Data Processing Agreement

Verwerkingsverantwoordelijke: De organisatie die RighettiOS gebruikt ("Klant"). Verwerker: Righetti B.V. ("Dienstverlener"). Betrokkenen: Medewerkers, klanten en contacten van de Klant. Persoonsgegevens: Alle gegevens van betrokkenen verwerkt via het platform. Sub-verwerker: Een door de Verwerker ingeschakelde derde partij die persoonsgegevens namens de Klant verwerkt. Dpa-versie: De op het moment van acceptance geldende DPA-tekst, vastgelegd in DpaAcceptance + LegalAcceptance.

De Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van de Verwerkingsverantwoordelijke en uitsluitend voor het leveren van de RighettiOS-dienst zoals overeengekomen in de Algemene Voorwaarden. Verwerking voor eigen doeleinden van de Verwerker is uitdrukkelijk niet toegestaan, behoudens wat strikt noodzakelijk is voor het functioneren van de dienst zelf (bv. log-aggregatie, fraud-detectie, security-monitoring). De Verwerker zal géén klant-data gebruiken om derde-partij-AI-modellen te trainen of vooruit-modellen te bouwen ten behoeve van andere klanten. Zie ook art. 4 en /subprocessors.

De Verwerker garandeert: • Vertrouwelijkheid: medewerkers zijn gebonden aan geheimhouding (NDA + arbeidsovereenkomst). • Beveiliging: passende technische en organisatorische maatregelen conform AVG Art. 32 — gedocumenteerd op /security. • Geen doorgifte buiten EU zonder expliciete toestemming van de Klant of een geldige rechtsbasis (SCC, adequacy-besluit). • Melding datalekken aan de Klant binnen 24 uur na ontdekking, met aard, getroffen data en maatregelen. • Medewerking bij inzageverzoeken en uitoefening van rechten betrokkenen (Art. 15-22 AVG). • Verwijdering of teruggave van data binnen 30 dagen na beëindiging van de overeenkomst, behoudens wettelijke bewaarplicht. • Audit-medewerking: jaarlijks één audit door Klant of onafhankelijke derde mogelijk; redelijke kosten voor rekening van Klant.

De Verwerker maakt uitsluitend gebruik van EU-gevestigde sub-verwerkers. De actuele lijst is publiek beschikbaar op /subprocessors en omvat momenteel: • Mollie B.V. (Amsterdam, Nederland) — Betaling- en abonnementsverwerking (iDEAL, kaart, SEPA) • Sendinblue SAS (Parijs, Frankrijk) — Transactionele e-mails (login, reminders, facturen) • Hetzner Online GmbH (Falkenstein & Nürnberg, Duitsland) — Hosting van applicatie-servers en database (EU-regio) • Storecove B.V. (Amsterdam, Nederland) — E-invoicing-routing via Peppol-netwerk (actief bij e-facturatie) • Onderdeel van RighettiOS infrastructuur (Binnen Hetzner EU-regio) — Primaire database voor alle workspace-data Alle sub-verwerkers vallen onder EU-rechtsmacht. Geen doorgifte van persoonsgegevens buiten de EU in de default-stack. RighettiOS gebruikt klantgegevens nooit voor het trainen, fine-tunen of evalueren van AI-modellen, LLM's of andere machine-learning-systemen. Ook onze sub-processors hebben dit contractueel uitgesloten. De Klant geeft algemene toestemming voor gebruik van bovengenoemde sub-verwerkers. Bij wijzigingen wordt de Klant minimaal 30 dagen van tevoren geïnformeerd via /subprocessors + email-notify (AVG Art. 28 lid 2). Klant heeft recht op bezwaar (objection) tegen een nieuwe sub-verwerker. Legitiem bezwaar = Verwerker biedt alternatief of Klant kan ontbinden zonder kosten. Bezwaar via legal@righettios.com.

