Verwerkersovereenkomst

Verwerkingsverantwoordelijke: De organisatie die RighettiOS gebruikt ("Klant"). Verwerker: RighettiOS B.V. ("Dienstverlener"). Betrokkenen: Medewerkers, klanten en contacten van de Klant. Persoonsgegevens: Alle gegevens van betrokkenen verwerkt via het platform. Sub-verwerker: Een door de Verwerker ingeschakelde derde partij die persoonsgegevens namens de Klant verwerkt. Dpa-versie: De op het moment van acceptance geldende DPA-tekst, vastgelegd in DpaAcceptance + LegalAcceptance.

De Verwerker verwerkt persoonsgegevens uitsluitend in opdracht van de Verwerkingsverantwoordelijke en uitsluitend voor het leveren van de RighettiOS-dienst zoals overeengekomen in de Algemene Voorwaarden. Verwerking voor eigen doeleinden van de Verwerker is uitdrukkelijk niet toegestaan, behoudens wat strikt noodzakelijk is voor het functioneren van de dienst zelf (bv. log-aggregatie, fraud-detectie, security-monitoring). De Verwerker zal géén klant-data gebruiken om derde-partij-AI-modellen te trainen of vooruit-modellen te bouwen ten behoeve van andere klanten. Zie ook art. 4 en /subprocessors.

De Verwerker garandeert: • Vertrouwelijkheid: medewerkers zijn gebonden aan geheimhouding (NDA + arbeidsovereenkomst). • Beveiliging: passende technische en organisatorische maatregelen conform AVG Art. 32 — gedocumenteerd op /security. • Geen doorgifte buiten EU zonder expliciete toestemming van de Klant of een geldige rechtsbasis (SCC, adequacy-besluit). • Melding datalekken aan de Klant binnen 24 uur na ontdekking, met aard, getroffen data en maatregelen. • Medewerking bij inzageverzoeken en uitoefening van rechten betrokkenen (Art. 15-22 AVG). • Verwijdering of teruggave van data binnen 30 dagen na beëindiging van de overeenkomst, behoudens wettelijke bewaarplicht. • Audit-medewerking: jaarlijks één audit door Klant of onafhankelijke derde mogelijk; redelijke kosten voor rekening van Klant.

De Verwerker maakt uitsluitend gebruik van EU-gevestigde sub-verwerkers. De actuele lijst is publiek beschikbaar op /subprocessors en omvat momenteel: • Mollie B.V. (Amsterdam, Nederland) — Betaling- en abonnementsverwerking (iDEAL, kaart, SEPA) • Sendinblue SAS (Parijs, Frankrijk) — Transactionele e-mails (login, reminders, facturen) • Hetzner Online GmbH (Falkenstein & Nürnberg, Duitsland) — Hosting van applicatie-servers en database (EU-regio) • Cloudflare, Inc. (EU-edge (automatic routing)) — CDN, DDoS-bescherming en DNS (EU-edge) • Functional Software, Inc. dba Sentry (EU-region (Frankfurt)) — Foutmelding-tracking voor applicatie-stabiliteit • Onderdeel van RighettiOS infrastructuur (Binnen Hetzner EU-regio) — Primaire database voor alle workspace-data Alle sub-verwerkers vallen onder EU-rechtsmacht. Geen doorgifte van persoonsgegevens buiten de EU in de default-stack. RighettiOS gebruikt klantgegevens nooit voor het trainen, fine-tunen of evalueren van AI-modellen, LLM's of andere machine-learning-systemen. Ook onze sub-processors hebben dit contractueel uitgesloten. De Klant geeft algemene toestemming voor gebruik van bovengenoemde sub-verwerkers. Bij wijzigingen wordt de Klant minimaal 30 dagen van tevoren geïnformeerd via /subprocessors + email-notify (AVG Art. 28 lid 2). Klant heeft recht op bezwaar (objection) tegen een nieuwe sub-verwerker. Legitiem bezwaar = Verwerker biedt alternatief of Klant kan ontbinden zonder kosten. Bezwaar via legal@righettios.com.

De Verwerker implementeert en onderhoudt — gedocumenteerd op /security: • Versleuteling van data in transit (TLS 1.3) en at-rest (AES-256-GCM). • Toegangscontrole op basis van het "need to know" principe — RBAC + 35+ permissies + per-lid overrides. • Audit-logging van alle administratieve en data-mutatie-toegang — HMAC-SHA256 chain, 90+ event-types. • Step-up reauthentication voor gevoelige acties (SSO/SCIM-config, finance-mutaties, data-export). • Backup in meerdere geografische locaties binnen de EU — daily encrypted, 30 dagen retention, 7d PITR. • Interne security-review continu; externe pentest-rapporten beschikbaar voor enterprise-klanten via Settings → Enterprise. • Vulnerability-management — Renovate + npm-audit CI-gate, responsible disclosure programma op /security-disclosure. Wijzigingen in beveiligingsmaatregelen die het beschermingsniveau structureel verlagen, worden vooraf met de Klant gecommuniceerd.

De Verwerkingsverantwoordelijke (Klant) blijft primair verantwoordelijk voor het beantwoorden van verzoeken van betrokkenen onder AVG Art. 15-22. De Verwerker verleent redelijke medewerking en biedt tools voor: • Data-export (CSV + JSON, via Settings → Data exporteren) — self-service, altijd beschikbaar. • Account-verwijdering ("vergeet mij" functie) — soft-delete 30d, daarna hard-delete uit primair + backups binnen 60d totaal. • Rectificatie via de gebruikersinterface — direct door betrokkene of door beheerder uit te voeren. • Bezwaar (Art. 21) en beperking (Art. 18) via privacy@righettios.com. • Dataportabiliteit (Art. 20) via export in machine-leesbare formaten (CSV, JSON, UBL, SAF-T). Voor verzoeken die rechtstreeks bij de Verwerker binnenkomen, wordt de betrokkene doorverwezen naar de Klant tenzij de Klant niet (meer) reageert.

