PappAI
Gratis proberen

Gegevensverwerkingsovereenkomst — Sjabloon

Overzicht van de DPO-structuur van PappAI, belangrijkste technische maatregelen en lijst van subverwerkers.

Versie 1.0 · Sjabloon (vereist juridische beoordeling vóór contractueel gebruik) · 21 februari 2026

Dit is een technisch-operationeel sjabloon. Het vereist juridische beoordeling en aanpassing vóór gebruik in een contractuele context.

DPO-structuur

  1. Partijen (verwerkingsverantwoordelijke en verwerker).
  2. Onderwerp en doeleinden van de verwerking.
  3. Duur, categorieën van gegevens en betrokkenen.
  4. Gedocumenteerde instructies van de verwerkingsverantwoordelijke.
  5. Verplichtingen van de verwerker.
  6. Subverwerkers en overdrachten buiten de EER/VK.
  7. Beveiligingsmaatregelen en procedures bij datalekken.
  8. Rechten van betrokkenen, auditrechten en beëindiging.

Belangrijkste technische maatregelen

  1. Rolgebaseerde toegangscontrole en principe van minimale rechten.
  2. Versleuteling tijdens transport (TLS) en in rust waar van toepassing.
  3. Omgevingsscheiding: ontwikkeling / staging / productie.
  4. Operationele en AI-auditlogs.
  5. Back-up, herstel en continue monitoring.
  6. Secretbeheer via een toegewezen secretmanager.

Huidige subverwerkers

PappAI maakt gebruik van de volgende subverwerkers om de Dienst te leveren. Elke vermelding geeft het primaire doel aan, het land van verwerking en de rechtsgrondslag voor eventuele gegevensoverdracht buiten de EU/EER. De lijst wordt actueel gehouden en elke materiële wijziging wordt vooraf gemeld aan de Verwerkingsverantwoordelijken.

AanbiederDoelLand van verwerkingGegevenscategorieënOverdracht / waarborgen
Google Cloud Platform (Google LLC)Cloudhosting (Cloud Run, Cloud SQL), objectopslag (GCS), logging en monitoring.EU regions (europe-west1) — corporate USAAlle gegevens van de Dienst: klinisch, account, facturering, operationele logs.EU SCC + DPA
Google Vertex AI (Google LLC)Generatieve AI-inferentie voor het opstellen van dieetplannen en ondersteuning bij klinische analyse.EU multi-region — corporate USAGepseudonimiseerde invoer die naar het model wordt gestuurd; geen persoonsgegevens; geen opt-in voor training.EU SCC + DPA · no training opt-in
Firebase (Google LLC)Authenticatie (identiteitstokens) en bezorging van pushmeldingen (FCM/APNs).USA — multi-regionGebruikersidentiteit (e-mail, telefoon), push-tokens van apparaten.EU SCC + DPA
Stripe Payments Europe LtdFacturering van abonnementen, facturatie, betalingsverwerking.Ireland (EU)Account- en factureringsgegevens, transactiegeschiedenis. Geen klinische gegevens.Intra-EU
Brevo (Sendinblue SAS)Bezorging van transactionele e-mail (account, factureringsmeldingen, professionele templates).France (EU)E-mailadres ontvanger, berichtinhoud, bezorgingsstatus.Intra-EU
Twilio Ireland LtdSMS-/WhatsApp-bezorging (legacy-kanaal).Ireland (EU) — corporate USATelefoonnummer ontvanger, berichtinhoud, bezorgingsmetadata.EU SCC + DPA
Meta Platforms Ireland LtdWhatsApp Business Cloud API voor patiëntcommunicatie via templates.Ireland (EU) — corporate USATelefoonnummer ontvanger, templatevariabelen, bezorgingsmetadata.EU SCC + DPA
Google Analytics 4 (Google LLC)Geaggregeerde gebruiksanalyse op de publieke site en de geauthenticeerde app.USA — corporateGepseudonimiseerde identifiers, paginaweergaven, interactie-events. Geen klinische gegevens.EU SCC + DPA · consent-gated
Microsoft Clarity (Microsoft Corporation)Geanonimiseerde UX-analyse (heatmaps, sessie-opnames).USA — corporateGepseudonimiseerde identifiers, interactie-events. Geen klinische gegevens; gevoelige velden gemaskeerd.EU SCC + DPA · consent-gated

Alle vermelde subverwerkers verwerken gegevens op basis van schriftelijke overeenkomsten met AVG-conforme waarborgen (verwerkersovereenkomsten, EU-modelcontractbepalingen waar van toepassing). Klinische patiëntgegevens worden nooit gebruikt door een subverwerker om AI-modellen te trainen, te finetunen of te evalueren.

Geplande bijlagen

  1. Bijlage A: verwerkingsdetail (art. 28(3) AVG).
  2. Bijlage B: huidige lijst van subverwerkers.
  3. Bijlage C: technische en organisatorische maatregelen (TOM's).

Wij waarderen uw privacy

Wij gebruiken cookies om uw ervaring te verbeteren, siteverkeer te analyseren en gepersonaliseerde functies mogelijk te maken. U kunt alle cookies accepteren, niet-essentiële cookies weigeren of uw voorkeuren beheren. Cookiebeleid