LLM):
Een groot taalmodel van een externe aanbieder dat door de Verwerker wordt ingezet voor de AI-functionaliteit van de dienst.
Datalek:
Een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4 lid 12 AVG.
Verwerkingsregister:
Het register van verwerkingsactiviteiten als bedoeld in artikel 30 AVG.

Artikel 2. Onderwerp en instructies

  1. De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de Verwerkingsverantwoordelijke en in overeenstemming met diens schriftelijke instructies, tenzij een wettelijke verplichting anders vereist.
  2. De aard, het doel, de categorieën persoonsgegevens en de categorieën betrokkenen zijn nader omschreven in Bijlage 1 bij deze VWO.
  3. Indien de Verwerker van oordeel is dat een instructie in strijd is met de AVG of andere toepasselijke wet- en regelgeving, stelt hij de Verwerkingsverantwoordelijke hiervan onverwijld schriftelijk in kennis.
  4. De Verwerker verwerkt geen persoonsgegevens buiten de overeengekomen doeleinden, tenzij de Verwerkingsverantwoordelijke hiervoor uitdrukkelijk schriftelijk toestemming heeft verleend.

Artikel 3. Technische en organisatorische beveiligingsmaatregelen

  1. De Verwerker treft passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens als bedoeld in artikel 32 AVG, afgestemd op de risico's van de verwerking.
  2. Deze maatregelen omvatten ten minste:
    • Versleuteling (encryptie) van gegevens tijdens transport (TLS/HTTPS) en waar mogelijk in rust, in het bijzonder voor gevoelige gegevens;
    • Pseudonimisering en dataminimalisatie waar technisch mogelijk;
    • Logische scheiding van klantdata op basis van een unieke tenant-ID, zodat data van de Verwerkingsverantwoordelijke niet toegankelijk is voor andere klanten van de Verwerker;
    • Toegangscontrole op basis van het need-to-know principe;
    • Logging en monitoring van toegang tot persoonsgegevens en systeemactiviteiten;
    • Regelmatige beoordeling en actualisering van de beveiligingsmaatregelen.
  3. De Verwerker zorgt ervoor dat medewerkers die toegang hebben tot persoonsgegevens zijn gebonden aan een geheimhoudingsplicht.
  4. De Verwerker stelt de Verwerkingsverantwoordelijke op verzoek in staat de toereikendheid van de beveiligingsmaatregelen te verifiëren, onder meer door het verstrekken van relevante documentatie.

Artikel 4. Opslag, verwerking en geografische locatie

  1. Persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER), tenzij in Bijlage 2 een andere regeling is overeengekomen.
  2. De Verwerker maakt gebruik van cloudinfrastructuur die voldoet aan erkende internationale beveiligingsnormen, waaronder ISO 27001 en/of SOC 2 Type II.
  3. Voor zover de Verwerker gebruikmaakt van taalmodellen (LLM's) van externe aanbieders, geldt het volgende:
    • De Verwerker configureert deze diensten zodanig dat data uitsluitend via regionale EU-eindpunten wordt verwerkt, voor zover door de betreffende aanbieder ondersteund;
    • De Verwerker stelt de retentieperiode van prompts en gegenereerde output in op het technisch minimaal mogelijke;
    • De Verwerker sluit met deze aanbieders overeenkomsten af die voldoen aan de vereisten van de AVG, waaronder, waar van toepassing, de Standard Contractual Clauses (SCC's).
  4. De Verwerker werkt niet met taalmodellen die gegevens van de Verwerkingsverantwoordelijke gebruiken voor de training van hun modellen, tenzij de Verwerkingsverantwoordelijke hiervoor uitdrukkelijk schriftelijk toestemming heeft verleend.
  5. Indien de Verwerkingsverantwoordelijke een overheidsinstantie is en aanvullende eisen stelt aan de geografische verwerking of juridische context van de data, worden deze eisen vastgelegd in de Nadere Overeenkomst of Bijlage 2.

