Verwerkersovereenkomst

Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, als bedoeld in artikel 4 AVG.

Verwerking: Elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, als bedoeld in artikel 4 AVG.

Betrokkene: De natuurlijke persoon op wie persoonsgegevens betrekking hebben, waaronder kandidaten die via het Platform solliciteren.

Subverwerker: Een derde partij die in opdracht van de Verwerker persoonsgegevens verwerkt.

De Verwerkingsverantwoordelijke geeft de Verwerker opdracht tot verwerking van persoonsgegevens ten behoeve van de volgende doeleinden:

• Opslaan en beheren van kandidaatprofielen
• AI-gestuurde scoring en analyse van sollicitaties
• Versturen van e-mails en notificaties aan kandidaten
• Weergeven van kandidaatgegevens in het dashboard

De Verwerker verwerkt persoonsgegevens uitsluitend conform schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij wettelijk verplicht anders te handelen.

De volgende categorieën persoonsgegevens worden verwerkt:

• Naam, e-mailadres en telefoonnummer van kandidaten
• CV en motivatiebrief (inclusief werkervaring en opleiding)
• AI-gegenereerde beoordelingsscores en notities
• Communicatiegeschiedenis (e-mails en berichten)
• IP-adressen en technische loggegevens

Betrokkenen zijn uitsluitend sollicitanten (kandidaten) die via het Platform zijn ingediend.

De Verwerker verplicht zich tot geheimhouding van alle persoonsgegevens die hij in het kader van deze overeenkomst verwerkt.

De Verwerker treft passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens, waaronder:

• Versleuteling van data in transit (TLS 1.3) en at rest (AES-256)
• Row-Level Security (RLS) in de database — strikte scheiding per tenant
• Multi-Factor Authenticatie voor beheerderstoegang
• Jaarlijkse penetratietests (eerste gepland Q3 2026) en interne beveiligingsreviews

De Verwerkingsverantwoordelijke geeft hierbij algemene toestemming voor het inschakelen van subverwerkers. De Verwerker hanteert de volgende subverwerkers:

De Verwerker informeert de Verwerkingsverantwoordelijke minimaal 14 dagen van tevoren bij wijzigingen in de subverwerkers. SCCs = Standard Contractual Clauses conform EU-besluit 2021/914.

De Verwerker verleent medewerking aan de uitoefening van rechten van betrokkenen conform de AVG, waaronder het recht op inzage, correctie, verwijdering en overdraagbaarheid.

Verzoeken van betrokkenen worden binnen 5 werkdagen doorgezet naar de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke is eindverantwoordelijk voor het afhandelen van deze verzoeken.

De Verwerker biedt technische faciliteiten voor data export (CSV) en verwijdering via het dashboard.

Bij een beveiligingsincident dat mogelijk persoonsgegevens betreft, meldt de Verwerker dit binnen 24 uur aan de Verwerkingsverantwoordelijke via e-mail aan het bij WervingAI geregistreerde e-mailadres.

De melding bevat minimaal: aard van het incident, betrokken datareeksen, mogelijke gevolgen en genomen maatregelen.

De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor de eventuele melding aan de Autoriteit Persoonsgegevens (meldplicht binnen 72 uur).

Persoonsgegevens worden bewaard zolang de overeenkomst actief is en maximaal 30 dagen na beëindiging.

Na afloop van de bewaartermijn worden persoonsgegevens automatisch en onomkeerbaar verwijderd uit alle systemen, inclusief back-ups (binnen 90 dagen).

De Verwerkingsverantwoordelijke kan op elk moment via het dashboard data exporteren of verwijderen.

De Verwerker verstrekt op verzoek alle informatie die de Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de naleving van deze DPA te controleren.

De Verwerkingsverantwoordelijke heeft het recht een onafhankelijke audit te laten uitvoeren, met een opzegtermijn van 30 dagen en op eigen kosten.

WervingAI werkt aan implementatie van ISO 27001 en plant een eerste externe audit in Q4 2026. Verdere beveiligingscertificeringen zijn in onderzoek.

De aansprakelijkheid van de Verwerker uit hoofde van deze DPA is beperkt tot het bedrag dat de Verwerkingsverantwoordelijke in de drie (3) maanden voorafgaand aan het schadeveroorzakende feit aan abonnementskosten heeft betaald.

De Verwerker is niet aansprakelijk voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, reputatieschade of schade door bedrijfsstilstand.

De aansprakelijkheidsbeperking geldt niet bij opzet of bewuste roekeloosheid van de Verwerker, of bij verplichtingen die op grond van dwingend recht (waaronder art. 82 AVG) niet kunnen worden uitgesloten.

De Verwerkingsverantwoordelijke vrijwaart de Verwerker voor aanspraken van betrokkenen of derden, voor zover deze voortvloeien uit instructies of keuzes van de Verwerkingsverantwoordelijke (waaronder de inrichting van de wervingsprocedure en de eindbeslissing over kandidaten).

Deze DPA wordt geacht te zijn aanvaard door de Verwerkingsverantwoordelijke op het moment van registratie op het Platform en/of het aangaan van een betaalde overeenkomst, conform de algemene voorwaarden van WervingAI. Bij registratie wordt de versie van de DPA en het tijdstip van aanvaarding vastgelegd.

Wijzigingen in deze DPA worden minimaal 30 dagen vooraf aangekondigd via e-mail aan het bij WervingAI bekende contactadres. Indien de Verwerkingsverantwoordelijke niet akkoord gaat met de wijziging, kan de overeenkomst worden opgezegd vóór de ingangsdatum van de wijziging.

Een ondertekende variant op papier is op verzoek beschikbaar via privacy@wervingai.nl.

Op deze DPA is Nederlands recht van toepassing.

Geschillen worden in eerste instantie voorgelegd aan de bevoegde rechter in het arrondissement Midden-Nederland (Utrecht).

Voor vragen over deze verwerkersovereenkomst: privacy@wervingai.nl.