Verwerkersovereenkomst (DPA)
Verwerkersovereenkomst (DPA)
Effective date:
26 mei 2025
Deze Verwerkersovereenkomst (“Verwerkersovereenkomst” of “DPA”) maakt onderdeel uit van de overeenkomst tussen de klant (“Verwerkingsverantwoordelijke”, “jij”, “klant”) en TalkMate (“Verwerker”, “wij”, “ons”, “TalkMate”) met betrekking tot het gebruik van de door TalkMate geleverde AI-voice agent en aanverwante diensten (“Diensten”).
Door akkoord te gaan met de Algemene Voorwaarden van TalkMate, ga je tevens akkoord met deze DPA.
1. Definities
De volgende begrippen hebben in deze DPA de volgende betekenis:
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.
Verwerking: elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, zoals vastgelegd in artikel 4 lid 2 AVG.
Verwerkingsverantwoordelijke: de klant, die het doel en de middelen van de verwerking bepaalt.
Verwerker: TalkMate, die persoonsgegevens verwerkt ten behoeve van de klant.
Subverwerker: elke derde partij die door TalkMate wordt ingeschakeld om persoonsgegevens namens TalkMate te verwerken.
Datalek: een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 AVG.
Diensten: de AI-spraakassistent, het dashboard en alle aanverwante software, zoals nader beschreven in de hoofdovereenkomst.
Infrastructuur: alle TalkMate-componenten draaien uitsluitend op Europese servers:
Supabase (back-end database, Frankfurt)
Softr (front-end dashboard, EU)
N8N (gehost op DigitalOcean Amsterdam)
Vapi (voiceplatform, EU-compliant)
2. Doel en reikwijdte van deze overeenkomst
Deze DPA regelt de rechten en plichten van partijen bij de verwerking van persoonsgegevens door TalkMate in het kader van de uitvoering van de overeengekomen diensten. TalkMate verwerkt uitsluitend persoonsgegevens namens en in opdracht van de klant.
3. Duur en beëindiging
Deze DPA treedt in werking bij de totstandkoming van de hoofdovereenkomst en blijft van kracht zolang TalkMate persoonsgegevens verwerkt namens de klant. Na beëindiging verwijdert of retourneert TalkMate alle persoonsgegevens conform artikel 10.
4. Categorieën van gegevens en betrokkenen
De verwerking kan de volgende categorieën persoonsgegevens omvatten:
Naam, telefoonnummer, e-mailadres van bellers
Gespreksinhoud en transcripten
Bedrijfsgegevens van klantaccounts
Agenda- of CRM-data indien gekoppeld
Categorieën van betrokkenen:
Klanten of potentiële klanten van de klant
Medewerkers of vertegenwoordigers van de klant
5. Verplichtingen van TalkMate (Verwerker)
TalkMate zal:
Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de klant;
Voldoende passende technische en organisatorische beveiligingsmaatregelen treffen (zie Bijlage A);
Medewerkers en betrokken partijen verplichten tot geheimhouding;
Geen persoonsgegevens doorgeven buiten de EER, tenzij uitdrukkelijk overeengekomen en voorzien van passende waarborgen conform hoofdstuk V AVG;
De klant ondersteunen bij verzoeken van betrokkenen, datalekken, DPIA’s en audits;
Geen gegevens gebruiken voor eigen doeleinden, profiling of marketing;
Geen persoonsgegevens doorverkopen of delen met derden buiten subverwerkers.
6. Subverwerkers
TalkMate mag subverwerkers inzetten, mits:
Deze subverwerkers onderworpen zijn aan eenzelfde niveau van bescherming als deze DPA;
De klant op verzoek een actuele lijst van subverwerkers kan opvragen;
TalkMate aansprakelijk blijft voor het handelen van subverwerkers;
De subverwerkers uitsluitend binnen de EU of EER opereren.
