Verwerkersovereenkomst

Deze verwerkersovereenkomst (DPA) is een aanvulling op de algemene voorwaarden en is van toepassing wanneer jij, als recruiter, intermediair, werkgever of vergelijkbare partij, CV-gegevens van derden uploadt naar DeNederlandseArbeidsmarkt.nl.

Artikel 1: Partijen en rollen

Klant is verwerkingsverantwoordelijke voor de persoonsgegevens van kandidaten die jij uploadt. AI-CV B.V. ("Verwerker") verwerkt deze gegevens uitsluitend in opdracht van klant, op grond van deze DPA.

Artikel 2: Soort gegevens en categorieën

• Categorieën betrokkenen: kandidaten waarvan klant het CV uploadt.
• Soort gegevens: standaardgegevens uit een CV (functietitels, opleidingen, werkervaring, skills, talen). Naam, contact, leeftijd en adres worden gevraagd om te anonimiseren; bij standaardgebruik worden deze niet bewaard.
• Bijzondere categorieën: worden niet verwerkt; klant mag deze niet in het CV-veld plakken.

Artikel 3: Doel en duur

Doel: het matchen van CV's met vacatures. Duur: zolang de overeenkomst tussen klant en Verwerker loopt. Bij beëindiging worden gegevens binnen 30 dagen vernietigd, behoudens wettelijke bewaarplicht.

Artikel 4: Instructies

Verwerker handelt uitsluitend op instructie van klant. De handelingen die uit het gebruik van de dienst voortvloeien (CV-parsing, anonimisatie, vector-embedding, AI-rerank, opslag) gelden als instructie.

Artikel 5: Geheimhouding

Iedereen die toegang heeft tot persoonsgegevens is contractueel verplicht tot geheimhouding.

Artikel 6: Beveiligingsmaatregelen

Verwerker treft passende technische en organisatorische maatregelen, waaronder:

• TLS 1.3 voor data in transit.
• Encryptie at rest in PostgreSQL en object storage.
• Wachtwoord-hashing met bcrypt (cost factor 10).
• Toegangscontrole op basis van least privilege.
• Audit-logging van administratieve handelingen.
• Beveiligde back-ups binnen de EU.
• Daily security-updates en kwetsbaarheidsscans.

Artikel 7: Sub-verwerkers

Klant stemt in met inschakeling van de volgende sub-verwerkers:

• Neon Inc. / Supabase Inc.: database (Frankfurt, EU).
• Replit, Inc.: applicatie-hosting.
• Stripe Payments Europe Ltd.: betalingen.
• Anthropic PBC: AI-matching (alleen geanonimiseerde data).
• OpenAI, OpCo, LLC: vector-embeddings (alleen geanonimiseerde data).
• Resend, Inc.: transactionele e-mail (EU-regio).
• Cloudflare, Inc.: DNS / CDN / DDoS-bescherming.

Wijzigingen of toevoegingen worden minimaal 14 dagen vooraf gemeld. Klant kan bezwaar maken; bij blijvend verschil kan de overeenkomst kosteloos worden beëindigd.

Artikel 8: Doorgifte buiten EER

Primaire verwerking gebeurt binnen de EU. Voor sub-verwerkers buiten de EER (Anthropic, OpenAI) zijn Standard Contractual Clauses (Commission Decision 2021/914) afgesloten en wordt uitsluitend geanonimiseerde tekst verzonden.

Artikel 9: Datalek

Verwerker meldt een datalek aan klant binnen 24 uur na ontdekking en zonder onnodige vertraging, met (voor zover bekend) de aard van het lek, betrokken categorieën, geschatte aantallen en getroffen maatregelen.

Artikel 10: Rechten van betrokkenen

Verwerker werkt mee aan verzoeken van betrokkenen die bij klant binnenkomen (inzage, correctie, verwijdering, dataportabiliteit) door benodigde data binnen redelijke termijn aan te leveren.

Artikel 11: Audit

Eenmaal per kalenderjaar mag klant op eigen kosten een audit uitvoeren door een onafhankelijke, gecertificeerde auditor. Verwerker mag een redelijke vertrouwelijkheidsovereenkomst eisen. Verzoek minimaal 30 dagen vooraf.

Artikel 12: Aansprakelijkheid

De aansprakelijkheidsbeperkingen uit de algemene voorwaarden gelden onverkort. Boetes van de Autoriteit Persoonsgegevens worden gedragen door de partij die de overtreding heeft veroorzaakt.

Artikel 13: Beëindiging

Bij beëindiging vernietigt Verwerker binnen 30 dagen alle persoonsgegevens, behalve voor zover wettelijke bewaarplichten anders bepalen. Op schriftelijk verzoek levert Verwerker een data-export.