Verwerkersovereenkomst
Versie: 10 juli 2026 · Status: concept ter juridische review
Deze verwerkersovereenkomst (“DPA”) maakt integraal onderdeel uit van de overeenkomst tussen:
- De klant, zijnde de partij die gebruikmaakt van Ai-verkeer.nl en die het doel van en de middelen voor de verwerking van persoonsgegevens via haar website bepaalt, hierna: “Verwerkingsverantwoordelijke”; en
- Procesgroei, een eenmanszaak naar Nederlands recht, handelend onder de naam Ai-verkeer.nl, hierna: “Verwerker”.
Deze DPA is van toepassing voor zover Verwerker in het kader van de dienstverlening persoonsgegevens verwerkt ten behoeve van Verwerkingsverantwoordelijke in de zin van artikel 28 AVG.
1. Onderwerp en reikwijdte
1.1 Deze DPA regelt de verwerking van persoonsgegevens door Verwerker namens Verwerkingsverantwoordelijke in verband met het aanbieden van de Ai-verkeer.nl dienst, waaronder analytics, bronclassificatie, dashboarding, crawlerdetectie en optionele AI-analysefuncties.
1.2 Deze DPA ziet uitsluitend op persoonsgegevens die Verwerker namens Verwerkingsverantwoordelijke verwerkt via het script, de backend, het dashboard en daarmee samenhangende technische infrastructuur van Ai-verkeer.nl.
1.3 Voor account-, facturatie- en abonnementsgegevens van Verwerkingsverantwoordelijke of diens gebruikers treedt Verwerker niet op als verwerker maar als zelfstandig verwerkingsverantwoordelijke; op die verwerkingen is deze DPA niet van toepassing.
2. Doel, aard en duur van de verwerking
2.1 Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van website analytics SaaS aan Verwerkingsverantwoordelijke, waaronder het verzamelen, ontvangen, opslaan, structureren, analyseren, classificeren, tonen, beveiligen en verwijderen van eventdata en afgeleide statistieken.
2.2 De verwerking heeft betrekking op het meten van verkeer vanaf AI-platforms en andere referrers, het tonen van inzichten in dashboards, het detecteren van crawlerverkeer en, indien geactiveerd, het genereren van AI-gebaseerde contentaanbevelingen op basis van geaggregeerde verkeersgegevens.
2.3 De verwerking vindt plaats gedurende de looptijd van de hoofdovereenkomst en, daarna, gedurende een beperkte periode voor herstel, verwijdering, beveiliging, back-upafhandeling en nakoming van wettelijke verplichtingen, voor zover toegestaan onder toepasselijk recht.
3. Categorieën persoonsgegevens en betrokkenen
3.1 Verwerker kan namens Verwerkingsverantwoordelijke de volgende categorieën persoonsgegevens verwerken:
- URL en path van bezochte pagina’s;
- paginatitel;
- referrer-URL;
- UTM-parameters;
- timestamp;
- browsertaal;
- apparaattype;
- afgeleide bronclassificaties zoals source_name, source_category, is_ai_referral en landing-status;
- landcode op basis van geolocatie;
- een sessie-identificatie op basis van gehashte en getrunceerde signalen;
- user-agent en pad van crawlerverkeer.
3.2 Verwerker beoogt niet om namens Verwerkingsverantwoordelijke volledige IP-adressen, page content, formulierinhoud of rechtstreeks identificerende bezoekersgegevens zoals naam of e-mailadres van sitebezoekers op te slaan, behoudens voor zover deze onbedoeld voorkomen in URL’s, referrers of andere door Verwerkingsverantwoordelijke aangeleverde metadata.
3.3 Betrokkenen zijn in beginsel bezoekers van de website(s) van Verwerkingsverantwoordelijke en, voor zover relevant, gebruikers of vertegenwoordigers van Verwerkingsverantwoordelijke die toegang hebben tot de dienst.
4. Instructies van Verwerkingsverantwoordelijke
4.1 Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van Verwerkingsverantwoordelijke, tenzij een op Verwerker rustende wettelijke verplichting anders voorschrijft. In dat geval informeert Verwerker Verwerkingsverantwoordelijke daarover voorafgaand aan de verwerking, tenzij het recht die informatieverstrekking verbiedt.
