Verwerkersovereenkomst

Laatste update: 2026-04-17

Versie 17 april 2026 · Op grond van art. 28 AVG · Integraal onderdeel van de Algemene Voorwaarden

Deze Verwerkersovereenkomst ("Overeenkomst") wordt gesloten tussen de klant ("Verwerkingsverantwoordelijke") en Triad B.V., handelend onder de naam LeadGrid.io ("Verwerker"), met statutaire zetel aan Parallel Boulevard 17 A, 2202 HK Noordwijk, Nederland, ingeschreven bij de Kamer van Koophandel onder nummer 42034623. De Overeenkomst wordt geacht te zijn overeengekomen op het moment dat de Verwerkingsverantwoordelijke een Abonnement op de Dienst afsluit.

1. Definities

Begrippen in deze Overeenkomst hebben de betekenis die de AVG eraan toekent. Daarnaast zijn de definities uit de Algemene Voorwaarden van toepassing. Bij strijdigheid prevaleert deze Overeenkomst voor zover het de verwerking van persoonsgegevens betreft.

2. Onderwerp, aard en doel

De Verwerker verwerkt persoonsgegevens uitsluitend op instructie van en voor rekening van de Verwerkingsverantwoordelijke, in het kader van de levering van de LeadGrid.io-Dienst: recruitment- en salespipelinebeheer, het bijhouden van kandidaten en leads, AI-ondersteunde cv-samenvattingen, concepten voor afwijzingse-mails, contactextractie, inkomende en uitgaande e-mail, en integraties via de publieke REST API.

Categorieën betrokkenen en persoonsgegevens zijn beschreven in Bijlage 1.

3. Looptijd

Deze Overeenkomst treedt in werking bij het afsluiten van het Abonnement en loopt zolang de Verwerker persoonsgegevens voor de Verwerkingsverantwoordelijke verwerkt. Na beëindiging blijven de bepalingen inzake vertrouwelijkheid, aansprakelijkheid en toepasselijk recht van kracht voor zover noodzakelijk.

4. Instructies

De Verwerker verwerkt persoonsgegevens uitsluitend op schriftelijke instructie van de Verwerkingsverantwoordelijke. De Algemene Voorwaarden, deze Overeenkomst en de configuratie van de Dienst door de Verwerkingsverantwoordelijke vormen dergelijke instructies. De Verwerker informeert de Verwerkingsverantwoordelijke onverwijld indien hij van oordeel is dat een instructie inbreuk maakt op de AVG of andere gegevensbeschermingswetgeving.

5. Vertrouwelijkheid

De Verwerker zorgt ervoor dat alle personen die onder zijn gezag persoonsgegevens verwerken, zijn gebonden aan een geheimhoudingsplicht, hetzij bij wet hetzij bij overeenkomst.

6. Beveiligingsmaatregelen

De Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, onbevoegde toegang en andere onrechtmatige verwerking, zoals beschreven in Bijlage 2. De Verwerker herziet deze maatregelen periodiek en werkt ze waar passend bij, rekening houdend met de stand van de techniek en het risico voor betrokkenen.

7. Subverwerkers

De Verwerkingsverantwoordelijke verleent de Verwerker algemene toestemming voor het inschakelen van de in Bijlage 3 genoemde subverwerkers. De Verwerker legt elke subverwerker bij schriftelijke overeenkomst dezelfde verplichtingen op als voortvloeien uit deze Overeenkomst, voor zover van toepassing.

De Verwerker informeert de Verwerkingsverantwoordelijke vooraf over voorgenomen wijzigingen in de lijst van subverwerkers (toevoegingen of vervangingen). De Verwerkingsverantwoordelijke kan binnen dertig (30) dagen na kennisgeving gemotiveerd bezwaar maken. Indien de partijen geen oplossing kunnen bereiken, kan de Verwerkingsverantwoordelijke het Abonnement beëindigen per de ingangsdatum van de wijziging.

