Name: Praat met je Boekhouding
Author: Chef Data B.V.

Partijen

Verwerkingsverantwoordelijke ("Klant")

Bedrijfsnaam

Adres

KvK-nummer

Contactpersoon

E-mail

Verwerker ("Chef Data")

Chef Data B.V.

Marconistraat 23, 1223BP Hilversum

KvK-nummer: 96120924

Vertegenwoordigd door: de directie

Hierna gezamenlijk "Partijen" en ieder afzonderlijk "Partij".

Overwegingen

A. Klant maakt gebruik van de dienst "Praat met je Boekhouding" van Chef Data (de "Dienst").
B. Bij het leveren van de Dienst verwerkt Chef Data persoonsgegevens ten behoeve van Klant.
C. Partijen wensen hun afspraken over de verwerking van persoonsgegevens vast te leggen conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG).

Artikel 1 - Definities

1.1 Begrippen in deze Verwerkersovereenkomst die in de AVG zijn gedefinieerd, hebben de betekenis zoals in de AVG bepaald.
1.2 Persoonsgegevens: alle persoonsgegevens die Chef Data verwerkt ten behoeve van Klant in het kader van de Dienst.
1.3 Sub-verwerker: een derde partij die Chef Data inschakelt voor de verwerking van Persoonsgegevens.
1.4 Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot Persoonsgegevens.

Artikel 2 - Onderwerp en duur

2.1 Onderwerp: Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Chef Data ten behoeve van Klant in het kader van de Dienst.
2.2 Duur: Deze Verwerkersovereenkomst is van kracht zolang Chef Data Persoonsgegevens verwerkt ten behoeve van Klant.
2.3 Beëindiging: Bij beëindiging van de Hoofdovereenkomst eindigt deze Verwerkersovereenkomst van rechtswege.

Artikel 3 - Aard en doel van de verwerking

3.1 Chef Data verwerkt Persoonsgegevens uitsluitend voor de volgende doeleinden:
- het ophalen van boekhouddata uit Exact Online via API;
- het doorsturen van boekhouddata naar de AI-assistent die Klant gebruikt;
- het bijhouden van gebruiksstatistieken (geanonimiseerd);
- het beveiligen en onderhouden van de Dienst.
3.2 De aard van de verwerking betreft:
- het tijdelijk in het geheugen laden van gegevens;
- het transformeren van data naar AI-compatibel formaat;
- het via beveiligde verbinding doorsturen naar AI-provider;
- expliciet NIET: het permanent opslaan van boekhouddata.

Artikel 4 - Soorten Persoonsgegevens en categorieën betrokkenen

4.1 Soorten Persoonsgegevens

Categorie	Voorbeelden
Identificatiegegevens	Naam, bedrijfsnaam, contactpersoon
Contactgegevens	E-mailadres, telefoonnummer, adres
Financiële gegevens	IBAN, factuurbedragen, betalingsstatus
Transactiegegevens	Factuurregels, boekingsdata, omschrijvingen
Zakelijke gegevens	Debiteur/crediteur informatie, BTW-nummers

4.2 Categorieën betrokkenen

Klanten van Klant (debiteuren)
Leveranciers van Klant (crediteuren)
Medewerkers van Klant (indien in administratie)
Contactpersonen bij relaties van Klant

Artikel 5 - Verplichtingen van Chef Data

5.1 Chef Data zal:

a. Instructies naleven: Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van Klant, inclusief de instructies in deze Verwerkersovereenkomst, tenzij verwerking vereist is op grond van Unierecht of lidstaatrecht;
b. Vertrouwelijkheid: ervoor zorgen dat personen die Persoonsgegevens verwerken zich hebben verbonden aan geheimhouding;
c. Beveiligingsmaatregelen: passende technische en organisatorische maatregelen nemen om een beveiligingsniveau te waarborgen dat past bij het risico (zie Bijlage 1);
d. Sub-verwerkers: alleen Sub-verwerkers inschakelen met voorafgaande schriftelijke toestemming van Klant en onder dezelfde verplichtingen (zie Bijlage 2);
e. Bijstand rechten betrokkenen: Klant bijstaan bij het beantwoorden van verzoeken van betrokkenen tot uitoefening van hun rechten onder de AVG;
f. Bijstand verplichtingen: Klant bijstaan bij het nakomen van verplichtingen uit artikelen 32-36 AVG;
g. Verwijdering/retournering: na beëindiging alle Persoonsgegevens verwijderen of retourneren, naar keuze van Klant;
h. Audits: Klant in staat stellen audits uit te voeren of te laten uitvoeren, en daaraan medewerking verlenen.

