Naar hoofdinhoud
    Terug naar home

    Verwerkersovereenkomst (DPA)

    Laatst bijgewerkt: 12 juni 2026

    VERWERKERSOVEREENKOMST (DPA)

    Voxflow VOF · Versie 1.1 · Datum: 11-06-2026

    Deze verwerkersovereenkomst ("DPA") vormt onderdeel van de Overeenkomst tussen Partijen.

    Partijen

    1. [Klantnaam], gevestigd te [adres], ingeschreven bij de KvK onder nummer [•], rechtsgeldig vertegenwoordigd door [•], hierna: Verwerkingsverantwoordelijke of Klant; en

    2. Voxflow VOF, gevestigd te Karveel 22-01, Lelystad, ingeschreven bij de Kamer van Koophandel onder nummer 42058907, hierna: Verwerker of Voxflow.

    1. Definities en interpretatie

    1.1

    In deze DPA hebben de begrippen AVG, Persoonsgegevens, Verwerken, Datalek, Verwerkingsverantwoordelijke, Verwerker, Betrokkene en Toezichthoudende autoriteit de betekenis zoals in de AVG.

    1.2 Klantgegevens

    Alle gegevens (waaronder Persoonsgegevens) die door of namens Klant via de Dienst worden verwerkt, waaronder gespreksmetadata en – indien van toepassing – audio-opnames en transcripties.

    1.3 Subverwerker

    Een door Voxflow ingeschakelde derde die (een deel van) de Persoonsgegevens namens Voxflow verwerkt.

    1.4 Overeenkomst

    De hoofd-/dienstverleningsovereenkomst tussen Partijen inzake de Dienst, waaronder de Algemene Voorwaarden en eventuele SLA en addenda.

    1.5 Rangorde

    Bij strijdigheid tussen deze DPA en de Overeenkomst prevaleert voor onderwerpen die zien op bescherming van Persoonsgegevens en Verwerking deze DPA; voor overige onderwerpen geldt de rangorde zoals opgenomen in de Overeenkomst/Algemene Voorwaarden.

    2. Onderwerp, duur, aard en doeleinden van de Verwerking

    2.1

    Deze DPA regelt de Verwerking van Persoonsgegevens door Voxflow namens Klant in het kader van het leveren van de Dienst. De Dienst kan (deels) gebruikmaken van Subverwerkers conform artikel 6 en Bijlage 3.

    2.2 Duur

    De duur van de Verwerking loopt gedurende de looptijd van de Overeenkomst, en daarna uitsluitend voor zover nodig voor: afronding van beëindiging/exit; back-ups (tot natuurlijke overschrijving); naleving van wettelijke verplichtingen; en/of afhandeling van beveiligingsincidenten en audits.

    2.3 Doeleinden

    • Het leveren en beheren van de Dienst aan Klant.

    • Kwaliteitscontrole, foutanalyse, beveiliging en verbetering van de werking van de Dienst voor Klant.

    • Het genereren van transcripties, samenvattingen, KPI's, indicatoren en rapportages binnen de Dienst.

    2.4 Geen algemene modeltraining

    Voxflow gebruikt Klantgegevens niet voor algemene training van (generatieve) AI-modellen of voor andere doeleinden die niet noodzakelijk zijn voor de uitvoering van de Dienst.

    2.5 Klantspecifieke AI-training (alleen Groei, opt-in)

    Klantspecifieke AI-training/verfijning vindt uitsluitend plaats indien (i) Klant hiervoor expliciet opt-in heeft gegeven en (ii) dit onderdeel is van het Groei-pakket of anderszins schriftelijk is overeengekomen. Deze training is beperkt tot gegevens van Klant, wordt niet hergebruikt voor andere klanten, en audio-opnames zijn uitgesloten.

    3. Instructies en verantwoordelijkheid

    3.1

    Voxflow verwerkt Persoonsgegevens uitsluitend op gedocumenteerde instructies van Klant en zoals noodzakelijk voor de in artikel 2 omschreven doeleinden.

