Verwerkersovereenkomst
Laatst bijgewerkt: maart 2026
Deze Verwerkersovereenkomst (de "VOK" of "DPA") maakt als bijlage deel uit van de Algemene Voorwaarden van Fides IT, handelend onder de naam Utisha, en is daarvan onlosmakelijk onderdeel. Door aanvaarding van de Algemene Voorwaarden aanvaardt de Verwerkingsverantwoordelijke tevens de bepalingen van deze Verwerkersovereenkomst.
Verwerker: Fides IT, handelend onder de naam Utisha Gevestigd te Amsterdam Ingeschreven bij de Kamer van Koophandel onder nummer: 57282196 Privacy-contactpunt: privacy@utisha.com DPA-contactpunt: dpa@utisha.com
Verwerkingsverantwoordelijke: Het accountants- of administratiekantoor dat de Algemene Voorwaarden heeft aanvaard voor gebruik van het Utisha Platform voor de verwerking van financiële documenten ten behoeve van BTW-aangiftevoorbereiding voor zijn cliënten.
De Verwerker en de Verwerkingsverantwoordelijke worden gezamenlijk aangeduid als "Partijen."
Artikel 1. Definities
1.1. "AVG" betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016, samen met alle toepasselijke nationale uitvoeringswetgeving, waaronder de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).
1.2. "Persoonsgegevens," "Verwerking," "Betrokkene," "Datalek" en "Toezichthoudende autoriteit" hebben de betekenis die de AVG daaraan toekent.
1.3. "Dienst" betekent het Utisha Platform voor de verwerking van financiële documenten ten behoeve van de voorbereiding van kwartaalse BTW-aangiften, beschikbaar als beheerde clouddienst of als zelfgehoste implementatie.
1.4. "Sub-verwerker" betekent een derde partij die door de Verwerker wordt ingeschakeld om namens de Verwerkingsverantwoordelijke persoonsgegevens te verwerken. De actuele lijst van sub-verwerkers is opgenomen in Bijlage 3.
1.5. "Geautomatiseerde verwerking" (AI-verwerking): De verwerking van financiële documenten met behulp van kunstmatige-intelligentietechnologie, te weten de geautomatiseerde analyse, extractie, classificatie en reconciliatie van facturen en bankafschriften via een groot taalmodel (LLM). Geautomatiseerde verwerking wordt uitsluitend ingezet als hulpmiddel voor de accountant; de accountant neemt alle definitieve beslissingen na menselijke controle.
Artikel 2. Voorwerp en duur
2.1. Deze Verwerkersovereenkomst regelt de voorwaarden waaronder de Verwerker, in het kader van de uitvoering van de Dienst, persoonsgegevens verwerkt namens en op instructie van de Verwerkingsverantwoordelijke.
2.2. Het onderwerp van de verwerking betreft de verwerking van financiële documenten — waaronder facturen, creditnota's en bankafschriften — ten behoeve van de voorbereiding van de kwartaalse BTW-aangifte van de cliënten van de Verwerkingsverantwoordelijke. Deze documenten bevatten persoonsgegevens van de in de Artikelen 4 en 5 beschreven categorieën.
2.3. Deze Verwerkersovereenkomst is van kracht voor de duur van de abonnementsovereenkomst zoals vastgelegd in de Algemene Voorwaarden en eindigt wanneer het abonnement om welke reden dan ook eindigt, met inachtneming van de bepalingen inzake wettelijke bewaartermijnen in Artikel 11.
Artikel 3. Aard en doel van de verwerking
3.1. De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de volgende doeleinden, zoals nader beschreven in Bijlage 1:
(a) Documentextractie: Het uitlezen en extraheren van gegevens uit ingediende facturen, creditnota's en bankafschriften (inclusief MT940- en CAMT.053-bestanden), waaronder via optische tekenherkenning (OCR) voor gescande documenten van beperkte kwaliteit;
(b) Geautomatiseerde classificatie: De geautomatiseerde classificatie van transacties naar BTW-rubriek (1a, 1b, 1c, 1d, 2a, 3a, 3b, 3c, 4a, 4b, 5b) en het suggereren van grootboekrekeningen op basis van de geëxtraheerde documentinhoud, met behulp van kunstmatige-intelligentietechnologie;
(c) Bankreconciliatie: Het automatisch matchen van bankafschriftregels aan facturen en grootboekboekingen;
(d) Exact Online-integratie: Het doorsturen van door de accountant goedgekeurde boekingen naar het Exact Online-boekhoudpakket van de Verwerkingsverantwoordelijke.
