Verwerkersovereenkomst
Laatste update: 3 april 2026
1. Partijen
Verwerkingsverantwoordelijke: U ("Klant") — de AI-implementeerder, het bureau of platform dat Audact-diensten gebruikt.
Verwerker: Audact Ltd ("Audact") — verwerkt interactiemetadata namens u.
2. Verwerkingsbereik
Gegevenscategorieën: Gespreksmetadata (tijdstempels, jurisdictie-identificatoren, beleidsbeslissingen, validatieresultaten, bewijshashes, toestemmingsrecords).
Niet verwerkt: Gespreksinhoud, audio-opnamen, PII die verder gaat dan noodzakelijk voor compliancevalidatie. Alle PII is versleuteld met per-betrokkene sleutels en onderworpen aan crypto-verwijdering op wisverzoek.
Doel: Compliancevalidatie, bewijsgeneratie en audittrailbehoud zoals geïnstrueerd door de Klant.
3. Subverwerkers
Alle derde partijen die gegevens verwerken namens Audact of onze klanten. Deze lijst wordt bijgehouden zoals vereist onder AVG Article 28.
| Subverwerker | Doel | Verwerkte gegevens | Locatie |
|---|---|---|---|
| AWS (Frankfurt) | Infrastructuur hosting | Alle platformgegevens | EU (Frankfurt) |
| Cloudflare | CDN, DNS, DDoS-bescherming | Verzoeksmetadata | EU + globale edge |
| Telnyx | SIP-telefonie | Gespreksaudio in transit, telefoniemetadata | EU PoPs — SCCs |
| LiveKit Cloud | WebRTC transport, turn-detectie | Audio in transit (geen bewaring) | EU-regio |
| Deepgram Nova-3 | Spraak-naar-tekst (standaard) | Audio in transit (geen bewaring geconfigureerd) | VS (EU-eindpunt) — SCCs |
| ElevenLabs Flash | Tekst-naar-spraak (standaard) | LLM-gegenereerde tekst | VS/EU — SCCs |
| OpenAI / Anthropic | LLM-inferentie (GPT-4o-mini standaard, Claude Sonnet premium) | Conversationele tekst (geen bewaring geconfigureerd) | VS (EU-eindpunt waar beschikbaar) — SCCs |
| Google Workspace | E-mail, documenten | Zakelijke communicatie | VS/EU — SCCs |
| Slack | Interne communicatie | Interne berichten | VS — SCCs |
| Notion | Wiki / projectbeheer | Interne operationele gegevens | VS — SCCs |
| 1Password | Referentiebeheer | Versleutelde referenties | Canada/EU |
| Stripe (wanneer live) | Betalingsverwerking | Factureringsgegevens | VS/IE — SCCs |
In de VS gevestigde subverwerkers opereren onder Standaard Contractuele Clausules (SCC's) als overdrachtsmechanisme conform AVG Hoofdstuk V.
Wij informeren u 30 dagen voordat een subverwerker wordt toegevoegd of vervangen. U kunt binnen 14 dagen bezwaar maken.
Laatste update: 12 april 2026
4. Dataresidentie
Alle klant-compliancegegevens (interactiemetadata, bewijsketens, auditlogboeken) worden uitsluitend opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER) op AWS eu-central-1 (Frankfurt).
Bepaalde hierboven vermelde subverwerkers zijn gevestigd in de VS en verwerken beperkte operationele gegevens onder Standaard Contractuele Clausules (SCC's). Geen klant-compliancegegevens verlaten de EER.
5. Beveiligingsmaatregelen (AVG Art. 32)
- Versleuteling in rust (AES-256) en in transit (TLS 1.3)
- Per-betrokkene versleutelingssleutels voor PII (crypto-verwijdering mogelijkheid)
- SHA-256 hashketens voor bewijsintegriteit
- Op rollen gebaseerde toegangscontrole (RBAC)
- SOC 2 Type II gepland 2027
- Regelmatige penetratietests en kwetsbaarheidsscans
6. Rechten van Betrokkenen
Audact helpt de Klant bij het vervullen van verzoeken van betrokkenen (inzage, rectificatie, wissing, overdraagbaarheid) binnen 72 uur na kennisgeving. Wissing wordt geïmplementeerd via crypto-verwijdering: de per-betrokkene versleutelingssleutel wordt vernietigd, waardoor persoonsgegevens permanent onleesbaar worden terwijl de bewijsketenintegriteit bewaard blijft.
7. Meldplicht Datalekken
Audact informeert de Klant over elk persoonsgegeven lek binnen 36 uur na kennisname. Kennisgeving omvat: aard van het lek, categorieën van betrokken gegevens, geschat aantal records, waarschijnlijke gevolgen en genomen maatregelen.
8. Looptijd & Beëindiging
Deze Verwerkersovereenkomst is van kracht voor de duur van de serviceovereenkomst. Bij beëindiging zal Audact alle klantgegevens binnen 30 dagen verwijderen of retourneren, behalve waar bewaring wettelijk verplicht is (EU AI Act bewijsvereisten).
9. Contact
GVO-vragen: dpo@audact.ai