Verwerkingsovereenkomst

ENDOXIA B.V.

DATA PROCESSING AGREEMENT

Verwerkersovereenkomst

Data Processing Agreement — onderdeel van iedere Overeenkomst tussen Endoxia B.V. en de Klant.

Endoxia B.V.

Tweede Jan van der Heijdenstraat 16-1, 1073 VH Amsterdam, Nederland

endoxia.com · privacy@endoxia.com

Vertrouwelijk · © 2026 Endoxia B.V. · Alle rechten voorbehouden.

VERWERKERSOVEREENKOMST endoxia.com

Inhoudsopgave

1. Partijen 2

2. Doel en reikwijdte 2

3. Definities 2

4. Onderwerp van de verwerking 3

5. Categorieën betrokkenen 3

6. Categorieën persoonsgegevens 3

7. Instructies 4

8. Geheimhouding 4

9. Beveiliging 4

10. AI-verwerking 5

11. Locatie van verwerking 5

12. Subverwerkers 5

13. Verzoeken van betrokkenen 6

14. DPIA en toezichthouders 6

15. Datalekken 6

16. Audits 6

17. Bewaartermijnen 7

18. Verwijdering en retournering 7

19. Aansprakelijkheid 7

20. Rangorde 7

21. Toepasselijk recht 7

Bijlage 1 — Verwerkingsspecificatie 8

Endoxia B.V. — Verwerkersovereenkomst Pagina van

VERWERKERSOVEREENKOMST endoxia.com

Deze Verwerkersovereenkomst (“DPA”) maakt integraal onderdeel uit van iedere overeenkomst tussen Endoxia B.V. (“Verwerker”) en de Klant (“Verwerkingsverantwoordelijke”).

1. Partijen

VERWERKINGSVERANTWOORDELIJKE

De Klant die gebruikmaakt van het Platform.

VERWERKER

Endoxia B.V.

Tweede Jan van der Heijdenstraat 16-1

1073 VH Amsterdam

Nederland

Website: endoxia.com

E-mail: privacy@endoxia.com

2. Doel en reikwijdte

2.1 Deze Verwerkersovereenkomst regelt iedere verwerking van Persoonsgegevens die Endoxia namens de Klant verricht in het kader van de levering van het Platform en de Diensten.

2.2 Deze Verwerkersovereenkomst geldt uitsluitend voor verwerkingen waarbij de Klant kwalificeert als verwerkingsverantwoordelijke en Endoxia als verwerker in de zin van de AVG.

2.3 Indien Endoxia persoonsgegevens verwerkt voor eigen doeleinden, geldt daarvoor de Privacyverklaring van Endoxia.

3. Definities

Voor deze Verwerkersovereenkomst hebben de begrippen uit de AVG dezelfde betekenis. Onder meer wordt verstaan onder:

AVG
Verordening (EU) 2016/679.

Persoonsgegevens
alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Betrokkene
degene op wie Persoonsgegevens betrekking hebben.

Verwerking
iedere handeling met betrekking tot Persoonsgegevens zoals bedoeld in artikel 4 AVG.

Subverwerker
iedere derde die door Endoxia wordt ingeschakeld voor de verwerking van Persoonsgegevens.

Inbreuk in verband met Persoonsgegevens (Datalek)
een inbreuk zoals bedoeld in artikel 4 AVG.

4. Onderwerp van de verwerking

4.1 Endoxia verwerkt Persoonsgegevens uitsluitend ten behoeve van de uitvoering van de Overeenkomst.

4.2 De verwerking kan onder meer bestaan uit:

opslag;

hosting;

structurering;

documentanalyse;

zoekfunctionaliteiten;

AI-verwerking;

tekstgeneratie;

samenvatting;

classificatie;

indexering;

beveiliging;

logging;

back-up;

support.

4.3 Endoxia verwerkt Persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Klant, tenzij een wettelijke verplichting anders vereist.

5. Categorieën betrokkenen

De verwerking kan betrekking hebben op onder meer:

cliënten van de Klant;

wederpartijen;

werknemers;

bestuurders;

aandeelhouders;

contractspartijen;

leveranciers;

adviseurs;

procespartijen;

Eindgebruikers;

overige personen die voorkomen in documenten die door de Klant worden verwerkt.

6. Categorieën persoonsgegevens

De verwerking kan betrekking hebben op:

namen;

contactgegevens;

e-mailadressen;

telefoonnummers;

adressen;

identificatiegegevens;

financiële gegevens;

contractgegevens;

correspondentie;

processtukken;

cliëntdossiers;

metadata;

loggegevens;

documenten;

bijzondere persoonsgegevens;

strafrechtelijke gegevens,

voor zover dergelijke gegevens door de Klant worden ingevoerd.

7. Instructies

7.1 Endoxia verwerkt Persoonsgegevens uitsluitend overeenkomstig:

a. de Overeenkomst;

b. deze Verwerkersovereenkomst;

c. schriftelijke instructies van de Klant.

7.2 Indien Endoxia van mening is dat een instructie in strijd is met de AVG of andere privacywetgeving, informeert Endoxia de Klant daarover.

8. Geheimhouding

8.1 Endoxia draagt er zorg voor dat alle personen die toegang hebben tot Persoonsgegevens, gehouden zijn aan passende geheimhoudingsverplichtingen.

8.2 Deze geheimhoudingsverplichtingen blijven bestaan na beëindiging van de werkzaamheden.

9. Beveiliging

9.1 Endoxia neemt passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG.

9.2 Deze maatregelen omvatten onder meer:

toegangscontrole;

rolgebaseerde autorisaties;

encryptie tijdens transport;

beveiligde opslag;

netwerkbeveiliging;

logging;

monitoring;

multifactorauthenticatie waar passend;

back-ups;

herstelprocedures;

patchmanagement;

kwetsbaarhedenbeheer.

