Verwerkersovereenkomst
Bijlage bij de Algemene Voorwaarden van Vastly BV · Versie geldig vanaf juni 2026
Deze Verwerkersovereenkomst (hierna “DPA”) maakt integraal deel uit van de Overeenkomst tussen de Klant en Vastly BV en geeft uitvoering aan artikel 28 van Verordening (EU) 2016/679 (AVG). De Klant treedt op als verwerkingsverantwoordelijke (hierna “Verantwoordelijke”) en Vastly als verwerker (hierna “Verwerker”) voor de persoonsgegevens die via het Platform worden verwerkt. Bij tegenstrijdigheid tussen deze DPA en de overige onderdelen van de Overeenkomst primeert deze DPA voor alle aangelegenheden inzake de verwerking van persoonsgegevens.
Artikel 1. Voorwerp, Rolverdeling en Instructies
1.1 De Verantwoordelijke laat via het Platform persoonsgegevens verwerken. Dit betreft gegevens van de eindklanten van de Verantwoordelijke, zoals huurders, verhuurders, kopers en verkopers.
1.2 De categorieën van persoonsgegevens omvatten onder meer: namen, woon- en contactgegevens, financiële gegevens (zoals loonbrieven), en identificatiegegevens. In voorkomend geval kan dit het rijksregisternummer omvatten; de Verantwoordelijke staat ervoor in dat hij over een geldige rechtsgrond beschikt voor het gebruik van het rijksregisternummer en instrueert de Verwerker dit uitsluitend te verwerken voor zover noodzakelijk voor de dienst.
1.3 De Verwerker verwerkt de persoonsgegevens uitsluitend op basis van de gedocumenteerde instructies van de Verantwoordelijke en in het kader van de uitvoering van de hoofdovereenkomst. Deze DPA, samen met het gebruik van de functionaliteiten van het Platform, geldt als de instructie van de Verantwoordelijke. De Verwerker stelt de Verantwoordelijke in kennis indien een instructie naar zijn oordeel een inbreuk oplevert op de AVG of andere toepasselijke regelgeving inzake gegevensbescherming.
1.4 De Verwerker verwerkt de persoonsgegevens uitsluitend voor de uitvoering van de dienst op instructie van de Verantwoordelijke en niet voor eigen doeleinden. De Verwerker gebruikt geen persoonsgegevens, dossierinhoud of daarvan afgeleide gegevens van de Verantwoordelijke voor de training, ontwikkeling of verbetering van haar diensten of van die van haar subverwerkers, ongeacht of die gegevens al dan niet zijn gepseudonimiseerd. Dit belet de Verwerker niet om louter geaggregeerde, niet tot enige persoon of dossier herleidbare gebruiksstatistieken die uitsluitend betrekking hebben op het Platform en de technische systeemwerking, en niet op de inhoud van dossiers, aan te wenden voor het beheer en de verbetering van de dienst. De verwerking in het kader van de kwaliteitsborging van de dienst wordt beheerst door Artikel 2.
Artikel 2. Kwaliteitsborging en Foutonderzoek
2.1 De geautomatiseerde extractie en generatie kunnen falen of onnauwkeurig zijn. Teneinde de dienst aan de Verantwoordelijke correct te kunnen leveren, kan de Verwerker individuele extractie- of generatieresultaten onderzoeken, met inbegrip van de daarbij betrokken brondocumenten en persoonsgegevens, voor zover dat noodzakelijk is om een vastgestelde of gemelde fout te diagnosticeren en te herstellen. Dit onderzoek vormt een onderdeel van de dienstverlening en geschiedt op instructie en in het belang van de Verantwoordelijke.
2.2 De inzichten die de Verwerker bij dit onderzoek verwerft, worden uitsluitend aangewend voor de dienstverlening aan de betrokken Verantwoordelijke. Het is de Verwerker niet toegestaan om persoonsgegevens of dossierinhoud van de Verantwoordelijke, of daarvan afgeleide voorbeelden, regels of modellen, op te nemen in het algemene Platform, in promptbibliotheken, in trainingsdata of anderszins aan te wenden ten behoeve van andere klanten of de algemene productontwikkeling. Verbeteringen aan het Platform die naar aanleiding van een foutonderzoek worden doorgevoerd, worden uitsluitend op generieke, niet van dossierinhoud afgeleide wijze geïmplementeerd.