3.2. De Verwerker verwerkt persoonsgegevens niet voor andere doeleinden. Verwerking voor modeltraining of AI-verbetering is uitdrukkelijk verboden, zoals nader geregeld in Artikel 13.
3.3. Alle door de geautomatiseerde verwerking gegenereerde uitkomsten zijn uitsluitend adviserend van aard. De accountant beoordeelt en keurt alle AI-uitkomsten goed voordat enige boeking definitief wordt verwerkt of aan Exact Online wordt doorgezonden. Er worden geen beslissingen genomen zonder menselijke controle.
Artikel 4. Soorten persoonsgegevens
4.1. In het kader van de Dienst verwerkt de Verwerker de volgende categorieën persoonsgegevens namens de Verwerkingsverantwoordelijke:
(a) Identificatiegegevens: Namen van natuurlijke personen en contactpersonen, adressen (zakelijk en correspondentieadres), bedrijfsnamen;
(b) Financiële gegevens: IBAN-nummers, factuurbedragen (inclusief BTW), banksaldi, transactiegegevens (bedrag, datum, omschrijving, tegenpartij), grootboekposten;
(c) Fiscale identificatienummers: BTW-nummers (omzetbelastingnummers), KvK-nummers;
(d) Contactgegevens: E-mailadressen en telefoonnummers, voor zover vermeld op facturen of in het portaal;
(e) Gebruiksgegevens: Inlogtijdstippen van het portaal, documentuploaddatum en -tijd, IP-adres bij inloggen, gebruikersacties in het platform (auditloggegevens).
4.2. De Verwerker verwerkt geen bijzondere categorieën persoonsgegevens als bedoeld in artikel 9 AVG, tenzij dergelijke gegevens onverhoopt aanwezig zijn in door de Verwerkingsverantwoordelijke ingediende documenten. De Verwerkingsverantwoordelijke is verantwoordelijk voor het signaleren van dergelijke situaties en het informeren van de Verwerker.
Artikel 5. Categorieën van betrokkenen
5.1. De volgende categorieën betrokkenen zijn onderwerp van de verwerking:
(a) Cliënten van de Verwerkingsverantwoordelijke (eindgebruikers): Ondernemers en MKB-bedrijven met een dienstverleningsovereenkomst met de Verwerkingsverantwoordelijke voor BTW-aangiftevoorbereiding, voor zover hun persoonsgegevens voorkomen op facturen, bankafschriften of in het cliëntenportaal;
(b) Medewerkers van de cliënten: Werknemers en contactpersonen van de cliënten van de Verwerkingsverantwoordelijke, voor zover hun namen, e-mailadressen of telefoonnummers voorkomen op facturen, bankafschriften of in het portaal;
(c) Leveranciers en klanten van de cliënten: Natuurlijke personen die als leverancier of klant van de cliënt optreden en wier naam, adres, IBAN-nummer of contactgegevens op een factuur of bankafschrift zijn vermeld;
(d) Contactpersonen bij de Verwerkingsverantwoordelijke: Contactpersonen bij de Verwerkingsverantwoordelijke zelf, voor zover hun gegevens worden verwerkt in het kader van het gebruikersbeheer van het Platform.
Artikel 6. Verplichtingen van de Verwerker
6.1. Verwerking uitsluitend op instructie. De Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke vóór de verwerking in kennis, tenzij de wet dit verbiedt.
6.2. Vertrouwelijkheid. De Verwerker draagt er zorg voor dat alle personen die zijn gemachtigd persoonsgegevens te verwerken, zich tot vertrouwelijkheid hebben verbonden of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht.
6.3. Beveiliging. De Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, zoals beschreven in Bijlage 2. Deze maatregelen worden ten minste jaarlijks herzien.
6.4. Sub-verwerkers. De Verwerker schakelt sub-verwerkers uitsluitend in met inachtneming van de procedure in Artikel 7. De actuele lijst van goedgekeurde sub-verwerkers is opgenomen in Bijlage 3. De Verwerker legt sub-verwerkers verplichtingen op die ten minste gelijkwaardig zijn aan die van deze Verwerkersovereenkomst.