    3.2

    Indien Voxflow meent dat een instructie van Klant in strijd is met de AVG of andere toepasselijke privacywetgeving, zal Voxflow Klant onverwijld op de hoogte stellen. Voxflow is gerechtigd uitvoering van die instructie op te schorten totdat deze is aangepast.

    3.3 Verantwoordelijkheid Klant

    • Een geldige verwerkingsgrondslag en het voldoen aan informatieplichten richting bellers/Betrokkenen (waaronder eventuele melding van opname/transcriptie).

    • De inhoud van gesprekken en instructies/prompts/scripts die Klant via de Dienst laat gebruiken.

    • Het beoordelen of en welke Persoonsgegevens via de Dienst mogen worden verwerkt, inclusief het vermijden van bijzondere persoonsgegevens waar mogelijk.

    • De rechtmatigheid van eventuele doorgiften vanuit de Dienst naar systemen van Klant via integraties.

    4. Beveiliging (artikel 32 AVG)

    4.1

    Voxflow treft passende technische en organisatorische maatregelen ("TOMs") om Persoonsgegevens te beveiligen tegen verlies, onbevoegde toegang, wijziging of onrechtmatige verwerking.

    4.2

    De (kern)maatregelen zijn opgenomen in Bijlage 2 (TOMs).

    4.3

    Voxflow past multi-factor authenticatie toe voor beheeraccounts en andere accounts met verhoogde rechten, waar technisch mogelijk.

    5. Vertrouwelijkheid

    Voxflow waarborgt dat personen die onder haar gezag handelen en toegang hebben tot Persoonsgegevens, contractueel of wettelijk zijn gebonden aan geheimhouding. Voxflow beperkt toegang tot Persoonsgegevens tot personen voor wie toegang noodzakelijk is.

    6. Subverwerkers en internationale doorgifte

    6.1

    Klant verleent Voxflow algemene toestemming om Subverwerkers in te schakelen voor de uitvoering van de Dienst.

    6.2

    Een actuele lijst van Subverwerkers is beschikbaar als Bijlage 3 bij deze DPA en via https://voxflow.nl/subprocessors.

    6.3

    Voxflow sluit met iedere Subverwerker een overeenkomst die verplichtingen bevat die materieel niet minder beschermend zijn dan deze DPA.

    6.4

    Voxflow kondigt het toevoegen of vervangen van Subverwerkers ten minste 14 dagen vooraf aan via e-mail of klantportaal, tenzij een wijziging noodzakelijk is vanwege veiligheid, wettelijke verplichtingen of onvoorzienbare uitval; in die gevallen kan aankondiging zo spoedig mogelijk achteraf plaatsvinden.

    6.5

    Klant kan gemotiveerd bezwaar maken tegen een nieuwe Subverwerker binnen de aankondigingstermijn. Partijen treden dan in overleg. Indien Voxflow redelijkerwijs geen alternatief kan bieden, mag Klant de Overeenkomst beëindigen voor het door de Subverwerker geraakte deel.

    6.6 Internationale doorgifte

    Indien (Sub)verwerkers Persoonsgegevens buiten de EER verwerken, zorgt Voxflow voor passende waarborgen, primair via Standard Contractual Clauses (SCC) en waar beschikbaar via het EU-US Data Privacy Framework.

    6.7 Aggregatie voor productverbetering (met opt-out)

    Voxflow mag geaggregeerde statistieken gebruiken voor beveiliging, stabiliteit en productverbetering. Deze statistieken bevatten geen gespreksinhoud en zijn niet redelijkerwijs tot een Betrokkene herleidbaar. Klant kan hiertegen bezwaar maken (opt-out); na activering wordt de opt-out uiterlijk binnen 5 werkdagen doorgevoerd.

