Verwerkersovereenkomst (DPA)

Verwerkersovereenkomst (DPA)

Effective date:

26 mei 2025

Deze Verwerkersovereenkomst (“Verwerkersovereenkomst” of “DPA”) maakt onderdeel uit van de overeenkomst tussen de klant (“Verwerkingsverantwoordelijke”, “jij”, “klant”) en TalkMate (“Verwerker”, “wij”, “ons”, “TalkMate”) met betrekking tot het gebruik van de door TalkMate geleverde AI-voice agent en aanverwante diensten (“Diensten”).

Door akkoord te gaan met de Algemene Voorwaarden van TalkMate, ga je tevens akkoord met deze DPA.

1. Definities

De volgende begrippen hebben in deze DPA de volgende betekenis:

  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.

  • Verwerking: elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, zoals vastgelegd in artikel 4 lid 2 AVG.

  • Verwerkingsverantwoordelijke: de klant, die het doel en de middelen van de verwerking bepaalt.

  • Verwerker: TalkMate, die persoonsgegevens verwerkt ten behoeve van de klant.

  • Subverwerker: elke derde partij die door TalkMate wordt ingeschakeld om persoonsgegevens namens TalkMate te verwerken.

  • Datalek: een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 AVG.

  • Diensten: de AI-spraakassistent, het dashboard en alle aanverwante software, zoals nader beschreven in de hoofdovereenkomst.

  • Infrastructuur: alle TalkMate-componenten draaien uitsluitend op Europese servers:

    • Supabase (back-end database, Frankfurt)

    • Softr (front-end dashboard, EU)

    • N8N (gehost op DigitalOcean Amsterdam)

    • Vapi (voiceplatform, EU-compliant)

2. Doel en reikwijdte van deze overeenkomst

Deze DPA regelt de rechten en plichten van partijen bij de verwerking van persoonsgegevens door TalkMate in het kader van de uitvoering van de overeengekomen diensten. TalkMate verwerkt uitsluitend persoonsgegevens namens en in opdracht van de klant.

3. Duur en beëindiging

Deze DPA treedt in werking bij de totstandkoming van de hoofdovereenkomst en blijft van kracht zolang TalkMate persoonsgegevens verwerkt namens de klant. Na beëindiging verwijdert of retourneert TalkMate alle persoonsgegevens conform artikel 10.

4. Categorieën van gegevens en betrokkenen

De verwerking kan de volgende categorieën persoonsgegevens omvatten:

  • Naam, telefoonnummer, e-mailadres van bellers

  • Gespreksinhoud en transcripten

  • Bedrijfsgegevens van klantaccounts

  • Agenda- of CRM-data indien gekoppeld

Categorieën van betrokkenen:

  • Klanten of potentiële klanten van de klant

  • Medewerkers of vertegenwoordigers van de klant

5. Verplichtingen van TalkMate (Verwerker)

TalkMate zal:

  • Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de klant;

  • Voldoende passende technische en organisatorische beveiligingsmaatregelen treffen (zie Bijlage A);

  • Medewerkers en betrokken partijen verplichten tot geheimhouding;

  • Geen persoonsgegevens doorgeven buiten de EER, tenzij uitdrukkelijk overeengekomen en voorzien van passende waarborgen conform hoofdstuk V AVG;

  • De klant ondersteunen bij verzoeken van betrokkenen, datalekken, DPIA’s en audits;

  • Geen gegevens gebruiken voor eigen doeleinden, profiling of marketing;

  • Geen persoonsgegevens doorverkopen of delen met derden buiten subverwerkers.

6. Subverwerkers

TalkMate mag subverwerkers inzetten, mits:

  • Deze subverwerkers onderworpen zijn aan eenzelfde niveau van bescherming als deze DPA;

  • De klant op verzoek een actuele lijst van subverwerkers kan opvragen;

  • TalkMate aansprakelijk blijft voor het handelen van subverwerkers;

  • De subverwerkers uitsluitend binnen de EU of EER opereren.

