Verwerkersovereenkomst

Conform artikel 28 AVG/GDPR · Laatst bijgewerkt: 23 april 2026

Deze verwerkersovereenkomst is van toepassing op alle diensten waarbij Recruitin B.V. persoonsgegevens verwerkt namens de Opdrachtgever via het platform Doelgroepenrapport.nl en bijbehorende rapportage- en e-mail-diensten.

1. Partijen

Verwerkingsverantwoordelijke	De Opdrachtgever (hierna: "Verantwoordelijke") — het bedrijf dat een rapport aanvraagt of gebruik maakt van het Platform
Verwerker	Recruitin B.V., Philippus Gastelaarsstraat 21b, 6981 BH Doesburg, KvK 75303647 (hierna: "Verwerker")

2. Onderwerp en duur

2.1. Deze overeenkomst heeft betrekking op de verwerking van persoonsgegevens door Verwerker ten behoeve van Verantwoordelijke in het kader van arbeidsmarktanalyses en doelgroep-rapportage via het Platform.

2.2. De overeenkomst duurt voort zolang Verwerker persoonsgegevens verwerkt namens Verantwoordelijke.

3. Soort persoonsgegevens

Categorie	Gegevens
Contactgegevens opdrachtgever	Naam, e-mail, telefoonnummer, bedrijfsnaam, functie
Vacature- en doelgroepgegevens	Functie, regio, niveau, sector, ICP-criteria en overige aanvraaginformatie
Rapportagegegevens	AI-gegenereerde analyses, benchmarks, salarisranges, kandidaataantallen, actiepunten
Communicatiegegevens	E-mailcorrespondentie en nurture-emails gerelateerd aan de dienst
Technische gegevens	IP-adressen, browserinformatie, paginabezoeken

4. Betrokkenen

• Medewerkers en contactpersonen van Verantwoordelijke
• Bezoekers van Doelgroepenrapport.nl die een rapport aanvragen
• Eindgebruikers waarvoor (geanonimiseerde) doelgroep-data wordt geanalyseerd

5. Verplichtingen Verwerker

5.1. Verwerker verwerkt de persoonsgegevens uitsluitend in opdracht van en volgens de schriftelijke instructies van Verantwoordelijke, tenzij een wettelijke verplichting anders vereist.

5.2. Verwerker garandeert dat personen die toegang hebben tot de persoonsgegevens gebonden zijn aan geheimhouding.

5.3. Verwerker treft passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat past bij het risico, waaronder:

• Versleuteling van gegevens in transit (TLS/HTTPS) en at rest
• Toegangsbeperking op basis van need-to-know
• Regelmatige beveiligingsaudits en key-rotatie
• Beveiligde API-sleutels (chmod 600, niet in broncode)
• Incidentresponsprocedure

6. Sub-verwerkers

6.1. Verantwoordelijke geeft hierbij algemene schriftelijke toestemming aan Verwerker om sub-verwerkers in te schakelen. Verwerker informeert Verantwoordelijke vooraf over wijzigingen in sub-verwerkers.

6.2. Huidige sub-verwerkers voor Doelgroepenrapport:

Sub-verwerker	Dienst	Locatie
Anthropic	AI-analyse en rapportgeneratie	VS (EU SCC)
Render	Backend voor rapport-generatie	EU/VS
Netlify	Website hosting en formulier-verwerking	VS/EU
Supabase	Database en bestandsopslag	EU (Frankfurt)
Resend	E-mailverzending van rapporten	VS/EU
Stripe	Betalingsverwerking	EU
Pipedrive	CRM en leadbeheer	EU
Lemlist	E-mail nurture sequences	EU
Apify	Publieke arbeidsmarktdata (Indeed/LinkedIn scrapers)	EU
Cookiebot	Consent management	EU
Google (GA4)	Website analytics	VS (Privacy Shield)
Meta	Advertentie pixel	VS/EU
LinkedIn	Insight Tag / advertenties	VS/EU

7. Datalekken

7.1. Verwerker meldt een datalek zonder onredelijke vertraging, en in ieder geval binnen 48 uur na ontdekking, aan Verantwoordelijke.

7.2. De melding bevat minimaal: de aard van het datalek, de getroffen gegevens, de getroffen betrokkenen, de genomen maatregelen, en het contactpunt.

7.3. Verwerker werkt mee aan het onderzoek en het informeren van de Autoriteit Persoonsgegevens en betrokkenen indien nodig.

8. Rechten van betrokkenen

8.1. Verwerker helpt Verantwoordelijke bij het beantwoorden van verzoeken van betrokkenen met betrekking tot hun rechten onder de AVG (inzage, correctie, verwijdering, overdracht, bezwaar).

8.2. Verwerker stuurt verzoeken van betrokkenen die rechtstreeks bij Verwerker binnenkomen direct door naar Verantwoordelijke.

9. Doorgifte buiten de EER

9.1. Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte vindt uitsluitend plaats op basis van een adequaatheidsbesluit, EU Standard Contractual Clauses (SCC), of een andere wettelijke grondslag conform artikel 46 AVG.

9.2. Verwerker heeft met alle sub-verwerkers buiten de EER SCC's of gelijkwaardige waarborgen afgesloten.

10. Audit

10.1. Verantwoordelijke heeft het recht om jaarlijks een audit uit te voeren of te laten uitvoeren om naleving van deze overeenkomst te controleren.

10.2. De kosten van de audit komen voor rekening van Verantwoordelijke, tenzij de audit aantoont dat Verwerker tekortschiet.

11. AI-verwerking specifiek

11.1. Persoonsgegevens die worden verwerkt door AI-systemen (Anthropic Claude) worden niet gebruikt voor het trainen van AI-modellen.

11.2. AI-verwerking geschiedt via beveiligde API-verbindingen. Gegevens worden niet permanent opgeslagen door de AI-dienstverlener na verwerking.

11.3. De output van AI-verwerking (rapporten, analyses) wordt opgeslagen in de beveiligde infrastructuur van Verwerker (Supabase / Render) en niet bij de AI-dienstverlener.

12. Beëindiging

12.1. Na beëindiging van de overeenkomst vernietigt Verwerker alle persoonsgegevens binnen 30 dagen, tenzij wettelijke bewaarplicht anders vereist.

12.2. Verwerker verstrekt op verzoek een bevestiging van vernietiging aan Verantwoordelijke.

13. Toepasselijk recht

Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Gelderland.

14. Contact

---