    7. Datalekken en beveiligingsincidenten

    7.1

    Voxflow meldt een Datalek aan Klant zonder onredelijke vertraging en uiterlijk binnen 48 uur nadat Voxflow het Datalek heeft ontdekt en redelijkerwijs heeft bevestigd.

    7.2

    De melding bevat, voor zover beschikbaar: aard, gevolgen, categorieën/aantallen, maatregelen en contactpunt.

    7.3

    Klant blijft verantwoordelijk voor meldingen aan de Autoriteit Persoonsgegevens en/of Betrokkenen, tenzij Partijen schriftelijk anders overeenkomen.

    7.4 Contactpunt security

    Meldingen verlopen via: security@voxflow.nl (of een later schriftelijk bevestigd adres).

    8. Bijstand aan Klant (artikel 28(3)(e)-(f) AVG)

    8.1

    Voxflow verleent Klant, voor zover redelijkerwijs mogelijk, bijstand bij het voldoen aan verplichtingen van Klant onder de AVG, waaronder:

    • Het beantwoorden van verzoeken van Betrokkenen (artikelen 15 t/m 22 AVG).

    • Het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en voorafgaande raadpleging van de toezichthouder (artikel 35 en 36 AVG).

    • Het treffen en evalueren van passende beveiligingsmaatregelen (artikel 32 AVG).

    8.2

    Bijstand vindt plaats op basis van door Klant verstrekte informatie en instructies, en kan afhankelijk van de aard en omvang van het verzoek redelijk worden doorbelast conform de Overeenkomst.

    9. Audit en informatie

    9.1

    Voxflow stelt op verzoek redelijke informatie beschikbaar die nodig is om naleving van deze DPA aan te tonen, waaronder beleidssamenvattingen, subverwerkerslijst en (indien beschikbaar) assurance-rapporten.

    9.2

    Klant is gerechtigd tot een documentatie-audit maximaal één keer per jaar, na voorafgaande schriftelijke aankondiging van minimaal 30 dagen.

    9.3 On-site audits

    On-site audits zijn uitsluitend toegestaan indien: (i) Klant een concrete, onderbouwde aanwijzing heeft van niet-naleving; en (ii) Partijen vooraf scope, timing, vertrouwelijkheid, security-eisen en kosten schriftelijk overeenkomen.

    9.4 Alternatief

    Indien Voxflow een actueel, passend onafhankelijk assurance-rapport (bijv. SOC 2 Type II of ISO 27001) beschikbaar heeft, kunnen Partijen overeenkomen dat dit geheel of gedeeltelijk in de plaats treedt van (delen van) een audit.

    10. Teruglevering en verwijdering na einde Overeenkomst

    10.1

    Na beëindiging of afloop van de Overeenkomst, en op schriftelijk verzoek van Klant, zal Voxflow Klantgegevens aan Klant retourneren of verwijderen, naar keuze van Klant, tenzij opslag wettelijk verplicht is.

    10.2

    Klant maakt zijn keuze voor retournering (export) of verwijdering uiterlijk binnen 14 dagen na einde van de Overeenkomst kenbaar. Indien Klant geen keuze maakt binnen deze termijn, is Voxflow gerechtigd de Klantgegevens te verwijderen conform artikel 10.3.

    10.3

    Voxflow voert de retournering of verwijdering uit binnen 30 dagen na ontvangst van het verzoek of na afloop van de termijn in artikel 10.2.

    10.4

    Retournatie geschiedt in een redelijk gangbaar formaat (bijv. CSV en/of JSON). Back-ups worden verwijderd of overschreven conform de reguliere back-upcyclus.

    11. Aansprakelijkheid en kosten (verwerkingsgerelateerd)

    De aansprakelijkheidsbepalingen uit de Overeenkomst zijn onverkort van toepassing op deze DPA. Kosten voor redelijke bijstand en (on-site) audits kunnen worden doorbelast conform de Overeenkomst of een vooraf overeengekomen tarief.

