Verwerkersovereenkomst (AVV)

1. Onderwerp van de overeenkomst

De Verwerker (Luminara AI) verwerkt persoonsgegevens in opdracht van de Verwerkingsverantwoordelijke (Klant) om AI-zichtbaarheidsdiensten te verlenen. De Verwerker zal persoonsgegevens uitsluitend verwerken binnen het kader van de instructies van de Verwerkingsverantwoordelijke.

2. Onderwerp en duur van de verwerking

2.1 Aard en doel van de gegevensverwerking

De Verwerker verwerkt persoonsgegevens ten behoeve van:

• Levering en beheer van de Luminara AI-dienst
• Opslag en verwerking van productgegevens
• Generatie en beschikbaarstelling van gestructureerde JSON-LD-gegevens
• Validatie en kwaliteitsbeoordeling van productinformatie
• E-mailmeldingen en ondersteuningscommunicatie

2.2 Categorieën betrokkenen

• Klanten (gebruikers van het platform)
• Eindklanten van de Verwerkingsverantwoordelijke (indien opgenomen in productgegevens)

2.3 Categorieën verwerkte gegevens

• Stamgegevens (naam, bedrijfsnaam, e-mailadres)
• Contractgegevens (abonnement, gebruiksduur, betalingsstatus)
• Productgegevens (productnamen, prijzen, beschrijvingen, URL's)
• Gebruiksgegevens (inlogtijden, API-toegangen, validatiegeschiedenis)
• Technische gegevens (IP-adressen, browserinformatie, loggegevens)

2.4 Duur van de verwerking

De verwerking vindt plaats gedurende de contractuele relatie tussen de Verwerkingsverantwoordelijke en de Verwerker. Na beëindiging van de overeenkomst worden gegevens verwijderd conform wettelijke bewaartermijnen of op verzoek overhandigd aan de Verwerkingsverantwoordelijke.

3. Verplichtingen van de Verwerker

3.1 Verwerking volgens instructies

De Verwerker verwerkt persoonsgegevens uitsluitend binnen het kader van de gedocumenteerde instructies van de Verwerkingsverantwoordelijke. Instructies kunnen schriftelijk of in elektronische vorm worden gegeven.

3.2 Vertrouwelijkheid

De Verwerker verplicht alle bij de verwerking betrokken personen tot vertrouwelijkheid conform Art. 28(3)(b) AVG. De vertrouwelijkheidsverplichting geldt ook na beëindiging van de overeenkomst.

3.3 Technische en organisatorische maatregelen (TOM)

De Verwerker implementeert de volgende technische en organisatorische maatregelen conform Art. 32 AVG om een passend beschermingsniveau te waarborgen:

• Fysieke toegangscontrole: De servers worden beheerd in IONOS-datacenters in Duitsland. Fysieke toegangscontrole wordt verzorgd door de datacenterbeheerder conform ISO 27001 (toegangsbeperkingen, videobewaking, alarmsystemen).
• Systeemtoegangscontrole: Exclusieve SSH-sleutelauthenticatie (geen root-toegang), fail2ban tegen brute force, tweefactorauthenticatie voor beheerderstoegang, automatische sessietime-out.
• Gegevenstoegangscontrole: JWT-gebaseerde authenticatie, rolgebaseerde rechten (RBAC), principe van minimale rechten, gescheiden gebruikersaccounts voor diensten en beheer.
• Scheidingscontrole: Mandantenscheiding op databaseniveau door middel van handelaar-specifieke externe sleutels. Elke gegevenstoegang wordt via middleware geverifieerd om te garanderen dat deze tot de aanvragende mandant behoort.
• Versleuteling (overdrachtscontrole): TLS 1.3 voor alle gegevensoverdrachten, bcrypt (kostenfactor 12) voor wachtwoorden, VPN-verbinding (WireGuard) tussen web- en databaseserver, HSTS met preload.
• Invoercontrole: Auditlogging van alle schrijfbewerkingen met tijdstempel en gebruikers-ID. Logs worden 90 dagen bewaard en zijn beschermd tegen achteraf wijzigen.
• Beschikbaarheidscontrole: Dagelijkse geautomatiseerde back-ups met 30 dagen bewaring. Back-ups op separate server. Redundante netwerkverbinding door IONOS. Recovery Time Objective (RTO): 4 uur, Recovery Point Objective (RPO): 24 uur.
• Veerkracht (Art. 32(1)(b) AVG): Rate limiting op alle API-endpoints, DDoS-bescherming, automatische herstart van processen bij uitval (PM2), netwerkfirewall met restrictieve regels.
• Incidentrespons: Gedocumenteerd proces voor beveiligingsincidenten. Melding aan de Verwerkingsverantwoordelijke binnen 24 uur na ontdekking. Melding aan de toezichthoudende autoriteit binnen 72 uur conform Art. 33 AVG.

3.4 Ondersteuning van de Verwerkingsverantwoordelijke

De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij:

• Informatieverzoeken van betrokkenen
• Verwijdering of correctie van gegevens
• Gegevensoverdracht (portabiliteit)
• Melding van datalekken

3.5 Verwijdering en teruggave van gegevens

Na beëindiging van de verwerkingsdiensten verwijdert de Verwerker alle persoonsgegevens of overhandigt deze op verzoek aan de Verwerkingsverantwoordelijke. De overdracht geschiedt in een gestructureerd, gangbaar en machineleesbaar formaat (JSON, CSV).

