← Terug naar Zorgorganisaties
Verwerkersovereenkomst
Concept · versie april 2026 · Saartje (Sozials BV)
Let op — concept ter beoordeling. Deze verwerkersovereenkomst is een Nederlandstalig template gebaseerd op de standaard van de Autoriteit Persoonsgegevens en de modelclausules van de Europese Commissie (SCC's). Het document moet vóór ondertekening worden gereviewd door een AVG-jurist of Functionaris Gegevensbescherming. Saartje.app aanvaardt geen aansprakelijkheid voor het gebruik van dit template zonder juridische toetsing.
Partijen
Verwerkingsverantwoordelijke: [naam zorgorganisatie], gevestigd te [adres], KvK [nummer], hierbij rechtsgeldig vertegenwoordigd door [naam, functie] — hierna te noemen "Verantwoordelijke".
Verwerker: Sozials BV, h.o.d.n. Saartje.app, gevestigd te Naarden, KvK 78745578, vertegenwoordigd door de directie — hierna te noemen "Verwerker".
Artikel 1 — Doel en reikwijdte
- Verwerker verwerkt persoonsgegevens uitsluitend in opdracht en ten behoeve van Verantwoordelijke voor het leveren van de Saartje-dienst (dagelijkse spraakgesprekken, medicatieherinneringen, welzijnsmonitoring en familiedashboard).
- Deze overeenkomst voldoet aan artikel 28 AVG en is van toepassing op alle verwerkingen die voortvloeien uit de hoofdovereenkomst tussen partijen.
Artikel 2 — Aard, soort en doeleinden
| Categorie betrokkenen | Cliënten van de zorgorganisatie (ouderen), familie- en mantelzorgcontacten. |
|---|
| Soort persoonsgegevens | NAW, geboortedatum, telefoonnummer, e-mailadres, audio-opnames van gesprekken (tijdelijk), gesprekstranscripties, stemmingsindicatoren, medicatie-overzicht, noodcontact, woonsituatie. |
|---|
| Bijzondere persoonsgegevens | Beperkt: gezondheidsgerelateerde informatie die in een gesprek aan de orde komt. Géén medisch dossier, géén diagnoses. |
|---|
| Doeleinden | Uitvoeren dagelijks contact, signaleren afwijkingen, herinneringen geven, rapportage aan Verantwoordelijke en/of familie. |
|---|
| Bewaartermijn audio | Audio-opnames worden binnen 7 dagen na transcriptie gewist. Transcripties worden bewaard zolang de cliënt actief is, en uiterlijk 24 maanden na beëindiging. |
|---|
Artikel 3 — Verplichtingen Verwerker
- Verwerker verwerkt gegevens uitsluitend op basis van schriftelijke instructies van Verantwoordelijke.
- Verwerker waarborgt dat personen die gegevens verwerken een geheimhoudingsplicht hebben.
- Verwerker treft passende technische en organisatorische beveiligingsmaatregelen (zie Artikel 6).
- Verwerker assisteert Verantwoordelijke bij verzoeken van betrokkenen (inzage, rectificatie, verwijdering, dataportabiliteit).
Artikel 4 — Subverwerkers
- Verwerker maakt gebruik van de subverwerkers vermeld in het actuele subverwerkersregister. Verantwoordelijke geeft hiermee algemene voorafgaande toestemming.
- Bij toevoeging of vervanging van een subverwerker informeert Verwerker Verantwoordelijke ten minste 30 dagen vooraf via e-mail. Verantwoordelijke heeft het recht binnen 14 dagen schriftelijk bezwaar te maken.
- Doorgifte naar subverwerkers buiten de EER vindt uitsluitend plaats onder de Standard Contractual Clauses (SCC's) module 3 (verwerker-subverwerker) van de Europese Commissie (Uitvoeringsbesluit 2021/914).
Artikel 5 — Datalekken
- Verwerker meldt een datalek onverwijld na ontdekking, doch uiterlijk binnen 24 uur, aan Verantwoordelijke via info@saartje.app.
- De melding bevat ten minste: aard van het lek, betrokken categorieën gegevens, geschat aantal betrokkenen, getroffen maatregelen en contactpersoon.
- Verwerker assisteert Verantwoordelijke bij de melding aan de Autoriteit Persoonsgegevens en eventuele communicatie aan betrokkenen.
Artikel 6 — Beveiligingsmaatregelen
- Versleutelde verbinding (TLS 1.2+) tussen apparaat, server en cliënt.
- Versleutelde opslag (AES-256) van transcripties en cliëntgegevens in EU-datacenter.
- Toegang tot productiedata uitsluitend voor geautoriseerd technisch personeel onder strikte toegangscontrole en logging.
- Periodieke (jaarlijkse) penetratietest en kwetsbaarhedenscan.
- Back-up dagelijks, retentie 30 dagen, versleuteld.
- Audio-opnames worden niet gebruikt voor het trainen van AI-modellen.
Artikel 7 — Locatie van verwerking
Primaire opslag (Supabase / PostgreSQL) in EU (Frankfurt). Voor stem- en taalverwerking wordt gebruik gemaakt van API's van ElevenLabs (US) en Anthropic (US). Doorgifte vindt plaats onder de SCC's; zie het subverwerkersregister voor details per provider.
Artikel 8 — Audit
Verantwoordelijke heeft het recht om eenmaal per jaar, op eigen kosten en na redelijke aankondiging (minimaal 4 weken), een audit uit te voeren. Verwerker stelt op verzoek het meest recente beveiligingsoverzicht en eventuele certificeringen ter beschikking.
Artikel 9 — Aansprakelijkheid
De aansprakelijkheid van partijen onder deze verwerkersovereenkomst is geregeld in de hoofdovereenkomst. Onverminderd het bepaalde in artikel 82 AVG, is de aansprakelijkheid van Verwerker beperkt tot de vergoeding die Verantwoordelijke gedurende de twaalf maanden voorafgaand aan het schadeveroorzakende feit aan Verwerker heeft betaald.
Artikel 10 — Beëindiging
- Bij beëindiging van de hoofdovereenkomst worden alle persoonsgegevens binnen 30 dagen gewist of teruggegeven aan Verantwoordelijke, naar keuze van Verantwoordelijke.
- Wettelijke bewaarverplichtingen blijven onverkort van kracht.
Artikel 11 — Toepasselijk recht
Op deze overeenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.
Verantwoordelijke
Naam:
Functie:
Datum:
Handtekening:
Verwerker — Sozials BV
Naam:
Functie:
Datum:
Handtekening: