NexReply logo
AI-gestuurde klantenservice uit Nederland. Snel, veilig en met menselijke controle. +31 26 234 0768

Verwerkersovereenkomst (DPA)

Versie: 1.0 — Laatst bijgewerkt: 05-01-2026

1. Partijen

Deze verwerkersovereenkomst (“DPA”) wordt gesloten tussen:

  • NexReply (hierna: “Verwerker”); en
  • de klant van NexReply (hierna: “Verwerkingsverantwoordelijke”).

Verwerker en Verwerkingsverantwoordelijke worden hierna gezamenlijk aangeduid als “Partijen”.

2. Doel en reikwijdte

Deze DPA regelt de verwerking van persoonsgegevens door Verwerker uitsluitend in opdracht van Verwerkingsverantwoordelijke, in het kader van het leveren van de NexReply-dienst voor het automatiseren van klantenservicecommunicatie (matching + AI).

Verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking. Verwerker verwerkt persoonsgegevens niet voor eigen doeleinden.

3. Aard van de verwerking, gegevens en betrokkenen

3.1 Aard van de verwerking

  • Ontvangen, analyseren en classificeren van klantberichten (bijv. e-mail/tickets)
  • Genereren van (concept)antwoorden via regels en AI
  • Opslaan van conversaties, metadata en logs voor uitvoering, auditing en support
  • Escalatie naar een medewerker bij onvoldoende zekerheid (human fallback)

3.2 Categorieën persoonsgegevens

  • Identificatiegegevens (naam, e-mailadres, telefoonnummer)
  • Communicatie-inhoud (e-mails/berichten en bijlagen)
  • Order- en verzendgegevens (bijv. ordernummer, status, Track & Trace)
  • Technische gegevens en loggegevens (bijv. timestamps, IP-adres, fout- en beveiligingslogs)

3.3 Categorieën betrokkenen

  • (Eind)klanten en contactpersonen van Verwerkingsverantwoordelijke

4. Verplichtingen van Verwerker

  • Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke of elektronische instructies van Verwerkingsverantwoordelijke.
  • Verwerker treft passende technische en organisatorische beveiligingsmaatregelen (zie artikel 8).
  • Verwerker waarborgt vertrouwelijkheid; personen die onder gezag van Verwerker handelen zijn tot geheimhouding verplicht.
  • Verwerker ondersteunt Verwerkingsverantwoordelijke bij het afhandelen van verzoeken van betrokkenen (voor zover redelijk en binnen de mogelijkheden van de dienst).
  • Verwerker stelt persoonsgegevens niet ter beschikking aan derden, tenzij toegestaan onder deze DPA of wettelijk verplicht.

5. Instructies en verantwoordelijkheid

Verwerkingsverantwoordelijke staat ervoor in dat:

  • zij gerechtigd is persoonsgegevens aan Verwerker te verstrekken en een geldige rechtsgrond heeft voor de verwerking;
  • de instructies aan Verwerker niet in strijd zijn met toepasselijke wet- en regelgeving.

Verwerker is niet aansprakelijk voor schade die voortvloeit uit onrechtmatige of onjuiste instructies van Verwerkingsverantwoordelijke, noch voor het verwerken van persoonsgegevens waarvoor Verwerkingsverantwoordelijke geen geldige rechtsgrond heeft.

6. AI-verwerking

AI-functionaliteit wordt uitsluitend ingezet ten behoeve van de dienstverlening aan Verwerkingsverantwoordelijke en binnen diens instructies.

Persoonsgegevens worden niet gebruikt voor het trainen van AI-modellen en niet voor zelfstandige doeleinden buiten de dienstverlening aan Verwerkingsverantwoordelijke, tenzij Partijen dit uitdrukkelijk schriftelijk overeenkomen.

Waar de dienst onvoldoende zekerheid heeft, wordt de conversatie doorgestuurd naar een medewerker (human fallback), indien deze functionaliteit is ingeschakeld.