4. Subverwerking

4.1 Autorisatie van subverwerkers

De Verwerker is geautoriseerd subverwerkers in te schakelen. Inschakeling vindt uitsluitend plaats met voorafgaande toestemming van de Verwerkingsverantwoordelijke. De volgende subverwerkers zijn momenteel geautoriseerd:

• Hostingprovider: IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, Duitsland) - Serverlocatie: Karlsruhe, Duitsland
• E-maildienst: IONOS SE (mail.luminara-ai.de, Elgendorfer Str. 57, 56410 Montabaur, Duitsland) - Verzending van transactionele e-mails (wachtwoordherstel, welkomstmails, facturen). Rechtsgrondslag: Art. 6(1)(b) AVG (contractuitvoering). Privacybeleid: https://www.ionos.de/terms-gtc/datenschutzerklaerung/
• Betalingsverwerking: Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, VS) - EU-VS Data Privacy Framework (DPF) gecertificeerd, EU-standaardcontractbepalingen
• Monitoring: Er wordt momenteel geen externe monitoringprovider gebruikt. Systeemmonitoring wordt uitsluitend uitgevoerd via eigen infrastructuur op de IONOS VPS-server in Duitsland.

De Verwerker informeert de Verwerkingsverantwoordelijke over voorgenomen wijzigingen met een opzegtermijn van 30 dagen. De Verwerkingsverantwoordelijke kan binnen deze termijn bezwaar maken.

4.2 Verplichtingen jegens subverwerkers

De Verwerker verplicht subverwerkers tot dezelfde gegevensbeschermingsverplichtingen als geregeld in deze AVV. De Verwerker blijft verantwoordelijk jegens de Verwerkingsverantwoordelijke voor naleving van verplichtingen door subverwerkers.

5. Rechten van de Verwerkingsverantwoordelijke

5.1 Controlerechten

De Verwerkingsverantwoordelijke heeft het recht om de naleving van gegevensbeschermingsregelgeving door de Verwerker te controleren. Dit kan geschieden door:

• Het inwinnen van informatie
• Inzage van relevante documenten
• Inspecties ter plaatse (na voorafgaande kennisgeving)
• Inschakeling van een onafhankelijke auditor

5.2 Recht om instructies te geven

De Verwerkingsverantwoordelijke kan de Verwerker op elk moment instructies geven met betrekking tot de verwerking van persoonsgegevens. Instructies moeten in tekstvorm worden gegeven. De Verwerker informeert de Verwerkingsverantwoordelijke onmiddellijk als een instructie naar mening van de Verwerker in strijd is met gegevensbeschermingsregelgeving.

6. Datalekken

6.1 Melding van datalekken

De Verwerker meldt inbreuken op de bescherming van persoonsgegevens zonder onnodige vertraging aan de Verwerkingsverantwoordelijke, maar uiterlijk 24 uur na het bekend worden van de inbreuk. De melding bevat ten minste:

• Beschrijving van de aard van de inbreuk
• Categorieën en geschat aantal getroffen betrokkenen en gegevensrecords
• Waarschijnlijke gevolgen van de inbreuk
• Genomen of voorgestelde maatregelen om de inbreuk te verhelpen

6.2 Documentatie

De Verwerker documenteert alle datalekken, inclusief de omstandigheden van de inbreuk, de gevolgen ervan en de genomen herstelmaatregelen.

7. Aansprakelijkheid en compensatie

De Verwerker is aansprakelijk voor schade voortvloeiend uit onrechtmatige verwerking van persoonsgegevens. De aansprakelijkheid wordt beheerst door de wettelijke bepalingen van de AVG en de bepalingen van de hoofdovereenkomst.

8. Slotbepalingen

8.1 Looptijd

Deze AVV treedt in werking bij het sluiten van de hoofdovereenkomst en geldt voor de duur van de contractuele relatie. Wijzigingen of aanvullingen van deze AVV vereisen schriftelijke vorm.

8.2 Wijzigingen in wettelijke bepalingen

Bij wijzigingen in de AVG of andere toepasselijke gegevensbeschermingsregelgeving zullen partijen deze AVV in onderling overleg aanpassen.

8.3 Salvatorische clausule

Mochten afzonderlijke bepalingen van deze AVV ongeldig zijn of worden, dan tast dit de geldigheid van de overige bepalingen niet aan. De ongeldige bepaling wordt vervangen door een geldige bepaling die het economische doel van de ongeldige bepaling het dichtst benadert.

8.4 Toepasselijk recht en rechtsgebied

Deze AVV wordt beheerst door het recht van de Bondsrepubliek Duitsland en de Algemene Verordening Gegevensbescherming (AVG) van de EU. Bevoegde rechter is Bochum, Duitsland, zoals vermeld in de hoofd Algemene Voorwaarden.

9. Contact

Voor vragen over deze verwerkersovereenkomst kunt u contact opnemen via:

E-Mail: privacy@luminara-ai.de

De volledige contactgegevens vindt u in ons impressum.