6.5. Bijstand bij rechten van betrokkenen. De Verwerker staat de Verwerkingsverantwoordelijke bij bij het nakomen van haar verplichtingen om verzoeken van betrokkenen op grond van de artikelen 15 tot en met 22 AVG te beantwoorden. Elk verzoek dat rechtstreeks bij de Verwerker wordt ingediend, wordt onverwijld doorgestuurd naar de Verwerkingsverantwoordelijke.
6.6. Bijstand bij DPIA. De Verwerker verleent de Verwerkingsverantwoordelijke bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) op grond van artikel 35 AVG, onder meer door het verstrekken van relevante informatie over verwerkingsactiviteiten, beveiligingsmaatregelen en sub-verwerkers.
6.7. Verwijdering of teruggave na afloop. Na afloop van de Dienst verwijdert of geeft de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens terug en verwijdert bestaande kopieën, tenzij een wettelijke bewaarplicht anders vereist. De Verwerker verstrekt binnen 30 dagen na beëindiging een schriftelijke bevestiging van verwijdering. De fiscale bewaarplicht op grond van Artikel 11 is afzonderlijk van toepassing.
6.8. Informatieplicht en auditverplichting. De Verwerker stelt alle informatie ter beschikking die nodig is om de naleving van deze Verwerkersovereenkomst aan te tonen en werkt mee aan audits als bedoeld in Artikel 10.
6.9. Melding strijdige instructies. Indien de Verwerker van oordeel is dat een instructie van de Verwerkingsverantwoordelijke inbreuk maakt op de AVG of andere toepasselijke privacywetgeving, stelt hij de Verwerkingsverantwoordelijke daar onverwijld van in kennis en kan de uitvoering opschorten totdat de Verwerkingsverantwoordelijke de instructie bevestigt of intrekt.
Artikel 7. Sub-verwerkers
7.1. Door aanvaarding van deze Verwerkersovereenkomst verleent de Verwerkingsverantwoordelijke een algemene schriftelijke toestemming voor de in Bijlage 3 vermelde sub-verwerkers, als bedoeld in artikel 28, lid 2 AVG.
7.2. De Verwerker stelt de Verwerkingsverantwoordelijke ten minste 30 dagen voor de beoogde inwerkingtreding schriftelijk in kennis van voorgenomen wijzigingen in de sub-verwerkers, waaronder het inschakelen van nieuwe sub-verwerkers of het vervangen van bestaande sub-verwerkers.
7.3. De Verwerkingsverantwoordelijke kan binnen 30 dagen na ontvangst van de kennisgeving schriftelijk en gemotiveerd bezwaar maken bij dpa@utisha.com.
7.4. Indien de Verwerkingsverantwoordelijke tijdig bezwaar maakt en Partijen niet binnen 30 dagen na ontvangst van het bezwaar tot een oplossing komen, heeft elk van de Partijen het recht de Verwerkersovereenkomst, voor zover betrekking hebbende op de desbetreffende verwerkingsactiviteit, schriftelijk te beëindigen. Beëindiging op grond van dit lid geeft geen recht op schadevergoeding.
7.5. De Verwerker legt elke sub-verwerker schriftelijk verplichtingen op die ten minste gelijkwaardig zijn aan de verplichtingen die op de Verwerker rusten op grond van deze Verwerkersovereenkomst. De Verwerker blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van de sub-verwerker.
7.6. Bijlage 3 geeft per sub-verwerker aan of de inschakeling conditioneel is op het implementatietype (beheerde cloud vs. zelfgehoste implementatie).
Artikel 8. Internationale doorgifte
8.1. De Verwerker geeft persoonsgegevens niet door aan landen buiten de Europese Economische Ruimte (EER). Alle in Bijlage 3 vermelde sub-verwerkers verwerken persoonsgegevens binnen de EU/EER.
8.2. AWS Bedrock verwerkt gegevens in EU-regio eu-central-1 (Frankfurt, Duitsland). Google Cloud Vertex AI verwerkt gegevens in EU-regio europe-west1 (België). Microsoft Azure Document Intelligence verwerkt gegevens in EU-regio West Europe (Amsterdam). Hetzner Online GmbH is gevestigd in Duitsland. Er vindt geen doorgifte van persoonsgegevens buiten de EER plaats.
8.3. Bij een zelfgehoste implementatie waarbij de LLM-routering is ingesteld op self_hosted_only, verlaten geen persoonsgegevens de infrastructuur van de Verwerkingsverantwoordelijke ten behoeve van geautomatiseerde verwerking. De doorgiftebepalingen betreffende AWS Bedrock zijn in die configuratie niet van toepassing.
