WOO Buddy

Verwerkersovereenkomst

Modeltekst voor een verwerkersovereenkomst (DPA) tussen jouw organisatie (verwerkingsverantwoordelijke) en WOO Buddy (verwerker), in lijn met artikel 28 AVG.

Laatst bijgewerkt: 16 april 2026 · Versie 1.0 (model)

Simpeler dan gebruikelijk. Omdat documentinhoud de browser nooit verlaat, gaat deze overeenkomst niet over PDF's. De verwerking beperkt zich tot accountgegevens en detectie-metadata (positie, type, artikel). Dat maakt de procurement-vragen bij een gemeente of ministerie aanzienlijk korter.

1. Partijen

  • Verwerkingsverantwoordelijke: [naam organisatie], hierna "Klant".
  • Verwerker: CIIIC (h.o.d.n. WOO Buddy), gevestigd in Nederland, hierna "WOO Buddy".

2. Onderwerp en duur

Deze overeenkomst regelt de verwerking van persoonsgegevens door WOO Buddy in het kader van de hoofdovereenkomst (het abonnement op WOO Buddy). Zij is van kracht zolang WOO Buddy persoonsgegevens van Klant verwerkt.

3. Aard en doel van de verwerking

WOO Buddy verwerkt persoonsgegevens uitsluitend om de dienst te leveren: detectie van persoonsgegevens in Woo-documenten, opslag van beslissingen, en accountbeheer.

4. Soorten persoonsgegevens en betrokkenen

4.1 Wel verwerkt

  • Gebruikers van Klant: naam, e-mailadres, organisatie, rol. Betrokkenen: ambtenaren en juristen van Klant.
  • Detectie-metadata: positie (bbox-coördinaten), type (BSN, naam, adres, enz.), tier, Woo-artikel, reviewstatus. Betrokkenen: personen die voorkomen in de door Klant verwerkte documenten.

4.2 Uitdrukkelijk niet verwerkt

  • Documentinhoud (de PDF zelf) — deze wordt uitsluitend in de browser van de gebruiker verwerkt en bereikt de servers van WOO Buddy niet.
  • De gedetecteerde tekstwaarden zelf ("entity_text") — alleen de positie en het type worden opgeslagen.

Zie de privacyverklaring en de technische specificatie (client-first architectuur) voor onderbouwing.

5. Verplichtingen WOO Buddy

WOO Buddy:

  1. verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van Klant;
  2. zorgt ervoor dat medewerkers zich verbinden tot geheimhouding;
  3. treft passende technische en organisatorische maatregelen (zie bijlage);
  4. verleent assistentie bij verzoeken van betrokkenen en bij DPIA-trajecten;
  5. verwijdert of retourneert alle persoonsgegevens na einde van de dienstverlening, binnen 30 dagen, tenzij Unie- of lidstaatrechtelijke bepalingen opslag voorschrijven;
  6. stelt alle informatie beschikbaar die nodig is om naleving aan te tonen.

6. Sub-verwerkers

Klant verleent algemene toestemming voor de volgende sub-verwerkers:

  • Hetzner Online GmbH — hosting (Duitsland / Finland, binnen de EER).
  • Postmark (of gelijkwaardig) — transactionele e-mail (VS, onder SCC's).
  • Plausible Analytics (EU) — cookieloze webstatistieken (geen persoonsgegevens).

WOO Buddy informeert Klant schriftelijk bij voorgenomen wijzigingen; Klant heeft 30 dagen de tijd om gemotiveerd bezwaar te maken. Er wordt geen LLM- of AI-leverancier ingezet.

7. Doorgifte buiten de EER

Documentinhoud wordt nooit doorgegeven. Voor accountgegevens en e-mailverkeer gebruikt WOO Buddy de EU-modelcontracten (Standard Contractual Clauses) waar dat nodig is (bijvoorbeeld voor Postmark).

8. Beveiliging

WOO Buddy past ten minste de volgende maatregelen toe:

  • TLS 1.2 of hoger voor alle netwerkverkeer;
  • Gehashte en gesalte wachtwoorden (bcrypt/argon2);
  • Least-privilege toegang tot productie-infrastructuur;
  • Logging van toegangs- en beveiligingsevents, exclusief verzoekinhoud;
  • Periodieke security-reviews en dependency-scans;
  • Architecturaal: documenten worden structureel niet naar de server verzonden — dataverlies van documenten is daardoor niet mogelijk.

9. Meldplicht datalekken

WOO Buddy meldt een datalek zonder onredelijke vertraging en uiterlijk binnen 48 uur aan Klant, met voldoende informatie om Klant in staat te stellen zelf te voldoen aan artikel 33 AVG.

10. Audit

Klant heeft het recht om jaarlijks, of bij gegronde verdenking van een inbreuk, een audit te (laten) uitvoeren. WOO Buddy werkt daaraan mee tegen redelijke kostenvergoeding. Voor Team-klanten leveren we een beknopt beveiligingsrapport op aanvraag.

11. Aansprakelijkheid

Aansprakelijkheid volgt de hoofdovereenkomst / algemene voorwaarden. Voor schade als gevolg van schending van deze DPA geldt de limiet uit de hoofdovereenkomst, behoudens dwingend recht.

12. Beëindiging

Bij beëindiging verwijdert WOO Buddy alle accountgegevens en detectie-metadata binnen 30 dagen. Op verzoek levert WOO Buddy een export van detectie-metadata aan in een gangbaar formaat (CSV/JSON).

13. Slot

Bij tegenstrijdigheid tussen deze DPA en de hoofdovereenkomst prevaleert de DPA voor wat betreft privacybepalingen. Op deze DPA is Nederlands recht van toepassing.

Ondertekening

Dit is een modeltekst. Voor daadwerkelijke ondertekening op organisatieniveau: stuur een mail naar dpa@woobuddy.nl — we leveren een ondertekenbare PDF op basis van dit model, aangepast aan jouw context.