Verwerkersovereenkomst (DPA)

1. Partijen

Klant (verwerkingsverantwoordelijke): de natuurlijke of rechtspersoon die een Clozo-account registreert en persoonsgegevens van derden (bv. klanten, leads, contactpersonen) uploadt/overdraagt naar de dienst.

Verwerker: Andrei Diachenko, eenmanszaak handelend onder de naam Clozo, Calle Covera 19, 5A, 33012 Oviedo, Asturië, Spanje. NIF Z1579875X · EU-btw ESZ1579875X.

2. Onderwerp en duur (art. 28(3) inleiding)

Onderwerp: de verwerking van persoonsgegevens die nodig is om de Clozo-dienst te leveren (offertes opstellen, elektronisch ondertekenen, facturen genereren en versturen, betalingen via Stripe innen, optionele AI-tekstondersteuning, optionele e-facturatieformaten genereren). Duur: vanaf accountaanmaak tot 30 dagen na accountsluiting of het einde van de langste toepasselijke wettelijke bewaartermijn onder EU/MS-recht (welke later valt).

3. Aard en doel van verwerking (art. 28(3)(a))

Aard: opslag, doorgifte, transformatie (bv. PDF-rendering, XML-generatie) en beperkte geautomatiseerde verwerking (PII-geschoonde AI-tekstverbetering als kernfunctie — rechtsgrond art. 6(1)(b) AVG). Doel: de Klant in staat stellen zijn freelance/MKB-activiteit via Clozo uit te voeren. Clozo verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructies van de Klant, inclusief doorgiften naar derde landen, tenzij Unie- of lidstaatrecht waaraan Clozo onderworpen is dit anders vereist; in dat geval informeert Clozo de Klant vóór de verwerking over dat wettelijke vereiste, tenzij dat recht dergelijke kennisgeving om belangrijke redenen van algemeen belang verbiedt.

4. Soorten gegevens en categorieën betrokkenen (art. 28(3))

Soorten persoonsgegevens: identificatie (naam, e-mail), bedrijfsgegevens (bedrijfsnaam, btw-nummer, adres, IBAN/BIC), financieel (factuurbedragen, betaal-metadata via Stripe), communicatie (e-mailinhoud, optioneel Crisp-chattranscripten), technisch (IP via Cloudflare, user-agent, browsertaal). Categorieën betrokkenen: klanten van de Klant, leads, factuurcontacten en eindontvangers van door Clozo gegenereerde documenten. Geen bijzondere categorieën persoonsgegevens (art. 9) worden routinematig verwerkt.

5. Verplichtingen en rechten van de verwerkingsverantwoordelijke (art. 28(3)(d))

De Klant is verantwoordelijk voor (a) het hebben van een rechtmatige grondslag voor het verzamelen en uploaden van persoonsgegevens naar Clozo, (b) het verstrekken van de informatie aan betrokkenen vereist door art. 13/14, (c) het reageren op verzoeken van betrokkenen die rechtstreeks aan de Klant worden gericht, (d) ervoor zorgen dat de geüploade gegevens accuraat en up-to-date zijn, (e) het bijhouden van het eigen verwerkingsregister onder art. 30, (f) het configureren van Clozo-instellingen (bv. bewaarvoorkeuren, AI-opt-in) consistent met de wettelijke-grondslag-beslissingen van de Klant.

6. Vertrouwelijkheid (art. 28(3)(b))

Clozo zorgt ervoor dat personen die geautoriseerd zijn om de persoonsgegevens te verwerken zich tot vertrouwelijkheid hebben verbonden of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht. De enige persoon met operationele toegang vandaag is de eenmanszaak (Andrei Diachenko); werknemers, contractanten of personeel van sub-verwerkers (Stripe, Cloudflare, Resend enz.) zijn gebonden door hun respectievelijke NDA's en DPA's.

