Aura Core Legal

Verwerkersovereenkomst

Laatst gewijzigd: 5 april 2026

Inleiding

Deze Verwerkersovereenkomst ("Overeenkomst") is een aanvulling op de Algemene Voorwaarden van Aura Core en is van toepassing wanneer Aura Core in opdracht van de Gebruiker persoonsgegevens verwerkt in de zin van de Algemene Verordening Gegevensbescherming (AVG/GDPR).

Door gebruik te maken van de Dienst waarin u persoonsgegevens van derden invoert (bijv. klantgegevens), treedt deze Overeenkomst automatisch in werking.

1. Definities

  • Verwerkingsverantwoordelijke: De Gebruiker — degene die het doel en de middelen van de verwerking van persoonsgegevens bepaalt (bijv. een monteur die klantgegevens registreert).
  • Verwerker: Aura Core — de eenmanszaak die persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke, gevestigd te Alkmaar, KvK-nummer 57293583.
  • Betrokkene: De natuurlijke persoon op wie de persoonsgegevens betrekking hebben (bijv. een klant van de monteur).
  • Sub-verwerker: Een derde partij die door de Verwerker wordt ingeschakeld om (een deel van) de verwerking uit te voeren.
  • Persoonsgegevens: Alle informatie die direct of indirect herleidbaar is tot een natuurlijk persoon.

2. Onderwerp en duur

Deze Overeenkomst heeft betrekking op alle verwerkingen van persoonsgegevens die de Verwerker uitvoert in het kader van de Dienst. De Overeenkomst geldt zolang de Verwerkingsverantwoordelijke gebruikmaakt van de Dienst en eindigt wanneer alle persoonsgegevens zijn verwijderd of geretourneerd conform artikel 12.

3. Aard en doel van de verwerking

De Verwerker verwerkt persoonsgegevens ten behoeve van:

  • Het registreren en opslaan van werkzaamheden, klantgegevens en documenten.
  • Het genereren van werkbonnen, facturen en andere documenten.
  • Het verzenden van communicatie (e-mail, WhatsApp) namens of in opdracht van de Verwerkingsverantwoordelijke.
  • Het verwerken van spraak, afbeeldingen en tekst via AI-modellen ten behoeve van bovenstaande doeleinden.

4. Soort persoonsgegevens

De volgende categorieën persoonsgegevens kunnen worden verwerkt:

  • Naam en contactgegevens van betrokkenen (klanten van de Verwerkingsverantwoordelijke).
  • Adresgegevens en locatie-informatie (werklocaties).
  • E-mailadressen.
  • Beschrijvingen van werkzaamheden, materialen en uren.
  • Financiële gegevens voor facturatie (bedragen, BTW).
  • Foto's en spraakberichten die betrokkenen kunnen bevatten.

5. Categorieën betrokkenen

De betrokkenen zijn:

  • Klanten en opdrachtgevers van de Verwerkingsverantwoordelijke.
  • Contactpersonen bij bedrijven waarmee de Verwerkingsverantwoordelijke samenwerkt.

6. Verplichtingen van de Verwerker

De Verwerker verbindt zich tot het volgende:

  • Alleen in opdracht: De Verwerker verwerkt persoonsgegevens uitsluitend op basis van de instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist.
  • Vertrouwelijkheid: Alle personen die toegang hebben tot persoonsgegevens zijn gebonden aan vertrouwelijkheid.
  • Beveiliging: De Verwerker treft passende technische en organisatorische maatregelen (zie artikel 9).
  • Medewerking: De Verwerker verleent medewerking aan verzoeken van betrokkenen (inzage, correctie, verwijdering, dataportabiliteit) en aan gegevensbeschermingseffectbeoordelingen (DPIA) indien noodzakelijk.
  • Melding: De Verwerker informeert de Verwerkingsverantwoordelijke onverwijld indien een instructie naar het oordeel van de Verwerker in strijd is met de AVG.

7. Sub-verwerkers

De Verwerkingsverantwoordelijke verleent de Verwerker algemene schriftelijke toestemming voor het inschakelen van sub-verwerkers. De actuele lijst van sub-verwerkers is opgenomen in ons Privacybeleid (sectie 6).