Bij een datalek dat (mogelijk) betrokkenen van de Klant betreft, hanteert de Verwerker: • Melding aan de Klant binnen 24 uur na ontdekking via email + in-app banner. • Beschrijving van de aard van het lek, de getroffen data, de mogelijke gevolgen en de getroffen maatregelen. • Medewerking bij melding aan Garante per la protezione dei dati personali (Garante) door de Klant binnen 72 uur conform AVG Art. 33, waaronder technische details, audit-extracts en breach-runbook-evidence. • Tussentijdse updates aan Klant naarmate onderzoek vordert; final-report binnen 30 dagen na ontdekking. • Postmortem in /changelog (geanonimiseerd) + permanente verbetering in policies. Voor enterprise-klanten contractueel breach-runbook beschikbaar — incident-classification per severity-bucket, escalation-pad, RPO/RTO commitments per scenario.

Deze overeenkomst geldt zolang de Klant gebruik maakt van RighettiOS. Na beëindiging worden alle persoonsgegevens van de Klant binnen 30 dagen verwijderd of teruggegeven, tenzij wettelijke bewaarplicht van toepassing is (NL/BE/SE/AT 7j · DE/FR/IT 10j · ES 6j · PL/GB 5-6j fiscaal). Self-export blijft beschikbaar tot het einde van de looptijd. Klant kan op elk moment workspace-data exporteren via Settings → Data exporteren — CSV + JSON + UBL + SAF-T waar van toepassing. Bij beëindiging door schending van deze DPA door één der partijen: opzegtermijn 30 dagen, met self-export-window van 30 dagen na effectieve datum. Audit-logs worden bewaard voor de wettelijke retention-periode na verwijdering van werk-data.

AVG Art. 28 vereist een schriftelijke verwerkersovereenkomst — "schriftelijk" omvat ook elektronisch (Art. 28 lid 9). Onze app-acceptance via Settings → Compliance → DPA accepteren wordt audit-logged met IP + timestamp + user-agent + DPA-versie. Voor regulated industries (zorg, finance, overheid) leveren we daarnaast een PDF-gesigneerde versie via legal@righettios.com.

Workspace-eigenaar uploadt eigen DPA via Settings → Compliance → Custom DPA. Die wordt juridisch dominant boven onze standaard-tekst voor jouw workspace. Versionering + acceptance-flow + immutable audit. Voor zware juridische review: stuur jouw template naar legal@righettios.com — typisch 3-5 werkdagen turnaround.

Onze SLA: melding aan jou binnen 24 uur na ontdekking, met aard van het lek + getroffen data + maatregelen. Jij bent als controller verantwoordelijk voor melding aan toezichthouder binnen 72 uur (AVG Art. 33) — wij leveren technische details + audit-extracts. Voor enterprise-klanten contractueel breach-runbook beschikbaar.

Ja, voor AVG Art. 35 high-risk verwerkingen leveren we onze "DPIA building blocks": data-flow-diagram, sub-processor-mapping, beveiligingsmaatregelen-overzicht (Art. 32), retention-overview en TIA-template. Aanvragen via legal@righettios.com.

30 dagen vóór effectieve datum publiceren we de wijziging op /subprocessors + email-notify aan workspace-owners. Klant heeft recht op bezwaar (objection); legitiem bezwaar = wij bieden alternatief of klant kan ontbinden zonder kosten. Geen surprises, geen stille toevoegingen.

Nee in de default-stack. Alle sub-processors (Hetzner DE · Mollie NL · Brevo FR · Sentry EU-region) verwerken binnen de EU. Cloudflare gebruikt EU-edge routing met Standard Contractual Clauses (SCC 2021) voor edge-fallback. Sovereign-deployment uit-bouwt zelfs Cloudflare en Sentry.

Zelf-export blijft beschikbaar tot het einde — Account → Data exporteren · CSV + JSON. Bij faillissement is er een escrow-arrangement (in opzet) waarbij een onafhankelijke partij de data tijdelijk beheert en exports faciliteert. Daarnaast: encrypted off-site backups bij tweede Hetzner-DC die bij continuiteits-event toegankelijk zijn voor curator. Werkt aan formele exit-plan voor enterprise.

Ja. Alle pagina-versies (DPA, privacy, voorwaarden, sub-processors) zijn publiek — niet achter login. PDF-export van actuele DPA via knop op deze pagina. Versie-history beschikbaar in compliance-PDF (Settings → Enterprise → Compliance-rapport).

Workspace.country bepaalt default: NL/BE/SE/AT 7 jaar · DE/FR/IT 10 jaar · ES 6 jaar · PL 5 jaar · GB 6 jaar. Workspace-owner kan customiseren binnen wettelijke minima. Audit-log retention apart configurabel. Soft-delete 30d voor rollback; hard-delete daarna binnen 7 dagen.

Per workspace eigen DPA-acceptance. Concern-parent kan policy-cascade afdwingen voor onderliggende workspaces (custom-DPA-upload door parent geldt voor children). Cross-workspace queries worden geaudit; workspaceId-filter blijft hard. Zie /dpa?jurisdiction= voor land-specifieke clausules.