Verwerkersovereenkomst
Data Processing Agreement (DPA) conform AVG/GDPR
Versie 1.0 — Laatst bijgewerkt: 8 januari 2026
Snelle navigatie
Partijen
VERWERKINGSVERANTWOORDELIJKE:
De organisatie die een abonnement heeft afgesloten bij heliobuddy.studio (hierna: "Verantwoordelijke" of "Opdrachtgever")
VERWERKER:
HelioBuddy Studio, onderdeel van PitchmarQ
KvK: 66339502
(hierna: "Verwerker" of "HelioBuddy")
Artikel 1: Definities
- 1.1 AVG
- De Algemene Verordening Gegevensbescherming (EU) 2016/679.
- 1.2 Persoonsgegevens
- Alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
- 1.3 Bijzondere categorieën persoonsgegevens
- Gegevens over gezondheid, psychische gesteldheid en andere gegevens als bedoeld in artikel 9 AVG.
- 1.4 Verwerking
- Elke bewerking van persoonsgegevens, waaronder verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen.
- 1.5 Datalek
- Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
- 1.6 Diensten
- De door HelioBuddy aangeboden software-as-a-service (SaaS) diensten voor GGZ-professionals, waaronder intake-ondersteuning, werkboekgeneratie, behandelplannen en ROM-metingen.
Artikel 2: Onderwerp en duur
2.1 Deze verwerkersovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens die HelioBuddy in opdracht van de Verantwoordelijke uitvoert.
2.2 De duur van deze overeenkomst is gelijk aan de looptijd van het abonnement op de Diensten, tenzij schriftelijk anders overeengekomen.
2.3 Na beëindiging van de overeenkomst blijft deze van toepassing op alle persoonsgegevens die nog door HelioBuddy worden verwerkt of bewaard.
Artikel 3: Aard en doel van de verwerking
3.1 HelioBuddy verwerkt persoonsgegevens uitsluitend ten behoeve van de uitvoering van de Diensten, waaronder:
- Het verwerken en opslaan van intake-gegevens en transcripties
- Het genereren van AI-gestuurde samenvattingen en behandelplannen
- Het opslaan en verwerken van ROM-vragenlijsten en scores
- Het genereren van werkboeken en rapportages
- Het bijhouden van audit trails conform WGBO
- Het faciliteren van crisis-protocollen en veiligheidsplannen
3.2 HelioBuddy verwerkt geen persoonsgegevens voor eigen doeleinden of voor doeleinden van derden.
Artikel 4: Soorten persoonsgegevens
4.1 Categorieën betrokkenen:
- Cliënten van de Verantwoordelijke (patiënten/cliënten in de GGZ)
- Medewerkers van de Verantwoordelijke (behandelaars, therapeuten)
4.2 Soorten persoonsgegevens van cliënten:
- Identificatiegegevens: initialen, interne code, geboortedatum
- Gezondheidsgegevens: intake-informatie, klachten, diagnoses, behandelgeschiedenis
- ROM-scores en vragenlijstresultaten (PHQ-9, GAD-7, WHO-5, C-SSRS)
- Behandelplannen en voortgangsnotities
- Crisis- en veiligheidsplannen
- Audio-transcripties van sessies (indien van toepassing)
4.3 Soorten persoonsgegevens van medewerkers:
- Naam en e-mailadres
- Functie en rol binnen de organisatie
- Inloggegevens en sessie-informatie
Artikel 5: Verplichtingen van de Verwerker
5.1 HelioBuddy verplicht zich om:
- Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Verantwoordelijke
- De vertrouwelijkheid van de persoonsgegevens te waarborgen
- Passende technische en organisatorische beveiligingsmaatregelen te nemen
- Alleen sub-verwerkers in te schakelen met voorafgaande toestemming
- De Verantwoordelijke bij te staan bij het uitoefenen van rechten van betrokkenen
- Na beëindiging alle persoonsgegevens te wissen of terug te geven
- Medewerking te verlenen aan audits en inspecties
5.2 Alle medewerkers van HelioBuddy die toegang hebben tot persoonsgegevens zijn gebonden aan geheimhoudingsverplichtingen.
5.3 HelioBuddy informeert de Verantwoordelijke onverwijld indien een instructie naar zijn mening in strijd is met de AVG of andere wet- en regelgeving.
Artikel 6: Sub-verwerkers
6.1 De Verantwoordelijke geeft hierbij algemene toestemming voor het inschakelen van sub-verwerkers, mits HelioBuddy:
- Een actuele lijst van sub-verwerkers bijhoudt en beschikbaar stelt
- De Verantwoordelijke informeert over wijzigingen in sub-verwerkers
- Met elke sub-verwerker een overeenkomst sluit met gelijkwaardige verplichtingen