Artikel 5. Subverwerkers

  1. De Verwerker mag subverwerkers inschakelen voor de uitvoering van de dienstverlening. De actuele lijst van subverwerkers is opgenomen in Bijlage 2.
  2. De Verwerker informeert de Verwerkingsverantwoordelijke vooraf schriftelijk over wijzigingen in de lijst van subverwerkers. De Verwerkingsverantwoordelijke heeft het recht om binnen 14 dagen na kennisgeving gemotiveerd bezwaar te maken. Indien het bezwaar gegrond is maar de Verwerker de dienstverlening technisch niet kan voortzetten zonder de betreffende subverwerker, hebben beide Partijen het recht de overeenkomst te beëindigen met inachtneming van een opzegtermijn van 30 dagen.
  3. De Verwerker legt aan subverwerkers ten minste dezelfde verplichtingen op als die welke op grond van deze VWO op de Verwerker rusten.
  4. Voor doorgifte van persoonsgegevens naar landen buiten de EER hanteert de Verwerker een passend beschermingsniveau op grond van artikel 46 AVG, waaronder SCC's of een adequaatheidsbesluit.

Artikel 6. Rechten van betrokkenen

  1. De Verwerker verleent medewerking aan de Verwerkingsverantwoordelijke bij het nakomen van diens verplichtingen jegens betrokkenen, waaronder het recht op inzage, rectificatie, verwijdering, beperking van verwerking, dataportabiliteit en bezwaar.
  2. Indien een betrokkene zich rechtstreeks tot de Verwerker wendt met een verzoek, stuurt de Verwerker dit verzoek onverwijld door aan de Verwerkingsverantwoordelijke. Bij verzoeken tot verwijdering (art. 17 AVG) geldt een grace period van 30 dagen. Bij verzoeken tot dataportabiliteit (art. 20 AVG) levert de Verwerker de persoonsgegevens in JSON-formaat aan.
  3. De Verwerker verleent medewerking aan het uitvoeren van een Data Protection Impact Assessment (DPIA) als bedoeld in artikel 35 AVG, maximaal eenmaal per kalenderjaar of bij een materiële wijziging van de verwerking.

Artikel 7. Datalekken en incidenten

  1. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld, doch uiterlijk binnen 48 uur na ontdekking, in kennis van een (vermoedelijk) datalek of beveiligingsincident. Een eerste kennisgeving mag een voorlopige melding zijn die binnen 72 uur na ontdekking wordt aangevuld.
  2. De kennisgeving bevat ten minste: een beschrijving van de aard van het incident, de (vermoedelijke) categorieën en aantallen betrokkenen en persoonsgegevens, de waarschijnlijke gevolgen, en de maatregelen die zijn of worden genomen.
  3. De Verwerker verleent alle medewerking die nodig is om de Verwerkingsverantwoordelijke in staat te stellen te voldoen aan de meldplicht jegens de Autoriteit Persoonsgegevens.
  4. De Verwerker neemt proactief maatregelen om herhaling van het incident te voorkomen.
  5. Voor AI-specifieke incidenten — waaronder onbedoelde blootstelling van persoonsgegevens via gegenereerde output — gelden dezelfde meld- en herstelverplichtingen als voor reguliere datalekken.

Artikel 8. Logging en monitoring

  1. De Verwerker legt adequate logbestanden bij van verwerkingsactiviteiten, toegang tot systemen en beveiligingsrelevante gebeurtenissen.
  2. Logbestanden zijn uitsluitend toegankelijk voor daartoe bevoegde medewerkers van de Verwerker.
  3. Logbestanden worden bewaard gedurende een periode die noodzakelijk is voor de aantoonbaarheid van de naleving van deze VWO en de AVG, met een minimum van 12 maanden.
  4. Op verzoek van de Verwerkingsverantwoordelijke verstrekt de Verwerker inzage in relevante logbestanden.
  5. Indien de Verwerkingsverantwoordelijke een overheidsinstantie is en specifieke logeisen stelt, worden deze aanvullende eisen vastgelegd in de Nadere Overeenkomst.

Artikel 9. Geheimhouding en vertrouwelijkheid

  1. De Verwerker behandelt alle persoonsgegevens en overige vertrouwelijke informatie strikt vertrouwelijk.
  2. De Verwerker zorgt ervoor dat alleen medewerkers toegang hebben die dit strikt noodzakelijk hebben, en dat deze medewerkers zijn gebonden aan een contractuele of wettelijke geheimhoudingsplicht.
  3. De geheimhoudingsplicht blijft van kracht na beëindiging van deze VWO.

