Verwerkersovereenkomst (Data Processing Agreement)
Template, versie 1.0 — laatst bijgewerkt op 15 april 2026
Dit document is een sjabloon van de verwerkersovereenkomst die Document Works met haar zakelijke klanten ("Verwerkings- verantwoordelijke") sluit. Deze DPA maakt onlosmakelijk onderdeel uit van de Hoofdovereenkomst en is opgesteld op grond van AVG art. 28.
Let op: dit is een sjabloon ter informatie. De definitieve DPA wordt op verzoek per overeenkomst geleverd en kan op specifieke punten afwijken (bijvoorbeeld bij sectorale eisen of onderhandelde bijlagen).
Partijen
Verwerker: DocumentWorks ("Document Works"), gevestigd aan Hoog Soeren 16, 7346 AB Hoog Soeren, KvK 92716474.
Verwerkingsverantwoordelijke: de in de Hoofdovereenkomst genoemde zakelijke klant.
1. Definities
De definities uit de AVG zijn van toepassing. Daarnaast:
- Hoofdovereenkomst: de tussen Partijen gesloten dienstverlenings- overeenkomst inzake de Document Works dienst.
- Persoonsgegevens: alle persoonsgegevens die in opdracht en namens Verwerkingsverantwoordelijke door Document Works worden verwerkt binnen het kader van de Hoofdovereenkomst.
2. Onderwerp en duur
Document Works verwerkt Persoonsgegevens uitsluitend ten behoeve van het leveren van de Dienst aan Verwerkingsverantwoordelijke. Deze DPA geldt voor de duur van de Hoofdovereenkomst en eindigt zodra alle Persoonsgegevens conform sectie 11 zijn teruggegeven of verwijderd.
3. Aard, doel en categorieën
| Aard | Online office-suite (e-mail, agenda, contacten, documenten, chat, video, AI-assistentie) |
|---|---|
| Doel | Levering van de Dienst conform de Hoofdovereenkomst |
| Categorieën van betrokkenen | Werknemers, opdrachtnemers, klanten, leveranciers en andere relaties van Verwerkingsverantwoordelijke |
| Categorieën van Persoonsgegevens | Identificatie- en contactgegevens, bedrijfsfunctiegegevens, communicatie-inhoud (e-mail, chat, documenten), agenda-items, contactpersonen, audit- en activiteits-metadata, AI-prompts en uitvoer |
| Bijzondere categorieën | Niet structureel; alleen indien Verwerkingsverantwoordelijke deze zelf in de Inhoud opneemt |
4. Instructies
Document Works verwerkt Persoonsgegevens uitsluitend op schriftelijke instructie van Verwerkingsverantwoordelijke. De Hoofdovereenkomst en deze DPA gelden als zodanige instructies. Aanvullende instructies kunnen schriftelijk (waaronder per e-mail) worden gegeven via het in de Hoofdovereenkomst aangewezen contactpunt.
Indien Document Works van mening is dat een instructie inbreuk maakt op de AVG of andere toepasselijke wetgeving, zal Document Works dit onverwijld melden.
5. Geheimhouding
Document Works zorgt ervoor dat de personen die zijn gemachtigd om de Persoonsgegevens te verwerken, een geheimhoudingsplicht hebben (uit hoofde van een contract dan wel een wettelijke verplichting).
6. Beveiliging (AVG art. 32)
Document Works treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Een gedetailleerde beschrijving staat in onze Beveiligingsverklaring. Samengevat:
- TLS 1.2+ op transport, GPG-versleutelde back-ups op rust.
- Versleutelde opslag van inloggegevens van derde-partij-diensten met een aparte sleutel.
- OIDC-authenticatie, optionele tweefactor.
- Korte sessietokens voor document-bewerking.
- Rij-niveau-tenant-isolatie en RBAC.
- Strikte CSP, defensieve HTTP-headers, ratelimiting.
- Centrale audit-logging op gevoelige acties.
Document Works behoudt zich het recht voor de getroffen maatregelen te wijzigen op basis van technologische voortgang en risicoanalyse, mits het beveiligingsniveau ten minste gelijkwaardig blijft.
7. Sub-verwerkers (AVG art. 28 lid 2)
7.1 Verwerkingsverantwoordelijke verleent algemene toestemming voor het inschakelen van sub-verwerkers, mits Document Works zich aan dit artikel houdt.
7.2 De actuele lijst van sub-verwerkers is openbaar beschikbaar op
document.works/sub-verwerkers en bevat ten minste de identiteit, de
vestigingsplaats en het verwerkingsdoel.