    12. Contactpunten

    Privacy: info@voxflow.nl

    Security/incidenten: security@voxflow.nl

    Wijzigingen in contactgegevens worden door Voxflow gemeld via e-mail of klantportaal.

    13. Slotbepalingen

    Deze DPA treedt in werking op de Datum en geldt zolang Voxflow Persoonsgegevens namens Klant verwerkt in het kader van de Overeenkomst. Wijzigingen op deze DPA zijn slechts geldig indien schriftelijk of elektronisch overeengekomen door Partijen. Indien enige bepaling nietig is, blijven de overige bepalingen onverminderd van kracht.

    Ondertekening

    Voor Klant (Verwerkingsverantwoordelijke) Voor Voxflow VOF (Verwerker)
    Naam: [•] Naam: [•]
    Functie: [•] Functie: [•]
    Datum: [•] Datum: [•]
    Handtekening:

    ________________________    		 Handtekening:

    ________________________

    Bijlage 1 – Omschrijving Verwerkingen, betrokkenen, persoonsgegevens en bewaartermijnen

    A. Verwerkingsactiviteiten

    • Ontvangen en afhandelen van inkomende telefonische gesprekken namens Klant.

    • Tijdelijke verwerking van audio in transit voor transcriptie en real-time call handling.

    • Genereren en opslaan van transcripties, samenvattingen en labels/scores.

    • Opslaan van technische metadata en logs voor beveiliging en beheer.

    • Doorzetten van relevante uitkomsten naar systemen van Klant via integraties (optioneel).

    • Support, incidentafhandeling, monitoring en misbruikpreventie.

    B. Betrokkenen

    • Bellers/eindgebruikers van Klant.

    • (Incidenteel) medewerkers van Klant indien zij in gesprekken voorkomen.

    C. Categorieën Persoonsgegevens

    • Telefoonnummer (caller ID) en eventuele identificatiegegevens die een beller verstrekt.

    • Transcripties en samenvattingen van gesprekken.

    • Labels/scores gekoppeld aan call-id (bijv. intent/sentiment/KPI-tags).

    • Bestel- en reserveringsinformatie, afhankelijk van klantinrichting.

    • Technische metadata (tijdstippen, gespreksduur, foutcodes, latency, toegangslogs).

    D. Bewaartermijnen (standaard)

    Categorie Maximale bewaartermijn
    Audio-opnames (indien door Klant geactiveerd) Maximaal 30 dagen
    Transcripties, samenvattingen en labels/scores Maximaal 90 dagen
    Technische metadata en beveiligings-/toegangslogs Maximaal 12 maanden
    Geaggregeerde statistieken (zonder gespreksinhoud, niet herleidbaar) Maximaal 24 maanden

    E. Verwerkingslocatie

    Primair opslagplatform: Microsoft Azure West-Europe (Amsterdam, Nederland), tenzij anders overeengekomen. Subverwerkers kunnen (delen van) Verwerking uitvoeren binnen of buiten de EER met passende waarborgen conform artikel 6.

    Bijlage 2 – Technische en organisatorische maatregelen (TOMs)

    1. Governance en beleid

    • Aangewezen security/privacy-verantwoordelijke (eigenaar incident- en datalekproces).

    • Beleid/werkinstructies voor incidentrespons, toegangsbeheer, wijzigingsbeheer en dataminimalisatie.

    • Periodieke review van risico's en maatregelen (minimaal jaarlijks en bij materiële wijzigingen).

    2. Toegangsbeheer en autorisatie

    • Role-Based Access Control (RBAC) en least-privilege; toegang uitsluitend voor geautoriseerde medewerkers/contractors.

    • Multi-factor authenticatie (MFA) voor beheeraccounts en accounts met verhoogde rechten.

    • Sterk wachtwoordbeleid en beveiligde opslag van secrets/tokens (bijv. secret manager).

    • Periodieke toegangsreview (bijv. bij rolwijziging/offboarding).

    3. Logische scheiding en klantisolatie

    • Logische scheiding van klantomgevingen en/of -datasets binnen de Dienst.

