Verwerkersovereenkomst

Partijen

1. Definities

• AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679.
• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 AVG.
• Verwerking: elke bewerking van persoonsgegevens, zoals bedoeld in artikel 4 AVG.
• Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben, in de meeste gevallen de Gebruiker zelf.
• Dienst: de online CV bouwer aangeboden via sollicio.nl, inclusief AI schrijfassistent, ATS checker en PDF export.
• Subverwerker: een derde partij die door Sollicio wordt ingeschakeld voor de verwerking van persoonsgegevens in het kader van de Dienst.

2. Onderwerp, aard en duur van de verwerking

• Sollicio verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van de Dienst aan de Gebruiker.
• De verwerking omvat: opslaan van CV inhoud, genereren van PDF exports, verwerking door de AI schrijfassistent en ATS checker, en verzenden van transactionele e-mails.
• De categorieën persoonsgegevens die worden verwerkt zijn: naam, e-mailadres, telefoonnummer, adres, geboortedatum, werkervaring, opleiding, vaardigheden, talen en (optioneel) een profielfoto.
• De betrokkenen zijn de Gebruikers van Sollicio en, voor zover van toepassing, de personen van wie de Gebruiker gegevens invoert in de CV editor.
• De VWO geldt voor de duur van het abonnement of account en eindigt automatisch bij beëindiging daarvan.

3. Verplichtingen van Sollicio als Verwerker

Sollicio verplicht zich tot het volgende:

• Persoonsgegevens uitsluitend te verwerken op basis van gedocumenteerde instructies van de Gebruiker, tenzij een wettelijke verplichting anders vereist.
• Persoonsgegevens niet te gebruiken voor eigen commerciële doeleinden of profilering. De AI schrijfassistent maakt gebruik van de Anthropic API. Anthropic gebruikt data die via de commerciële API wordt verstuurd niet voor het trainen van modellen, conform het privacybeleid van Anthropic (sectie “How we use your information”, commercial API).
• Medewerkers en ingehuurde krachten die toegang hebben tot persoonsgegevens te binden aan geheimhouding.
• Passende technische en organisatorische maatregelen te treffen zoals beschreven in artikel 6 van deze VWO.
• De Gebruiker te informeren indien een instructie naar de mening van Sollicio in strijd is met de AVG.
• De Gebruiker te ondersteunen bij het nakomen van verplichtingen jegens betrokkenen (inzage, correctie, verwijdering) en toezichthoudende autoriteiten.
• Na beëindiging van de dienstverlening alle persoonsgegevens te verwijderen of terug te geven conform artikel 10 van deze VWO.
• Alle informatie beschikbaar te stellen die nodig is om aan te tonen dat aan de verplichtingen uit artikel 28 AVG is voldaan.

4. Instructies van de Gebruiker

• De Gebruiker geeft instructies aan Sollicio door gebruik te maken van de Dienst, waaronder het invoeren, bewerken en verwijderen van gegevens in de CV editor.
• De Gebruiker is verantwoordelijk voor de juistheid en rechtmatigheid van de persoonsgegevens die hij of zij invoert in de Dienst.
• Aanvullende instructies kunnen worden gegeven via contact@sollicio.nl.

5. Vertrouwelijkheid

Sollicio zorgt ervoor dat personen die gemachtigd zijn persoonsgegevens te verwerken, zijn gebonden aan vertrouwelijkheidsverplichtingen. Sollicio verstrekt persoonsgegevens niet aan derden, tenzij dit noodzakelijk is voor de uitvoering van de Dienst via een Subverwerker als bedoeld in artikel 7, of tenzij een wettelijke verplichting dit vereist.

6. Technische en organisatorische maatregelen

Sollicio treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. De concrete maatregelen (“TOMs”) zijn beschreven op de UWV Compliance pagina en omvatten onder meer:

• Versleuteling van data in transit (TLS 1.2+, afgedwongen door Vercel) en in rust (AES-256, afgedwongen door Supabase)
• Toegangsbeveiliging op rijniveau via Supabase Row Level Security (RLS): elke gebruiker kan uitsluitend zijn of haar eigen gegevens inzien en bewerken
• Toegang tot productiesystemen is beperkt tot de eigenaar van Kynovia via platformbeveiliging (Supabase Dashboard, Vercel Dashboard, GitHub) met unieke inloggegevens per platform
• Automatische beveiligingsupdates van platformafhankelijkheden via Vercel en Supabase
• Gescheiden omgevingen voor productie en ontwikkeling met afzonderlijke API sleutels en databases
• Serverside verwerking van alle gevoelige data: API sleutels en gebruikersdata worden nooit in de browser blootgesteld

7. Subverwerkers

Sollicio maakt gebruik van de volgende Subverwerkers. Door gebruik te maken van de Dienst geeft de Gebruiker algemene toestemming voor inschakeling van deze Subverwerkers. Sollicio sluit met elke Subverwerker een verwerkersovereenkomst die minimaal gelijkwaardige verplichtingen oplegt als deze VWO.

