Verwerkersovereenkomst (DPA)
Versie 1.0 · Laatst bijgewerkt op 27 april 2026
1. Definities
- Verwerkingsverantwoordelijke ("u"): de Gebruiker van SpectIQ die persoonsgegevens van zijn of haar opdrachtgevers, eindklanten of andere derden verwerkt via het platform.
- Verwerker ("SpectIQ"): MagicEverse B.V., handelend onder de naam SpectIQ, die de persoonsgegevens namens de Verwerkingsverantwoordelijke verwerkt.
- Klantgegevens: alle persoonsgegevens die u via het platform verwerkt, waaronder maar niet beperkt tot namen, contactgegevens, adressen en inspectiebevindingen van uw opdrachtgevers.
- Sub-verwerker: een door SpectIQ ingeschakelde derde die Klantgegevens verwerkt onder verantwoordelijkheid van SpectIQ. Een actuele lijst staat op spectiq.nl/sub-processors.
2. Onderwerp en duur
SpectIQ verwerkt Klantgegevens uitsluitend ten behoeve van het leveren van het platform en gedurende de looptijd van de overeenkomst tussen u en SpectIQ. Na beëindiging worden de gegevens verwijderd of teruggegeven conform sectie 9.
3. Aard, doel en categorieën
| Onderwerp | Beschrijving |
|---|---|
| Aard van de verwerking | Opslag, weergave, bewerking, AI-tekstgeneratie, PDF-export, e-mailverzending |
| Doel | Het opstellen van bouwkundige rapportages voor uw klanten |
| Categorieën betrokkenen | Uw opdrachtgevers / eindklanten (vaak natuurlijke personen die een pand laten inspecteren), reviewers, eventuele bezoekers tijdens de inspectie |
| Categorieën gegevens | Naam, contactgegevens, adres, foto's van het pand, eventuele spraakmemo's, vrijetekst notities, inspectiebevindingen |
4. Instructies en doelbinding
SpectIQ verwerkt Klantgegevens uitsluitend op basis van uw schriftelijke instructies (waaronder begrepen het gebruik van het platform). Wijkt SpectIQ hiervan af, dan informeert SpectIQ u zonder onnodige vertraging — tenzij wettelijk verboden.
5. Vertrouwelijkheid
SpectIQ zorgt ervoor dat personen die gemachtigd zijn de Klantgegevens te verwerken contractueel of wettelijk gehouden zijn aan geheimhouding.
6. Beveiligingsmaatregelen (Art. 32 AVG)
SpectIQ heeft passende technische en organisatorische maatregelen getroffen, waaronder:
- TLS 1.2+ in transit; AES-256 at rest voor objectopslag (Cloudflare R2) en schijfencryptie voor Postgres.
- Toegangsbeheer per werkruimte en role-based platform-administratie.
- OTP-authenticatie zonder herbruikbare wachtwoorden.
- Audit-logging van platform-acties en aanmeldsgebeurtenissen.
- Dagelijkse back-ups naar twee EU-locaties met 30-dagen retentie.
- Veilige software-leveringsketen (CI, code-review, additieve migraties).
Een uitgebreide toelichting vindt u op de beveiligingspagina.
7. Sub-verwerkers
U geeft SpectIQ een algemene toestemming om sub-verwerkers in te schakelen. De actuele lijst staat op spectiq.nl/sub-processors. Bij wijzigingen — toevoeging, vervanging of vertrek van een sub-verwerker — informeert SpectIQ u minimaal 30 dagen vooraf, zodat u tijd heeft bezwaar te maken. Als u op redelijke gronden bezwaar maakt, kunnen partijen in overleg treden over een passende oplossing of de overeenkomst beëindigen.
8. Rechten van betrokkenen
SpectIQ ondersteunt u, voor zover redelijkerwijs mogelijk, bij het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar) door technische en organisatorische maatregelen ter beschikking te stellen.
9. Verwijdering of teruggave
Na beëindiging van de overeenkomst — naar uw keuze — verwijdert SpectIQ alle Klantgegevens binnen 90 dagen, dan wel retourneert deze in een gangbaar machineleesbaar formaat. Back-ups die de Klantgegevens nog bevatten worden binnen de reguliere retentietermijn (30 dagen) automatisch overschreven.
10. Datalekken (Art. 33 AVG)
SpectIQ informeert u zonder onnodige vertraging — en in elk geval binnen 48 uur na constatering — over een geconstateerd datalek dat Klantgegevens raakt. SpectIQ verstrekt u de informatie die u nodig heeft om aan uw eigen meldplicht te voldoen.
11. Audit (Art. 28 lid 3 sub h AVG)
SpectIQ stelt op verzoek de informatie ter beschikking die nodig is om aan te tonen dat aan deze DPA wordt voldaan. SpectIQ werkt mee aan audits door u of een door u aangewezen onafhankelijke auditor, voor zover dit redelijk en proportioneel is en op kosten van de partij die de audit verzoekt.
12. Doorgifte buiten de EER
Voor sub-verwerkers buiten de EER (zoals Anthropic, OpenAI, Stripe Inc. in de Verenigde Staten) baseert SpectIQ doorgifte op de EU-US Data Privacy Framework-certificering en/of Standaard Contractuele Clausules (Uitvoeringsbesluit 2021/914). Bijbehorende waarborgen staan op spectiq.nl/sub-processors.
13. Aansprakelijkheid en toepasselijk recht
Voor de aansprakelijkheid en het toepasselijk recht onder deze DPA gelden de bepalingen uit onze algemene voorwaarden.
14. Contact
Vragen, audit-verzoeken of melding van een datalek?
E-mail:
privacy@spectiq.nl
(privacy)
Lekken / security:
security@spectiq.nl