4.2 De plaatsing en configuratie van het script, de selectie van pagina’s waarop het script draait, de inrichting van URL-structuren en het al dan niet activeren van aanvullende functies gelden als instructies van Verwerkingsverantwoordelijke in de zin van deze DPA.
4.3 Verwerker zal Verwerkingsverantwoordelijke informeren indien naar het oordeel van Verwerker een instructie in strijd lijkt met de AVG of andere toepasselijke privacywetgeving, zonder daarmee gehouden te zijn tot inhoudelijke juridische advisering.
5. Verplichtingen van Verwerkingsverantwoordelijke
5.1 Verwerkingsverantwoordelijke staat ervoor in dat voor de verwerking van persoonsgegevens via Ai-verkeer.nl een geldige rechtsgrondslag bestaat en dat betrokkenen op correcte wijze worden geïnformeerd, voor zover wettelijk vereist.
5.2 Verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatigheid van de implementatie van het script op de eigen website, inclusief de vraag of toestemming, een cookiebanner of aanvullende informatieplichten nodig zijn onder de AVG, ePrivacy-regels of andere toepasselijke wetgeving.
5.3 Verwerkingsverantwoordelijke zal het script niet inzetten op pagina’s of in contexten waarin URL’s, referrers of queryparameters bijzondere categorieën persoonsgegevens of strafrechtelijke gegevens kunnen bevatten, zoals pagina’s over gezondheid, religie, politieke opvattingen, seksuele geaardheid, biometrie of strafrechtelijke zaken.
6. Geheimhouding
6.1 Verwerker waarborgt dat personen die onder zijn gezag handelen en toegang hebben tot persoonsgegevens zich hebben verbonden tot geheimhouding of door een passende wettelijke geheimhoudingsplicht zijn gebonden.
6.2 Verwerker verstrekt persoonsgegevens uitsluitend aan medewerkers of hulppersonen voor zover dit noodzakelijk is voor de uitvoering van de dienstverlening volgens het need-to-know beginsel.
7. Beveiliging
7.1 Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies en tegen enige vorm van onrechtmatige verwerking, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard van de verwerking en de risico’s voor betrokkenen.
7.2 Deze maatregelen omvatten, voor zover passend binnen de dienstverlening, onder meer:
- transportbeveiliging via TLS;
- hashing van wachtwoorden voor accounts;
- gebruik van secure HttpOnly cookies voor authenticatie;
- logische netwerkafscherming en beperkte externe blootstelling van services;
- truncatie van IP-adressen voorafgaand aan sessiehashing;
- beperking van toegang tot productieomgevingen en geheimen;
- monitoring, logging en overige redelijke beveiligingsmaatregelen passend bij de dienst.
7.3 Verwerker mag beveiligingsmaatregelen van tijd tot tijd wijzigen of vervangen, mits het beveiligingsniveau in redelijkheid passend blijft gelet op de risico’s van de verwerking.
8. Bijstand aan Verwerkingsverantwoordelijke
8.1 Verwerker verleent, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, redelijke bijstand aan Verwerkingsverantwoordelijke bij het voldoen aan diens verplichtingen onder de AVG, waaronder verzoeken van betrokkenen, datalekmeldingen, beveiligingsincidenten, DPIA’s en overleg met toezichthouders, voor zover wettelijk vereist en voor zover dit redelijkerwijs mogelijk is.
8.2 Indien een betrokkene zich rechtstreeks tot Verwerker wendt met een verzoek dat betrekking heeft op persoonsgegevens die Verwerker namens Verwerkingsverantwoordelijke verwerkt, zal Verwerker het verzoek zonder onredelijke vertraging doorgeleiden aan Verwerkingsverantwoordelijke, tenzij Verwerker daartoe wettelijk verplicht is zelf op te treden.
9. Datalekken en incidenten
9.1 Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging nadat hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens die betrekking heeft op persoonsgegevens die onder deze DPA worden verwerkt.