7. Subverwerkers

Verwerker mag subverwerkers inschakelen voor onder meer hosting/infrastructuur, e-maildiensten en AI-diensten, mits Verwerker met iedere subverwerker een overeenkomst sluit met waarborgen die minimaal gelijkwaardig zijn aan deze DPA.

Een actuele lijst met subverwerkers is beschikbaar via support of op schriftelijk verzoek.

8. Bewaartermijnen en verwijdering

Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de uitvoering van de dienst.

De standaard bewaartermijn voor operationele e-maildata en (beveiligings)logs bedraagt 90 dagen, tenzij:

  • schriftelijk anders overeengekomen; of
  • wettelijke verplichtingen een langere bewaartermijn vereisen.

Na afloop van de bewaartermijn worden gegevens verwijderd of geanonimiseerd, zodanig dat herleiding tot personen niet meer mogelijk is.

9. Beveiliging

Verwerker treft passende technische en organisatorische maatregelen, rekening houdend met de stand van de techniek, uitvoeringskosten, aard, omvang, context en doeleinden van de verwerking, en de risico’s voor betrokkenen. Dit omvat waar passend onder meer:

  • Transportbeveiliging (TLS) voor IMAP/SMTP/API waar mogelijk
  • Toegangscontrole en least-privilege-principes
  • Logging, monitoring en beveiligingsmaatregelen tegen ongeautoriseerde toegang
  • Encryptie van gegevens in rust waar beschikbaar binnen de gekozen infrastructuur

Geen enkele methode van overdracht of opslag is 100% veilig; Verwerker streeft naar passende maatregelen in lijn met het risicoprofiel.

10. Datalekken

Verwerker meldt een inbreuk in verband met persoonsgegevens (datalek) onverwijld na ontdekking aan Verwerkingsverantwoordelijke, met relevante informatie voor zover beschikbaar (aard van het incident, getroffen gegevens, genomen of voorgenomen maatregelen).

11. Rechten van betrokkenen

Verwerker ondersteunt Verwerkingsverantwoordelijke bij het afhandelen van verzoeken van betrokkenen (zoals inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar) voor zover dit redelijkerwijs mogelijk is en passend binnen de dienst, en voor zover Verwerker daartoe wettelijk verplicht is.

12. Internationale doorgifte

Indien (sub)verwerking plaatsvindt buiten de EU/EER, zorgt Verwerker voor passende waarborgen, zoals Standard Contractual Clauses (SCC’s) en aanvullende maatregelen waar nodig.

13. Audit en controle

Verwerkingsverantwoordelijke heeft het recht om, met redelijke aankondiging en binnen redelijke grenzen, naleving van deze DPA te laten controleren. Audits worden zodanig ingericht dat zij de dienstverlening van Verwerker niet onredelijk verstoren.

14. Aansprakelijkheid en voorwaarden

Voor zover toegestaan onder toepasselijk recht, wordt aansprakelijkheid van Verwerker verder beperkt conform de Algemene Voorwaarden van NexReply. Indien bepalingen uit deze DPA en de Algemene Voorwaarden conflicteren, gelden de bepalingen die Partijen schriftelijk als leidend hebben aangewezen, of bij gebreke daarvan de bepalingen uit de overeenkomst tussen Partijen.

15. Duur en beëindiging

Deze DPA geldt zolang Verwerker persoonsgegevens verwerkt voor Verwerkingsverantwoordelijke in het kader van de dienstverlening. Na beëindiging van de dienstverlening verwijdert of anonimiseert Verwerker persoonsgegevens conform artikel 8, tenzij wettelijke verplichtingen anders vereisen.

16. Slotbepalingen

  • Op deze DPA is Nederlands recht van toepassing.
  • Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.
  • Deze DPA kan elektronisch worden geaccepteerd (bijv. via intakeformulier of dashboard).

Contact

Vragen over deze DPA? Mail privacy@nexreply.nl.