Terug naar home

Gegevensverwerkingsovereenkomst

Laatst bijgewerkt: maart 2026

1. Toepassingsgebied

Deze Gegevensverwerkingsovereenkomst ("GVO") maakt deel uit van de overeenkomst tussen de klant ("Verwerkingsverantwoordelijke") en Amphelyx ("Verwerker") en is van toepassing op de verwerking van persoonsgegevens in verband met de Dienst.

Deze GVO is opgesteld overeenkomstig artikel 28 van de Algemene Verordening Gegevensbescherming (AVG).

2. Details van de gegevensverwerking

  • Doel: het leveren van de AI-platformdiensten zoals beschreven in de dienstovereenkomst.
  • Aard van de verwerking: opslag, ophaling, embedding en AI-inferentie op geĂĽploade documenten en chatinteracties.
  • CategorieĂ«n betrokkenen: werknemers en geautoriseerde gebruikers van de Verwerkingsverantwoordelijke.
  • Soorten persoonsgegevens: namen, e-mailadressen, door gebruikers geĂĽploade documenten, chatberichten en AI-gegenereerde output.
  • Duur: voor de looptijd van de dienstovereenkomst plus de bewaartermijn.

3. Beveiligingsmaatregelen

Amphelyx implementeert de volgende technische en organisatorische maatregelen:

  • Versleuteling van gegevens in rust (AES-256) en tijdens overdracht (TLS 1.3).
  • Rolgebaseerde toegangscontrole volgens het principe van minimale rechten.
  • LLM-inferentie standaard op onze eigen Europese servers — gegevens worden alleen naar externe AI-aanbieders verstuurd als de Verwerkingsverantwoordelijke dit uitdrukkelijk configureert.
  • Regelmatige beveiligingsbeoordelingen en kwetsbaarheidsscans.
  • Auditlogging van alle gegevenstoegang en verwerkingsactiviteiten.
  • Fysieke beveiligingsmaatregelen in datacenterfaciliteiten (EU en Zwitserland).

Als de Verwerkingsverantwoordelijke een externe AI-aanbieder configureert (bijv. OpenAI, Anthropic, Google), kunnen prompts en AI-gegenereerde output door die aanbieder worden verwerkt. In dat geval treedt de aanbieder op als aanvullende subverwerker en is de Verwerkingsverantwoordelijke verantwoordelijk voor het waarborgen van een adequate rechtsgrondslag voor de doorgifte.

4. Subverwerkers

Voor ons cloud-gehost aanbod maken wij gebruik van de volgende subverwerkers, allen gevestigd binnen de Europese Unie of Zwitserland:

  • Infrastructuuraanbieder: Europese cloudhosting voor servers en databases (EU en Zwitserland).
  • Supabase: Authenticatiediensten (EU-regio).

Bij zelf-gehoste implementaties zijn er geen subverwerkers betrokken — alle gegevens blijven op de infrastructuur van de Verwerkingsverantwoordelijke.

5. Rechten van betrokkenen

Amphelyx zal de Verwerkingsverantwoordelijke bijstaan bij het beantwoorden van verzoeken van betrokkenen die hun rechten uitoefenen op grond van de AVG (inzage, rectificatie, wissing, overdraagbaarheid, beperking en bezwaar).

6. Melding van datalekken

In geval van een inbreuk op persoonsgegevens zal Amphelyx de Verwerkingsverantwoordelijke zonder onnodige vertraging informeren, en in elk geval binnen 48 uur nadat het lek is vastgesteld, met alle informatie die nodig is om de Verwerkingsverantwoordelijke in staat te stellen te voldoen aan de meldplicht op grond van artikel 33 AVG.

7. Verwijdering van gegevens

Bij beëindiging van de dienstovereenkomst zal Amphelyx alle persoonsgegevens binnen 30 dagen verwijderen of aan de Verwerkingsverantwoordelijke retourneren, tenzij bewaring wettelijk verplicht is.

8. Contact

Om een ondertekend exemplaar van deze GVO aan te vragen of om vragen over gegevensverwerking te bespreken, kunt u ons contactformulier gebruiken.