8. Rechten van betrokkenen

De Verwerker verleent de Verwerkingsverantwoordelijke bijstand met passende technische en organisatorische maatregelen, voor zover redelijkerwijs mogelijk, bij het nakomen van de verplichting van de Verwerkingsverantwoordelijke om te reageren op verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar). De Verwerker stuurt eventuele verzoeken die hij rechtstreeks ontvangt door aan de Verwerkingsverantwoordelijke.

9. Inbreuken in verband met persoonsgegevens

De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld en in ieder geval binnen 48 uur na ontdekking in kennis van een inbreuk in verband met persoonsgegevens. De Verwerker verstrekt alle redelijkerwijs beschikbare informatie die de Verwerkingsverantwoordelijke nodig heeft om zijn eigen wettelijke meldings- en documentatieverplichtingen na te komen, waaronder:

• de aard van de inbreuk en de categorieën betrokken gegevens
• de (geschatte) omvang en mogelijke gevolgen
• de reeds genomen en voorgestelde maatregelen
• contactgegevens voor nadere informatie

De Verwerker zal namens de Verwerkingsverantwoordelijke geen melding doen bij de Autoriteit Persoonsgegevens of betrokkenen, tenzij daartoe uitdrukkelijk geïnstrueerd.

10. Bijstand bij DPIA's en voorafgaande raadpleging

De Verwerker verleent de Verwerkingsverantwoordelijke op redelijk verzoek bijstand bij een gegevensbeschermingseffectbeoordeling (DPIA) en enige daaropvolgende voorafgaande raadpleging van de toezichthoudende autoriteit, rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt.

11. Teruggave en verwijdering van gegevens

Na beëindiging van het Abonnement stelt de Verwerker de Verwerkingsverantwoordelijke gedurende 30 dagen in de gelegenheid persoonsgegevens te exporteren (via de REST API of het dashboard). Daarna verwijdert de Verwerker alle persoonsgegevens, tenzij bewaring wettelijk verplicht is (bijv. fiscale bewaarverplichtingen voor factureringsgegevens). De Verwerker bevestigt de verwijdering op verzoek schriftelijk.

12. Audit

De Verwerker stelt de Verwerkingsverantwoordelijke op verzoek alle informatie ter beschikking die nodig is om naleving van deze Overeenkomst aan te tonen. De Verwerkingsverantwoordelijke kan eenmaal per jaar — of vaker bij een redelijk vermoeden van niet-naleving — een audit laten uitvoeren (of zelf uitvoeren). De audit vindt plaats op werkdagen, tijdens kantooruren, na tijdige aankondiging en op een wijze die de Dienst niet onevenredig verstoort. De kosten van de audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij er materiële tekortkomingen worden vastgesteld.

De Verwerker kan in plaats daarvan een recent onafhankelijk auditrapport of een ISO 27001 / SOC 2-attestatie van zijn (sub-)verwerkers overleggen, die de Verwerkingsverantwoordelijke in beginsel zal aanvaarden.

13. Internationale doorgifte

Indien verwerking buiten de Europese Economische Ruimte plaatsvindt, is deze gebaseerd op passende waarborgen als bedoeld in art. 46 AVG, waaronder de Standaard Contractuele Bepalingen van de Europese Commissie (2021/914) of het EU-VS Gegevensprivacykader, aangevuld met technische aanvullende maatregelen waar passend.

14. Aansprakelijkheid

De aansprakelijkheid van de partijen op grond van deze Overeenkomst wordt beheerst door de aansprakelijkheidsclausule in de Algemene Voorwaarden. Elke partij is op grond van art. 82 AVG aansprakelijk jegens betrokkenen voor schade veroorzaakt door de niet-nakoming van haar AVG-verplichtingen.

