Privacy & AVG
Versie 1.0 — juni 2026
Deze verwerkersovereenkomst maakt integraal onderdeel uit van de overeenkomst tussen [BEDRIJFSNAAM] ("Solivia", de Verwerker) en de Klant (de Verwerkingsverantwoordelijke) en wordt aanvaard bij registratie op solivia.work. Voor partners met het plan Solivia Maatschappelijk geldt deze verwerkersovereenkomst als bijlage bij de partnerovereenkomst.
1. Solivia verwerkt bij het leveren van het Platform persoonsgegevens ten behoeve van de Klant. De Klant is verwerkingsverantwoordelijke; Solivia is verwerker in de zin van artikel 4 lid 8 AVG.
2. De aard, het doel, de duur van de verwerking, de categorieën betrokkenen en de categorieën persoonsgegevens zijn beschreven in Bijlage A.
3. Deze overeenkomst geldt zolang de hoofdovereenkomst duurt en zolang Solivia persoonsgegevens voor de Klant verwerkt.
4. Voor de verwerking van accountgegevens van de Klant zelf (e-mailadres, bedrijfsnaam, betaalgegevens) is Solivia zelfstandig verwerkingsverantwoordelijke; die verwerking valt buiten deze verwerkersovereenkomst en wordt beschreven in de privacyverklaring van Solivia.
1. Solivia verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Klant, zoals vastgelegd in de hoofdovereenkomst, deze verwerkersovereenkomst en de instellingen die de Klant in het Platform kiest, tenzij een Unierechtelijke of lidstaatrechtelijke bepaling Solivia tot verwerking verplicht. In dat geval informeert Solivia de Klant vooraf, tenzij die wetgeving dit verbiedt.
2. Solivia informeert de Klant onmiddellijk indien een instructie naar haar oordeel in strijd is met de AVG of andere privacywetgeving.
3. Solivia gebruikt de persoonsgegevens nooit voor eigen doeleinden en verkoopt deze nooit aan derden.
1. Het Platform is privacy-by-design ingericht: Medewerkers hebben geen account; Solivia slaat geen naam, e-mailadres, telefoonnummer, apparaat-ID of IP-adres van Medewerkers op en bewaart geen inhoud van chatgesprekken. De koppeling tussen een Medewerkercode en een natuurlijke persoon bestaat uitsluitend bij de Klant.
2. Solivia Zakelijk: er worden geen chatgesprekken opgeslagen en geen gegevens bewaard voor analyse, training of productverbetering, tenzij de Klant uitdrukkelijk kiest voor het inschakelen van geanonimiseerde gebruiksstatistieken.
3. Solivia Maatschappelijk: als tegenprestatie voor het kosteloze plan staat de verzameling van geanonimiseerde gebruiksstatistieken (aantal gesprekken, onderwerpen, gebruikte talen) verplicht aan, zoals vastgelegd in de partnerovereenkomst. Deze statistieken zijn niet herleidbaar tot individuele Medewerkers.
4. Chatberichten van Medewerkers worden uitsluitend tijdens de sessie verwerkt (doorgegeven aan de AI-subverwerker voor het genereren van een antwoord) en daarna niet bewaard.
1. Solivia waarborgt dat personen die onder haar gezag persoonsgegevens verwerken zich tot geheimhouding hebben verbonden of aan een wettelijke geheimhoudingsplicht zijn onderworpen.
2. De geheimhoudingsplicht blijft van kracht na beëindiging van de overeenkomst.
1. Solivia treft passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang en context van de verwerking. De actuele maatregelen zijn beschreven in Bijlage C.
2. Solivia mag de maatregelen aanpassen, mits het beveiligingsniveau niet verslechtert.
1. De Klant verleent Solivia algemene toestemming voor het inschakelen van subverwerkers. De actuele lijst is opgenomen in Bijlage B.
2. Solivia informeert de Klant ten minste 30 dagen vóór de toevoeging of vervanging van een subverwerker per e-mail. De Klant kan binnen die termijn schriftelijk en gemotiveerd bezwaar maken. Indien partijen geen oplossing vinden, mag de Klant de overeenkomst opzeggen tegen de datum waarop de wijziging ingaat.
3. Solivia legt aan iedere subverwerker contractueel dezelfde verplichtingen op als in deze verwerkersovereenkomst en blijft jegens de Klant volledig aansprakelijk voor de nakoming door subverwerkers.
