Verwerkersovereenkomst (DPA)

Verwerkersovereenkomst conform AVG art. 28 tussen Lawsy (verwerker) en Klant (verwerkingsverantwoordelijke). Inclusief Annex A (beveiligingsmaatregelen) en Annex B (subverwerkers).

Deze Verwerkersovereenkomst (Data Processing Agreement, hierna: "DPA") maakt integraal deel uit van de overeenkomst tussen Woldring Holding B.V., handelend onder de naam Lawsy ("Verwerker"), en de Organisatie die gebruik maakt van de Lawsy-dienst ("Verwerkingsverantwoordelijke", "Klant"). De DPA regelt de verwerking van persoonsgegevens zoals bedoeld in artikel 28 AVG.

Toepasselijkheid. Deze DPA is van toepassing zodra u namens uw Organisatie een Account aanmaakt en akkoord gaat met de Algemene Voorwaarden, en geldt voor alle verwerking van persoonsgegevens die Lawsy in opdracht van Klant uitvoert. Voor de eigen verwerking van Lawsy als verwerkingsverantwoordelijke (account-, facturatie- en marketinggegevens) geldt de Privacyverklaring.

1. Definities

• AVG: Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).
• Persoonsgegevens: alle gegevens in de zin van artikel 4 lid 1 AVG die in het kader van de Lawsy-dienst worden verwerkt.
• Verwerking: elke handeling of geheel van handelingen in de zin van artikel 4 lid 2 AVG.
• Subverwerker: een door Verwerker ingeschakelde derde partij die in het kader van de dienstverlening Persoonsgegevens verwerkt.
• Datalek: een inbreuk op de beveiliging in de zin van artikel 4 lid 12 AVG.

2. Onderwerp en duur

2.1 De DPA regelt de Verwerking van Persoonsgegevens door Verwerker in het kader van het ter beschikking stellen van de Lawsy-dienst aan Klant, waaronder begrepen: hosten van content, genereren van juridische documenten, valideren van Output, opslaan van versies en geven van support.

2.2 De DPA gaat in op het moment van aanvaarding bij registratie en eindigt automatisch wanneer de hoofdovereenkomst eindigt en alle wederzijdse verplichtingen zijn afgewikkeld.

3. Aard, doel, soort gegevens en betrokkenen

3.1 Aard van de verwerking: opslag, raadpleging, doorgifte aan Subverwerkers, generatie van Output door AI, validatie en opvraging via API.

3.2 Doelen: uitsluitend het ter beschikking stellen van de Lawsy-dienst aan Klant en het uitvoeren van door Klant verstrekte instructies.

3.3 Categorieën Persoonsgegevens:

• NAW-gegevens van werknemers, klanten, contractspartijen, leveranciers van Klant zoals door Klant in input opgenomen;
• contractuele en arbeidsgegevens (functie, salaris, looptijd, vakantiedagen) wanneer Klant een arbeids- of freelance-overeenkomst opstelt;
• financiële en fiscale gegevens (IBAN, KvK, BTW) voor zover door Klant ingevoerd;
• communicatiegegevens en e-mailadressen.

3.4 Categorieën betrokkenen: werknemers en sollicitanten van Klant, klanten en leveranciers van Klant, freelance-contractspartijen, leden van Klant-organisatie, en andere natuurlijke personen wiens gegevens Klant in input opneemt.

3.5 Het verwerken van bijzondere categorieën persoonsgegevens (artikel 9 AVG) is in beginsel uitgesloten. Klant verklaart geen gegevens omtrent gezondheid, ras, religie, seksuele geaardheid of strafrechtelijk verleden in input op te nemen, behoudens uitdrukkelijke voorafgaande afstemming met Verwerker.

4. Verplichtingen van Verwerker

4.1 Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke (waaronder elektronische) instructies van Klant. Het gebruik van de dienst door Klant geldt als zodanig instructie. Verwerker zal Klant onmiddellijk op de hoogte stellen indien een instructie naar haar oordeel inbreuk maakt op de AVG.

4.2 Verwerker zorgt ervoor dat personen die toegang hebben tot Persoonsgegevens zich hebben verbonden tot geheimhouding of onder een passende wettelijke verplichting tot geheimhouding zijn gebonden.