Artikel 10. Retentie en verwijdering van persoonsgegevens

  1. De Verwerker bewaart persoonsgegevens niet langer dan noodzakelijk voor de uitvoering van de diensten, tenzij een wettelijke bewaarplicht een langere termijn vereist.
  2. De specifieke retentietermijnen per categorie persoonsgegevens zijn vastgelegd in Bijlage 1.
  3. De verwerking van persoonsgegevens in het kader van AI-interacties wordt onderscheiden in drie categorieën:
    • Categorie A – LLM-prompts en output bij externe aanbieders: de Verwerker hanteert de kortst mogelijke retentietermijn, met een absoluut maximum van 30 dagen. Niet verlengbaar.
    • Categorie B – Gesprekshistorie en bestanden in de TNW-omgeving: bewaard zolang de overeenkomst actief is. Na beëindiging van de overeenkomst: 2 jaar na laatste activiteit, waarna anonimisering; na aanvullend 1 jaar permanent verwijderd. Geüploade bestanden na soft delete 90 dagen bewaard als vangnet, daarna hard delete.
    • Categorie C – Audit trails en systeemlogboeken: 1 jaar actief, daarna archivering; archief 7 jaar bewaard, daarna permanent verwijderd (fiscale bewaarplicht / WWFT). AI-gebruikslogs: 2 jaar. Voor overheidsinstanties: conform selectielijst, minimaal 10 jaar.
  4. De Verwerker ondersteunt een legal hold-mechanisme waarmee de Verwerkingsverantwoordelijke kan voorkomen dat specifieke data wordt verwijderd, ongeacht de reguliere bewaartermijn.
  5. Na beëindiging van de overeenkomst heeft de Verwerkingsverantwoordelijke gedurende 30 dagen het recht een export van zijn persoonsgegevens op te vragen in JSON of CSV. Na het verstrijken van deze termijn verwijdert de Verwerker alle persoonsgegevens.
  6. Op verzoek kan in plaats van verwijdering overdracht van de persoonsgegevens plaatsvinden in JSON of CSV.

Artikel 11. Audit en verantwoording

  1. De Verwerker stelt de Verwerkingsverantwoordelijke in staat de naleving van deze VWO te controleren door op verzoek relevante documentatie te verstrekken.
  2. De Verwerkingsverantwoordelijke heeft het recht, maximaal eenmaal per kalenderjaar en na 30 dagen schriftelijke kennisgeving, een audit te (laten) uitvoeren. De kosten komen voor rekening van de Verwerkingsverantwoordelijke.
  3. De Verwerker werkt mee aan audits door de Autoriteit Persoonsgegevens of andere bevoegde instanties.
  4. De Verwerker houdt een verwerkingsregister bij conform artikel 30 AVG.

Artikel 12. Aansprakelijkheid

  1. De Verwerker is aansprakelijk voor schade die het directe gevolg is van een aan hem toerekenbare schending van deze VWO of de AVG.
  2. De totale aansprakelijkheid is beperkt tot het bedrag dat in de twaalf maanden voorafgaand aan de schadeveroorzakende gebeurtenis is betaald, met een absoluut maximum van €25.000 per gebeurtenis. Deze beperking geldt niet bij opzet of bewuste roekeloosheid.
  3. De Verwerker is niet aansprakelijk voor schade die voortvloeit uit onjuiste of onvolledige persoonsgegevens die door de Verwerkingsverantwoordelijke zijn aangeleverd.

Artikel 13. Duur en beëindiging

  1. Deze VWO treedt in werking op het moment dat de Klant de Algemene Voorwaarden accepteert en loopt parallel aan de hoofdovereenkomst.
  2. Deze VWO eindigt van rechtswege bij beëindiging van de hoofdovereenkomst, onverminderd voortdurende verplichtingen.
  3. Bij beëindiging verwijdert de Verwerker alle persoonsgegevens conform artikel 10.

Artikel 14. Slotbepalingen

  1. Op deze VWO is uitsluitend Nederlands recht van toepassing.
  2. Geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechter in het arrondissement van de vestigingsplaats van de Verwerkingsverantwoordelijke.
  3. Wijzigingen zijn uitsluitend geldig indien schriftelijk overeengekomen.
  4. Indien enige bepaling nietig of vernietigbaar is, blijven de overige bepalingen van kracht.
  5. Deze VWO prevaleert boven andersluidende bepalingen in de Algemene Voorwaarden voor zover het de verwerking van persoonsgegevens betreft.

Bijlage 1 – Specificatie van de verwerking

OnderdeelInvulling
Doel van de verwerkingHet ontwikkelen, implementeren en onderhouden van AI-assistenten ten behoeve van de bedrijfsvoering van de Verwerkingsverantwoordelijke.
Aard van de verwerkingOpslag, raadpleging, analyse en genereren van output op basis van aangeleverde gegevens en gebruikersinteracties.
Categorieën persoonsgegevensNaam, contactgegevens, functiegegevens en gespreksinhoud van gebruikers; inhoud van geüploade documenten voor zover deze persoonsgegevens bevatten.
Categorieën betrokkenenMedewerkers en/of klanten en gebruikers van de Verwerkingsverantwoordelijke.
Retentietermijn persoonsgegevensZolang de overeenkomst voortduurt; na beëindiging conform artikel 10. Sectorafhankelijke minimumtermijnen: zorg 20 jaar (Wgbo), financieel/WWFT 5 jaar, overheid conform selectielijst, generiek MKB 2 jaar.
Retentietermijn LLM (Cat. A)Maximaal 30 dagen; niet verlengbaar (buiten TNW-infrastructuur).
Retentietermijn gesprekshistorie (Cat. B)Bewaard zolang overeenkomst actief is. Na beëindiging: 2 jaar na laatste activiteit, daarna anonimisering; na aanvullend 1 jaar: hard delete. Aanpasbaar op verzoek.
Retentietermijn audit trails (Cat. C)1 jaar actief, daarna archivering; archief 7 jaar bewaard, daarna hard delete. AI-gebruikslogs: 2 jaar. Overheid: conform selectielijst, min. 10 jaar.
InvoerbestandenDoor de Verwerkingsverantwoordelijke geüploade kennisdocumenten. Bewaard zolang assistent actief is; verwijderd na offboarding.
GebruikersbestandenDoor eindgebruikers geüploade bestanden. Bewaard conform retentietermijn van gekoppeld gesprek/dossier. Na soft delete: 90 dagen vangnet, daarna hard delete. Behandeld als Cat. B.
Gegenereerde outputDoor AI gegenereerde bestanden. Eigendom van Verwerkingsverantwoordelijke. Standaard niet bewaard tenzij opslag geactiveerd; dan als Cat. B.
Bijzondere categorieënGeen (standaard). Indien van toepassing schriftelijk te specificeren.

Bijlage 2 – Subverwerkers en infrastructuur

SubverwerkerRol / dienstVestigingVerwerkingGrondslag
Google Cloud (GCP)Cloudinfrastructuur, opslag, LLM (Vertex AI)VSEU (regionaal endpoint)SCC + EU-US DPF
Anthropic (optioneel)*LLM-verwerking (Claude) — alleen op uitdrukkelijk verzoek van de KlantVSVS / EU-endpointSCC
OpenAI (optioneel)*LLM-verwerking (GPT) — alleen op uitdrukkelijk verzoek van de KlantVSVS / EU-endpointSCC
Supabase Inc.Database, applicatielaag, storage bucketsVSEU (via AWS EMEA SARL)SCC
AWS EMEA SARLFysieke cloudinfrastructuur (sub van Supabase)LuxemburgEU (Ireland / Frankfurt)SCC + AWS GDPR DPA
AssemblyAI Inc.Spraak-naar-tekst (transcriptie met sprekersherkenning)VSEU (AWS EU-West-1, Dublin)SCC + DPA

* Met "optioneel" wordt bedoeld dat deze subverwerker uitsluitend wordt ingeschakeld op uitdrukkelijk verzoek of met uitdrukkelijke toestemming van de Klant. Standaard maakt de dienstverlening gebruik van Google Cloud (Vertex AI) als LLM-aanbieder.

Toelichting grondslag doorgifte:

  • SCC: Standard Contractual Clauses als bedoeld in Uitvoeringsbesluit (EU) 2021/914.
  • EU-US DPF: EU-US Data Privacy Framework (adequaatheidsbesluit van 10 juli 2023).
  • Adequaatheidsbesluit: besluit van de Europese Commissie dat het derde land een passend beschermingsniveau biedt.

Bijlage 3 – Verwerking tijdens ontwikkeling en implementatie

Deze bijlage is van toepassing wanneer de Verwerkingsverantwoordelijke in het kader van de ontwikkeling, configuratie of het testen van AI-assistenten voorbeelddata aanlevert aan de Verwerker die (mogelijk) persoonsgegevens bevat.