Huidige subverwerkers zijn o.a.:
Supabase (database)
Vapi (voice-infrastructuur)
DigitalOcean (hosting N8N)
Softr (dashboardhosting)
7. Verplichtingen klant (Verwerkingsverantwoordelijke)
De klant garandeert dat:
Hij gerechtigd is de persoonsgegevens te verstrekken aan TalkMate;
Hij voldoet aan alle verplichtingen onder de AVG (zoals informatieplicht, toestemming, etc.);
Hij passende juridische grondslagen hanteert voor elke verwerking (zoals toestemming of uitvoering overeenkomst);
Hij verantwoordelijk is voor de inhoud van zijn configuraties, scripts, CRM-integraties en agenda’s.
8. Rechten van betrokkenen
Indien TalkMate een verzoek ontvangt van een betrokkene (inzage, correctie, verwijdering, etc.), zal zij dit verzoek onverwijld doorsturen naar de klant. TalkMate zal redelijke medewerking verlenen om de klant in staat te stellen aan zijn AVG-verplichtingen te voldoen.
9. Beveiliging
TalkMate past passende technische en organisatorische beveiligingsmaatregelen toe, waaronder:
Gegevensopslag binnen de EU (Frankfurt & Amsterdam);
Encryptie van data in rust en tijdens transport (TLS 1.2+ / AES-256);
Two-factor-authentication op alle gevoelige systemen;
Logging, rolgebaseerde toegang, firewalls, intrusion detection;
Back-ups in gescheiden omgevingen (retentie: 30 dagen);
Regelmatige interne audits.
Een gedetailleerde beschrijving vind je in Bijlage A – Beveiligingsmaatregelen.
10. Gegevensverwijdering na beëindiging
Binnen 30 dagen na beëindiging van de overeenkomst:
Verwijdert TalkMate alle persoonsgegevens van actieve systemen;
Geanonimiseerde data (ten behoeve van modelverbetering) wordt blijvend onherleidbaar opgeslagen;
Data in back-ups blijft maximaal 30 dagen beschikbaar, wordt daarna automatisch verwijderd.
Op verzoek kan TalkMate persoonsgegevens eerder verwijderen of retourneren.
11. Datalekken
In geval van een datalek waarbij persoonsgegevens van de klant betrokken zijn:
Informeert TalkMate de klant onverwijld (binnen 24 uur na ontdekking);
Levert relevante informatie aan over de aard, oorzaak en omvang van het lek;
Ondersteunt TalkMate de klant bij eventuele meldingen aan de Autoriteit Persoonsgegevens en betrokkenen.
TalkMate houdt een intern register bij van alle beveiligingsincidenten.
12. Audit en controle
De klant heeft het recht maximaal eenmaal per jaar een audit uit te voeren (of te laten uitvoeren), gericht op naleving van deze DPA. Voorwaarden:
Minimaal 14 dagen voorafgaand schriftelijk aankondigen;
Audits mogen de operationele veiligheid van andere klanten niet schaden;
Kosten zijn voor rekening van de klant.
TalkMate stelt op verzoek een SOC2 of gelijkwaardige verklaring beschikbaar indien aanwezig.
13. Aansprakelijkheid
De aansprakelijkheid van TalkMate voor schade als gevolg van een schending van deze DPA is beperkt tot de in de hoofdovereenkomst vastgestelde limieten. TalkMate is niet aansprakelijk voor boetes of schade veroorzaakt door instructies of nalatigheid van de klant.
14. Toepasselijk recht en geschillen
Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.
15. Slotbepalingen
Deze DPA vervangt alle eerdere verwerkersafspraken tussen partijen.
In geval van strijdigheid tussen deze DPA en andere bepalingen in de hoofdovereenkomst, prevaleert deze DPA.
Deze DPA eindigt automatisch bij beëindiging van de hoofdovereenkomst.
Bijlage A – Technische en organisatorische maatregelen
Gegevensopslag: alleen in EU (Frankfurt – Supabase, Amsterdam – DigitalOcean)
Encryptie: TLS 1.2+ voor transport, AES-256 voor opslag
Authenticatie: 2FA, sterke wachtwoorden, rolgebaseerde toegang
Toegangsbeheer: enkel bevoegd personeel, logging van alle toegang
Monitoring: via Datadog en CloudWatch op alle kritieke infrastructuur
Back-ups: dagelijkse snapshots, bewaartermijn 30 dagen
Subverwerkers: schriftelijk gecontracteerd, alleen binnen de EU
Incidentenbeheer: vaste procedures en meldplicht binnen 24u
Deze Verwerkersovereenkomst (“Verwerkersovereenkomst” of “DPA”) maakt onderdeel uit van de overeenkomst tussen de klant (“Verwerkingsverantwoordelijke”, “jij”, “klant”) en TalkMate (“Verwerker”, “wij”, “ons”, “TalkMate”) met betrekking tot het gebruik van de door TalkMate geleverde AI-voice agent en aanverwante diensten (“Diensten”).
