Verwerkersovereenkomst SynAI B.V.

Versie: 1.0
Laatst bijgewerkt: Maart 2026

1. Partijen

Deze Verwerkersovereenkomst ("Overeenkomst") is van toepassing tussen:

Verwerkingsverantwoordelijke ("Opdrachtgever"):
De partij die gebruik maakt van de diensten van SynAI B.V. en daarbij persoonsgegevens laat verwerken, zoals geïdentificeerd in het Projectplan of de dienstverleningsovereenkomst.

Verwerker:
SynAI B.V.
Lindanusstraat 14 - 16
6031EA Nederweert
KVK: 42009196
E-mail: info@synai.eu
Telefoon: 085 369 5490

2. Definities

In aanvulling op de definities uit de Algemene Voorwaarden wordt in deze Overeenkomst verstaan onder:

• "Persoonsgegevens": Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG;
• "Verwerking": Elke bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens, zoals bedoeld in artikel 4 lid 2 AVG;
• "Verwerkingsverantwoordelijke": De Opdrachtgever die het doel en de middelen voor de Verwerking van Persoonsgegevens vaststelt;
• "Verwerker": SynAI B.V., die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt;
• "Subverwerker": Een derde partij die door de Verwerker wordt ingeschakeld voor (een deel van) de Verwerking;
• "AVG": De Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679);
• "Datalek": Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.

3. Voorwerp en Duur van de Verwerking

3.1 Voorwerp

1. De Verwerker verwerkt Persoonsgegevens uitsluitend in opdracht en ten behoeve van de Verwerkingsverantwoordelijke, in het kader van de dienstverlening via het Synai Portal.
2. De aard van de Verwerking betreft het doorvoeren, transformeren en routeren van Persoonsgegevens via workflows, automatiseringen en AI-integraties.
3. De Verwerker slaat geen Persoonsgegevens op. De Verwerking is beperkt tot doorvoer en verwerking in het werkgeheugen (transit processing). Persoonsgegevens worden niet persistent opgeslagen op systemen van de Verwerker, tenzij dit technisch noodzakelijk is voor de directe uitvoering van de Verwerking en dan uitsluitend voor de duur van die specifieke verwerking.

3.2 Categorieën Persoonsgegevens

De categorieën Persoonsgegevens die worden verwerkt, zijn afhankelijk van de door de Opdrachtgever geconfigureerde workflows en kunnen onder meer omvatten:

• Naam- en contactgegevens
• E-mailadressen en telefoonnummers
• Klant- en relatiegegevens
• Financiële gegevens
• Overige gegevens die de Opdrachtgever via het Portal verwerkt

3.3 Categorieën Betrokkenen

De betrokkenen van wie Persoonsgegevens worden verwerkt, zijn afhankelijk van de door de Opdrachtgever geconfigureerde workflows en kunnen onder meer omvatten:

• Klanten en relaties van de Opdrachtgever
• Medewerkers van de Opdrachtgever
• Leveranciers en partners van de Opdrachtgever
• Overige betrokkenen wier gegevens de Opdrachtgever via het Portal verwerkt

3.4 Duur

Deze Overeenkomst is van kracht zolang de Verwerker Persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke. De Overeenkomst eindigt van rechtswege bij beëindiging van de onderliggende dienstverleningsovereenkomst.

4. Verplichtingen van de Verwerker

De Verwerker verbindt zich tot het volgende:

4.1 Instructies

1. De Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting de Verwerker tot verwerking verplicht.
2. Indien de Verwerker van mening is dat een instructie in strijd is met de AVG of andere toepasselijke wetgeving, stelt de Verwerker de Verwerkingsverantwoordelijke hiervan onmiddellijk op de hoogte.

4.2 Geheimhouding

1. De Verwerker waarborgt dat personen die bevoegd zijn om Persoonsgegevens te verwerken, zich hebben verbonden tot geheimhouding of onder een passende wettelijke geheimhoudingsplicht vallen.
2. De geheimhoudingsplicht blijft ook na beëindiging van deze Overeenkomst van kracht.