4.3 Verwerker treft passende technische en organisatorische beveiligingsmaatregelen (zie Annex A).

4.4 Verwerker biedt Klant redelijke ondersteuning bij het beantwoorden van verzoeken van betrokkenen, het uitvoeren van een DPIA, het melden van datalekken aan de Autoriteit Persoonsgegevens en de communicatie met betrokkenen.

4.5 Verwerker stelt Klant op verzoek alle informatie ter beschikking die nodig is om aantoonbaar aan artikel 28 AVG te voldoen, inclusief de mogelijkheid van audits.

5. Subverwerkers

5.1 Klant verleent Verwerker bij ondertekening van deze DPA algemene voorafgaande toestemming voor het inschakelen van Subverwerkers voor zover dit noodzakelijk is voor de uitvoering van de dienst, waaronder in elk geval:

• Anthropic, PBC — voor AI-tekstgeneratie (Claude Sonnet/Opus);
• Stripe Payments Europe, Ltd. — voor betalingsverwerking;
• de hosting-/datacenterprovider van Verwerker (binnen EU/EER);
• de transactionele e-mailprovider.

5.2 Verwerker is gerechtigd Subverwerkers te wijzigen of toe te voegen. Materiële wijzigingen worden waar redelijkerwijs mogelijk dertig (30) dagen vooraf aangekondigd. Klant kan binnen die termijn schriftelijk en gemotiveerd bezwaar aantekenen; bij zwaarwegende bezwaren zal in goed overleg een oplossing worden gezocht, bij gebreke waarvan Klant het recht heeft de overeenkomst op te zeggen tegen de datum van inwerkingtreding van de wijziging.

5.3 Met iedere Subverwerker sluit Verwerker een schriftelijke overeenkomst die ten minste dezelfde gegevensbeschermings-verplichtingen oplegt als deze DPA.

6. Beveiliging (Annex A)

Verwerker treft ten minste de volgende technische en organisatorische maatregelen:

• encryptie van Persoonsgegevens in transit (TLS 1.2+) en bij gevoelige velden in rust;
• geautomatiseerde pseudonimisering van direct identificerende gegevens (BSN, KvK, IBAN, e-mail, postcode, telefoon) vóór verzending naar het externe AI-systeem;
• strikt rolgebaseerde toegangscontrole, meest privilegeprincipe en multi-factor-authenticatie voor productie-toegang;
• logging en monitoring van administratieve handelingen, login-pogingen en beveiligingsincidenten;
• gescheiden ontwikkel-, test- en productieomgevingen; geen productie-data in lagere omgevingen zonder anonimisering;
• back-up- en herstelprocedures met versleutelde opslag binnen EU/EER;
• periodieke beveiligingsupdates en review van afhankelijkheden;
• incident-response-procedure met escalatieniveaus en meldingstermijn van maximaal 24 uur na ontdekking.

7. Datalekken

7.1 Verwerker informeert Klant zonder onredelijke vertraging, doch uiterlijk binnen vierentwintig (24) uur na ontdekking, over een Datalek dat (vermoedelijk) gevolgen heeft voor Persoonsgegevens van Klant.

7.2 De melding bevat ten minste:

• een beschrijving van de aard van het Datalek;
• de categorieën en het geschatte aantal getroffen betrokkenen;
• de categorieën en het geschatte aantal getroffen Persoonsgegevens;
• de waarschijnlijke gevolgen;
• de getroffen of voorgestelde maatregelen ter beperking van de gevolgen;
• contactgegevens van het aanspreekpunt bij Verwerker.

7.3 De meldplicht aan de Autoriteit Persoonsgegevens en aan betrokkenen rust op Klant. Verwerker biedt redelijke ondersteuning bij beide meldingen.

8. Internationale doorgifte

8.1 Verwerker verwerkt Persoonsgegevens in beginsel binnen de EER.

8.2 Voor zover doorgifte naar buiten de EER plaatsvindt — in het bijzonder bij gebruik van Anthropic — vindt deze plaats op basis van een adequaatheidsbesluit van de Europese Commissie, op basis van Standaard Contractbepalingen (SCC's) of, waar van toepassing, Bindende Bedrijfsregels (BCR's), aangevuld met aanvullende waarborgen waar noodzakelijk.