1. Hosting en opslag van persoonsgegevens vinden plaats binnen de Europese Economische Ruimte. Voor zover subverwerkers persoonsgegevens buiten de EER verwerken (zie Bijlage B), gebeurt dit uitsluitend op basis van een geldig doorgiftemechanisme zoals een adequaatheidsbesluit (waaronder het EU-VS Data Privacy Framework) of de standaardcontractbepalingen (SCC’s) van de Europese Commissie, waar nodig aangevuld met aanvullende maatregelen.
2. Bij de AI-subverwerker worden chatberichten uitsluitend kortstondig verwerkt voor het genereren van een antwoord en niet gebruikt voor modeltraining; er vindt geen permanente opslag van chatinhoud plaats.
1. Solivia verleent de Klant, rekening houdend met de aard van de verwerking, redelijke bijstand bij het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar). Verzoeken die rechtstreeks bij Solivia binnenkomen worden onverwijld doorgestuurd naar de Klant.
2. Solivia verleent redelijke bijstand bij gegevensbeschermingseffectbeoordelingen (DPIA’s) en voorafgaande raadplegingen, voor zover deze betrekking hebben op de verwerking via het Platform.
3. Voor bijstand die de in dit artikel bedoelde redelijke omvang aantoonbaar overstijgt, mag Solivia een redelijke vergoeding op basis van nacalculatie in rekening brengen, na voorafgaand overleg.
1. Solivia informeert de Klant zonder onredelijke vertraging, en uiterlijk binnen 48 uur na ontdekking, over een inbreuk in verband met persoonsgegevens die (mogelijk) betrekking heeft op de verwerking voor de Klant.
2. De melding bevat ten minste: de aard van de inbreuk, de (vermoedelijk) getroffen categorieën betrokkenen en gegevens, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen.
3. De Klant beoordeelt als verwerkingsverantwoordelijke of melding aan de Autoriteit Persoonsgegevens en/of betrokkenen nodig is. Solivia meldt een inbreuk niet zelfstandig aan de toezichthouder of betrokkenen, tenzij zij daartoe wettelijk verplicht is.
4. Solivia documenteert alle inbreuken in een intern register en verleent redelijke medewerking aan onderzoek en afhandeling.
1. Solivia stelt op verzoek alle informatie ter beschikking die nodig is om naleving van artikel 28 AVG aan te tonen, bijvoorbeeld via een beschrijving van de maatregelen, beschikbare rapportages of certificeringen van subverwerkers.
2. De Klant mag maximaal éénmaal per jaar, na voorafgaande schriftelijke aankondiging van ten minste 30 dagen, een audit (laten) uitvoeren tijdens kantooruren, zonder onnodige verstoring van de bedrijfsvoering van Solivia. Ieder draagt de eigen kosten. Informatie over andere klanten blijft buiten de audit.
1. Na het einde van de overeenkomst verwijdert Solivia alle persoonsgegevens die zij voor de Klant verwerkt, uiterlijk 30 dagen na afloop van de exporttermijn uit de hoofdovereenkomst, tenzij een wettelijke bewaarplicht zich daartegen verzet.
2. Op verzoek vóór het einde van de overeenkomst stelt Solivia de Klantcontent en pseudonieme voortgangsgegevens in een gangbaar formaat ter beschikking.
3. Back-ups waarin gegevens zijn opgenomen worden volgens het reguliere rotatieschema overschreven, uiterlijk binnen 90 dagen.
1. Op deze verwerkersovereenkomst is de aansprakelijkheidsregeling uit de hoofdovereenkomst van toepassing, behoudens voor zover dwingend recht (waaronder artikel 82 AVG) anders bepaalt.
2. Bij strijdigheid tussen deze verwerkersovereenkomst en de hoofdovereenkomst gaat deze verwerkersovereenkomst voor wat betreft de verwerking van persoonsgegevens.