4.3 Beveiliging

1. De Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de Verwerking (Art. 32 AVG).
2. Deze maatregelen omvatten onder meer:
   • Versleuteling van Persoonsgegevens tijdens transport (TLS/HTTPS);
   • Geen persistente opslag van Persoonsgegevens op systemen van de Verwerker;
   • Toegangsbeveiliging en authenticatie;
   • Logboekregistratie van verwerkingsactiviteiten;
   • Regelmatige evaluatie van de beveiligingsmaatregelen.

4.4 Geen Opslag

1. De Verwerker slaat geen Persoonsgegevens op na afronding van de specifieke verwerkingshandeling.
2. Persoonsgegevens die in transit worden verwerkt, worden na voltooiing van de verwerking automatisch en onmiddellijk uit het werkgeheugen verwijderd.
3. De Verwerker maakt geen kopieën of back-ups van Persoonsgegevens, tenzij dit noodzakelijk is voor de directe uitvoering van de opdracht en dan uitsluitend voor de duur van die verwerking.

5. Subverwerkers

5.1 Algemene Toestemming

1. De Verwerkingsverantwoordelijke verleent de Verwerker een algemene schriftelijke toestemming voor het inschakelen van subverwerkers, mits de Verwerker voldoet aan de voorwaarden in dit artikel.
2. De Verwerker informeert de Verwerkingsverantwoordelijke vooraf over voorgenomen wijzigingen in de lijst van subverwerkers, zodat de Verwerkingsverantwoordelijke bezwaar kan maken.

5.2 Huidige Subverwerkers

De Verwerker maakt op het moment van totstandkoming van deze Overeenkomst gebruik van de volgende subverwerkers:

Subverwerker	Vestigingsland	Doeleinde	Opslag
DigitalOcean	VS (EU-regio beschikbaar)	Hosting Portal-infrastructuur	Nee (transit)
Hetzner	Duitsland	Server provisioning	Nee (transit)
OpenRouter	VS	AI API-routering	Nee (transit)
n8n (self-hosted)	EU (Hetzner)	Workflow-uitvoering	Nee (transit)

5.3 Verplichtingen bij Subverwerkers

1. De Verwerker legt aan subverwerkers dezelfde verplichtingen op als die welke in deze Overeenkomst zijn vastgelegd, met name ten aanzien van het bieden van voldoende garanties voor passende technische en organisatorische maatregelen.
2. De Verwerker blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor het nakomen van de verplichtingen van de subverwerker.

5.4 Bezwaarprocedure

1. De Verwerkingsverantwoordelijke heeft het recht om binnen 14 dagen na kennisgeving bezwaar te maken tegen een nieuwe subverwerker.
2. Indien de Verwerkingsverantwoordelijke bezwaar maakt, treden partijen in overleg. Indien geen overeenstemming wordt bereikt, heeft de Verwerkingsverantwoordelijke het recht de Overeenkomst op te zeggen.

6. Rechten van Betrokkenen

6.1 Bijstand

1. De Verwerker verleent de Verwerkingsverantwoordelijke bijstand bij het nakomen van verzoeken van betrokkenen om hun rechten uit te oefenen (Art. 15 t/m 22 AVG), waaronder het recht op inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar.
2. Aangezien de Verwerker geen Persoonsgegevens opslaat, zal bijstand bij dergelijke verzoeken beperkt zijn tot het verstrekken van informatie over de aard van de Verwerking.

6.2 Doorverwijzing

Indien een betrokkene zich rechtstreeks tot de Verwerker wendt met een verzoek, verwijst de Verwerker deze betrokkene door naar de Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke hiervan op de hoogte.

7. Datalekken

7.1 Meldingsplicht

1. De Verwerker stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging en in ieder geval binnen 48 uur na ontdekking op de hoogte van een Datalek.
2. De melding bevat ten minste:
   • De aard van het Datalek, inclusief de categorieën en het bij benadering aantal betrokkenen en Persoonsgegevens;
   • De naam en contactgegevens van het contactpunt bij de Verwerker;
   • De waarschijnlijke gevolgen van het Datalek;
   • De maatregelen die zijn genomen of worden voorgesteld om het Datalek aan te pakken.

7.2 Bijstand bij Datalekken

De Verwerker verleent de Verwerkingsverantwoordelijke alle redelijke bijstand bij:

• Het melden van het Datalek aan de Autoriteit Persoonsgegevens (Art. 33 AVG);
• Het informeren van betrokkenen indien vereist (Art. 34 AVG);
• Het onderzoeken en beperken van de gevolgen van het Datalek.