Huidige subverwerkers zijn o.a.:

  • Supabase (database)

  • Vapi (voice-infrastructuur)

  • DigitalOcean (hosting N8N)

  • Softr (dashboardhosting)

7. Verplichtingen klant (Verwerkingsverantwoordelijke)

De klant garandeert dat:

  • Hij gerechtigd is de persoonsgegevens te verstrekken aan TalkMate;

  • Hij voldoet aan alle verplichtingen onder de AVG (zoals informatieplicht, toestemming, etc.);

  • Hij passende juridische grondslagen hanteert voor elke verwerking (zoals toestemming of uitvoering overeenkomst);

  • Hij verantwoordelijk is voor de inhoud van zijn configuraties, scripts, CRM-integraties en agenda’s.

8. Rechten van betrokkenen

Indien TalkMate een verzoek ontvangt van een betrokkene (inzage, correctie, verwijdering, etc.), zal zij dit verzoek onverwijld doorsturen naar de klant. TalkMate zal redelijke medewerking verlenen om de klant in staat te stellen aan zijn AVG-verplichtingen te voldoen.

9. Beveiliging

TalkMate past passende technische en organisatorische beveiligingsmaatregelen toe, waaronder:

  • Gegevensopslag binnen de EU (Frankfurt & Amsterdam);

  • Encryptie van data in rust en tijdens transport (TLS 1.2+ / AES-256);

  • Two-factor-authentication op alle gevoelige systemen;

  • Logging, rolgebaseerde toegang, firewalls, intrusion detection;

  • Back-ups in gescheiden omgevingen (retentie: 30 dagen);

  • Regelmatige interne audits.

Een gedetailleerde beschrijving vind je in Bijlage A – Beveiligingsmaatregelen.

10. Gegevensverwijdering na beëindiging

Binnen 30 dagen na beëindiging van de overeenkomst:

  • Verwijdert TalkMate alle persoonsgegevens van actieve systemen;

  • Geanonimiseerde data (ten behoeve van modelverbetering) wordt blijvend onherleidbaar opgeslagen;

  • Data in back-ups blijft maximaal 30 dagen beschikbaar, wordt daarna automatisch verwijderd.

Op verzoek kan TalkMate persoonsgegevens eerder verwijderen of retourneren.

11. Datalekken

In geval van een datalek waarbij persoonsgegevens van de klant betrokken zijn:

  • Informeert TalkMate de klant onverwijld (binnen 24 uur na ontdekking);

  • Levert relevante informatie aan over de aard, oorzaak en omvang van het lek;

  • Ondersteunt TalkMate de klant bij eventuele meldingen aan de Autoriteit Persoonsgegevens en betrokkenen.

TalkMate houdt een intern register bij van alle beveiligingsincidenten.

12. Audit en controle

De klant heeft het recht maximaal eenmaal per jaar een audit uit te voeren (of te laten uitvoeren), gericht op naleving van deze DPA. Voorwaarden:

  • Minimaal 14 dagen voorafgaand schriftelijk aankondigen;

  • Audits mogen de operationele veiligheid van andere klanten niet schaden;

  • Kosten zijn voor rekening van de klant.

TalkMate stelt op verzoek een SOC2 of gelijkwaardige verklaring beschikbaar indien aanwezig.

13. Aansprakelijkheid

De aansprakelijkheid van TalkMate voor schade als gevolg van een schending van deze DPA is beperkt tot de in de hoofdovereenkomst vastgestelde limieten. TalkMate is niet aansprakelijk voor boetes of schade veroorzaakt door instructies of nalatigheid van de klant.

14. Toepasselijk recht en geschillen

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.

15. Slotbepalingen

  • Deze DPA vervangt alle eerdere verwerkersafspraken tussen partijen.

  • In geval van strijdigheid tussen deze DPA en andere bepalingen in de hoofdovereenkomst, prevaleert deze DPA.

  • Deze DPA eindigt automatisch bij beëindiging van de hoofdovereenkomst.

Bijlage A – Technische en organisatorische maatregelen

  • Gegevensopslag: alleen in EU (Frankfurt – Supabase, Amsterdam – DigitalOcean)

  • Encryptie: TLS 1.2+ voor transport, AES-256 voor opslag

  • Authenticatie: 2FA, sterke wachtwoorden, rolgebaseerde toegang

  • Toegangsbeheer: enkel bevoegd personeel, logging van alle toegang

  • Monitoring: via Datadog en CloudWatch op alle kritieke infrastructuur

  • Back-ups: dagelijkse snapshots, bewaartermijn 30 dagen

  • Subverwerkers: schriftelijk gecontracteerd, alleen binnen de EU

  • Incidentenbeheer: vaste procedures en meldplicht binnen 24u

Deze Verwerkersovereenkomst (“Verwerkersovereenkomst” of “DPA”) maakt onderdeel uit van de overeenkomst tussen de klant (“Verwerkingsverantwoordelijke”, “jij”, “klant”) en TalkMate (“Verwerker”, “wij”, “ons”, “TalkMate”) met betrekking tot het gebruik van de door TalkMate geleverde AI-voice agent en aanverwante diensten (“Diensten”).