8.4. Indien toekomstige wijzigingen leiden tot doorgifte buiten de EER, draagt de Verwerker er zorg voor dat passende waarborgen als bedoeld in artikel 46 AVG van kracht zijn voordat de doorgifte aanvangt, en volgt de Verwerker de wijzigingsprocedure van Artikel 7.
Artikel 9. Datalekken
9.1. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld — met als streefdoel binnen 24 uur — in kennis nadat hij kennis heeft gekregen van een datalek dat betrekking heeft op de door de Verwerkingsverantwoordelijke ingediende persoonsgegevens.
9.2. De melding bevat, voor zover beschikbaar op het moment van de melding: de aard van het datalek; de categorieën en het geschatte aantal betrokkenen en persoonsgegevensregistraties; de contactgegevens voor verdere informatie; de vermoedelijke gevolgen; en de genomen of voorgestelde maatregelen.
9.3. Indien niet alle informatie tegelijkertijd beschikbaar is, mag de initiële melding beperkte informatie bevatten. De Verwerker verstrekt de aanvullende informatie zodra deze beschikbaar is.
9.4. De Verwerker verleent de Verwerkingsverantwoordelijke alle noodzakelijke bijstand bij het nakomen van haar meldplicht aan de Autoriteit Persoonsgegevens op grond van artikel 33 AVG (melding binnen 72 uur) en, indien van toepassing, bij de kennisgeving aan betrokkenen op grond van artikel 34 AVG.
Artikel 10. Audits
10.1. De Verwerker stelt alle informatie ter beschikking die nodig is om de naleving van artikel 28 AVG aan te tonen en werkt mee aan audits, waaronder inspecties, die worden uitgevoerd door de Verwerkingsverantwoordelijke of een door haar gemachtigde onafhankelijke derde.
10.2. De Verwerkingsverantwoordelijke stelt de Verwerker ten minste 30 dagen van tevoren schriftelijk in kennis van een voorgenomen audit, onder vermelding van doel, omvang en beoogde datum.
10.3. Audits vinden plaats tijdens de normale kantoortijden van de Verwerker en worden zo uitgevoerd dat de bedrijfsvoering zo min mogelijk wordt verstoord. Tenzij een datalek of een verplichting van de toezichthouder daartoe aanleiding geeft, is de Verwerkingsverantwoordelijke gerechtigd maximaal één audit per kalenderjaar uit te voeren.
10.4. De kosten van de audit worden gedragen door de Verwerkingsverantwoordelijke, tenzij de audit tekortkomingen aan het licht brengt die voor de Verwerker tot aansprakelijkheid leiden.
10.5. Een eventuele derde-controleur ondertekent voorafgaand aan de audit een geheimhoudingsverklaring ten behoeve van de Verwerker.
Artikel 11. Bewaartermijnen en verwijdering
11.1. Financiële documenten (facturen, creditnota's, bankafschriften, grootboekboekingen, extractieresultaten en auditlogs) die onderdeel uitmaken van de fiscale administratie worden bewaard voor de duur van de wettelijke fiscale bewaartermijn op grond van artikel 52 van de Algemene wet inzake rijksbelastingen (AWR): zeven jaar gerekend vanaf het einde van het boekjaar waarop de gegevens betrekking hebben.
11.2. Na afloop van de fiscale bewaartermijn worden de bewaarde gegevens definitief verwijderd, tenzij een andere wettelijke bewaarplicht tot langere bewaring verplicht.
11.3. Op verzoek van de Verwerkingsverantwoordelijke stelt de Verwerker de bewaarde gegevens ter beschikking in een gangbaar exportformaat, zodat de Verwerkingsverantwoordelijke of haar rechtsopvolger kan voldoen aan eventuele fiscale inzageverplichtingen.
11.4. Niet-fiscale persoonsgegevens worden verwijderd of teruggegeven binnen 30 dagen na beëindiging van de Dienst, met schriftelijke bevestiging.
Artikel 12. Verplichtingen van de Verwerkingsverantwoordelijke
12.1. De Verwerkingsverantwoordelijke garandeert dat:
(a) zij beschikt over een geldige rechtsgrondslag voor de verwerking van persoonsgegevens in het kader van de Dienst (uitvoering van overeenkomst, artikel 6, lid 1, sub b AVG);
(b) zij betrokkenen naar behoren heeft geïnformeerd overeenkomstig de artikelen 13 en 14 AVG, waaronder over de inschakeling van de Verwerker en de in Bijlage 3 vermelde sub-verwerkers;
(c) zij beschikt over een register van verwerkingsactiviteiten als bedoeld in artikel 30, lid 1 AVG;
(d) alle instructies aan de Verwerker rechtmatig zijn en niet in strijd zijn met de AVG;
(e) zij de Verwerker onverwijld informeert over wijzigingen in de aard of omvang van de verwerking die van invloed kunnen zijn op de verplichtingen van de Verwerker.