9.3 Endoxia beoordeelt deze maatregelen periodiek en past deze waar nodig aan.

10. AI-verwerking

10.1 Endoxia gebruikt Persoonsgegevens uitsluitend voor het leveren van de overeengekomen functionaliteiten.

10.2 Persoonsgegevens van de Klant worden niet gebruikt voor:

training van AI-modellen;

finetuning van AI-modellen;

verbetering van AI-modellen,

tenzij de Klant daarvoor voorafgaand uitdrukkelijk toestemming heeft gegeven.

10.3 Endoxia treft redelijke maatregelen om te voorkomen dat Persoonsgegevens worden gebruikt voor ongeautoriseerde modeltraining door ingeschakelde leveranciers.

11. Locatie van verwerking

11.1 Persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Economische Ruimte.

11.2 Indien doorgifte buiten de EER noodzakelijk wordt, maakt Endoxia uitsluitend gebruik van een geldige doorgiftegrondslag onder de AVG.

11.3 Endoxia implementeert passende waarborgen, waaronder waar nodig Standard Contractual Clauses.

12. Subverwerkers

12.1 De Klant verleent algemene toestemming voor het gebruik van Subverwerkers.

12.2 Endoxia houdt een actueel overzicht bij van de gebruikte Subverwerkers.

12.3 Endoxia kondigt nieuwe Subverwerkers voorafgaand aan.

12.4 De Klant mag binnen veertien (14) dagen gemotiveerd bezwaar maken indien een nieuwe Subverwerker een aantoonbaar privacy- of beveiligingsrisico oplevert.

12.5 Endoxia legt aan iedere Subverwerker privacyverplichtingen op die materieel gelijkwaardig zijn aan deze Verwerkersovereenkomst.

12.6 Endoxia blijft verantwoordelijk voor de prestaties van haar Subverwerkers.

13. Verzoeken van betrokkenen

13.1 Voor zover mogelijk stelt Endoxia de Klant in staat om verzoeken van betrokkenen af te handelen.

13.2 Dit betreft onder meer verzoeken inzake:

inzage;

rectificatie;

verwijdering;

dataportabiliteit;

beperking;

bezwaar.

13.3 Endoxia behandelt dergelijke verzoeken niet zelfstandig, tenzij dit wettelijk verplicht is.

14. DPIA en toezichthouders

14.1 Endoxia verleent redelijke medewerking bij:

Data Protection Impact Assessments;

voorafgaande raadplegingen;

onderzoeken van toezichthouders.

14.2 Endoxia mag hiervoor redelijke kosten in rekening brengen indien de werkzaamheden de normale dienstverlening overstijgen.

15. Datalekken

15.1 Endoxia informeert de Klant zonder onredelijke vertraging nadat zij kennis heeft genomen van een Datalek.

15.2 De melding bevat, voor zover beschikbaar:

de aard van het incident;

de betrokken categorieën gegevens;

de betrokken categorieën personen;

de vermoedelijke gevolgen;

de genomen maatregelen;

een contactpersoon.

15.3 Endoxia verleent redelijke medewerking aan onderzoek en herstel.

15.4 De Klant blijft verantwoordelijk voor meldingen aan toezichthouders en betrokkenen, tenzij onder toepasselijk recht anders is vereist.

16. Audits

16.1 De Klant mag eenmaal per kalenderjaar een audit uitvoeren.

16.2 Audits dienen:

minimaal dertig (30) dagen vooraf te worden aangekondigd;

tijdens normale kantooruren plaats te vinden;

de bedrijfsvoering niet onredelijk te verstoren.

16.3 Endoxia mag in plaats van een fysieke audit recente auditrapporten, certificeringen of beveiligingsrapportages beschikbaar stellen.

16.4 De kosten van audits komen voor rekening van de Klant.

17. Bewaartermijnen

17.1 Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de uitvoering van de Overeenkomst.

17.2 Na beëindiging van de Overeenkomst verwijdert Endoxia Persoonsgegevens overeenkomstig haar verwijderingsbeleid, tenzij:

wettelijke bewaarplichten gelden;

een geschil loopt;

beveiligingsredenen tijdelijke bewaring vereisen.

17.3 Back-ups worden verwijderd volgens de reguliere back-upcycli.

18. Verwijdering en retournering

18.1 Op verzoek van de Klant retourneert Endoxia de beschikbare Persoonsgegevens.

18.2 Indien retournering niet wordt verzocht, verwijdert Endoxia de gegevens binnen een redelijke termijn na beëindiging van de dienstverlening.

18.3 Technische back-upkopieën mogen gedurende de normale retentieperiode blijven bestaan, mits zij adequaat worden beveiligd.

19. Aansprakelijkheid

19.1 De aansprakelijkheidsregeling uit de Overeenkomst is volledig van toepassing op deze Verwerkersovereenkomst.

19.2 Voor zover wettelijk toegestaan is de totale aansprakelijkheid van Endoxia beperkt tot het bedrag dat de Klant gedurende de twaalf (12) maanden voorafgaand aan de schadeveroorzakende gebeurtenis aan Endoxia heeft betaald.

19.3 Niets in deze Verwerkersovereenkomst beperkt de aansprakelijkheid voor zover een dergelijke beperking onder de AVG niet is toegestaan.

20. Rangorde

Bij strijdigheid tussen (a) de Overeenkomst, (b) deze Verwerkersovereenkomst en (c) de Algemene Voorwaarden, geldt de volgende rangorde:

Verwerkersovereenkomst;

Overeenkomst;

Algemene Voorwaarden.

21. Toepasselijk recht

21.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

21.2 Geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechter te Amsterdam.

Bijlage 1 — Verwerkingsspecificatie