Door akkoord te gaan met de Algemene Voorwaarden van TalkMate, ga je tevens akkoord met deze DPA.

1. Definities

De volgende begrippen hebben in deze DPA de volgende betekenis:

  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.

  • Verwerking: elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, zoals vastgelegd in artikel 4 lid 2 AVG.

  • Verwerkingsverantwoordelijke: de klant, die het doel en de middelen van de verwerking bepaalt.

  • Verwerker: TalkMate, die persoonsgegevens verwerkt ten behoeve van de klant.

  • Subverwerker: elke derde partij die door TalkMate wordt ingeschakeld om persoonsgegevens namens TalkMate te verwerken.

  • Datalek: een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 AVG.

  • Diensten: de AI-spraakassistent, het dashboard en alle aanverwante software, zoals nader beschreven in de hoofdovereenkomst.

  • Infrastructuur: alle TalkMate-componenten draaien uitsluitend op Europese servers:

    • Supabase (back-end database, Frankfurt)

    • Softr (front-end dashboard, EU)

    • N8N (gehost op DigitalOcean Amsterdam)

    • Vapi (voiceplatform, EU-compliant)

2. Doel en reikwijdte van deze overeenkomst

Deze DPA regelt de rechten en plichten van partijen bij de verwerking van persoonsgegevens door TalkMate in het kader van de uitvoering van de overeengekomen diensten. TalkMate verwerkt uitsluitend persoonsgegevens namens en in opdracht van de klant.

3. Duur en beëindiging

Deze DPA treedt in werking bij de totstandkoming van de hoofdovereenkomst en blijft van kracht zolang TalkMate persoonsgegevens verwerkt namens de klant. Na beëindiging verwijdert of retourneert TalkMate alle persoonsgegevens conform artikel 10.

4. Categorieën van gegevens en betrokkenen

De verwerking kan de volgende categorieën persoonsgegevens omvatten:

  • Naam, telefoonnummer, e-mailadres van bellers

  • Gespreksinhoud en transcripten

  • Bedrijfsgegevens van klantaccounts

  • Agenda- of CRM-data indien gekoppeld

Categorieën van betrokkenen:

  • Klanten of potentiële klanten van de klant

  • Medewerkers of vertegenwoordigers van de klant

5. Verplichtingen van TalkMate (Verwerker)

TalkMate zal:

  • Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de klant;

  • Voldoende passende technische en organisatorische beveiligingsmaatregelen treffen (zie Bijlage A);

  • Medewerkers en betrokken partijen verplichten tot geheimhouding;

  • Geen persoonsgegevens doorgeven buiten de EER, tenzij uitdrukkelijk overeengekomen en voorzien van passende waarborgen conform hoofdstuk V AVG;

  • De klant ondersteunen bij verzoeken van betrokkenen, datalekken, DPIA’s en audits;

  • Geen gegevens gebruiken voor eigen doeleinden, profiling of marketing;

  • Geen persoonsgegevens doorverkopen of delen met derden buiten subverwerkers.

6. Subverwerkers

TalkMate mag subverwerkers inzetten, mits:

  • Deze subverwerkers onderworpen zijn aan eenzelfde niveau van bescherming als deze DPA;

  • De klant op verzoek een actuele lijst van subverwerkers kan opvragen;

  • TalkMate aansprakelijk blijft voor het handelen van subverwerkers;

  • De subverwerkers uitsluitend binnen de EU of EER opereren.