12.2. De Verwerkingsverantwoordelijke vrijwaart de Verwerker voor vorderingen van betrokkenen, toezichthoudende autoriteiten of derden als gevolg van het niet-nakomen van de verplichtingen in dit artikel.
Artikel 13. Geautomatiseerde verwerking en AI-bepalingen
13.1. Absoluut verbod op gebruik voor AI-training. Persoonsgegevens die in het kader van deze Verwerkersovereenkomst worden verwerkt, worden op geen enkele wijze gebruikt voor het trainen, fijn-afstellen of anderszins verbeteren van kunstmatige-intelligentiemodellen, noch door de Verwerker noch door enige sub-verwerker. Dit verbod is absoluut en geldt ongeacht of de gegevens in geanonimiseerde of gepseudonimiseerde vorm worden aangeboden.
13.2. Contractuele borging bij sub-verwerkers. De Verwerker borgt het trainingsverbod contractueel bij sub-verwerkers die betrokken zijn bij geautomatiseerde verwerking:
Amazon Web Services EMEA SARL (AWS Bedrock): Op grond van de AWS Service Terms en het AWS Data Processing Addendum worden klantgegevens die via AWS Bedrock worden verwerkt niet gebruikt voor het trainen van AI-modellen. Verwerking vindt plaats in EU-regio
eu-central-1(Frankfurt). Gegevens verlaten de EU niet.Google Cloud EMEA Limited (Google Cloud Vertex AI): Op grond van het Google Cloud Data Processing Addendum (§5.2) worden klantgegevens die via Vertex AI worden verwerkt niet gebruikt voor het trainen van AI-modellen. Verwerking vindt plaats in EU-regio
europe-west1(België). Gegevens verlaten de EU niet.Microsoft Corporation (Azure Document Intelligence): Op grond van de Microsoft-verwerkingsvoorwaarden worden klantgegevens die via Azure Document Intelligence worden verwerkt niet gebruikt voor het trainen van Microsoft-modellen.
13.3. Wat wordt verzonden naar AI-dienstverleners. Bij geautomatiseerde verwerking verzendt de Verwerker uitsluitend de tekstuele inhoud van documenten (factuurregels, omschrijvingen, bankafschriftregels) naar de AI-dienstverleners (AWS Bedrock of Google Cloud Vertex AI). Het volgende wordt uitdrukkelijk niet verzonden: portaalwachtwoorden of authenticatietokens; gegevens van andere cliënten van de Verwerkingsverantwoordelijke; interne administratieve gegevens die geen onderdeel zijn van het te verwerken document.
13.4. Wat AI-dienstverleners retourneren. De AI-dienstverlener retourneert uitsluitend gestructureerde classificatieresultaten (BTW-rubriek, grootboekrekening, matchingresultaat). Er wordt geen documentinhoud opgeslagen buiten de duur van de API-aanroep.
13.5. Menselijk toezicht. Alle door de geautomatiseerde verwerking gegenereerde uitkomsten zijn uitsluitend adviserend van aard. De accountant beoordeelt en keurt alle AI-uitkomsten goed voordat enige boeking definitief wordt verwerkt of aan Exact Online wordt doorgezonden.
13.6. Migratieplicht bij wijziging trainingsbeleid. Indien een sub-verwerker die betrokken is bij geautomatiseerde verwerking zijn beleid inzake het gebruik van klantgegevens voor modeltraining wijzigt of aankondigt dit te doen, stelt de Verwerker de Verwerkingsverantwoordelijke hiervan onverwijld schriftelijk in kennis en voltooit migratie naar een alternatieve sub-verwerker binnen 90 dagen na de aankondiging of inwerkingtreding van de wijziging. Tot voltooide migratie schort de Verwerker de betrokken geautomatiseerde verwerking op, tenzij de Verwerkingsverantwoordelijke schriftelijk instemt met voortzetting.