7.3 Document Works zal Verwerkingsverantwoordelijke ten minste 30 dagen vooraf informeren over voorgenomen toevoegingen of vervangingen van sub-verwerkers. Verwerkingsverantwoordelijke heeft het recht om binnen die termijn schriftelijk gemotiveerd bezwaar te maken op basis van AVG-grondige overwegingen. Indien Partijen geen oplossing bereiken, heeft Verwerkingsverantwoordelijke het recht de Hoofdovereenkomst voor het betrokken onderdeel op te zeggen.
7.4 Document Works legt iedere sub-verwerker dezelfde gegevens- beschermingsverplichtingen op als de verplichtingen die in deze DPA op Document Works rusten.
8. Doorgifte buiten de EER
Document Works geeft geen Persoonsgegevens door naar landen buiten de EER, tenzij dit noodzakelijk is voor een door Verwerkingsverantwoordelijke geactiveerde integratie of toekomstige sub-verwerker, en in dat geval uitsluitend op basis van een adequaatheidsbesluit, standaard- contractbepalingen (SCC's onder AVG art. 46) of een andere geldige rechtsgrondslag onder AVG hoofdstuk V.
9. Bijstand bij rechten van betrokkenen (AVG art. 28(3)(e))
Document Works verleent, voor zover redelijkerwijs mogelijk, bijstand aan Verwerkingsverantwoordelijke bij het beantwoorden van verzoeken van betrokkenen op grond van AVG hoofdstuk III (recht op inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar). Voor zover de tijd benodigd voor deze bijstand een redelijke inspanning te boven gaat, kan Document Works hiervoor een redelijke vergoeding in rekening brengen.
10. Datalekken (AVG art. 28(3)(f), art. 33)
10.1 Document Works informeert Verwerkingsverantwoordelijke zonder onnodige vertraging — en in beginsel binnen 48 uur na ontdekking — over een inbreuk in verband met Persoonsgegevens.
10.2 De melding bevat ten minste: aard van de inbreuk, betrokken categorieën en geschat aantal betrokkenen, gevolgen, en getroffen of voorgestelde maatregelen.
10.3 Verwerkingsverantwoordelijke is verantwoordelijk voor de melding aan de toezichthouder (AVG art. 33) en aan betrokkenen (AVG art. 34), voor zover van toepassing.
11. Teruggave en verwijdering (AVG art. 28(3)(g))
Bij beëindiging van de Hoofdovereenkomst, of op een eerder schriftelijk verzoek van Verwerkingsverantwoordelijke, draagt Document Works zorg voor:
- Teruggave van Persoonsgegevens in een gangbaar machineleesbaar formaat, gedurende een periode van 30 dagen na beëindiging.
- Daarna verwijdering van de Persoonsgegevens uit de live-omgeving.
- Verwijdering uit back-ups vindt plaats binnen de natuurlijke vervaltermijn van die back-ups (maximaal 30 dagen rolling).
Verwerkingsverantwoordelijke ontvangt op verzoek schriftelijke bevestiging van de verwijdering.
12. Audit en informatie (AVG art. 28(3)(h))
12.1 Document Works stelt op redelijk verzoek van Verwerkingsverantwoor- delijke alle informatie ter beschikking die noodzakelijk is om naleving van AVG art. 28 aan te tonen, inclusief de Beveiligingsverklaring, sub-verwerkerslijst en relevante onderdelen van rapportages van externe audits/pentests (indien beschikbaar).
12.2 Verwerkingsverantwoordelijke heeft het recht een controle ter plaatse uit te voeren of te laten uitvoeren door een onafhankelijke auditor, ten hoogste eenmaal per kalenderjaar, na ten minste 30 dagen voorafgaande schriftelijke aankondiging, op werkdagen tijdens kantoortijden, en zonder onevenredig de operatie te verstoren. De kosten zijn voor rekening van Verwerkingsverantwoordelijke, tenzij de audit een wezenlijke tekortkoming aantoont.
13. Aansprakelijkheid
De aansprakelijkheidsbeperking uit de Hoofdovereenkomst is ook van toepassing op deze DPA, behoudens voor zover dwingend recht (waaronder AVG art. 82) anders bepaalt.
14. Slotbepalingen
14.1 In geval van strijd tussen deze DPA en de Hoofdovereenkomst prevaleert deze DPA waar het de bescherming van Persoonsgegevens betreft.
14.2 Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.
Bijlage A — Sub-verwerkers (op moment van ondertekening)
Zie de actuele lijst op document.works/sub-verwerkers. Op moment van
ondertekening:
| Sub-verwerker | Land | Doel |
|---|---|---|
| Hetzner Online GmbH | Duitsland (Falkenstein, Nürnberg) | Hosting en back-up |
| Mistral AI SAS | Frankrijk (Parijs) | AI-tekst, beeldgeneratie, spraakherkenning |
Bijlage B — Beveiligingsmaatregelen
Zie security voor de actuele set technische en organisatorische maatregelen.