Huidige subverwerkers zijn o.a.:

  • Supabase (database)

  • Vapi (voice-infrastructuur)

  • DigitalOcean (hosting N8N)

  • Softr (dashboardhosting)

7. Verplichtingen klant (Verwerkingsverantwoordelijke)

De klant garandeert dat:

  • Hij gerechtigd is de persoonsgegevens te verstrekken aan TalkMate;

  • Hij voldoet aan alle verplichtingen onder de AVG (zoals informatieplicht, toestemming, etc.);

  • Hij passende juridische grondslagen hanteert voor elke verwerking (zoals toestemming of uitvoering overeenkomst);

  • Hij verantwoordelijk is voor de inhoud van zijn configuraties, scripts, CRM-integraties en agenda’s.

8. Rechten van betrokkenen

Indien TalkMate een verzoek ontvangt van een betrokkene (inzage, correctie, verwijdering, etc.), zal zij dit verzoek onverwijld doorsturen naar de klant. TalkMate zal redelijke medewerking verlenen om de klant in staat te stellen aan zijn AVG-verplichtingen te voldoen.

9. Beveiliging

TalkMate past passende technische en organisatorische beveiligingsmaatregelen toe, waaronder:

  • Gegevensopslag binnen de EU (Frankfurt & Amsterdam);

  • Encryptie van data in rust en tijdens transport (TLS 1.2+ / AES-256);

  • Two-factor-authentication op alle gevoelige systemen;

  • Logging, rolgebaseerde toegang, firewalls, intrusion detection;

  • Back-ups in gescheiden omgevingen (retentie: 30 dagen);

  • Regelmatige interne audits.

Een gedetailleerde beschrijving vind je in Bijlage A – Beveiligingsmaatregelen.

10. Gegevensverwijdering na beëindiging

Binnen 30 dagen na beëindiging van de overeenkomst:

  • Verwijdert TalkMate alle persoonsgegevens van actieve systemen;

  • Geanonimiseerde data (ten behoeve van modelverbetering) wordt blijvend onherleidbaar opgeslagen;

  • Data in back-ups blijft maximaal 30 dagen beschikbaar, wordt daarna automatisch verwijderd.

Op verzoek kan TalkMate persoonsgegevens eerder verwijderen of retourneren.

11. Datalekken

In geval van een datalek waarbij persoonsgegevens van de klant betrokken zijn:

  • Informeert TalkMate de klant onverwijld (binnen 24 uur na ontdekking);

  • Levert relevante informatie aan over de aard, oorzaak en omvang van het lek;

  • Ondersteunt TalkMate de klant bij eventuele meldingen aan de Autoriteit Persoonsgegevens en betrokkenen.

TalkMate houdt een intern register bij van alle beveiligingsincidenten.

12. Audit en controle

De klant heeft het recht maximaal eenmaal per jaar een audit uit te voeren (of te laten uitvoeren), gericht op naleving van deze DPA. Voorwaarden:

  • Minimaal 14 dagen voorafgaand schriftelijk aankondigen;

  • Audits mogen de operationele veiligheid van andere klanten niet schaden;

  • Kosten zijn voor rekening van de klant.

TalkMate stelt op verzoek een SOC2 of gelijkwaardige verklaring beschikbaar indien aanwezig.

13. Aansprakelijkheid

De aansprakelijkheid van TalkMate voor schade als gevolg van een schending van deze DPA is beperkt tot de in de hoofdovereenkomst vastgestelde limieten. TalkMate is niet aansprakelijk voor boetes of schade veroorzaakt door instructies of nalatigheid van de klant.

14. Toepasselijk recht en geschillen

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.

15. Slotbepalingen

  • Deze DPA vervangt alle eerdere verwerkersafspraken tussen partijen.

  • In geval van strijdigheid tussen deze DPA en andere bepalingen in de hoofdovereenkomst, prevaleert deze DPA.

  • Deze DPA eindigt automatisch bij beëindiging van de hoofdovereenkomst.

Bijlage A – Technische en organisatorische maatregelen

  • Gegevensopslag: alleen in EU (Frankfurt – Supabase, Amsterdam – DigitalOcean)

  • Encryptie: TLS 1.2+ voor transport, AES-256 voor opslag

  • Authenticatie: 2FA, sterke wachtwoorden, rolgebaseerde toegang

  • Toegangsbeheer: enkel bevoegd personeel, logging van alle toegang

  • Monitoring: via Datadog en CloudWatch op alle kritieke infrastructuur

  • Back-ups: dagelijkse snapshots, bewaartermijn 30 dagen

  • Subverwerkers: schriftelijk gecontracteerd, alleen binnen de EU

  • Incidentenbeheer: vaste procedures en meldplicht binnen 24u

Deze Verwerkersovereenkomst (“Verwerkersovereenkomst” of “DPA”) maakt onderdeel uit van de overeenkomst tussen de klant (“Verwerkingsverantwoordelijke”, “jij”, “klant”) en TalkMate (“Verwerker”, “wij”, “ons”, “TalkMate”) met betrekking tot het gebruik van de door TalkMate geleverde AI-voice agent en aanverwante diensten (“Diensten”).