13.7. Recht op verwerking zonder AI-technologie. De Verwerkingsverantwoordelijke heeft te allen tijde het recht te verlangen dat specifieke documenten of documentcategorieën worden verwerkt zonder AI-technologie (handmatige verwerking). De Verwerker honoreert dit verzoek binnen een redelijke termijn. Indien handmatige verwerking een substantieel hogere bewerkingsomvang meebrengt, kan de Verwerker daarvoor een meerprijs in rekening brengen op basis van de in de Algemene Voorwaarden overeengekomen tarieven.
Artikel 14. Zelfgehoste implementatie
14.1. Het Platform is beschikbaar in een zelfgehoste implementatie waarbij de LLM-routering kan worden geconfigureerd op self_hosted_only. In deze configuratie worden alle verwerkingsactiviteiten — inclusief geautomatiseerde verwerking — uitsluitend uitgevoerd door lokale AI-modellen (zoals Ollama of vLLM) die draaien binnen de eigen infrastructuur van de Verwerkingsverantwoordelijke.
14.2. Bij een zelfgehoste implementatie met self_hosted_only LLM-routering verlaten geen persoonsgegevens de infrastructuur van de Verwerkingsverantwoordelijke ten behoeve van geautomatiseerde verwerking. In dat geval zijn de sub-verwerkers AWS Bedrock en Google Cloud Vertex AI als vermeld in Bijlage 3 niet van toepassing.
14.3. Exact Group B.V. (Exact Online) is een zelfstandig verwerkingsverantwoordelijke waarmee de Verwerkingsverantwoordelijke een directe contractuele relatie onderhoudt. Utisha fungeert als doorgeefluik en verwerkt gegevens in Exact uitsluitend op instructie van de Verwerkingsverantwoordelijke, gebruikmakend van de door haar verstrekte API-autorisatie.
14.4. Bij een zelfgehoste implementatie waarbij de Verwerkingsverantwoordelijke de gehele infrastructuur — inclusief databases, objectopslag en applicatieservers — binnen haar eigen omgeving draait, is Hetzner Online GmbH als sub-verwerker niet van toepassing. De Verwerkingsverantwoordelijke is in dat geval verantwoordelijk voor de beveiliging van haar eigen infrastructuur.
Artikel 15. Aansprakelijkheid
15.1. De aansprakelijkheid van Partijen op grond van deze Verwerkersovereenkomst is geregeld in de Algemene Voorwaarden.
15.2. Voor zover de AVG specifieke aansprakelijkheidsregels stelt — in het bijzonder artikel 82 AVG — gelden deze onverminderd, ook indien de Algemene Voorwaarden een lagere aansprakelijkheid zouden meebrengen.
15.3. Voor zover zowel de Verwerkingsverantwoordelijke als de Verwerker aansprakelijk zijn voor schade die door de verwerking is veroorzaakt, zijn zij hoofdelijk aansprakelijk ten opzichte van de betrokkene, onverminderd de interne draagplicht.
Artikel 16. Toepasselijk recht en bevoegde rechter
16.1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
16.2. Geschillen die voortvloeien uit deze Verwerkersovereenkomst worden beslecht door de bevoegde rechter te Amsterdam, overeenkomstig de forumkeuze in de Algemene Voorwaarden.
Artikel 17. Overige bepalingen
17.1. Deze Verwerkersovereenkomst vervangt alle eerder tussen Partijen gesloten verwerkersovereenkomsten die betrekking hebben op dezelfde verwerkingsactiviteiten.
17.2. Wijzigingen zijn slechts geldig indien schriftelijk overeengekomen. Utisha kan deze Verwerkersovereenkomst eenzijdig wijzigen indien dit noodzakelijk is als gevolg van wijzigingen in de AVG, uitvoeringsregelgeving, richtsnoeren van toezichthouders of wijzigingen in de Dienst, met inachtneming van een opzegtermijn van ten minste 30 dagen. Indien de Verwerkingsverantwoordelijke bezwaar maakt, geldt de procedure van Artikel 7.4 van overeenkomstige toepassing.