15. Slotbepalingen

Bij strijdigheid tussen deze Overeenkomst en andere documenten tussen de partijen prevaleert deze Overeenkomst voor zover het de verwerking van persoonsgegevens betreft. Wijzigingen zijn geldig indien aangekondigd via de Dienst of per e-mail, met inachtneming van een redelijke termijn om bezwaar te maken of het Abonnement op te zeggen. Op deze Overeenkomst is Nederlands recht van toepassing; geschillen worden voorgelegd aan de Rechtbank Den Haag.

Bijlage 1 — Gegevens en categorieën betrokkenen

Categorieën betrokkenen

• Gebruikers van de Verwerkingsverantwoordelijke (medewerkers, beheerders)
• Kandidaten bijgehouden in recruitment-pipelines
• Leads en prospects bijgehouden in salespipelines
• Contactpersonen bij organisaties van leads of kandidaten

Categorieën persoonsgegevens

• Identificatie- en contactgegevens: naam, e-mailadres, telefoonnummer, bedrijf, functie/titel, LinkedIn of externe profiel-URL
• Cv- en sollicitatie-inhoud: geüploade cv's (PDF), arbeidsverleden, opleiding, vaardigheden, bijlagen
• Commerciële pipelinegegevens: dealwaarde, valuta, fase, notities, vergaderhistorie, toegewezen eigenaar
• Communicatie-inhoud: e-mails doorgestuurd naar LeadGrid via inkomende e-mail, uitgaande berichten verzonden vanuit LeadGrid, notities bij dossiers
• AI-gegenereerde afgeleide gegevens: kandidaatsamenvattingen, geëxtraheerde contactgegevens, concepten voor afwijzingse-mails, fase-geschiktheidsscores
• Gegevens van verbonden systemen: gegevens gepusht/gepulld via de publieke REST API en eventuele door de Verwerkingsverantwoordelijke geactiveerde integraties van derden
• Technische gegevens: IP-adres, sessie- en loggegevens voor beveiligings- en ondersteuningsdoeleinden

Aard van de verwerking

Verzameling, opslag, raadpleging, structurering, wijziging, combinatie, doorgifte (ook via AI-diensten voor classificatie en tekstgeneratie), verstrekking aan verbonden systemen en wissing.

Bijlage 2 — Beveiligingsmaatregelen

De Verwerker heeft onder meer de volgende maatregelen getroffen:

• TLS 1.2+ voor alle gegevens in transit
• Supabase Row-Level Security (RLS) op elke tabel met verplichte organisatie-id-scoping als verdediging in de diepte
• Rolgebaseerde toegangscontrole (eigenaar / beheerder / lid) met least-privilege-handhaving server-side
• Wachtwoordhashing (bcrypt) beheerd door Supabase Auth; sessiecookies gemarkeerd als HttpOnly + Secure
• Publieke REST API beveiligd met gehashte API-sleutels, per-sleutel-snelheidslimieten (60 verz./min. gratis, 600 verz./min. groei), scopevalidatie
• Stripe-webhooks geverifieerd met HMAC-handtekening; idempotente gebeurtenisverwerking via processed_stripe_events-tabel
• Inkomende-e-mailendpoint beveiligd met gedeeld geheim en constante-tijdsvergelijking; bestandsgrootte- en inhoudstype-limieten voor cv-uploads
• Geheimenbeheer via omgevingsvariabelen; geen hardgecodeerde geheimen
• CSP, HSTS, X-Frame-Options DENY, Referrer-Policy, Permissions-Policy-hardening op alle antwoorden
• Auditlogboeken van gevoelige acties en AI-verzoeken
• Sandboxed, versiebeheerde implementaties op Vercel met geautomatiseerde build- en typecontroles
• Dagelijkse versleutelde databaseback-ups beheerd door Supabase; periodieke hersteltests
• Toegang tot productiegegevens beperkt tot een klein aantal personeelsleden onder strikte autorisatie en vertrouwelijkheid
• Incidentresponsproces met een meldingsplicht van 48 uur voor inbreuken in verband met persoonsgegevens

Bijlage 3 — Subverwerkers