Door akkoord te gaan met de Algemene Voorwaarden van TalkMate, ga je tevens akkoord met deze DPA.
1. Definities
De volgende begrippen hebben in deze DPA de volgende betekenis:
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.
Verwerking: elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, zoals vastgelegd in artikel 4 lid 2 AVG.
Verwerkingsverantwoordelijke: de klant, die het doel en de middelen van de verwerking bepaalt.
Verwerker: TalkMate, die persoonsgegevens verwerkt ten behoeve van de klant.
Subverwerker: elke derde partij die door TalkMate wordt ingeschakeld om persoonsgegevens namens TalkMate te verwerken.
Datalek: een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 AVG.
Diensten: de AI-spraakassistent, het dashboard en alle aanverwante software, zoals nader beschreven in de hoofdovereenkomst.
Infrastructuur: alle TalkMate-componenten draaien uitsluitend op Europese servers:
Supabase (back-end database, Frankfurt)
Softr (front-end dashboard, EU)
N8N (gehost op DigitalOcean Amsterdam)
Vapi (voiceplatform, EU-compliant)
2. Doel en reikwijdte van deze overeenkomst
Deze DPA regelt de rechten en plichten van partijen bij de verwerking van persoonsgegevens door TalkMate in het kader van de uitvoering van de overeengekomen diensten. TalkMate verwerkt uitsluitend persoonsgegevens namens en in opdracht van de klant.
3. Duur en beëindiging
Deze DPA treedt in werking bij de totstandkoming van de hoofdovereenkomst en blijft van kracht zolang TalkMate persoonsgegevens verwerkt namens de klant. Na beëindiging verwijdert of retourneert TalkMate alle persoonsgegevens conform artikel 10.
4. Categorieën van gegevens en betrokkenen
De verwerking kan de volgende categorieën persoonsgegevens omvatten:
Naam, telefoonnummer, e-mailadres van bellers
Gespreksinhoud en transcripten
Bedrijfsgegevens van klantaccounts
Agenda- of CRM-data indien gekoppeld
Categorieën van betrokkenen:
Klanten of potentiële klanten van de klant
Medewerkers of vertegenwoordigers van de klant
5. Verplichtingen van TalkMate (Verwerker)
TalkMate zal:
Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de klant;
Voldoende passende technische en organisatorische beveiligingsmaatregelen treffen (zie Bijlage A);
Medewerkers en betrokken partijen verplichten tot geheimhouding;
Geen persoonsgegevens doorgeven buiten de EER, tenzij uitdrukkelijk overeengekomen en voorzien van passende waarborgen conform hoofdstuk V AVG;
De klant ondersteunen bij verzoeken van betrokkenen, datalekken, DPIA’s en audits;
Geen gegevens gebruiken voor eigen doeleinden, profiling of marketing;
Geen persoonsgegevens doorverkopen of delen met derden buiten subverwerkers.
6. Subverwerkers
TalkMate mag subverwerkers inzetten, mits:
Deze subverwerkers onderworpen zijn aan eenzelfde niveau van bescherming als deze DPA;
De klant op verzoek een actuele lijst van subverwerkers kan opvragen;
TalkMate aansprakelijk blijft voor het handelen van subverwerkers;
De subverwerkers uitsluitend binnen de EU of EER opereren.
Huidige subverwerkers zijn o.a.:
Supabase (database)
Vapi (voice-infrastructuur)
DigitalOcean (hosting N8N)
Softr (dashboardhosting)
7. Verplichtingen klant (Verwerkingsverantwoordelijke)
De klant garandeert dat:
Hij gerechtigd is de persoonsgegevens te verstrekken aan TalkMate;
Hij voldoet aan alle verplichtingen onder de AVG (zoals informatieplicht, toestemming, etc.);
Hij passende juridische grondslagen hanteert voor elke verwerking (zoals toestemming of uitvoering overeenkomst);
Hij verantwoordelijk is voor de inhoud van zijn configuraties, scripts, CRM-integraties en agenda’s.