Artikel 6 - Datalekken

6.1 Chef Data informeert Klant zonder onredelijke vertraging, en in elk geval binnen 24 uur, nadat Chef Data kennis heeft gekregen van een Datalek.
6.2 De melding bevat tenminste:
- een beschrijving van het Datalek;
- de categorieën betrokkenen en geschat aantal;
- de waarschijnlijke gevolgen;
- de genomen of voorgestelde maatregelen.
6.3 Chef Data ondersteunt Klant bij het doen van meldingen aan de Autoriteit Persoonsgegevens en/of betrokkenen indien vereist.

Artikel 7 - Sub-verwerkers

7.1 Klant geeft Chef Data algemene schriftelijke toestemming voor het inschakelen van Sub-verwerkers.
7.2 De actuele lijst van Sub-verwerkers is opgenomen in Bijlage 2.
7.3 Chef Data informeert Klant minimaal 14 dagen voorafgaand aan het inschakelen van een nieuwe Sub-verwerker.
7.4 Klant kan binnen 14 dagen na kennisgeving gemotiveerd bezwaar maken.
7.5 Chef Data legt aan Sub-verwerkers dezelfde verplichtingen op als in deze Verwerkersovereenkomst.

Artikel 8 - Doorgifte buiten de EER

8.1 Chef Data zal Persoonsgegevens niet doorgeven naar landen buiten de Europese Economische Ruimte (EER) zonder passende waarborgen.
8.2 Ten aanzien van Anthropic (Sub-verwerker, VS):
- Anthropic is gecertificeerd onder het EU-US Data Privacy Framework (adequaatheidsbesluit)
- Aanvullend zijn Standard Contractual Clauses (SCCs) van toepassing
- Het DPA van Anthropic is automatisch geïncorporeerd in hun Commercial Terms
8.3 Ten aanzien van overige Sub-verwerkers: zie Bijlage 2 voor de toepasselijke waarborgen.

Artikel 9 - Verplichtingen van Klant

9.1 Klant garandeert dat:
- een geldige rechtsgrondslag bestaat voor de verwerking;
- betrokkenen zijn geïnformeerd conform artikelen 13/14 AVG;
- Klant bevoegd is de Persoonsgegevens aan Chef Data te verstrekken;
- de instructies aan Chef Data in overeenstemming zijn met de AVG.
9.2 Klant vrijwaart Chef Data voor claims van betrokkenen of derden die voortvloeien uit schending van de garanties in lid 1.

Artikel 10 & 11 - Aansprakelijkheid en Slotbepalingen

10.1 De aansprakelijkheid van Chef Data onder deze Verwerkersovereenkomst wordt beheerst door de aansprakelijkheidsbepalingen in de Algemene Voorwaarden.
10.2 Partijen zijn ieder aansprakelijk voor hun eigen AVG-boetes.
11.1 Bij strijdigheid tussen deze Verwerkersovereenkomst en de Algemene Voorwaarden prevaleert deze Verwerkersovereenkomst.
11.2 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
11.3 Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.

Bijlage 1: Technische en organisatorische maatregelen

Technische maatregelen

Maatregel	Implementatie
Encryptie in transit	TLS 1.3 voor alle verbindingen
Encryptie at rest	AES-256 voor opgeslagen gegevens
Authenticatie	OAuth 2.0 met Exact Online
API-beveiliging	API keys worden gehashed opgeslagen
Netwerk	Cloudflare WAF en DDoS-bescherming
Toegangscontrole	Least-privilege principe

Specifieke maatregel: geen opslag boekhouddata

Chef Data slaat geen boekhouddata permanent op. Data wordt in het werkgeheugen geladen, getransformeerd naar het vereiste formaat, direct doorgestuurd naar de AI-provider, en niet bewaard na het verzoek.

Bijlage 2: Sub-verwerkers

Sub-verwerker	Locatie	Dienst	Waarborg
Exact Online (Exact Holding B.V.)	Nederland	Boekhoud-API	EU-verwerking
Cloudflare, Inc.	EU-regio	Hosting, WAF, Database	EU-dataresidentie
Anthropic PBC	VS	AI-verwerking (indien gebruikt)	EU-US DPF + SCCs
OpenAI LP	VS	AI-verwerking (indien gebruikt)	SCCs + DPA
Resend, Inc.	Ierland (EU)	Email dienstverlening	EU-US DPF + EU-dataresidentie

Let op: De AI-provider wordt alleen ingeschakeld wanneer Klant de Dienst actief gebruikt met die AI-provider. Klant bepaalt zelf welke AI-provider wordt gebruikt. Resend wordt gebruikt voor het verzenden en ontvangen van support emails en email notificaties, met data opslag in de EU (Ierland).

Verwerkersovereenkomst

Voor zakelijke klanten