Verwerkersovereenkomst (DPA)

1. Rollen

Klant is verwerkingsverantwoordelijke voor persoonsgegevens die in het platform worden geüpload of binnen het platform worden gegenereerd.

Umbiko B.V. is verwerker en verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van Klant.

2. Onderwerp en duur

Onderwerp: verwerking van persoonsgegevens om het Umbiko inkoopplatform te leveren (extractie, vergelijken, zoeken, AI-assistentie, support).

Duur: zolang het onderliggende abonnement loopt, plus de bewaartermijn uit het privacybeleid.

3. Categorieën gegevens en betrokkenen

Betrokkenen: medewerkers en geautoriseerde gebruikers van Klant; personen die genoemd worden in aanbestedings-, offerte- en leveranciersdocumenten die Klant uploadt.

Categorieën: naam, zakelijke contactgegevens, functie, login-gegevens; documentinhoud zoals geüpload door Klant.

4. Sub-verwerkers

Klant geeft toestemming voor de volgende sub-verwerkers: Microsoft Azure (hosting + AI-diensten, EU West regio), Microsoft Communication Services (transactionele e-mail).

Umbiko meldt nieuwe sub-verwerkers ten minste 30 dagen vooraf. Klant kan op redelijke gronden bezwaar maken; partijen bespreken in dat geval te goeder trouw alternatieven.

5. Beveiligingsmaatregelen

Versleuteling onderweg (TLS 1.2+) en in rust (AES-256). Strikte tenant-isolatie in eigen Cosmos-containers, blob-paden en search-indexen.

Rolgebaseerde toegangscontrole volgens minst-privilege. Audit-logging van authenticatie, statuswijzigingen en admin-overrides. Automatisch patchen en dependency-scanning in CI.

6. Internationale doorgifte

Persoonsgegevens worden opgeslagen en verwerkt in Microsoft Azure-datacenters in de Europese Unie. Gegevens verlaten de EU niet.

Mocht doorgifte naar een derde land nodig zijn, dan past Umbiko de EU-modelcontractbepalingen toe of een ander door de AVG erkend doorgiftemechanisme.

7. Verzoeken van betrokkenen en datalek-melding

Umbiko ondersteunt Klant binnen redelijke termijnen bij verzoeken van betrokkenen (inzage, rectificatie, verwijdering, overdraagbaarheid).

Umbiko meldt een datalek zonder onnodige vertraging — uiterlijk binnen 72 uur na bekendwording — aan Klant, met de informatie die Klant nodig heeft voor zijn eigen verplichtingen onder art. 33/34 AVG.

8. Audit-rechten

Eens per jaar kan Klant een schriftelijke samenvatting van de beveiligingsmaatregelen plus de meest recente externe auditrapporten (bv. SOC 2 zodra beschikbaar) opvragen.

Audits ter plaatse zijn beperkt tot redelijke aankondiging en geheimhouding, en worden boven één audit per twaalf maanden tegen kostprijs in rekening gebracht — tenzij ingegeven door een onderbouwd beveiligingsincident.

9. Teruggave en verwijdering

Bij beëindiging van het abonnement stellen we Klantcontent gedurende 30 dagen beschikbaar voor export.

Daarna wordt alle Klantcontent en alle persoonsgegevens definitief verwijderd, behalve waar de wet bewaarplicht oplegt.

10. Contact

Voor het ondertekenen van of vragen over de DPA: mail hello@umbiko.ai. We sturen kosteloos een ondertekende kopie op verzoek.