9. Verzoeken van betrokkenen

9.1 Verwerker stuurt verzoeken die direct van betrokkenen ontvangen worden zonder reactie door naar Klant, behoudens voor zover Verwerker zelf gehouden is te reageren op grond van wettelijke verplichting.

9.2 Verwerker biedt Klant binnen redelijke termijn ondersteuning bij het beantwoorden van verzoeken (inzage, rectificatie, verwijdering, beperking, dataportabiliteit, bezwaar) door middel van technische en organisatorische maatregelen.

10. Audits

10.1 Klant heeft, met inachtneming van een redelijke termijn van ten minste vier (4) weken, het recht om eenmaal per kalenderjaar een audit te (laten) uitvoeren bij Verwerker, gericht op naleving van deze DPA.

10.2 Audits vinden plaats tijdens kantooruren, zonder verstoring van de dienstverlening, en met inachtneming van geheimhouding. Klant draagt de kosten van de audit, tenzij de audit substantiële tekortkomingen aantoont.

10.3 Verwerker mag Klant in plaats van een eigen audit een actueel onafhankelijk auditrapport (bijv. ISO 27001, SOC 2) of een verklaring van een externe auditor aanbieden, indien dit het auditdoel redelijkerwijs realiseert.

11. Teruggave en verwijdering

11.1 Bij beëindiging van de overeenkomst zal Verwerker, naar keuze van Klant, alle Persoonsgegevens (i) teruggeven in een gangbaar formaat (zoals JSON-export) of (ii) verwijderen, tenzij wettelijke bewaarplicht zich daartegen verzet.

11.2 Documenten en bijbehorende metadata blijven gedurende dertig (30) dagen na beëindiging in een "soft-delete"-status; daarna worden zij definitief verwijderd of geanonimiseerd, behoudens wettelijke bewaartermijnen.

12. Aansprakelijkheid

12.1 De aansprakelijkheid van Verwerker onder deze DPA is onderdeel van — en wordt beperkt overeenkomstig — de algemene aansprakelijkheidsbepalingen in de Algemene Voorwaarden, behoudens voor zover dwingend recht (waaronder artikel 82 AVG) een ruimere aansprakelijkheid bepaalt.

12.2 Boetes opgelegd door toezichthouders aan Klant als gevolg van een toerekenbare tekortkoming van Verwerker onder deze DPA worden gedragen door Verwerker, met inachtneming van de maxima in artikel 7 van de Algemene Voorwaarden.

13. Slotbepalingen

13.1 Bij strijd tussen de DPA en de Algemene Voorwaarden prevaleert de DPA op het punt van gegevensbescherming.

13.2 Op de DPA is Nederlands recht van toepassing. Geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechter in Rechtsbank Noord-Nederland, locatie Groningen.

Annex A — Beveiligingsmaatregelen (samenvatting)

1. Encryptie: TLS 1.2+ in transit, AES-256 voor gevoelige velden in rust.
2. Pseudonimisering: automatische redactie van BSN, KvK, IBAN, e-mail, postcode en telefoon vóór externe AI-verwerking.
3. Toegang: minimaal-rechtenprincipe, MFA voor productie-toegang, kwartaalreview van rechten.
4. Logging: audit-log van login, registratie, document-generatie, consent-acceptatie en admin-acties; bewaartermijn 12-60 maanden.
5. Pipeline-controles: juridische analyse, programmatische validatie, AI-validatie en kwaliteitsscoring vóór documentaflevering.
6. Backups: dagelijkse versleutelde back-ups binnen EU; periodieke restore-tests.
7. Incident-response: proces voor detectie, classificatie, bevriezing, herstel en notificatie binnen 24 uur na ontdekking.
8. Vendor-management: verwerkersovereenkomsten met alle Subverwerkers.

Annex B — Lijst van Subverwerkers

De actuele lijst van Subverwerkers is opgenomen in artikel 4 van de Privacyverklaring en kan op verzoek per e-mail worden opgevraagd via privacy@lawsy.nl.

Versie 1.0 — Geldig vanaf 1 mei 2026. Eerdere versies zijn op verzoek opvraagbaar via privacy@lawsy.nl.