17.3. Indien enige bepaling nietig of vernietigbaar is, laat dit de geldigheid van de overige bepalingen onverlet.
Bijlage 1: Beschrijving van de Verwerking
| Aspect | Beschrijving |
|---|---|
| Onderwerp van verwerking | Verwerking van financiële documenten (facturen, creditnota's, bankafschriften) ten behoeve van de voorbereiding van de kwartaalse BTW-aangifte van de cliënten van de Verwerkingsverantwoordelijke |
| Doel van verwerking | (1) Geautomatiseerde extractie van transactiegegevens uit facturen en bankafschriften; (2) classificatie naar BTW-rubriek en suggestie van grootboekrekening; (3) bankreconciliatie door matching van bankafschriftregels aan facturen; (4) doorsturen van goedgekeurde boekingen naar Exact Online |
| Aard van verwerking | Geautomatiseerde verwerking met behulp van kunstmatige-intelligentietechnologie (optische tekenherkenning, extractie en classificatie via groot taalmodel), gevolgd door menselijke beoordeling en goedkeuring door de accountant |
| Soorten persoonsgegevens | Namen, adressen, bedrijfsnamen, IBAN-nummers, factuurbedragen, banksaldi, transactiegegevens, BTW-nummers, KvK-nummers, e-mailadressen, telefoonnummers, inlogtijdstippen portaal, documentuploaddatum en -tijd, platform-auditloggegevens |
| Categorieën betrokkenen | (1) Cliënten van de Verwerkingsverantwoordelijke (ondernemers en MKB); (2) medewerkers van de cliënten, voor zover vermeld op documenten; (3) leveranciers en klanten van de cliënten, voor zover vermeld op facturen of bankafschriften; (4) contactpersonen bij de Verwerkingsverantwoordelijke |
| Duur van verwerking | De duur van het abonnement op de Dienst zoals vastgelegd in de Algemene Voorwaarden, plus de fiscale bewaartermijn van zeven jaar op grond van AWR artikel 52 voor financiële documenten |
| Verwerkingslocatie | Primair: EU (Hetzner Online GmbH, Gunzenhausen, Duitsland) voor beheerde hosting. Geautomatiseerde verwerking: EU (AWS Bedrock, regio eu-central-1, Frankfurt, Duitsland; Google Cloud Vertex AI, regio europe-west1, België). Bij zelfgehoste implementatie: de infrastructuur van de Verwerkingsverantwoordelijke. Er vindt geen doorgifte van persoonsgegevens buiten de EER plaats. |
Bijlage 2: Technische en Organisatorische Maatregelen
De Verwerker past de volgende maatregelen toe ter waarborging van een passend beveiligingsniveau. Deze worden ten minste jaarlijks geëvalueerd.
Versleuteling
| Maatregel | Beschrijving |
|---|---|
| Gegevens in rust | Alle integratiereferenties en gevoelige configuratiegegevens zijn versleuteld met AES-256-GCM. Documentopslag vindt plaats met server-side encryption. |
| Gegevens in transit | Alle communicatie verloopt uitsluitend via TLS 1.3. HTTP-verbindingen worden automatisch doorgestuurd naar HTTPS. |
| Back-ups | Back-ups worden versleuteld opgeslagen; de versleutelingssleutels worden beheerd door de Verwerker. |
Toegangscontrole
| Maatregel | Beschrijving |
|---|---|
| Identiteitsbeheer | Keycloak Single Sign-On (SSO) met OpenID Connect (OIDC) voor alle platformgebruikers. |
| Rollen en rechten | Rolgebaseerde toegangscontrole (RBAC) met vijf rollen: platform-admin, group-admin, contributor, viewer, auditor. Principe van minimale rechten. |
| Multi-tenant isolatie | Strikte scheiding van gegevens per organisatie via orgId-filtering in alle databasequeries. Gegevens van de ene Verwerkingsverantwoordelijke zijn niet toegankelijk via de context van een andere. |
| Medewerkers Verwerker | Toegang tot klantgegevens uitsluitend op need-to-know-basis, gedocumenteerd in het toegangsregister. |
Authenticatie
| Maatregel | Beschrijving |
|---|---|
| Token-verificatie | JWT-verificatie bij iedere authenticatieplichtige API-aanroep. |
| CSRF-bescherming | Cross-Site Request Forgery bescherming via de X-Requested-With-header op alle staatveranderende verzoeken. |
Logging en Audit
| Maatregel | Beschrijving |
|---|---|
| Platform-auditlog | Volledige audittrail van alle platformacties, inclusief aanmaak, wijziging en goedkeuring van verwerkingsresultaten, met timestamp, gebruiker en actie. |
| AI-transactielog | Logging van alle geautomatiseerde verwerkingstransacties (documenttype, model, resultaat, tijdstip) ten behoeve van EU AI Act-naleving en interne audit. |
| Bewaartermijn | Auditlogs worden bewaard voor de duur van de fiscale bewaarplicht (7 jaar) en zijn onveranderlijk (immutable logging). |
Infrastructuur
| Maatregel | Beschrijving |
|---|---|
| Hosting | Beheerde hosting via Hetzner Online GmbH, Gunzenhausen, Duitsland (EU). Alle productiegegevens worden bewaard op EU-grondgebied. |
| Containerbeveiliging | Docker-containers draaien als niet-root gebruiker. Officiële basisimages met regelmatige updates. |
| Netwerksegmentatie | Interne diensten zijn niet direct bereikbaar van buitenaf; verkeer verloopt via Traefik als reverse proxy. |
Kwetsbaarheidsbeheer
| Ernst | Reactietijd |
|---|---|
| Kritiek (CVSS ≥ 9.0) | Binnen 24 uur na ontdekking |
| Hoog (CVSS 7.0–8.9) | Binnen 72 uur na ontdekking |
| Gemiddeld (CVSS 4.0–6.9) | Binnen 30 dagen |
Back-up en herstel
Geautomatiseerde dagelijkse back-ups van alle productiegegevens (database en objectopslag), versleuteld opgeslagen op een van de productieomgeving gescheiden locatie. Herstelbaarheid wordt ten minste één keer per kwartaal getest.