8. Rechten van betrokkenen
Indien TalkMate een verzoek ontvangt van een betrokkene (inzage, correctie, verwijdering, etc.), zal zij dit verzoek onverwijld doorsturen naar de klant. TalkMate zal redelijke medewerking verlenen om de klant in staat te stellen aan zijn AVG-verplichtingen te voldoen.
9. Beveiliging
TalkMate past passende technische en organisatorische beveiligingsmaatregelen toe, waaronder:
Gegevensopslag binnen de EU (Frankfurt & Amsterdam);
Encryptie van data in rust en tijdens transport (TLS 1.2+ / AES-256);
Two-factor-authentication op alle gevoelige systemen;
Logging, rolgebaseerde toegang, firewalls, intrusion detection;
Back-ups in gescheiden omgevingen (retentie: 30 dagen);
Regelmatige interne audits.
Een gedetailleerde beschrijving vind je in Bijlage A – Beveiligingsmaatregelen.
10. Gegevensverwijdering na beëindiging
Binnen 30 dagen na beëindiging van de overeenkomst:
Verwijdert TalkMate alle persoonsgegevens van actieve systemen;
Geanonimiseerde data (ten behoeve van modelverbetering) wordt blijvend onherleidbaar opgeslagen;
Data in back-ups blijft maximaal 30 dagen beschikbaar, wordt daarna automatisch verwijderd.
Op verzoek kan TalkMate persoonsgegevens eerder verwijderen of retourneren.
11. Datalekken
In geval van een datalek waarbij persoonsgegevens van de klant betrokken zijn:
Informeert TalkMate de klant onverwijld (binnen 24 uur na ontdekking);
Levert relevante informatie aan over de aard, oorzaak en omvang van het lek;
Ondersteunt TalkMate de klant bij eventuele meldingen aan de Autoriteit Persoonsgegevens en betrokkenen.
TalkMate houdt een intern register bij van alle beveiligingsincidenten.
12. Audit en controle
De klant heeft het recht maximaal eenmaal per jaar een audit uit te voeren (of te laten uitvoeren), gericht op naleving van deze DPA. Voorwaarden:
Minimaal 14 dagen voorafgaand schriftelijk aankondigen;
Audits mogen de operationele veiligheid van andere klanten niet schaden;
Kosten zijn voor rekening van de klant.
TalkMate stelt op verzoek een SOC2 of gelijkwaardige verklaring beschikbaar indien aanwezig.
13. Aansprakelijkheid
De aansprakelijkheid van TalkMate voor schade als gevolg van een schending van deze DPA is beperkt tot de in de hoofdovereenkomst vastgestelde limieten. TalkMate is niet aansprakelijk voor boetes of schade veroorzaakt door instructies of nalatigheid van de klant.
14. Toepasselijk recht en geschillen
Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.
15. Slotbepalingen
Deze DPA vervangt alle eerdere verwerkersafspraken tussen partijen.
In geval van strijdigheid tussen deze DPA en andere bepalingen in de hoofdovereenkomst, prevaleert deze DPA.
Deze DPA eindigt automatisch bij beëindiging van de hoofdovereenkomst.
Bijlage A – Technische en organisatorische maatregelen
Gegevensopslag: alleen in EU (Frankfurt – Supabase, Amsterdam – DigitalOcean)
Encryptie: TLS 1.2+ voor transport, AES-256 voor opslag
Authenticatie: 2FA, sterke wachtwoorden, rolgebaseerde toegang
Toegangsbeheer: enkel bevoegd personeel, logging van alle toegang
Monitoring: via Datadog en CloudWatch op alle kritieke infrastructuur
Back-ups: dagelijkse snapshots, bewaartermijn 30 dagen
Subverwerkers: schriftelijk gecontracteerd, alleen binnen de EU
Incidentenbeheer: vaste procedures en meldplicht binnen 24u
Deze Verwerkersovereenkomst (“Verwerkersovereenkomst” of “DPA”) maakt onderdeel uit van de overeenkomst tussen de klant (“Verwerkingsverantwoordelijke”, “jij”, “klant”) en TalkMate (“Verwerker”, “wij”, “ons”, “TalkMate”) met betrekking tot het gebruik van de door TalkMate geleverde AI-voice agent en aanverwante diensten (“Diensten”).