2.3 De toegang tot dossierinhoud in het kader van dit onderzoek is beperkt op basis van het need-to-know-beginsel, wordt gelogd, en is onderworpen aan de geheimhoudingsplicht van Artikel 6. De Verwerker beperkt de duur van de toegang tot wat noodzakelijk is voor het herstel van de fout.
Artikel 3. Beveiliging van de Verwerking
3.1 De Verwerker neemt passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking, evenals de gevoeligheid van de betrokken gegevens.
3.2 Deze maatregelen omvatten ten minste: versleuteling van persoonsgegevens tijdens de overdracht door middel van actuele TLS-encryptie; versleuteling of gelijkwaardige bescherming van gegevens in rust; logische toegangscontrole op basis van het need-to-know-beginsel; logging van toegangs- en verwerkingsactiviteiten; en periodieke evaluatie van de doeltreffendheid van de maatregelen.
3.3 De Verwerker garandeert dat de persoonsgegevens worden opgeslagen en verwerkt op infrastructuur die zich binnen de Europese Economische Ruimte (EER) bevindt.
3.4 Doorgifte van persoonsgegevens naar een land buiten de EER vindt niet plaats, tenzij met voorafgaande instemming van de Verantwoordelijke en mits is voldaan aan de voorwaarden van hoofdstuk V AVG, in het bijzonder door middel van een adequaatheidsbesluit of de standaardcontractbepalingen van de Europese Commissie.
3.5 De Verwerker past het beginsel van minimale gegevensverwerking toe op de bijzonder gevoelige gegevenscategorieën. In het bijzonder geldt:
(a) Brondocumenten die door de Verantwoordelijke worden opgeladen met het oog op de extractie van gegevens, zoals loonbrieven en andere financiële bewijsstukken, worden verwerkt overeenkomstig de door de Verantwoordelijke in de interface gemaakte keuze. De Verantwoordelijke kan per dossier instellen of een brondocument na de geautomatiseerde extractie wordt verwijderd dan wel als onderdeel van het dossier wordt bewaard. Bij gebreke van een andersluidende keuze hanteert de Verwerker, conform het beginsel van minimale gegevensverwerking, verwijdering na extractie als standaardinstelling. De Verantwoordelijke is, in zijn hoedanigheid van verwerkingsverantwoordelijke, verantwoordelijk voor de naleving van de op hem rustende wettelijke bewaarverplichtingen.
(b) Het rijksregisternummer wordt uitsluitend verwerkt voor zover noodzakelijk voor het dossier van de Verantwoordelijke en op diens instructie overeenkomstig Artikel 1.2. De toegang tot het rijksregisternummer is beperkt op basis van het need-to-know-beginsel.
(c) De Verwerker verwerkt geen gevoelige gegevenscategorieën voor andere doeleinden dan de uitvoering van de dienst op instructie van de Verantwoordelijke, met inbegrip van de kwaliteitsborging overeenkomstig Artikel 2.
Artikel 4. Subverwerkers
4.1 De Verantwoordelijke verleent de Verwerker een algemene toestemming om subverwerkers in te schakelen voor de uitvoering van de diensten. De Verwerker legt aan elke subverwerker bij overeenkomst dezelfde gegevensbeschermingsverplichtingen op als die welke in deze DPA zijn vastgelegd, en blijft jegens de Verantwoordelijke volledig aansprakelijk voor de naleving daarvan.
4.2 De Verwerker houdt een actuele lijst van subverwerkers bij. De op het ogenblik van inwerkingtreding ingeschakelde subverwerkers zijn opgenomen in Bijlage A bij deze DPA. Deze bijlage vormt de geldende lijst van subverwerkers; de Verwerker stelt de meest recente versie op verzoek ter beschikking.