    • Toegangscontroles die voorkomen dat gebruikers data van andere klanten kunnen benaderen.

    • Test- en productieomgevingen gescheiden; testdata waar mogelijk geanonimiseerd.

    4. Versleuteling en transportbeveiliging

    • TLS-encryptie voor datatransport (in transit) tussen componenten en richting portal/API.

    • Encryptie at rest waar de onderliggende platformen dit bieden.

    • Sleutelbeheer via platformvoorzieningen; toegang beperkt.

    5. Logging, monitoring en detectie

    • Toegangslogging (audit trail) voor beheer- en gevoelige acties waar mogelijk.

    • Monitoring op beschikbaarheid, fouten en afwijkingen (bijv. misbruikdetectie).

    • Logretentie: operationele en beveiligingslogs maximaal 12 maanden.

    6. Kwetsbaarheden, patching en wijzigingsbeheer

    • Beheer van updates/patches voor eigen componenten; prioritering op basis van risico.

    • Wijzigingsbeheer: changes worden vastgelegd en waar passend gereviewd.

    • Beperkingen op directe productie-wijzigingen; gebruik van geautoriseerde deploymentkanalen.

    7. Back-ups, herstel en continuïteit

    • Back-up/restore mogelijkheden via hostingplatform(en).

    • Herstelprocedures voor beschikbaarheid en data-integriteit; periodieke test van herstel.

    • Back-ups kennen een eigen retentie en worden na afloop overschreven/verwijderd.

    8. Incidentrespons en datalekbeheer

    • Procedure voor beveiligingsincidenten en datalekken, inclusief triage, containment, communicatie en nazorg.

    • On-call/escalatieproces voor P1-incidenten.

    • Intern incident-/datalekregister; bewaartermijn minimaal 5 jaar (security/incidentdossier).

    9. Personeel, training en vertrouwelijkheid

    • Geheimhouding voor personeel en ingeschakelde contractors.

    • Toegang tot Persoonsgegevens beperkt tot need-to-know; supporttoegang waar mogelijk tijdelijk en gelogd.

    • Bewustwording/training over privacy en security passend bij rol.

    10. Subverwerkersbeheer

    • Due diligence op subverwerkers (aard van verwerking, locatie, waarborgen).

    • Contractuele verplichtingen voor subverwerkers die materieel niet minder beschermend zijn dan deze DPA.

    • Proces voor wijzigingsnotificaties (min. 14 dagen vooraf) en bezwaarbehandeling.

    11. Dataretentie en verwijdering

    • Technische en organisatorische maatregelen om standaard retentie (30/90/12/24 maanden) te borgen.

    • Exit-proces voor export/verwijdering na einde Overeenkomst conform artikel 10.

    12. Integraties en gegevensuitwisseling

    • Integraties (API/webhooks) alleen op instructie/configuratie van Klant.

    • Authenticatie/authorisatie voor integraties via tokens/keys; rotatie en intrekking bij misbruik.

    • Dataminimalisatie: alleen noodzakelijke velden doorzetten.

    13. Fysieke beveiliging (via hostingproviders)

    • Fysieke beveiligingsmaatregelen worden primair geborgd door datacenter/hosting-subverwerkers conform hun assurance en contractuele afspraken.

    14. Periodieke toetsing

    • Voxflow evalueert deze TOMs minimaal jaarlijks en tussentijds bij relevante wijzigingen.

    Bijlage 3 – Subverwerkerslijst

    Een actuele lijst van Subverwerkers is beschikbaar als separate bijlage (Subverwerkersovereenkomst) en via: https://voxflow.nl/subprocessors (of klantportaal-URL), inclusief versie en datum 'laatst bijgewerkt'.

    De lijst is een living document en kan periodiek worden geactualiseerd conform artikel 6 van de DPA.

    Voxflow VOF · KvK: 42058907 · info@voxflow.nl · voxflow.nl · DPA v1.1