Juridisch · DPA

Verwerkersovereenkomst

Laatst bijgewerkt: 29 mei 2026

Deze verwerkersovereenkomst maakt onderdeel uit van de Sparqbox-voorwaarden. Door de voorwaarden te accepteren accepteert u deze DPA. Een mede-ondertekend exemplaar is op verzoek beschikbaar: support@sparqbox.com.

1. Status en aanvaarding

Deze verwerkersovereenkomst ("DPA") maakt onderdeel uit van en is door verwijzing opgenomen in de Sparqbox-voorwaarden op sparqbox.com/legal. Aanvaarding van die voorwaarden geldt als aanvaarding van deze DPA. Een mede-ondertekend PDF-exemplaar is op verzoek beschikbaar via support@sparqbox.com.

2. Definities

Begrippen in deze DPA hebben de betekenis die de AVG (Verordening (EU) 2016/679) eraan geeft. "Klant", "u" en "uw" verwijzen naar de organisatie die met de Sparqbox-voorwaarden heeft ingestemd. "Sparqbox", "wij" en "onze" verwijzen naar SupplyUp als exploitant van de Sparqbox-dienst.

3. Rollen en omvang van de verwerking

Klant is de verwerkingsverantwoordelijke en Sparqbox is de verwerker van Klantpersoonsgegevens. Sparqbox verwerkt Klantpersoonsgegevens uitsluitend om de Sparqbox-dienst te leveren overeenkomstig de voorwaarden, deze DPA, en de gedocumenteerde instructies van de Klant (waaronder het configureren van de werkruimte en het gebruik van de productinterfaces).

4. Onderwerp, duur, aard, doel, gegevens en betrokkenen

  • Onderwerp: levering van de Sparqbox-dienst voor gestructureerde ideeënbeoordeling.
  • Duur: de looptijd van de voorwaarden plus eventuele periodes na beëindiging om gegevens te retourneren of te verwijderen.
  • Aard en doel: hosting, opslag, toegang, transmissie, berekening en AI-ondersteunde scoring op Klantpersoonsgegevens zodat Klant de Sparqbox-functies kan gebruiken.
  • Categorieën betrokkenen: werkruimtegebruikers (medewerkers, opdrachtnemers en beheerders aangewezen door Klant).
  • Categorieën persoonsgegevens: naam, e-mailadres, werkruimterol, activiteits- en toegangslogs, ingediende ideeën, scores, opmerkingen, authenticatiemetadata en bijbehorende technische logs.

5. Verplichtingen van de verwerker

  • Klantpersoonsgegevens uitsluitend verwerken op gedocumenteerde instructies van Klant, waaronder instructies via het product.
  • Erop toezien dat personen die gemachtigd zijn Klantpersoonsgegevens te verwerken zich tot vertrouwelijkheid hebben verbonden.
  • De technische en organisatorische maatregelen uit Annex A implementeren en onderhouden.
  • Subverwerkers uitsluitend inschakelen overeenkomstig paragraaf 7.
  • Klant bijstaan bij verzoeken van betrokkenen zoals beschreven in paragraaf 8.
  • Klant bijstaan bij de verplichtingen uit de artikelen 32-36 AVG, rekening houdend met de aard van de verwerking en de beschikbare informatie.
  • Klant de informatie ter beschikking stellen die nodig is om naleving van deze DPA aan te tonen, en audits toestaan zoals beschreven in paragraaf 10.
  • Bij beëindiging Klantpersoonsgegevens verwijderen of retourneren zoals beschreven in paragraaf 12.

6. Verplichtingen van de Klant

  • Een geldige rechtsgrond onder de AVG aanhouden voor de persoonsgegevens die Klant Sparqbox laat verwerken.
  • Alle verplichte privacyinformatie verstrekken aan betrokkenen (medewerkers en andere werkruimtegebruikers).
  • Uitsluitend rechtmatige verwerkingsinstructies geven.
  • Geen bijzondere categorieën persoonsgegevens (artikel 9 AVG) in de Sparqbox-dienst uploaden zonder voorafgaande schriftelijke afspraken over aanvullende waarborgen.

7. Subverwerkers

Klant geeft Sparqbox toestemming om de subverwerkers in te schakelen die zijn vermeld op sparqbox.com/subprocessors. Die lijst is als Annex B in deze DPA opgenomen.

Sparqbox informeert werkruimtebeheerders ten minste 30 dagen van tevoren per e-mail over de toevoeging van een nieuwe subverwerker die Klantpersoonsgegevens verwerkt. Klant kan binnen 15 dagen na deze melding op redelijke gegevensbeschermingsgronden bezwaar maken. Komen partijen er niet uit, dan kan Klant de getroffen dienst beëindigen met een pro rata restitutie van vooruitbetaalde vergoedingen voor het ongebruikte deel van de termijn, als enig en uitsluitend rechtsmiddel.

Sparqbox legt elke subverwerker gegevensbeschermingsverplichtingen op die niet minder beschermend zijn dan deze DPA en blijft jegens Klant aansprakelijk voor de prestaties van de subverwerker.

8. Verzoeken van betrokkenen

Sparqbox staat Klant, rekening houdend met de aard van de verwerking, met passende technische en organisatorische maatregelen voor zover mogelijk bij in het nakomen van diens verplichting om op verzoeken van betrokkenen te reageren. Ontvangt Sparqbox een verzoek rechtstreeks van een betrokkene met betrekking tot Klantpersoonsgegevens, dan stuurt Sparqbox dat verzoek binnen vijf werkdagen door aan Klant en reageert Sparqbox er zelf niet op, behalve op instructie van Klant of waar wettelijk vereist.