9.2 De melding bevat, voor zover beschikbaar, ten minste informatie over:
- de aard van het incident;
- de vermoedelijke gevolgen;
- de getroffen of voorgestelde mitigerende maatregelen;
- de categorieën persoonsgegevens en betrokkenen waarop het incident betrekking heeft;
- een contactpunt voor verdere afstemming.
9.3 Verwerker ondersteunt Verwerkingsverantwoordelijke redelijkerwijs bij het verzamelen van informatie die nodig is om te beoordelen of melding aan de Autoriteit Persoonsgegevens of betrokkenen vereist is. De verantwoordelijkheid voor een eventuele melding aan toezichthouder of betrokkene berust bij Verwerkingsverantwoordelijke, tenzij de wet anders bepaalt.
10. Sub-verwerkers
10.1 Verwerkingsverantwoordelijke verleent hierbij een algemene schriftelijke toestemming voor het inschakelen van sub-verwerkers door Verwerker, mits Verwerker Verwerkingsverantwoordelijke informeert over relevante wijzigingen in die sub-verwerkerslijst via de website, de privacyverklaring, een trustpagina of een andere redelijke kennisgevingsmethode.
10.2 Verwerker zal met sub-verwerkers schriftelijke afspraken maken die in wezen een gelijkwaardig niveau van gegevensbescherming waarborgen als opgenomen in deze DPA, voor zover vereist onder artikel 28 AVG.
10.3 De actuele sub-verwerkerslijst is beschikbaar op /sub-processors/ en omvat onder meer: hosting- en infrastructuurproviders (Hetzner), edge-, DNS- en tunneldiensten (Cloudflare), e-mailproviders (Resend), betaalproviders (Stripe, voor zover relevant buiten de scope van deze DPA), en AI-providers (Anthropic) voor zover geaggregeerde gegevens voor aanbevelingsfunctionaliteit worden verwerkt.
10.4 Indien Verwerkingsverantwoordelijke redelijke en gemotiveerde bezwaren heeft tegen een nieuwe sub-verwerker die een wezenlijk privacy- of beveiligingsrisico oplevert, zullen partijen in overleg treden over een redelijke oplossing. Indien geen redelijke oplossing mogelijk is, kan Verwerkingsverantwoordelijke het relevante deel van de dienst beëindigen.
11. Internationale doorgiften
11.1 Verwerker zal persoonsgegevens in beginsel binnen de Europese Economische Ruimte verwerken of laten opslaan, voor zover dit onderdeel is van de standaardinrichting van de dienst.
11.2 Indien Verwerker persoonsgegevens buiten de Europese Economische Ruimte verwerkt of laat verwerken, zal Verwerker passende waarborgen toepassen voor zover vereist onder de AVG, zoals standaardcontractbepalingen of een andere geldige doorgiftegrondslag.
11.3 Voor AI-functionaliteit kan het voorkomen dat geaggregeerde gegevens of beperkte metadata worden gedeeld met een in de Verenigde Staten gevestigde AI-provider. Voor zover in een specifiek geval persoonsgegevens worden doorgegeven, zullen passende waarborgen worden toegepast voor zover wettelijk vereist.
12. Audits en informatieverstrekking
12.1 Verwerker stelt Verwerkingsverantwoordelijke op redelijk verzoek de informatie ter beschikking die nodig is om naleving van deze DPA en van artikel 28 AVG aan te tonen, voor zover die informatie redelijkerwijs beschikbaar is en geen onevenredige inbreuk maakt op de rechten van andere klanten, de beveiliging van systemen of vertrouwelijke bedrijfsinformatie.
12.2 Een audit door Verwerkingsverantwoordelijke of een door haar aangewezen onafhankelijke derde vindt uitsluitend plaats:
- na redelijke voorafgaande kennisgeving;
- tijdens normale kantooruren;
- niet vaker dan eenmaal per twaalf maanden, tenzij er een aantoonbaar ernstig incident of redelijk vermoeden van niet-naleving bestaat;
- op een wijze die de continuïteit, beveiliging en vertrouwelijkheid van de dienst niet onredelijk verstoort.