Bijlage 3: Lijst van Sub-verwerkers
Laatste bijwerking: maart 2026
| Sub-verwerker | Land | Doel van verwerking | Geen-training garantie | Van toepassing bij |
|---|---|---|---|---|
| Amazon Web Services EMEA SARL (AWS Bedrock) | EU — regio eu-central-1 (Frankfurt, DE) |
Geautomatiseerde verwerking: documentextractie, BTW-rubriekclassificatie, grootboekrekening-suggestie, bankreconciliatie via taalmodellen | Ja — klantgegevens worden niet gebruikt voor modeltraining (AWS Service Terms en Data Processing Addendum) | Uitsluitend bij beheerde/cloud-deployment. Niet van toepassing bij self_hosted_only routering. |
| Google Cloud EMEA Limited (Vertex AI) | EU — regio europe-west1 (België) |
Geautomatiseerde verwerking: documentextractie, BTW-rubriekclassificatie, grootboekrekening-suggestie, bankreconciliatie via taalmodellen (Gemini) | Ja — klantgegevens worden niet gebruikt voor modeltraining (Google Cloud Data Processing Addendum, §5.2) | Uitsluitend bij beheerde/cloud-deployment. Niet van toepassing bij self_hosted_only routering. |
| Microsoft Corporation (Azure Document Intelligence) | EU — regio West Europe (Amsterdam, NL) | OCR-voorverwerking van gescande documenten | Ja — klantgegevens worden niet gebruikt voor het trainen van Microsoft-modellen | Bij gebruik van OCR-functionaliteit |
| Hetzner Online GmbH | DE (Gunzenhausen / Neurenberg) | Infrastructuurhosting: servers, databases, objectopslag | N.v.t. — uitsluitend infrastructuurhosting | Uitsluitend bij beheerde hosting door de Verwerker. Niet van toepassing bij zelfgehoste implementatie. |
Opmerking inzake Exact Online: Exact Group B.V. (Exact Online) is geen sub-verwerker van Utisha. De Verwerkingsverantwoordelijke onderhoudt een directe contractuele relatie met Exact als zelfstandig verwerkingsverantwoordelijke. Utisha fungeert als doorgeefluik en maakt gebruik van de door de Verwerkingsverantwoordelijke verstrekte API-autorisatie.
Wijzigingsprocedure:
De Verwerker geeft ten minste 30 dagen van tevoren schriftelijke kennisgeving van voorgenomen wijzigingen in de sub-verwerkers (toevoeging, vervanging of wezenlijke wijziging). Kennisgeving vindt plaats per e-mail naar het bij de account geregistreerde e-mailadres en via een melding in het platformdashboard.
De Verwerkingsverantwoordelijke kan binnen 30 dagen na ontvangst van de kennisgeving schriftelijk en gemotiveerd bezwaar maken bij dpa@utisha.com. Indien geen oplossing wordt bereikt binnen een verdere termijn van 30 dagen, heeft elk van de Partijen het recht de Verwerkersovereenkomst, voor zover betrekking hebbende op de desbetreffende verwerkingsactiviteit, te beëindigen.
Voor vragen over deze Verwerkersovereenkomst kunt u contact opnemen met: dpa@utisha.com