8. Gegevensbeschermingseffectbeoordeling (DPIA)

De Verwerker verleent de Verwerkingsverantwoordelijke redelijke bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (Art. 35 AVG) en eventuele voorafgaande raadpleging van de Autoriteit Persoonsgegevens (Art. 36 AVG), voor zover dit verband houdt met de Verwerking door de Verwerker.

9. Audits en Inspecties

9.1 Auditrecht

1. De Verwerkingsverantwoordelijke heeft het recht om audits en inspecties uit te voeren, of te laten uitvoeren door een onafhankelijke derde, om de naleving van deze Overeenkomst te verifiëren.
2. De Verwerker verleent hieraan alle redelijke medewerking en stelt alle noodzakelijke informatie beschikbaar.

9.2 Voorwaarden

1. De Verwerkingsverantwoordelijke geeft minimaal 14 dagen van tevoren schriftelijk kennis van een voorgenomen audit.
2. De audit wordt uitgevoerd tijdens normale kantooruren en op een wijze die de bedrijfsvoering van de Verwerker zo min mogelijk verstoort.
3. De kosten van de audit komen voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit een tekortkoming van de Verwerker aan het licht brengt.

10. Beëindiging en Gegevensverwijdering

10.1 Bij Beëindiging

1. Bij beëindiging van deze Overeenkomst staakt de Verwerker onmiddellijk alle Verwerking van Persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke.
2. Aangezien de Verwerker geen Persoonsgegevens persistent opslaat, is verwijdering of teruggave van opgeslagen data niet van toepassing.

10.2 Bevestiging

De Verwerker bevestigt op verzoek van de Verwerkingsverantwoordelijke schriftelijk dat er geen Persoonsgegevens meer worden verwerkt en dat er geen Persoonsgegevens zijn opgeslagen.

11. Internationale Doorgifte

11.1 Doorgifte binnen de EER

De Verwerker verwerkt Persoonsgegevens bij voorkeur binnen de Europese Economische Ruimte (EER).

11.2 Doorgifte buiten de EER

1. Indien Persoonsgegevens worden doorgegeven aan subverwerkers buiten de EER (met name bij gebruik van AI-diensten via OpenRouter), zorgt de Verwerker ervoor dat passende waarborgen zijn getroffen conform hoofdstuk V van de AVG.
2. Passende waarborgen kunnen bestaan uit:
   • Een adequaatheidsbesluit van de Europese Commissie;
   • Standaard Contractuele Clausules (SCC's) van de Europese Commissie;
   • Bindende bedrijfsvoorschriften (BCR's).
3. De Verwerkingsverantwoordelijke erkent dat bij gebruik van AI-diensten Persoonsgegevens kunnen worden doorgegeven naar de Verenigde Staten of andere landen buiten de EER. De Verwerkingsverantwoordelijke is verantwoordelijk voor de beslissing welke gegevens via AI-diensten worden verwerkt.

12. Aansprakelijkheid

1. De aansprakelijkheid van de Verwerker onder deze Overeenkomst is beperkt conform de bepalingen in de Algemene Voorwaarden van SynAI B.V.
2. De Verwerkingsverantwoordelijke vrijwaart de Verwerker voor claims van betrokkenen of derden die voortvloeien uit het niet naleven door de Verwerkingsverantwoordelijke van diens verplichtingen onder de AVG.

13. Slotbepalingen

13.1 Rangorde

In geval van tegenstrijdigheid tussen deze Overeenkomst en de Algemene Voorwaarden, prevaleert deze Overeenkomst voor wat betreft de verwerking van Persoonsgegevens.

13.2 Wijzigingen

Wijzigingen in deze Overeenkomst zijn slechts geldig indien schriftelijk overeengekomen door beide partijen.

13.3 Toepasselijk Recht

Op deze Overeenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Amsterdam.

Contact

SynAI B.V.
KVK: 42009196

Lindanusstraat 14 - 16
6031EA Nederweert

E-mail: info@synai.eu
Telefoon: 085 369 5490
Website: https://synai.eu

Deze Verwerkersovereenkomst maakt onlosmakelijk onderdeel uit van de dienstverleningsovereenkomst tussen de Verwerkingsverantwoordelijke en SynAI B.V.