De Verwerker implementeert en onderhoudt — gedocumenteerd op /security: • Versleuteling van data in transit (TLS 1.2/1.3) en at-rest (AES-256-GCM). • Toegangscontrole op basis van het "need to know" principe — RBAC + 35+ permissies + per-lid overrides. • Audit-logging van alle administratieve en data-mutatie-toegang — HMAC-SHA256 chain, 200+ AuditAction types. • Step-up reauthentication voor gevoelige acties (SSO/SCIM-config, finance-mutaties, data-export). • Dagelijkse versleutelde back-up naar een off-site EU-opslaglocatie — 30 dagen retentie, RPO ~24 uur. • Interne security-review continu; externe pentest-rapporten beschikbaar voor enterprise-klanten via Settings → Enterprise. • Vulnerability-management — npm-audit + dependency-pinning, responsible disclosure programma op /security-disclosure. Wijzigingen in beveiligingsmaatregelen die het beschermingsniveau structureel verlagen, worden vooraf met de Klant gecommuniceerd.

De Verwerkingsverantwoordelijke (Klant) blijft primair verantwoordelijk voor het beantwoorden van verzoeken van betrokkenen onder AVG Art. 15-22. De Verwerker verleent redelijke medewerking en biedt tools voor: • Data-export (ZIP met JSON + bijlagen, via Instellingen → Data exporteren) — self-service voor OWNER/ADMIN, met step-up reauth. • Account-verwijdering ("vergeet mij" functie) — soft-delete 30d, daarna hard-delete uit primair + backups binnen 60d totaal. • Rectificatie via de gebruikersinterface — direct door betrokkene of door beheerder uit te voeren. • Bezwaar (Art. 21) en beperking (Art. 18) via legal@righettios.com. • Dataportabiliteit (Art. 20) via een ZIP met JSON (+ bijlagen) — machine-leesbaar. UBL/SAF-T/SIE zijn aparte finance-export-functies, geen onderdeel van de portabiliteits-export. Voor verzoeken die rechtstreeks bij de Verwerker binnenkomen, wordt de betrokkene doorverwezen naar de Klant tenzij de Klant niet (meer) reageert.

Bij een datalek dat (mogelijk) betrokkenen van de Klant betreft, hanteert de Verwerker: • Melding aan de Klant binnen 24 uur na ontdekking via email + in-app banner. • Beschrijving van de aard van het lek, de getroffen data, de mogelijke gevolgen en de getroffen maatregelen. • Medewerking bij melding aan Information Commissioner's Office (ICO) door de Klant binnen 72 uur conform AVG Art. 33, waaronder technische details, audit-extracts en breach-runbook-evidence. • Tussentijdse updates aan Klant naarmate onderzoek vordert; final-report binnen 30 dagen na ontdekking. • Postmortem in /changelog (geanonimiseerd) + permanente verbetering in policies. Voor enterprise-klanten contractueel breach-runbook beschikbaar — incident-classification per severity-bucket, escalation-pad, RPO/RTO commitments per scenario.

Deze overeenkomst geldt zolang de Klant gebruik maakt van RighettiOS. Na beëindiging worden alle persoonsgegevens van de Klant binnen 30 dagen verwijderd of teruggegeven, tenzij wettelijke bewaarplicht van toepassing is (NL/BE/SE/AT 7j · DE/FR/IT 10j · ES/GB 6j · PL 5j fiscaal). Self-export blijft beschikbaar tot het einde van de looptijd. Klant kan op elk moment workspace-data exporteren via Instellingen → Data exporteren — een ZIP met JSON + bijlagen. UBL/SAF-T/SIE zijn aparte finance-export-functies. Bij beëindiging door schending van deze DPA door één der partijen: opzegtermijn 30 dagen, met self-export-window van 30 dagen na effectieve datum. Audit-logs worden bewaard voor de wettelijke retention-periode na verwijdering van werk-data.