Sollicio informeert de Gebruiker bij toevoeging of wijziging van Subverwerkers via de privacyverklaring of per e-mail, met een vooraankondiging van minimaal 14 dagen.

8. Rechten van betrokkenen

Sollicio ondersteunt de Gebruiker bij het nakomen van verzoeken van betrokkenen op grond van de AVG, waaronder het recht op inzage (art. 15), rectificatie (art. 16), verwijdering (art. 17), beperking (art. 18) en overdraagbaarheid (art. 20). Verzoeken kunnen worden ingediend via contact@sollicio.nl. Sollicio reageert binnen 5 werkdagen.

9. Datalekken

• Sollicio informeert de Gebruiker onverwijld na ontdekking van een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde openbaarmaking van persoonsgegevens. Sollicio streeft ernaar dit te doen binnen 72 uur na ontdekking, zodat de Gebruiker tijdig kan voldoen aan zijn eigen meldplicht bij de Autoriteit Persoonsgegevens (art. 33 AVG).
• De melding bevat, voor zover beschikbaar: de aard van de inbreuk, de betrokken categorieën en aantallen van betrokkenen en persoonsgegevensregistraties, de waarschijnlijke gevolgen en de maatregelen die zijn of worden getroffen.
• De Gebruiker is zelf verantwoordelijk voor tijdige melding bij de Autoriteit Persoonsgegevens indien dit wettelijk verplicht is (binnen 72 uur na ontdekking, art. 33 AVG).

10. Doorgifte buiten de Europese Economische Ruimte

Doorgifte van persoonsgegevens naar landen buiten de EER vindt uitsluitend plaats op basis van de Standaardcontractbepalingen (SCC) van de Europese Commissie, zoals vastgesteld bij Besluit 2021/914. De actuele SCC-links per Subverwerker zijn opgenomen in artikel 7 van deze VWO. Sollicio slaat geen persoonsgegevens op buiten de EER, tenzij dit via een van de genoemde Subverwerkers gebeurt op basis van de hiervoor genoemde grondslag.

11. Teruggave en verwijdering van gegevens

• De Gebruiker kan zijn of haar account en alle bijbehorende persoonsgegevens op elk moment zelf verwijderen via de accountinstellingen.
• Na verwijdering van een account worden alle persoonsgegevens onmiddellijk en permanent verwijderd uit de systemen van Sollicio via automatische cascade-verwijdering. Residuele kopieën in back-ups van Subverwerkers worden verwijderd binnen de retentietermijnen van die Subverwerkers, doorgaans binnen 30 dagen, met uitzondering van gegevens die Sollicio op grond van een wettelijke bewaarplicht dient te bewaren.
• Op verzoek kan Sollicio de persoonsgegevens in een machineleesbaar formaat aanleveren voorafgaand aan verwijdering. Stuur hiervoor een e-mail naar contact@sollicio.nl.

12. Aansprakelijkheid

De aansprakelijkheid van Sollicio als Verwerker is beperkt conform artikel 82 AVG. Sollicio is uitsluitend aansprakelijk voor schade die het rechtstreekse gevolg is van niet-nakoming van de specifiek op Verwerkers gerichte verplichtingen uit de AVG, of van handelen in strijd met de rechtmatige instructies van de Gebruiker. Sollicio is niet aansprakelijk voor schade die het gevolg is van onjuiste instructies of onrechtmatige invoer van gegevens door de Gebruiker.

13. Toepasselijk recht en bevoegde rechter

Op deze VWO is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter van de Rechtbank Rotterdam.

14. Wijzigingen

Sollicio kan deze VWO wijzigen. Bij wezenlijke wijzigingen worden actieve Gebruikers per e-mail geïnformeerd met een vooraankondiging van minimaal 14 dagen voordat de wijziging ingaat. Voortgezet gebruik van de Dienst na de ingangsdatum geldt als acceptatie van de gewijzigde VWO.

15. Contact

Voor vragen over deze verwerkersovereenkomst of over de verwerking van persoonsgegevens kun je contact opnemen via contact@sollicio.nl.