  • De Verwerker informeert de Verwerkingsverantwoordelijke bij wijzigingen in de lijst van sub-verwerkers. De Verwerkingsverantwoordelijke heeft het recht om binnen 30 dagen bezwaar te maken tegen een nieuwe sub-verwerker.
  • De Verwerker sluit met iedere sub-verwerker een overeenkomst af die minimaal dezelfde verplichtingen bevat als deze Overeenkomst.
  • De Verwerker blijft volledig verantwoordelijk voor de naleving door sub-verwerkers.

8. Doorgifte buiten de EU

Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) vindt uitsluitend plaats met passende waarborgen:

  • Een adequaatheidsbesluit van de Europese Commissie (bijv. het EU-VS Data Privacy Framework).
  • Standard Contractual Clauses (SCC's).

Details over de locatie en waarborgen per sub-verwerker zijn te vinden in ons Privacybeleid (secties 6 en 7).

9. Beveiligingsmaatregelen

De Verwerker treft de volgende maatregelen om een passend beveiligingsniveau te waarborgen:

  • Database-isolatie: Row Level Security (RLS) op PostgreSQL-niveau, waardoor gegevens van verschillende gebruikers op databaseniveau afgeschermd zijn.
  • Versleuteling: Alle datatransmissie verloopt via HTTPS/TLS. Opgeslagen bestanden zijn beveiligd met tijdelijke, ondertekende URL's.
  • Toegangscontrole: Toegang tot gegevens is beperkt tot geautoriseerde systemen en personen.
  • PII-redactie: Persoonsgegevens worden actief gefilterd uit foutlogs en monitoring.
  • Webhookbeveiliging: Inkomende berichten worden geverifieerd via cryptografische handtekeningen en deduplicatie.
  • Rate limiting: Bescherming tegen misbruik via limieten op het aantal verzoeken per gebruiker.

10. Meldplicht datalekken

  • De Verwerker stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging en uiterlijk binnen 48 uur op de hoogte na ontdekking van een inbreuk in verband met persoonsgegevens (datalek).
  • De melding bevat ten minste: de aard van het datalek, de (geschatte) omvang, de mogelijke gevolgen en de genomen of voorgestelde maatregelen.
  • De Verwerker verleent medewerking aan de Verwerkingsverantwoordelijke bij het voldoen aan diens meldplicht richting de Autoriteit Persoonsgegevens en/of betrokkenen.

11. Audits

De Verwerkingsverantwoordelijke heeft het recht om de naleving van deze Overeenkomst te controleren. De Verwerker:

  • Stelt alle benodigde informatie beschikbaar om naleving van de verplichtingen in deze Overeenkomst aan te tonen.
  • Maakt audits en inspecties mogelijk, mits deze worden aangekondigd met een redelijke termijn van minimaal 14 dagen.
  • Audits worden uitgevoerd op kosten van de Verwerkingsverantwoordelijke, tenzij de audit een materiële schending aan het licht brengt.

12. Teruggave en verwijdering

Na beëindiging van de Dienst zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke:

  • Alle persoonsgegevens retourneren in een gestructureerd, gangbaar en machineleesbaar formaat, of
  • Alle persoonsgegevens verwijderen en bevestigen dat dit is geschied.

Verwijdering vindt plaats binnen 30 dagen na beëindiging, tenzij een wettelijke bewaarplicht van toepassing is (bijv. factuurgegevens: 7 jaar).

Bijlage: Productspecifieke verwerkingen

KlusLog

AspectDetails
Doel verwerkingWerklogregistratie, werkbonnen, facturen voor vakmensen
Categorieën betrokkenenKlanten en opdrachtgevers van de monteur/installateur
PersoonsgegevensNaam, adres, e-mailadres, werklocatie, beschrijving werkzaamheden, foto's van installaties
BewaartermijnZolang het account actief is; factuurgegevens 7 jaar

Bij lancering van nieuwe toepassingen onder Aura Core wordt deze bijlage bijgewerkt met de betreffende verwerkingsdetails.