4.3 De Verwerker informeert de Verantwoordelijke ten minste dertig (30) dagen voorafgaand aan de toevoeging of vervanging van een subverwerker. De Verantwoordelijke kan binnen die termijn op redelijke en gemotiveerde gronden bezwaar maken. Bij gemotiveerd bezwaar overleggen partijen te goeder trouw; kan geen oplossing worden bereikt, dan kan de Verantwoordelijke de betrokken dienst beëindigen.
4.4 De Verwerker bedingt bij zijn subverwerkers dat deze hem zonder onredelijke vertraging en in elk geval tijdig op de hoogte brengen van elke inbreuk in verband met persoonsgegevens, zodanig dat de Verwerker zijn eigen kennisgevingstermijn jegens de Verantwoordelijke overeenkomstig Artikel 6.2 kan naleven.
Artikel 5. Bijstand aan de Verantwoordelijke
5.1 Rekening houdend met de aard van de verwerking verleent de Verwerker, voor zover mogelijk, bijstand aan de Verantwoordelijke door middel van passende technische en organisatorische maatregelen bij het vervullen van diens plicht om verzoeken van betrokkenen tot uitoefening van hun rechten (inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar) te beantwoorden.
5.2 Indien de Verwerker een verzoek van een betrokkene rechtstreeks ontvangt, beantwoordt hij dit niet zelf, maar stuurt hij het zonder onredelijke vertraging door naar de Verantwoordelijke.
5.3 De Verwerker verleent de Verantwoordelijke, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, bijstand bij het waarborgen van de naleving van de verplichtingen inzake beveiliging, melding van inbreuken, gegevensbeschermingseffectbeoordelingen (DPIA) en voorafgaande raadpleging.
Artikel 6. Geheimhouding en Datalekken
6.1 De Verwerker waarborgt dat de personen die gemachtigd zijn de persoonsgegevens te verwerken, zich tot vertrouwelijkheid hebben verbonden. De Verwerker legt dezelfde verplichting op aan zijn subverwerkers.
6.2 In geval van een inbreuk in verband met persoonsgegevens van de Verantwoordelijke stelt de Verwerker de Verantwoordelijke zonder onredelijke vertraging en in beginsel binnen achtenveertig (48) uur na kennisname op de hoogte. De kennisgeving bevat ten minste de aard van de inbreuk, de betrokken categorieën en aantallen, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen, zodat de Verantwoordelijke aan zijn wettelijke meldplichten kan voldoen.
Artikel 7. Audit
7.1 De Verwerker stelt de Verantwoordelijke alle informatie ter beschikking die nodig is om de naleving van de in artikel 28 AVG en in deze DPA neergelegde verplichtingen aan te tonen.
7.2 De Verwerker maakt audits, met inbegrip van inspecties, door de Verantwoordelijke of een door deze gemachtigde auditor mogelijk en draagt daaraan bij. Audits vinden plaats tijdens de kantooruren, na een redelijke voorafgaande kennisgeving van ten minste veertien (14) dagen, ten hoogste eenmaal per jaar behoudens een vermoeden van een inbreuk, en op zodanige wijze dat de bedrijfsvoering van de Verwerker zo min mogelijk wordt verstoord.
Artikel 8. Duur, Wissen en Teruggave van Data
8.1 Deze DPA is geldig voor de duur van de hoofdovereenkomst en zolang de Verwerker persoonsgegevens van de Verantwoordelijke verwerkt.
8.2 Indien de Verantwoordelijke tijdens de looptijd zelf documenten of dossiers wist binnen de interface, worden deze gegevens uit de actieve omgeving verwijderd. Om technische redenen, in het bijzonder de integriteit van back-ups, kunnen deze gegevens nog gedurende een beperkte periode in de back-uparchieven aanwezig blijven alvorens definitief te worden overschreven; back-ups worden niet voor andere doeleinden aangewend.