AVG Art. 28 vereist een schriftelijke verwerkersovereenkomst — "schriftelijk" omvat ook elektronisch (Art. 28 lid 9). De standaard-DPA wordt automatisch geaccepteerd bij het aanmaken van de workspace, audit-logged met IP + timestamp + user-agent + DPA-versie (DpaAcceptance + LegalAcceptance). Voor regulated industries (zorg, finance, overheid) leveren we daarnaast een PDF-gesigneerde versie via legal@righettios.com.

OWNER/ADMIN stelt een eigen DPA in als URL naar het eigen DPA-document via Instellingen → Enterprise/Beveiliging (Enterprise-feature, met step-up reauth). Die wordt juridisch dominant boven onze standaard-tekst voor jouw workspace. Versionering + acceptance-flow + immutable audit. Voor zware juridische review: stuur jouw template naar legal@righettios.com — typisch 3-5 werkdagen turnaround.

Onze SLA: melding aan jou binnen 24 uur na ontdekking, met aard van het lek + getroffen data + maatregelen. Jij bent als controller verantwoordelijk voor melding aan toezichthouder binnen 72 uur (AVG Art. 33) — wij leveren technische details + audit-extracts. Voor enterprise-klanten contractueel breach-runbook beschikbaar.

Ja, voor AVG Art. 35 high-risk verwerkingen leveren we onze "DPIA building blocks": data-flow-diagram, sub-processor-mapping, beveiligingsmaatregelen-overzicht (Art. 32), retention-overview en TIA-template. Aanvragen via legal@righettios.com.

30 dagen vóór effectieve datum publiceren we de wijziging op /subprocessors + email-notify aan workspace-owners. Klant heeft recht op bezwaar (objection); legitiem bezwaar = wij bieden alternatief of klant kan ontbinden zonder kosten. Geen surprises, geen stille toevoegingen.

Nee in de default-stack. Alle sub-processors (Hetzner DE · Mollie NL · Brevo FR · Storecove NL) verwerken binnen de EU. Er zit geen edge-/CDN-tussenpartij voor de deur: rate-/connection-limiting draait self-hosted op onze eigen Hetzner-nginx en DDoS-mitigatie loopt via Hetzner zelf, niet via een externe edge. Error-tracking staat standaard uit; indien geactiveerd, draait dit op self-hosted GlitchTip op Hetzner DE (nooit sentry.io) — geen data naar derden.

Zelf-export blijft beschikbaar tot het einde — Account → Data exporteren · JSON. Bij faillissement is er een escrow-arrangement (in opzet) waarbij een onafhankelijke partij de data tijdelijk beheert en exports faciliteert. Daarnaast: encrypted off-site backups op een Hetzner Storage Box in een ander Hetzner-datacenter (Nürnberg DE) die bij continuiteits-event toegankelijk zijn voor curator. Werkt aan formele exit-plan voor enterprise.

Ja. Alle pagina-versies (DPA, privacy, voorwaarden, sub-processors) zijn publiek leesbaar — niet achter login. Een PDF/gesigneerde versie van de actuele DPA is op te vragen via legal@righettios.com. Versie-history beschikbaar in compliance-PDF (Settings → Enterprise → Compliance-rapport).

Workspace.country bepaalt default: NL/BE/SE/AT 7 jaar · DE/FR/IT 10 jaar · ES/GB 6 jaar · PL 5 jaar. Workspace-owner kan customiseren binnen wettelijke minima. Audit-log retention apart configurabel. Soft-delete 30d voor rollback; hard-delete daarna binnen 7 dagen.

Per workspace eigen DPA-acceptance. Concern-parent kan policy-cascade afdwingen voor onderliggende workspaces (custom-DPA ingesteld door parent geldt voor children). Cross-workspace queries worden geaudit; workspaceId-filter blijft hard. Zie /dpa?jurisdiction= voor land-specifieke clausules.