Juridisch
Laatst bijgewerkt: 9 juni 2026
De PDF is een afdrukvriendelijke versie van deze pagina. Heeft u een ondertekend exemplaar nodig, neem dan contact met ons op.
Deze verwerkersovereenkomst is opgesteld tussen:
Hierna afzonderlijk te noemen Partij en gezamenlijk Partijen.
De Klant heeft met OnboardAI een hoofdovereenkomst gesloten voor het gebruik van het SaaS-platform OnboardAI. In het kader van die hoofdovereenkomst verwerkt OnboardAI persoonsgegevens namens de Klant. Op grond van artikel 28 van de Algemene Verordening Gegevensbescherming (AVG) leggen Partijen de afspraken over die verwerking vast in deze verwerkersovereenkomst.
De Klant kwalificeert in de zin van de AVG als verwerkingsverantwoordelijke voor de persoonsgegevens van haar medewerkers. OnboardAI kwalificeert als verwerker. Bij tegenstrijdigheid tussen de hoofdovereenkomst en deze verwerkersovereenkomst gaat deze verwerkersovereenkomst voor, voor zover het de verwerking van persoonsgegevens betreft.
Onderwerp: de verwerking van persoonsgegevens die noodzakelijk is om het OnboardAI-platform aan de Klant te kunnen leveren, waaronder het aanmaken, beheren en delen van onboardingmodules en het bijhouden van voortgang van medewerkers.
Aard: elektronische verwerking waaronder het verzamelen, vastleggen, opslaan, ordenen, raadplegen, gebruiken, versturen, verstrekken aan subverwerkers en wissen van persoonsgegevens.
Doel: uitvoering van de hoofdovereenkomst, in het bijzonder het bieden van een onboardingervaring aan medewerkers, het meten van voortgang en het versturen van transactionele e-mails.
OnboardAI verwerkt in opdracht van de Klant in elk geval de volgende categorieën persoonsgegevens:
Categorieën betrokkenen: medewerkers van de klantorganisatie, waaronder vaste en tijdelijke medewerkers, stagiairs en uitzendkrachten, die door de Klant worden uitgenodigd om een onboardingmodule te doorlopen.
De Klant verwerkt geen bijzondere categorieën persoonsgegevens (artikel 9 AVG) of strafrechtelijke gegevens (artikel 10 AVG) via het platform, tenzij dit uitdrukkelijk schriftelijk met OnboardAI is overeengekomen en aanvullende waarborgen zijn afgesproken.
Deze verwerkersovereenkomst treedt in werking op het moment dat de Klant het account aanmaakt en de hoofdovereenkomst aanvaardt. Zij blijft van kracht zolang OnboardAI persoonsgegevens verwerkt voor de Klant en eindigt van rechtswege op het moment dat de hoofdovereenkomst is beëindigd en alle persoonsgegevens zijn teruggegeven of verwijderd zoals beschreven in artikel 11.
De Klant geeft OnboardAI bij deze algemene toestemming om gebruik te maken van de hieronder genoemde subverwerkers. OnboardAI sluit met elke subverwerker een schriftelijke overeenkomst waarin minimaal dezelfde verplichtingen worden opgelegd als in deze verwerkersovereenkomst.
| Subverwerker | Doel | Locatie |
|---|---|---|
| Supabase | Database en authenticatie | Ierland (EU) |
| Stripe | Betalingen en abonnementen | Ierland (EU) |
| Moneybird | Boekhouding en facturatie | Nederland |
| Resend | Versturen van transactionele e-mails | Verenigde Staten |
| Anthropic | AI-modelverwerking (Claude) | Ierland |
| OpenAI | AI-modelverwerking (optioneel) | Verenigde Staten |
| HeyGen | AI-avatar video en stem klonen (Business en Enterprise plannen) | Verenigde Staten |
| Replicate | AI-afbeeldingen in modules | Verenigde Staten |
| Vercel | Hosting en infrastructuur | Verenigde Staten |
OnboardAI informeert de Klant ten minste 30 dagen voor het toevoegen of vervangen van een subverwerker. De Klant heeft het recht binnen die periode bezwaar te maken op redelijke gronden. Indien Partijen geen oplossing bereiken, heeft de Klant het recht de hoofdovereenkomst op te zeggen.
Bij doorgifte van persoonsgegevens naar een land buiten de Europese Economische Ruimte treft OnboardAI passende waarborgen, zoals de door de Europese Commissie vastgestelde Standaardcontractbepalingen (SCC).
OnboardAI treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, misbruik en onbevoegde toegang of wijziging. Deze maatregelen omvatten onder meer:
OnboardAI evalueert de beveiligingsmaatregelen periodiek en past deze aan op basis van de stand van de techniek, de aard van de verwerking en de risico's voor betrokkenen.
Indien OnboardAI kennisneemt van een inbreuk in verband met persoonsgegevens die de Klant betreft, meldt OnboardAI dit zonder onredelijke vertraging en in elk geval binnen 24 uur na ontdekking aan de Klant via info@onboardai.nl of een andere overeengekomen kanaal.
De melding bevat ten minste:
De Klant is verantwoordelijk voor eventuele melding van de inbreuk aan de Autoriteit Persoonsgegevens en, indien vereist, aan de betrokkenen. OnboardAI verleent redelijke ondersteuning bij het nakomen van deze meldplichten.
Na beëindiging van de hoofdovereenkomst wist OnboardAI, naar keuze van de Klant, alle persoonsgegevens of stelt deze in een gangbaar formaat aan de Klant ter beschikking, tenzij wet- of regelgeving het bewaren ervan vereist.
Tenzij anders aangegeven, worden actieve persoonsgegevens binnen 30 dagen na beëindiging verwijderd. Back-ups worden vervolgens in overeenstemming met onze standaard retentiecyclus overschreven.
Op verzoek bevestigt OnboardAI schriftelijk dat de gegevens zijn verwijderd of overgedragen.
De Klant heeft het recht om de naleving van deze verwerkersovereenkomst te controleren. OnboardAI stelt op verzoek alle relevante informatie ter beschikking waaruit blijkt dat OnboardAI voldoet aan haar verplichtingen, waaronder, indien beschikbaar, certificeringen, beveiligingsrapportages en beschrijvingen van maatregelen.
Indien dit onvoldoende is, kan de Klant maximaal eenmaal per kalenderjaar een audit laten uitvoeren door een onafhankelijke, gecertificeerde derde, op kosten van de Klant. Audits worden ten minste 30 dagen van tevoren aangekondigd, vinden plaats tijdens kantooruren en mogen de bedrijfsvoering van OnboardAI of haar andere klanten niet onredelijk verstoren.
De aansprakelijkheid van Partijen onder deze verwerkersovereenkomst wordt beheerst door de aansprakelijkheidsbepalingen uit de hoofdovereenkomst en de algemene voorwaarden, voor zover dwingend recht zich daar niet tegen verzet.
Op deze verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter van de Rechtbank Rotterdam, tenzij dwingendrechtelijke bepalingen een andere rechter aanwijzen.
Voor vragen over deze verwerkersovereenkomst, een ondertekend exemplaar of het uitoefenen van rechten van betrokkenen kunt u contact opnemen via info@onboardai.nl. Zie ook onze privacyverklaring en algemene voorwaarden.