7. Beveiligingsmaatregelen (art. 28(3)(c) + art. 32)

Clozo treft technische en organisatorische maatregelen (TOM's) passend bij het risico, waaronder: TLS 1.3 in transit; AES-256-equivalent at rest (Postgres op Railway EU, R2 op Cloudflare EU); JWT-gebaseerde authenticatie met refresh-tokenrotatie; rate-limiting op auth-endpoints; dagelijkse versleutelde databaseback-ups; Sentry-gebaseerde incidentdetectie; kwartaalsgewijze geheimrotatie; principe van least privilege voor Railway-toegang; staging/productie-omgevingsscheiding. Gedetailleerde TOM's op aanvraag bij legal@useclozo.com.

8. Sub-verwerkers (art. 28(2) + (4))

De Klant machtigt Clozo om de in het openbare sub-verwerkerregister op /subprocessors vermelde sub-verwerkers in te zetten. Clozo geeft de Klant minstens 30 dagen vooraf bericht van voorgenomen toevoegingen of vervangingen via het op /subprocessors beschreven kennisgevingsmechanisme (e-mailabonnement, RSS-feed). De Klant kan bezwaar maken tegen een nieuwe sub-verwerker door binnen de kennisgevingsperiode contact op te nemen met privacy@useclozo.com; als geen acceptabele oplossing kan worden bereikt, kan de Klant deze DPA en het onderliggende abonnement beëindigen. Clozo legt elke sub-verwerker dezelfde gegevensbeschermingsverplichtingen op als in deze DPA, in het bijzonder voldoende garanties voor passende TOM's.

9. Bijstand bij rechten van betrokkenen (art. 28(3)(e))

Clozo biedt self-service-endpoints in het klantdashboard (Instellingen → Privacy) ter ondersteuning bij het beantwoorden van verzoeken van betrokkenen onder art. 15-22, waaronder gegevensexport (art. 20), wissing (art. 17) met een afkoelperiode van 14 dagen, en rectificatie (art. 16). Voor verzoeken die de self-service-endpoints overstijgen, biedt Clozo op verzoek aan privacy@useclozo.com aanvullende ondersteuning binnen redelijke termijn en zonder extra kosten, voor zover de ondersteuning beperkt blijft tot het ophalen of verwijderen van gegevens die de Klant niet via het dashboard kan benaderen.

10. Melding van inbreuken (art. 28(3)(f) + art. 33)

Clozo meldt de Klant zonder onnodige vertraging, en in elk geval binnen 72 uur, na bekendwording van een inbreuk op persoonsgegevens die gevolgen heeft voor de gegevens van de Klant. De melding beschrijft minimaal de aard van de inbreuk, de categorieën en geschatte aantallen betrokken personen en records, de waarschijnlijke gevolgen en de getroffen of voorgestelde maatregelen. Clozo werkt mee aan de eigen meldingsverplichtingen van de Klant bij de toezichthoudende autoriteit en betrokkenen onder art. 33 en art. 34.

11. Wissing of teruggave van persoonsgegevens (art. 28(3)(g))

Bij beëindiging van het onderliggende abonnement wist of retourneert Clozo, naar keuze van de Klant, alle persoonsgegevens na het einde van de dienstverlening en verwijdert bestaande kopieën, tenzij Unie- of lidstaatrecht opslag vereist (bv. fiscale factuurbewaring onder btw-richtlijn 2006/112/EG art. 244-247: minimaal 6 jaar in NL, 10 jaar in DE, 8 jaar in PL). Waar wettelijke bewaring van toepassing is, isoleert Clozo de bewaarde gegevens, beperkt de toegang tot wat strikt noodzakelijk is voor naleving en wist de gegevens permanent aan het einde van de bewaartermijn.

12. Contact en audits (art. 28(3)(h))

Voor alle DPA-gerelateerde vragen, auditverzoeken of zaken rond rechten van betrokkenen: privacy@useclozo.com. Clozo stelt alle informatie ter beschikking die nodig is om naleving van art. 28 AVG aan te tonen en maakt audits — inclusief inspecties — mogelijk en draagt eraan bij, uitgevoerd door de Klant of een door de Klant aangewezen auditor, onder voorbehoud van redelijke kennisgeving (30 dagen) en een geheimhoudingsverbintenis.