6.2 De Verantwoordelijke kan binnen 14 dagen na kennisgeving bezwaar maken tegen een nieuwe sub-verwerker.
Huidige sub-verwerkers:
| Naam | Dienst | Locatie |
|---|---|---|
| Supabase Inc. | Database & Authenticatie | EU (Frankfurt) |
| Anthropic PBC | AI-verwerking (Claude) | VS (SCC) |
| Deepgram Inc. | Spraak-naar-tekst | VS (SCC) |
| Vercel Inc. | Applicatie hosting | EU (Frankfurt) |
| Stripe Inc. | Betalingsverwerking | EU (Dublin) |
SCC = Standard Contractual Clauses (Standaard Contractuele Bepalingen)
Artikel 7: Beveiligingsmaatregelen
7.1 HelioBuddy neemt passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat past bij het risico, rekening houdend met:
- De stand van de techniek
- De uitvoeringskosten
- De aard, omvang, context en doeleinden van de verwerking
- De waarschijnlijkheid en ernst van risico's voor betrokkenen
7.2 Huidige beveiligingsmaatregelen omvatten:
Technische maatregelen
- ✓ TLS 1.3 encryptie in transit
- ✓ AES-256 encryptie at rest
- ✓ Row Level Security (RLS)
- ✓ Automatische back-ups (dagelijks)
- ✓ DDoS-bescherming
- ✓ Web Application Firewall
Organisatorische maatregelen
- ✓ Magic Link authenticatie
- ✓ Rol-gebaseerde toegang
- ✓ Audit logging (WGBO)
- ✓ Geheimhoudingsverklaringen
- ✓ Security awareness training
- ✓ Incident response procedures
Artikel 8: Datalekken
8.1 HelioBuddy meldt een datalek aan de Verantwoordelijke zonder onredelijke vertraging, en waar mogelijk binnen 24 uur na ontdekking.
8.2 De melding bevat ten minste:
- Een beschrijving van de aard van het datalek
- De categorieën en aantallen betrokkenen (voor zover bekend)
- De waarschijnlijke gevolgen
- De maatregelen die zijn of worden genomen
- Contactgegevens voor meer informatie
8.3 HelioBuddy documenteert alle datalekken, inclusief de feiten, de gevolgen en de genomen corrigerende maatregelen.
8.4 HelioBuddy verleent alle medewerking aan de Verantwoordelijke bij het melden van het datalek aan de Autoriteit Persoonsgegevens en/of betrokkenen.
Artikel 9: Rechten van betrokkenen
9.1 HelioBuddy ondersteunt de Verantwoordelijke bij het nakomen van verzoeken van betrokkenen, waaronder:
- Recht op inzage
- Recht op rectificatie
- Recht op verwijdering ("recht op vergetelheid")
- Recht op beperking van de verwerking
- Recht op dataportabiliteit
- Recht van bezwaar
9.2 Indien een betrokkene rechtstreeks een verzoek bij HelioBuddy indient, wordt dit verzoek onverwijld doorgestuurd naar de Verantwoordelijke.
9.3 De kosten voor bijstand bij complexe of omvangrijke verzoeken kunnen in rekening worden gebracht op basis van redelijke uurtarieven.
Artikel 10: Audit
10.1 HelioBuddy stelt alle informatie beschikbaar die nodig is om naleving van deze overeenkomst aan te tonen.
10.2 De Verantwoordelijke heeft het recht om audits en inspecties uit te (laten) voeren, mits:
- Dit minimaal 30 dagen van tevoren schriftelijk wordt aangekondigd
- De audit wordt uitgevoerd tijdens normale kantooruren
- De audit niet onnodig de bedrijfsvoering verstoort
- De auditor gebonden is aan geheimhouding
10.3 De kosten van de audit zijn voor rekening van de Verantwoordelijke, tenzij de audit tekortkomingen aan het licht brengt.
10.4 HelioBuddy kan in plaats van een fysieke audit certificeringen of rapporten van onafhankelijke auditors ter beschikking stellen.
Artikel 11: Beëindiging en gegevensverwijdering
11.1 Na beëindiging van de verwerkersovereenkomst zal HelioBuddy, naar keuze van de Verantwoordelijke:
- Alle persoonsgegevens exporteren in een gangbaar formaat (JSON/CSV), of
- Alle persoonsgegevens veilig verwijderen
11.2 De export of verwijdering vindt plaats binnen 30 dagen na beëindiging, tenzij wettelijke bewaarplichten anders voorschrijven.
11.3 HelioBuddy bevestigt schriftelijk dat alle persoonsgegevens zijn verwijderd, inclusief eventuele kopieën en back-ups (na de wettelijke bewaartermijn).
11.4 De WGBO-bewaartermijn van 20 jaar voor medische dossiers blijft van toepassing, tenzij de Verantwoordelijke schriftelijk anders instrueert.
Artikel 12: Aansprakelijkheid
12.1 HelioBuddy is aansprakelijk voor schade veroorzaakt door verwerking die in strijd is met de AVG of deze overeenkomst.
12.2 De aansprakelijkheid is beperkt tot directe schade en tot maximaal het bedrag van de door de Verantwoordelijke betaalde vergoedingen in de 12 maanden voorafgaand aan het schadeveroorzakende feit.
12.3 HelioBuddy is niet aansprakelijk voor schade die het gevolg is van handelen of nalaten van de Verantwoordelijke of door hem ingeschakelde derden.
Artikel 13: Overige bepalingen
13.1 Op deze overeenkomst is Nederlands recht van toepassing.
13.2 Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.
13.3 Wijzigingen in deze overeenkomst zijn alleen geldig indien schriftelijk overeengekomen, behoudens wijzigingen die voortvloeien uit gewijzigde wet- of regelgeving.
13.4 Deze verwerkersovereenkomst maakt integraal onderdeel uit van de Algemene Voorwaarden en Gebruiksvoorwaarden van HelioBuddy.
Contact voor privacy-gerelateerde vragen
E-mail: info@heliobuddy.studio
Functionaris Gegevensbescherming: Layla Darwiche (info@heliobuddy.studio)