Door akkoord te gaan met de Algemene Voorwaarden van TalkMate, ga je tevens akkoord met deze DPA.
1. Definities
De volgende begrippen hebben in deze DPA de volgende betekenis:
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.
Verwerking: elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, zoals vastgelegd in artikel 4 lid 2 AVG.
Verwerkingsverantwoordelijke: de klant, die het doel en de middelen van de verwerking bepaalt.
Verwerker: TalkMate, die persoonsgegevens verwerkt ten behoeve van de klant.
Subverwerker: elke derde partij die door TalkMate wordt ingeschakeld om persoonsgegevens namens TalkMate te verwerken.
Datalek: een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 AVG.
Diensten: de AI-spraakassistent, het dashboard en alle aanverwante software, zoals nader beschreven in de hoofdovereenkomst.
Infrastructuur: alle TalkMate-componenten draaien uitsluitend op Europese servers:
Supabase (back-end database, Frankfurt)
Softr (front-end dashboard, EU)
N8N (gehost op DigitalOcean Amsterdam)
Vapi (voiceplatform, EU-compliant)
2. Doel en reikwijdte van deze overeenkomst
Deze DPA regelt de rechten en plichten van partijen bij de verwerking van persoonsgegevens door TalkMate in het kader van de uitvoering van de overeengekomen diensten. TalkMate verwerkt uitsluitend persoonsgegevens namens en in opdracht van de klant.
3. Duur en beëindiging
Deze DPA treedt in werking bij de totstandkoming van de hoofdovereenkomst en blijft van kracht zolang TalkMate persoonsgegevens verwerkt namens de klant. Na beëindiging verwijdert of retourneert TalkMate alle persoonsgegevens conform artikel 10.
4. Categorieën van gegevens en betrokkenen
De verwerking kan de volgende categorieën persoonsgegevens omvatten:
Naam, telefoonnummer, e-mailadres van bellers
Gespreksinhoud en transcripten
Bedrijfsgegevens van klantaccounts
Agenda- of CRM-data indien gekoppeld
Categorieën van betrokkenen:
Klanten of potentiële klanten van de klant
Medewerkers of vertegenwoordigers van de klant
5. Verplichtingen van TalkMate (Verwerker)
TalkMate zal:
Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de klant;
Voldoende passende technische en organisatorische beveiligingsmaatregelen treffen (zie Bijlage A);
Medewerkers en betrokken partijen verplichten tot geheimhouding;
Geen persoonsgegevens doorgeven buiten de EER, tenzij uitdrukkelijk overeengekomen en voorzien van passende waarborgen conform hoofdstuk V AVG;
De klant ondersteunen bij verzoeken van betrokkenen, datalekken, DPIA’s en audits;
Geen gegevens gebruiken voor eigen doeleinden, profiling of marketing;
Geen persoonsgegevens doorverkopen of delen met derden buiten subverwerkers.
6. Subverwerkers
TalkMate mag subverwerkers inzetten, mits:
Deze subverwerkers onderworpen zijn aan eenzelfde niveau van bescherming als deze DPA;
De klant op verzoek een actuele lijst van subverwerkers kan opvragen;
TalkMate aansprakelijk blijft voor het handelen van subverwerkers;
De subverwerkers uitsluitend binnen de EU of EER opereren.
Huidige subverwerkers zijn o.a.:
Supabase (database)
Vapi (voice-infrastructuur)
DigitalOcean (hosting N8N)
Softr (dashboardhosting)
7. Verplichtingen klant (Verwerkingsverantwoordelijke)
De klant garandeert dat:
Hij gerechtigd is de persoonsgegevens te verstrekken aan TalkMate;
Hij voldoet aan alle verplichtingen onder de AVG (zoals informatieplicht, toestemming, etc.);
Hij passende juridische grondslagen hanteert voor elke verwerking (zoals toestemming of uitvoering overeenkomst);
Hij verantwoordelijk is voor de inhoud van zijn configuraties, scripts, CRM-integraties en agenda’s.
