Verwerkersovereenkomst

Verwerkingsverantwoordelijke (Controller): De klant van VendicAI — de onderneming die VendicAI inzet voor klantenservice op haar e-commerceplatform.

Verwerker (Processor): VendicAI B.V., gevestigd in Nederland, KvK-nummer [registratie in behandeling].

VendicAI verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van AI-ondersteunde klantenservice namens de verwerkingsverantwoordelijke. De verwerking duurt voort zolang de dienstverleningsovereenkomst van kracht is, plus de retentietermijn zoals overeengekomen (standaard 2 jaar).

• Klantgerelateerde gegevens: e-mailadres, naam (indien opgegeven in berichtenverkeer)
• Bestelgegevens: ordernummers, artikelen, levertijden (via Shopify-koppeling)
• Gespreksinhoud: berichten van klanten en agenten, AI-gegenereerde concepten
• AI-metadata: intentclassificaties, betrouwbaarheidsscores, toolgebruik (geen PII)
• CSAT-beoordelingen: tevredenheidsscores en eventuele commentaren

Persoonsgegevens worden uitsluitend verwerkt voor:

• Het leveren van AI-ondersteunde klantenservicediensten
• Het genereren van conceptreacties en aanbevelingen voor agents
• Statistische rapportages ten behoeve van de verwerkingsverantwoordelijke
• Naleving van wettelijke verplichtingen (AVG art. 6(1)(c))

VendicAI gebruikt nooit klantgegevens om AI-modellen mee te trainen.

Alle persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Unie:

• Database: Supabase PostgreSQL, eu-west-1 (Amsterdam, Nederland)
• API-compute: Google Cloud Run, europe-west4 (Eemshaven, Nederland)
• Dashboard-hosting: Vercel, EU-regio

Doorgifte buiten de EU vindt niet plaats zonder expliciete toestemming en passende waarborgen (SCCs of adequaatheidsbesluit).

• Versleuteling in transit (TLS 1.2+) en at rest (AES-256)
• Tenantgeïsoleerde database-queries (elke query vereist tenantId)
• Advisorylocks ter voorkoming van race conditions bij AI-pipeline-uitvoering
• JWT-authenticatie met 15 minuten geldigheidsduur en refresh-rotatie
• Volledige audittrail van AI-acties en agentbeslissingen
• Toegangsbeheer op basis van organisatielidmaatschap

Standaard retentietermijn: 2 jaar na laatste klantinteractie, tenzij anders overeengekomen. Na afloop worden gegevens geanonimiseerd of verwijderd conform het verwijderingsverzoek.

Klanten kunnen retentie aanpassen in de dashboard-instellingen. Op verzoek biedt VendicAI AVG-export (Data Subject Access Request) en anonimisering via het dashboard of de API.

VendicAI maakt gebruik van subverwerkers. Een actuele lijst is beschikbaar op /legal/subprocessors. Klanten ontvangen 30 dagen vooraf bericht bij toevoeging van nieuwe subverwerkers.

VendicAI ondersteunt de verwerkingsverantwoordelijke bij het nakomen van verzoeken van betrokkenen (inzage, correctie, verwijdering, bezwaar). Beschikbare tools:

• POST /api/gdpr/export — volledig dataexport per e-mailadres
• POST /api/gdpr/erase — anonimisering van klantgegevens

VendicAI meldt beveiligingsincidenten die persoonsgegevens raken binnen 72 uur na ontdekking aan de verwerkingsverantwoordelijke via privacy@govendic.com.

Vragen over deze DPA of AVG-verzoeken? Stuur een e-mail naar privacy@govendic.com.