Verwerkersovereenkomst
Conform artikel 28 Algemene Verordening Gegevensbescherming (AVG)
Versie: 1.0 — 1 april 2026
1. Partijen
Verwerkingsverantwoordelijke ("Klant"): de partij die een abonnement afneemt op KennIQ en daarmee bepaalt welke persoonsgegevens van diens websitebezoekers worden verwerkt.
Verwerker ("KennIQ"): SiteLoft, eenmanszaak, KvK 96253495, gevestigd in Nederland. Contact: info@kenniq.nl.
Deze verwerkersovereenkomst is een onlosmakelijk onderdeel van de dienstverleningsovereenkomst tussen Klant en KennIQ en treedt in werking op het moment dat de Klant de KennIQ-dienst in gebruik neemt.
2. Onderwerp en duur
Dienst: KennIQ levert een AI-chatwidget die op de webshop van de Klant wordt geplaatst. De chatbot beantwoordt vragen van websitebezoekers op basis van de productcatalogus en kennisbank van de Klant.
Duur: deze overeenkomst geldt voor de looptijd van het KennIQ-abonnement en eindigt automatisch bij beeindiging daarvan.
3. Aard en doel van de verwerking
KennIQ verwerkt persoonsgegevens uitsluitend ten behoeve van:
- Het genereren van chatantwoorden op vragen van websitebezoekers
- Het bijhouden van gesprekscontext tijdens een chatsessie
- Het tonen van geanonimiseerde gespreksstatistieken in het dashboard
4. Soorten persoonsgegevens
| Gegeven | Opslag | Toelichting |
|---|---|---|
| Chatberichten | Geanonimiseerd | E-mailadressen, telefoonnummers en postcodes worden automatisch verwijderd voor opslag |
| Sessie-ID | Random UUID | Niet herleidbaar naar een persoon |
| Pagina-URL | Ja | Welke pagina de bezoeker bekeek |
| Eventueel vrijwillig gedeelde gegevens | Geredacteerd | Als een bezoeker zelf naam of email typt, wordt dit automatisch geredacteerd voor opslag |
5. Categorieen betrokkenen
Bezoekers en klanten van de webshop van de Klant.
6. Instructies
KennIQ verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Klant, tenzij KennIQ hiertoe verplicht is op grond van Unierecht of Nederlands recht. In dat geval stelt KennIQ de Klant hiervan vooraf op de hoogte, tenzij dit wettelijk verboden is.
Indien KennIQ van mening is dat een instructie in strijd is met de AVG, stelt KennIQ de Klant hiervan onmiddellijk op de hoogte.
7. Geheimhouding
KennIQ waarborgt dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan geheimhouding, hetzij contractueel, hetzij op grond van een wettelijke verplichting.
8. Beveiligingsmaatregelen
KennIQ treft passende technische en organisatorische maatregelen conform artikel 32 AVG, waaronder:
- HTTPS/TLS-encryptie voor alle communicatie
- Serverlocatie in Nederland (EU)
- Toegangsbeperking tot data via API-sleutels en JWT-authenticatie
- Automatische PII-redactie (e-mail, telefoon, postcode) voor opslag
- Rate limiting ter voorkoming van misbruik
- Security headers (HSTS, CSP, X-Frame-Options)
- Gescheiden databases per klant (tenant-isolatie)
9. Sub-verwerkers
De Klant verleent KennIQ algemene schriftelijke toestemming voor het inschakelen van sub-verwerkers. KennIQ legt aan sub-verwerkers dezelfde verplichtingen op als in deze overeenkomst.
Huidige sub-verwerkers:
| Sub-verwerker | Land | Doel | Doorgifte |
|---|---|---|---|
| Anthropic, PBC | Verenigde Staten | AI-verwerking van chatberichten (genereren antwoorden) | EU Standard Contractual Clauses |
| OVH SAS | Frankrijk (EU) | Hosting server-infrastructuur | N.v.t. (binnen EU) |
Bij wijziging van sub-verwerkers wordt de Klant minimaal 15 dagen vooraf per e-mail geinformeerd. De Klant kan binnen deze termijn schriftelijk bezwaar maken. Bij gegrond bezwaar treden partijen in overleg. Indien geen oplossing wordt bereikt, kan de Klant het abonnement per direct opzeggen.
10. Doorgifte buiten de EER
Chatberichten worden voor het genereren van antwoorden verwerkt door Anthropic (VS). Deze doorgifte vindt plaats op basis van EU Standard Contractual Clauses (Module 2 en 3) als onderdeel van Anthropic's Data Processing Addendum.
KennIQ past automatische PII-redactie toe op berichten voordat deze naar Anthropic worden verstuurd, waardoor het risico van persoonsgegevensverwerking door Anthropic wordt geminimaliseerd.
11. Rechten van betrokkenen
KennIQ helpt de Klant bij het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar) voor zover dit technisch mogelijk is.
Aangezien chatdata geanonimiseerd wordt opgeslagen (geen koppeling met naam, e-mail of IP-adres), is het in de meeste gevallen niet mogelijk om gegevens aan een specifieke persoon te koppelen.
12. Meldplicht datalekken
Bij een datalek dat persoonsgegevens betreft, stelt KennIQ de Klant hiervan binnen 48 uur op de hoogte, met vermelding van:
- De aard van het datalek
- De (geschatte) categorieen en aantallen betrokkenen
- De waarschijnlijke gevolgen
- De genomen en voorgestelde maatregelen
13. DPIA-bijstand
KennIQ verleent medewerking indien de Klant een Data Protection Impact Assessment (DPIA) dient uit te voeren met betrekking tot de verwerking door KennIQ.
14. Audit
KennIQ stelt alle redelijkerwijs benodigde informatie beschikbaar om naleving van deze overeenkomst aan te tonen. De Klant heeft het recht maximaal eenmaal per jaar een audit uit te (laten) voeren, mits:
- De audit minimaal 14 dagen vooraf wordt aangekondigd
- De audit plaatsvindt tijdens kantooruren
- De kosten voor rekening van de Klant zijn
15. Bewaartermijnen
| Gegeven | Bewaartermijn |
|---|---|
| Chatberichten (geanonimiseerd) | Onbeperkt (betreft geen persoonsgegevens) |
| Gesprekscontext in cache | 1 uur (automatisch) |
| Bezoekersactiviteit | 60 seconden (automatisch) |
| Verwerking door Anthropic | Maximaal 30 dagen (Anthropic beleid) |
16. Verwijdering bij einde dienst
Bij beeindiging van het abonnement verwijdert KennIQ binnen 30 dagen alle klantspecifieke data (chatgeschiedenis, kennisbank, configuratie). Op verzoek van de Klant kan een export worden verstrekt voorafgaand aan verwijdering.
17. Aansprakelijkheid
Iedere partij is verantwoordelijk voor de schade die voortvloeit uit verwerking die in strijd is met de AVG. De aansprakelijkheid van KennIQ is beperkt tot het totaalbedrag dat de Klant in de 12 maanden voorafgaand aan het schadeveroorzakende feit aan KennIQ heeft betaald.
18. Toepasselijk recht
Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.