8. Rechten van betrokkenen
Indien TalkMate een verzoek ontvangt van een betrokkene (inzage, correctie, verwijdering, etc.), zal zij dit verzoek onverwijld doorsturen naar de klant. TalkMate zal redelijke medewerking verlenen om de klant in staat te stellen aan zijn AVG-verplichtingen te voldoen.
9. Beveiliging
TalkMate past passende technische en organisatorische beveiligingsmaatregelen toe, waaronder:
Gegevensopslag binnen de EU (Frankfurt & Amsterdam);
Encryptie van data in rust en tijdens transport (TLS 1.2+ / AES-256);
Two-factor-authentication op alle gevoelige systemen;
Logging, rolgebaseerde toegang, firewalls, intrusion detection;
Back-ups in gescheiden omgevingen (retentie: 30 dagen);
Regelmatige interne audits.
Een gedetailleerde beschrijving vind je in Bijlage A – Beveiligingsmaatregelen.
10. Gegevensverwijdering na beëindiging
Binnen 30 dagen na beëindiging van de overeenkomst:
Verwijdert TalkMate alle persoonsgegevens van actieve systemen;
Geanonimiseerde data (ten behoeve van modelverbetering) wordt blijvend onherleidbaar opgeslagen;
Data in back-ups blijft maximaal 30 dagen beschikbaar, wordt daarna automatisch verwijderd.
Op verzoek kan TalkMate persoonsgegevens eerder verwijderen of retourneren.
11. Datalekken
In geval van een datalek waarbij persoonsgegevens van de klant betrokken zijn:
Informeert TalkMate de klant onverwijld (binnen 24 uur na ontdekking);
Levert relevante informatie aan over de aard, oorzaak en omvang van het lek;
Ondersteunt TalkMate de klant bij eventuele meldingen aan de Autoriteit Persoonsgegevens en betrokkenen.
TalkMate houdt een intern register bij van alle beveiligingsincidenten.
12. Audit en controle
De klant heeft het recht maximaal eenmaal per jaar een audit uit te voeren (of te laten uitvoeren), gericht op naleving van deze DPA. Voorwaarden:
Minimaal 14 dagen voorafgaand schriftelijk aankondigen;
Audits mogen de operationele veiligheid van andere klanten niet schaden;
Kosten zijn voor rekening van de klant.
TalkMate stelt op verzoek een SOC2 of gelijkwaardige verklaring beschikbaar indien aanwezig.
13. Aansprakelijkheid
De aansprakelijkheid van TalkMate voor schade als gevolg van een schending van deze DPA is beperkt tot de in de hoofdovereenkomst vastgestelde limieten. TalkMate is niet aansprakelijk voor boetes of schade veroorzaakt door instructies of nalatigheid van de klant.
14. Toepasselijk recht en geschillen
Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.
15. Slotbepalingen
Deze DPA vervangt alle eerdere verwerkersafspraken tussen partijen.
In geval van strijdigheid tussen deze DPA en andere bepalingen in de hoofdovereenkomst, prevaleert deze DPA.
Deze DPA eindigt automatisch bij beëindiging van de hoofdovereenkomst.
Bijlage A – Technische en organisatorische maatregelen
Gegevensopslag: alleen in EU (Frankfurt – Supabase, Amsterdam – DigitalOcean)
Encryptie: TLS 1.2+ voor transport, AES-256 voor opslag
Authenticatie: 2FA, sterke wachtwoorden, rolgebaseerde toegang
Toegangsbeheer: enkel bevoegd personeel, logging van alle toegang
Monitoring: via Datadog en CloudWatch op alle kritieke infrastructuur
Back-ups: dagelijkse snapshots, bewaartermijn 30 dagen
Subverwerkers: schriftelijk gecontracteerd, alleen binnen de EU
Incidentenbeheer: vaste procedures en meldplicht binnen 24u