9. Beveiliging en melding van datalekken

Sparqbox onderhoudt de technische en organisatorische maatregelen die in Annex A zijn beschreven. Het actuele operationele overzicht is gepubliceerd op sparqbox.com/security.

Sparqbox informeert Klant zonder onnodige vertraging nadat Sparqbox kennis heeft genomen van een inbreuk op persoonsgegevens die Klantpersoonsgegevens treft, met daarbij: de aard van de inbreuk, de categorieën en het geschatte aantal betrokkenen en records, de waarschijnlijke gevolgen en de maatregelen die zijn genomen of voorgesteld om de inbreuk aan te pakken en mogelijke nadelige gevolgen te beperken.

10. Audits

Sparqbox toont naleving van deze DPA aan door:

  • Beveiligingsdocumentatie te publiceren op sparqbox.com/security.
  • Te reageren op standaard beveiligingsvragenlijsten (CAIQ Lite, SIG Lite of gelijkwaardig) binnen 15 werkdagen.

On-site audits zijn beperkt tot maximaal één keer per kalenderjaar, op kosten van Klant, met een schriftelijke aankondiging van 30 dagen vooraf, tijdens kantooruren en onder geheimhouding. Toezichthouders met wettelijke inzagerechten worden door deze paragraaf niet beperkt.

11. Doorgifte buiten de EER

Voor zover de levering van de Sparqbox-dienst doorgifte van Klantpersoonsgegevens vanuit de EER naar een land buiten de EER inhoudt, vindt deze doorgifte plaats naar een subverwerker uit Annex B. De doorgifte is gebaseerd op:

  • Het EU-US Data Privacy Framework, wanneer de ontvanger gecertificeerd is; of
  • De modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen, vastgesteld bij Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021, inclusief Module 3 (verwerker-naar-verwerker) waar van toepassing. De modelcontractbepalingen zijn door verwijzing in deze DPA opgenomen en gelden tussen Sparqbox (als gegevensexporteur) en de betreffende subverwerker (als gegevensimporteur).

12. Retourneren of verwijderen van gegevens

Bij beëindiging van de voorwaarden kan Klant gedurende 30 dagen werkruimtegegevens exporteren via het product. Na het exportvenster:

  • Worden Klantpersoonsgegevens binnen 30 dagen verwijderd uit productiesystemen; en
  • Uit versleutelde back-ups binnen 90 dagen,

behalve waar toepasselijk recht een langere bewaarperiode voorschrijft (waaronder de Nederlandse belastingwetgeving voor factuurgegevens, 7 jaar). In dat geval worden de gegevens uitsluitend voor de wettelijk vereiste periode en uitsluitend voor het wettelijke doel bewaard.

13. Aansprakelijkheid

De aansprakelijkheid van elke partij onder of in verband met deze DPA valt onder de uitsluitingen en beperkingen van aansprakelijkheid in de voorwaarden.

14. Toepasselijk recht

Op deze DPA is, conform de voorwaarden, Nederlands recht van toepassing.

Annex A — Technische en organisatorische maatregelen

  • Versleuteling. TLS 1.2+ bij transport; AES-256 in rust op database en object-opslag; versleutelde secrets in omgevingsvariabelen.
  • Tenant-isolatie. Defense-in-depth in drie lagen: ondertekende JWT met tenant-identifier; applicatie-afgeleide tenant-scope met negeren van client-aangeleverde ids; row-level security op elke business-tabel.
  • Toegangsbeheer. Productie-toegang beperkt tot benoemde personen; gelogd; MFA verplicht op alle interne accounts; credentials roteren volgens schema en na elke personeelswijziging.
  • Authenticatie. Strikte wachtwoordregels, brute-force-bescherming, SSO (SAML/OIDC) op Scale-niveau, kortlevende sessies met intrekbare refresh-tokens.
  • Back-ups en continuïteit. Dagelijkse versleutelde back-ups, 30 dagen retentie, 7 dagen point-in-time recovery, cross-region kopieën, geteste herstelprocedures.
  • Kwetsbaarhedenbeheer. Afhankelijkheidsscans, verplichte code review, patches met hoge ernst binnen 7 dagen, jaarlijkse onafhankelijke penetratietest gepland Q4 2026.
  • Logging en monitoring. Gecentraliseerde logs, anomaliealerts, onveranderlijke auditlog voor gevoelige handelingen.
  • Incidentrespons. Gedocumenteerd proces, 24-uurs triage, klantmelding zonder onnodige vertraging, 72-uurs melding aan de toezichthouder conform artikel 33 waar vereist, post-incident-review.
  • Personeel. Geheimhoudingsverplichtingen en beveiligingstraining voor iedereen met toegang tot Klantpersoonsgegevens.

Het actuele operationele overzicht en eventuele updates worden gepubliceerd op sparqbox.com/security.

Annex B — Subverwerkers

De actuele subverwerkerslijst, inclusief doel, gegevenscategorie, locatie en doorgiftemechanisme, wordt gepubliceerd op sparqbox.com/subprocessors en is door verwijzing in deze DPA opgenomen. Werkruimtebeheerders worden ten minste 30 dagen van tevoren per e-mail geïnformeerd voordat een nieuwe subverwerker die Klantpersoonsgegevens verwerkt wordt toegevoegd.