3. Op deze overeenkomst is Nederlands recht van toepassing.
| Onderdeel | Beschrijving |
|---|---|
| Aard en doel | Het hosten en beschikbaar stellen van digitale instructiepakketten, het genereren van AI-antwoorden, vertalingen, voorgelezen audio en kennischecks, en het pseudoniem registreren van voortgang van Medewerkers. |
| Duur | De looptijd van de hoofdovereenkomst, plus de export- en verwijdertermijnen. |
| Categorieën betrokkenen | Medewerkers van de Klant (onder wie medewerkers met een werkervaringsplaats of via een intermediair) die via een toegangscode gebruikmaken van het Platform. |
| Persoonsgegevens | Medewerkercode (pseudoniem); voortgangsgegevens gekoppeld aan de code: resultaten van kennischecks, geleerde woorden en datum (taalvoortgang), bevestigingen van gelezen veiligheidsinstructies, taalinstelling, aantal sessies (teller). |
| Tijdelijk verwerkt, niet opgeslagen | Inhoud van chatberichten (alleen tijdens de sessie verwerkt voor het genereren van een antwoord); tekst voor spraakweergave (TTS). |
| Niet verwerkt/opgeslagen | Naam, e-mailadres, telefoonnummer, apparaat-ID en IP-adres van Medewerkers worden niet bij de voortgang opgeslagen; de identiteit achter een Medewerkercode is alleen bij de Klant bekend. |
| Bijzondere categorieën | Geen. De Klant staat ervoor in dat de Klantcontent geen bijzondere categorieën persoonsgegevens bevat. |
Actuele lijst per [DATUM]. Wijzigingen worden conform artikel 6 aangekondigd.
| Subverwerker | Dienst | Locatie verwerking | Doorgiftemechanisme |
|---|---|---|---|
| Hetzner Online GmbH | Hosting applicatieserver (VPS) | Duitsland (EU) | N.v.t. (EER) |
| Supabase, Inc. | Database, opslag en authenticatie | EU-regio [REGIO INVULLEN, bijv. Frankfurt] | DPA met SCC’s voor eventuele support-toegang buiten de EER |
| Anthropic, PBC | AI-taalmodel (genereren van antwoorden van de jobcoach); chatinhoud wordt kortstondig verwerkt, niet opgeslagen, niet gebruikt voor training | Verenigde Staten | DPA met standaardcontractbepalingen (SCC’s) |
| Google LLC (Gemini API) | Tekst-naar-spraak (voorlezen van instructies); tekst wordt kortstondig verwerkt, niet opgeslagen | Verenigde Staten | DPA met SCC’s / EU-VS Data Privacy Framework |
Stripe (betalingen) is geen subverwerker onder deze overeenkomst: Stripe verwerkt uitsluitend betaalgegevens van de Klant, waarvoor Solivia zelfstandig verwerkingsverantwoordelijke is.
Aandachtspunt: overweeg op termijn een EU-regio voor het AI-taalmodel (bijv. via AWS Bedrock Frankfurt of Google Vertex AI EU) om doorgifte naar de VS volledig te vermijden.
Versleuteling in transit: alle verbindingen verlopen via HTTPS/TLS (Let’s Encrypt-certificaten, automatische verlenging).
Versleuteling at rest: databases en opslag van de hostingleveranciers zijn versleuteld op infrastructuurniveau.
Toegangsbeheer: databasetoegang uitsluitend via server-side service-sleutels; op alle databasetabellen is Row Level Security geactiveerd zonder publieke policies, zodat rechtstreekse toegang door derden is uitgesloten.
Pseudonimisering: voortgang van Medewerkers wordt uitsluitend gekoppeld aan een willekeurig gegenereerde Medewerkercode; identiteitsgegevens worden niet opgeslagen.
Dataminimalisatie: chatinhoud, IP-adressen en apparaat-ID’s van Medewerkers worden niet bewaard; bij taalvoortgang wordt alleen de datum (niet het tijdstip) geregistreerd om correlatie te voorkomen.
Authenticatie werkgevers: accounts beveiligd met e-mail en wachtwoord via de authenticatiedienst; wachtwoorden worden gehasht opgeslagen.
Scheiding van omgevingen: productie en test/staging zijn gescheiden, met aparte databases en sleutels.
Geheimenbeheer: API-sleutels en wachtwoorden staan uitsluitend in beveiligde omgevingsbestanden op de server, niet in broncode of versiebeheer; sleutels worden geroteerd bij (vermoeden van) compromittering.
Back-ups: periodieke back-ups van de database met beproefde herstelprocedure.
Updates: besturingssysteem en afhankelijkheden worden regelmatig voorzien van beveiligingsupdates.
Rate limiting: publieke endpoints zijn voorzien van verzoeklimieten om misbruik te beperken.
Incidentprocedure: inbreuken worden gedocumenteerd in een intern register en gemeld conform artikel 9 van deze overeenkomst.
Dit document is een concept en vormt geen juridisch advies. Laat het vóór gebruik toetsen door een jurist.
Vragen over dit document? Mail hallo@solivia.work.