12.3 De kosten van audits komen in beginsel voor rekening van Verwerkingsverantwoordelijke, tenzij uit de audit blijkt dat Verwerker wezenlijk tekortschiet in de nakoming van deze DPA.
13. Verwijdering en teruggave bij einde dienstverlening
13.1 Na beëindiging van de verwerkingsdiensten zal Verwerker, naar keuze van Verwerkingsverantwoordelijke en voor zover technisch redelijk mogelijk binnen de standaarddienst, de persoonsgegevens verwijderen of retourneren, tenzij opslag van de persoonsgegevens wettelijk verplicht is.
13.2 Voor zover de standaarddienst geen geautomatiseerde export- of verwijderfunctionaliteit bevat, kan uitvoering plaatsvinden via support of een redelijke operationele procedure.
13.3 Back-ups en logbestanden mogen gedurende een beperkte periode behouden blijven voor beveiliging, herstel en integriteitsdoeleinden, mits verdere verwerking wordt beperkt en uiteindelijke verwijdering binnen een redelijke termijn plaatsvindt.
14. Aansprakelijkheid
14.1 De aansprakelijkheid van partijen onder deze DPA volgt, tenzij uitdrukkelijk anders bepaald, het aansprakelijkheidsregime uit de hoofdovereenkomst of toepasselijke algemene voorwaarden, voor zover wettelijk toegestaan.
14.2 Niets in deze DPA beperkt of sluit aansprakelijkheid uit voor zover zulks niet is toegestaan onder dwingend recht, waaronder de rechtstreeks toepasselijke aansprakelijkheidsregels van de AVG.
15. Rangorde
15.1 In geval van strijdigheid tussen deze DPA en de hoofdovereenkomst, prevaleert deze DPA voor zover het de verwerking van persoonsgegevens namens Verwerkingsverantwoordelijke betreft.
16. Toepasselijk recht en forum
16.1 Op deze DPA is uitsluitend Nederlands recht van toepassing.
16.2 Geschillen die voortvloeien uit of verband houden met deze DPA worden voorgelegd aan de bevoegde rechter in het arrondissement Gelderland, tenzij dwingend recht anders voorschrijft.
Bijlage 1 — Beschrijving van de verwerking
| Dienst | Website analytics SaaS voor inzicht in AI-verkeer, referrers, landingspagina's, crawlerdetectie en optionele AI-aanbevelingen |
|---|---|
| Onderwerp | Verwerking van website-eventdata namens klant |
| Duur | Looptijd hoofdovereenkomst + beperkte periode voor back-up, herstel, beveiliging en verwijdering |
| Betrokkenen | Websitebezoekers van klant, en voor zover relevant gebruikers van klant |
| Categorieën persoonsgegevens | URL/path, paginatitel, referrer, UTM-parameters, timestamp, browsertaal, device type, gehashte sessie-ID, landcode, crawler user-agent/path |
| Doeleinden | Analytics, bronclassificatie, dashboarding, crawlerdetectie, geaggregeerde AI-aanbevelingen |
| Bijzondere persoonsgegevens | Niet beoogd; klant mag script niet inzetten waar dergelijke gegevens kunnen lekken via URL/referrer/queryparameters |
| Verwijdertermijnen | Free 30 dagen, Starter 90 dagen, Pro 365 dagen, behoudens afwijkende afspraken of wettelijke plichten |
| Sub-verwerkers | Hetzner, Cloudflare, Resend, Stripe (voor zover relevant), Anthropic |
| Doorgiften buiten EER | Mogelijk bij AI-functionaliteit of andere leveranciers, met passende waarborgen indien vereist |
Bijlage 2 — Minimale beveiligingsmaatregelen
- TLS voor transport van gegevens;
- authenticatie met veilige sessiecookies;
- hashing van wachtwoorden;
- logische segmentatie van diensten en beperkte netwerkblootstelling;
- IP-truncatie voorafgaand aan sessiehashing;
- beperking van toegangsrechten tot bevoegde personen;
- redelijke logging, monitoring en incidentafhandeling;
- beheer van geheimen buiten de codebase;
- organisatorische maatregelen rond vertrouwelijkheid en toegang.