Concept — definitief volgt na juridische review.

Verwerkersovereenkomst (DPA)

Versie 0.3.1 — concept — laatst bijgewerkt 28 mei 2026.

Changelog v0.3.1: Naam van het platform gewijzigd naar offertestudio.nl; de verwerkingsverantwoordelijke (Lumivero, KvK 42034209) en alle verwerkingen blijven ongewijzigd.

Deze verwerkersovereenkomst geldt aanvullend op de Voorwaarden wanneer de gebruiker als verwerkingsverantwoordelijke persoonsgegevens van zijn of haar klanten in offertestudio.nl laadt. Lumivero treedt dan op als verwerker.

1. Aard en doel van de verwerking

Wij verwerken persoonsgegevens uitsluitend om de Dienst te leveren. Dit omvat de volgende verwerkingsactiviteiten, uitgevoerd in opdracht van de gebruiker (verwerkingsverantwoordelijke):

  • Offerte-opstelling:opslaan van klantcontactgegevens, projectinformatie, foto's en spraakopnames die door de gebruiker worden ingevoerd, en het genereren van offertes door AI-inference op die input.
  • Klantportaal-verzending: versturen van de offerte-e-mail met een unieke deellink (via Resend) en beschikbaar stellen van de offerte op een publieke portaalpagina. Logging van e-mailopen- en klikgebeurtenissen (open-tracking via Resend), paginabezoeken en PDF-downloads stelt de gebruiker in staat de offerteafhandeling te volgen.
  • Besluitregistratie: vastleggen van de beslissing van de eindklant — bij akkoord: naam, digitale handtekening en gewenste startdatum; bij afwijzing: de gekozen reden en eventuele toelichting.

2. Soort persoonsgegevens en betrokkenen

  • Soort: NAW-gegevens, contactgegevens (waaronder e-mailadres van de eindklant), projectomschrijving, beelden van het werkadres, geluidsopnames met spraak; klantportaal-specifiek: open- en kliklogging, PDF-downloadlogging, handtekening + getekende naam, afwijzingsreden + toelichting.
  • Betrokkenen: klanten van de gebruiker (de aannemer).

3. Sub-verwerkers

Wij maken gebruik van de sub-verwerkers genoemd in artikel 3 van onze Privacyverklaring, waaronder in het bijzonder:

  • Resend (USA) — transactionele e-mail voor het verzenden van de offerte-e-mail en de open/klik-tracking daarvan.
  • Supabase (EU/USA) — opslag van klantportaaldata (logevents, handtekening-pad, besluitregistratie).
  • Vercel (USA) — hosting van het klantportaal.
  • Anthropic (USA)— AI-inference voor offerte-opstelling én opslag van geüploade projectfoto's via de Anthropic Files API. Foto's worden bij het eerste gebruik naar Anthropic geüpload en daar bewaard als onderdeel van de photo-analyse; volgens de geldende commerciële voorwaarden van Anthropic worden via de API aangeleverde gegevens niet gebruikt voor het trainen van modellen.

Wijzigingen in de sub-verwerkerlijst kondigen wij minimaal 30 dagen vooraf aan; bezwaar maken kan binnen die termijn.

4. Beveiligingsmaatregelen

  • Versleuteling at rest en in transit (TLS).
  • Toegang tot productiedata met multi-factor-authenticatie.
  • Logbestanden van alle datawijzigingen.
  • Periodieke beveiligingsreviews door derden (start: Q3 2026).

5. Datalekken

Bij een vermoed of geconstateerd datalek informeren wij de verwerkingsverantwoordelijke binnen 24 uur na constatering, met de beschikbare details.

6. Hulp bij rechten van betrokkenen

Voor de meest voorkomende AVG-rechten van de gebruiker zelf (dataportabiliteit en recht op verwijdering) leveren wij self-service functionaliteit in de app op /settings/account/data: een knop om alle eigen gegevens als JSON te downloaden, en een cascade-verwijdering van het account inclusief alle gerelateerde records. Voor verzoeken die betrokkenen van de gebruiker (klanten van de aannemer) betreffen, ondersteunen wij binnen 5 werkdagen door export- of verwijderfunctionaliteit te leveren of de gevraagde gegevens namens de gebruiker te verwijderen.

7. Audits

De gebruiker mag eenmaal per jaar, op eigen kosten, een onafhankelijke audit op onze beveiligingsmaatregelen laten uitvoeren, mits 30 dagen vooraf aangekondigd en uitgevoerd door een redelijke onderzoeksinstantie.

8. Beëindiging

Bij beëindiging van het abonnement verwijderen wij de gegevens binnen 30 dagen, behalve waar wettelijke bewaartermijnen (zoals 7-jaar fiscaal) ons verplichten ze langer te bewaren.

9. Internationale doorgifte

Persoonsgegevens worden bij voorkeur binnen de EU verwerkt. Waar sub-verwerkers buiten de EU opereren (Anthropic, OpenAI, Vercel, Resend) wordt doorgifte gedekt door standaardcontractbepalingen (Standard Contractual Clauses) of een vergelijkbaar passend beschermingsniveau.

Voor een ondertekende kopie van deze DPA, mail avg@offertestudio.nl.