8.3 Na de definitieve beëindiging van de hoofdovereenkomst blijven de persoonsgegevens gedurende een hersteltermijn van zestig (60) dagen beschikbaar in een afgeschermde omgeving, uitsluitend teneinde de Verantwoordelijke in staat te stellen zijn gegevens te exporteren of een onderbroken dienst te hervatten. De Verantwoordelijke kan, in zijn hoedanigheid van verwerkingsverantwoordelijke, te allen tijde een kortere of langere bewaartermijn dan wel de onmiddellijke teruggave en wissing instrueren; de Verwerker geeft aan een dergelijke instructie gevolg. Bij gebreke van een andersluidende instructie worden de persoonsgegevens na afloop van deze hersteltermijn gewist of geanonimiseerd overeenkomstig 8.4.
8.4 Na het verstrijken van de toepasselijke termijn, of na een instructie tot wissing, worden alle persoonsgegevens definitief, onherroepelijk en uit alle systemen en back-ups gewist of geanonimiseerd, met dien verstande dat anonimisering enkel geldt als alternatief voor wissing voor zover zij onomkeerbaar is en de gegevens redelijkerwijs niet langer tot een betrokkene herleidbaar zijn, tenzij Unierecht of Belgisch recht langere bewaring vereist. De Verwerker bevestigt de wissing op verzoek schriftelijk.
Artikel 9. Aansprakelijkheid
9.1 De aansprakelijkheid van de Verwerker uit hoofde van deze DPA wordt beheerst door de aansprakelijkheidsregeling in de Algemene Voorwaarden, onverminderd de dwingende bepalingen van de AVG, in het bijzonder artikel 82.
Bijlage A — Subverwerkers
Actueel op [datum]. Wijzigingen worden meegedeeld overeenkomstig Artikel 4.3. Deze bijlage vormt de geldende lijst van subverwerkers in de zin van Artikel 4.2.
| Subverwerker | Dienst | Locatie verwerking | Doorgifte buiten EER |
|---|---|---|---|
| [Hosting-/infrastructuurpartij] | Hosting en computing van het Platform | EER | Nee |
| [Objectopslagpartij] | Opslag van documenten en bestanden | EER | Nee |
| [AI-infrastructuurpartij] | Geautomatiseerde verwerking van documenten | EER | Nee |
| [Betalingsdienstaanbieder] | Verwerking van betalingen | EER | Nee |
| [E-mail-/communicatiedienst] | Transactionele en operationele e-mail | [EER / met SCC's] | [Nee / Ja, art. 46 AVG] |
Vul de namen tussen [ ] in met de werkelijke subverwerkers. Indien een dienst buiten de EER verwerkt of onder een niet-EER-moederonderneming valt, vermeld dan de toepasselijke waarborg (adequaatheidsbesluit of SCC's) overeenkomstig Artikel 3.4.
Bijlage B — Verwerkingsregister (artikel 28.3 AVG)
Deze bijlage geeft uitvoering aan de verplichting van artikel 28, lid 3, AVG om het onderwerp, de duur, de aard en het doel van de verwerking, de categorieën van persoonsgegevens en de categorieën van betrokkenen vast te leggen.
| Element | Inhoud |
|---|---|
| Onderwerp van de verwerking | Geautomatiseerde extractie van gegevens uit brondocumenten en geautomatiseerde generatie van vastgoeddocumenten via het Platform. |
| Duur van de verwerking | De duur van de hoofdovereenkomst, vermeerderd met de hersteltermijn en de wis-/bewaartermijnen overeenkomstig Artikel 8. |
| Aard van de verwerking | Opslag, raadpleging, extractie, generatie en wissing, alsook raadpleging in het kader van foutonderzoek overeenkomstig Artikel 2. |
| Doel van de verwerking | Het leveren van het Platform en de daarmee verbonden diensten aan de Verantwoordelijke, op diens instructie. |
| Categorieën van betrokkenen | Eindklanten van de Verantwoordelijke, waaronder huurders, verhuurders, kopers en verkopers. |
| Categorieën van persoonsgegevens | Identificatie- en contactgegevens, financiële gegevens (zoals loonbrieven) en, in voorkomend geval, het rijksregisternummer overeenkomstig Artikel 1.2. |