Door akkoord te gaan met de Algemene Voorwaarden van TalkMate, ga je tevens akkoord met deze DPA.

1. Definities

De volgende begrippen hebben in deze DPA de volgende betekenis:

  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.

  • Verwerking: elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, zoals vastgelegd in artikel 4 lid 2 AVG.

  • Verwerkingsverantwoordelijke: de klant, die het doel en de middelen van de verwerking bepaalt.

  • Verwerker: TalkMate, die persoonsgegevens verwerkt ten behoeve van de klant.

  • Subverwerker: elke derde partij die door TalkMate wordt ingeschakeld om persoonsgegevens namens TalkMate te verwerken.

  • Datalek: een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 AVG.

  • Diensten: de AI-spraakassistent, het dashboard en alle aanverwante software, zoals nader beschreven in de hoofdovereenkomst.

  • Infrastructuur: alle TalkMate-componenten draaien uitsluitend op Europese servers:

    • Supabase (back-end database, Frankfurt)

    • Softr (front-end dashboard, EU)

    • N8N (gehost op DigitalOcean Amsterdam)

    • Vapi (voiceplatform, EU-compliant)

2. Doel en reikwijdte van deze overeenkomst

Deze DPA regelt de rechten en plichten van partijen bij de verwerking van persoonsgegevens door TalkMate in het kader van de uitvoering van de overeengekomen diensten. TalkMate verwerkt uitsluitend persoonsgegevens namens en in opdracht van de klant.

3. Duur en beëindiging

Deze DPA treedt in werking bij de totstandkoming van de hoofdovereenkomst en blijft van kracht zolang TalkMate persoonsgegevens verwerkt namens de klant. Na beëindiging verwijdert of retourneert TalkMate alle persoonsgegevens conform artikel 10.

4. Categorieën van gegevens en betrokkenen

De verwerking kan de volgende categorieën persoonsgegevens omvatten:

  • Naam, telefoonnummer, e-mailadres van bellers

  • Gespreksinhoud en transcripten

  • Bedrijfsgegevens van klantaccounts

  • Agenda- of CRM-data indien gekoppeld

Categorieën van betrokkenen:

  • Klanten of potentiële klanten van de klant

  • Medewerkers of vertegenwoordigers van de klant

5. Verplichtingen van TalkMate (Verwerker)

TalkMate zal:

  • Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de klant;

  • Voldoende passende technische en organisatorische beveiligingsmaatregelen treffen (zie Bijlage A);

  • Medewerkers en betrokken partijen verplichten tot geheimhouding;

  • Geen persoonsgegevens doorgeven buiten de EER, tenzij uitdrukkelijk overeengekomen en voorzien van passende waarborgen conform hoofdstuk V AVG;

  • De klant ondersteunen bij verzoeken van betrokkenen, datalekken, DPIA’s en audits;

  • Geen gegevens gebruiken voor eigen doeleinden, profiling of marketing;

  • Geen persoonsgegevens doorverkopen of delen met derden buiten subverwerkers.

6. Subverwerkers

TalkMate mag subverwerkers inzetten, mits:

  • Deze subverwerkers onderworpen zijn aan eenzelfde niveau van bescherming als deze DPA;

  • De klant op verzoek een actuele lijst van subverwerkers kan opvragen;

  • TalkMate aansprakelijk blijft voor het handelen van subverwerkers;

  • De subverwerkers uitsluitend binnen de EU of EER opereren.

Huidige subverwerkers zijn o.a.:

  • Supabase (database)

  • Vapi (voice-infrastructuur)

  • DigitalOcean (hosting N8N)

  • Softr (dashboardhosting)

7. Verplichtingen klant (Verwerkingsverantwoordelijke)

De klant garandeert dat:

  • Hij gerechtigd is de persoonsgegevens te verstrekken aan TalkMate;

  • Hij voldoet aan alle verplichtingen onder de AVG (zoals informatieplicht, toestemming, etc.);

  • Hij passende juridische grondslagen hanteert voor elke verwerking (zoals toestemming of uitvoering overeenkomst);

  • Hij verantwoordelijk is voor de inhoud van zijn configuraties, scripts, CRM-integraties en agenda’s.