OnderdeelInvulling
Doel van de verwerkingOntwikkeling, configuratie en testen van AI-assistenten ten behoeve van de Verwerkingsverantwoordelijke. Hieronder valt het analyseren van voorbeelddocumenten om de assistent correct te configureren, het testen van output op kwaliteit en het valideren van de werking met realistische data.
Aard van de dataVoorbeelddocumenten, testverslagen, demodata en overige bestanden die door de Verwerkingsverantwoordelijke worden aangeleverd buiten het platform om, via een beveiligde gedeelde map met beperkte toegang of een ander beveiligd kanaal.
Categorieën persoonsgegevensAfhankelijk van de aangeleverde documenten. Kan namen, contactgegevens, financiële gegevens, medische gegevens of andere persoonsgegevens bevatten. De Verwerkingsverantwoordelijke bepaalt zelf of anonimisering of pseudonimisering voorafgaand aan aanlevering wenselijk en haalbaar is. Indien de aard van het project vereist dat met echte (niet-geanonimiseerde) persoonsgegevens wordt gewerkt, bevestigt de Verwerkingsverantwoordelijke dit bij aanvang van het project.
BewaartermijnDuur van de ontwikkelfase + maximaal 30 dagen na oplevering. Na deze termijn worden alle aangeleverde bestanden permanent verwijderd.
OpslagOp beveiligde TNW-systemen met toegangscontrole, waaronder een gedeelde cloudmap met beperkte toegang (bijv. Microsoft OneDrive/SharePoint, Google Drive of vergelijkbaar). Ontwikkeldata wordt niet opgeslagen op persoonlijke apparaten van medewerkers, niet gekopieerd naar onbeveiligde locaties en niet gebruikt buiten het overeengekomen doel.
ToegangUitsluitend de bij het project betrokken medewerker(s) van de Verwerker en de contactpersoon van de Verwerkingsverantwoordelijke, op basis van het need-to-know principe. De gedeelde map is niet zichtbaar voor overige medewerkers van de Verwerker.
AanleveringVia een beveiligde, gedeelde cloudmap die door de Verwerker wordt ingericht en gedeeld met de contactpersoon van de Verwerkingsverantwoordelijke. Alternatief via een ander beveiligd kanaal (bijv. versleutelde bestandsuitwisseling). Aanlevering via onversleutelde e-mail wordt afgeraden; de Verwerker is niet verantwoordelijk voor de beveiliging van data die via onbeveiligde kanalen wordt aangeleverd.

Procedure

  1. De Verwerker richt bij aanvang van het project een beveiligde, gedeelde map in en deelt deze met de contactpersoon van de Verwerkingsverantwoordelijke.
  2. De Verwerkingsverantwoordelijke uploadt voorbeelddata naar deze map en geeft bij aanvang van het project aan of de data persoonsgegevens bevat, welke categorieën en of het niet-geanonimiseerde gegevens betreft.
  3. De gedeelde map fungeert als gezamenlijk overzicht van de aangeleverde en verwerkte data. Een afzonderlijke bevestiging per bestand is niet vereist.
  4. De Verwerker gebruikt de data uitsluitend voor het overeengekomen doel en vernietigt de volledige map met alle inhoud uiterlijk 30 dagen na oplevering van het betreffende projectonderdeel.
  5. De Verwerker bevestigt de verwijdering per e-mail aan de Verwerkingsverantwoordelijke.

Anonimisering en echte data

De Verwerker adviseert de Verwerkingsverantwoordelijke om voorbeelddata waar mogelijk te anonimiseren of pseudonimiseren vóór aanlevering. Wanneer de aard van het project echter vereist dat met echte (niet-geanonimiseerde) persoonsgegevens wordt gewerkt — bijvoorbeeld omdat de AI-assistent moet worden getraind op realistische documentstructuren, schrijfstijl of inhoudelijke nuances — is dit toegestaan onder de volgende aanvullende voorwaarden:

  • De Verwerkingsverantwoordelijke bevestigt bij aanvang schriftelijk dat echte persoonsgegevens worden aangeleverd en welke categorieën dit betreft;
  • De Verwerker beperkt de toegang tot de data tot het strikte minimum aan medewerkers;
  • De data wordt na oplevering onverwijld verwijderd conform de bewaartermijn in deze bijlage;
  • De Verwerkingsverantwoordelijke is verantwoordelijk voor het vaststellen van een geldige verwerkingsgrondslag ten aanzien van de betrokkenen wier gegevens worden aangeleverd.

De Verwerker kan op verzoek ondersteuning bieden bij het opstellen van een anonimiseringsprotocol voor gevallen waarin echte data niet strikt noodzakelijk is.