8. Rechten van betrokkenen

Indien TalkMate een verzoek ontvangt van een betrokkene (inzage, correctie, verwijdering, etc.), zal zij dit verzoek onverwijld doorsturen naar de klant. TalkMate zal redelijke medewerking verlenen om de klant in staat te stellen aan zijn AVG-verplichtingen te voldoen.

9. Beveiliging

TalkMate past passende technische en organisatorische beveiligingsmaatregelen toe, waaronder:

  • Gegevensopslag binnen de EU (Frankfurt & Amsterdam);

  • Encryptie van data in rust en tijdens transport (TLS 1.2+ / AES-256);

  • Two-factor-authentication op alle gevoelige systemen;

  • Logging, rolgebaseerde toegang, firewalls, intrusion detection;

  • Back-ups in gescheiden omgevingen (retentie: 30 dagen);

  • Regelmatige interne audits.

Een gedetailleerde beschrijving vind je in Bijlage A – Beveiligingsmaatregelen.

10. Gegevensverwijdering na beëindiging

Binnen 30 dagen na beëindiging van de overeenkomst:

  • Verwijdert TalkMate alle persoonsgegevens van actieve systemen;

  • Geanonimiseerde data (ten behoeve van modelverbetering) wordt blijvend onherleidbaar opgeslagen;

  • Data in back-ups blijft maximaal 30 dagen beschikbaar, wordt daarna automatisch verwijderd.

Op verzoek kan TalkMate persoonsgegevens eerder verwijderen of retourneren.

11. Datalekken

In geval van een datalek waarbij persoonsgegevens van de klant betrokken zijn:

  • Informeert TalkMate de klant onverwijld (binnen 24 uur na ontdekking);

  • Levert relevante informatie aan over de aard, oorzaak en omvang van het lek;

  • Ondersteunt TalkMate de klant bij eventuele meldingen aan de Autoriteit Persoonsgegevens en betrokkenen.

TalkMate houdt een intern register bij van alle beveiligingsincidenten.

12. Audit en controle

De klant heeft het recht maximaal eenmaal per jaar een audit uit te voeren (of te laten uitvoeren), gericht op naleving van deze DPA. Voorwaarden:

  • Minimaal 14 dagen voorafgaand schriftelijk aankondigen;

  • Audits mogen de operationele veiligheid van andere klanten niet schaden;

  • Kosten zijn voor rekening van de klant.

TalkMate stelt op verzoek een SOC2 of gelijkwaardige verklaring beschikbaar indien aanwezig.

13. Aansprakelijkheid

De aansprakelijkheid van TalkMate voor schade als gevolg van een schending van deze DPA is beperkt tot de in de hoofdovereenkomst vastgestelde limieten. TalkMate is niet aansprakelijk voor boetes of schade veroorzaakt door instructies of nalatigheid van de klant.

14. Toepasselijk recht en geschillen

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.

15. Slotbepalingen

  • Deze DPA vervangt alle eerdere verwerkersafspraken tussen partijen.

  • In geval van strijdigheid tussen deze DPA en andere bepalingen in de hoofdovereenkomst, prevaleert deze DPA.

  • Deze DPA eindigt automatisch bij beëindiging van de hoofdovereenkomst.

Bijlage A – Technische en organisatorische maatregelen

  • Gegevensopslag: alleen in EU (Frankfurt – Supabase, Amsterdam – DigitalOcean)

  • Encryptie: TLS 1.2+ voor transport, AES-256 voor opslag

  • Authenticatie: 2FA, sterke wachtwoorden, rolgebaseerde toegang

  • Toegangsbeheer: enkel bevoegd personeel, logging van alle toegang

  • Monitoring: via Datadog en CloudWatch op alle kritieke infrastructuur

  • Back-ups: dagelijkse snapshots, bewaartermijn 30 dagen

  • Subverwerkers: schriftelijk gecontracteerd, alleen binnen de EU

  • Incidentenbeheer: vaste procedures en meldplicht binnen 24u