Verwerkersovereenkomst
Laatst bijgewerkt: 25 juni 2026 · Versie 2.0
Deze verwerkersovereenkomst ("VOW") maakt onderdeel uit van de overeenkomst tussen Boomr B.V. (handelsnaam Boomer) en de Klant en regelt de verwerking van persoonsgegevens door Boomer in het kader van de levering van het Boomer-platform. Deze VOW is een overeenkomst als bedoeld in artikel 28 lid 3 AVG. In geval van tegenstrijdigheid tussen de Algemene Voorwaarden of de Servicevoorwaarden en deze VOW prevaleren de bepalingen van deze VOW voor onderwerpen inzake gegevensbescherming.
Artikel 1 – Definities
De in deze VOW gebruikte definities hebben dezelfde betekenis als in de Algemene Voorwaarden en de Servicevoorwaarden, dan wel de betekenis als bepaald in artikel 4 AVG. Voorts wordt verstaan onder:
- Verwerkingsverantwoordelijke: de Klant — de partij die het doel en de middelen van de verwerking bepaalt.
- Verwerker: Boomr B.V. (handelsnaam Boomer), gevestigd aan de Ruyschstraat 71-2, 1091 BX Amsterdam, KvK 90417526 — de partij die persoonsgegevens verwerkt in opdracht van de Verwerkingsverantwoordelijke.
- Betrokkenen: medewerkers, flexers, oproepkrachten en andere contactpersonen van de Klant wier persoonsgegevens via het Platform worden verwerkt.
- AVG: Algemene Verordening Gegevensbescherming (EU) 2016/679, inclusief de Uitvoeringswet AVG en overige toepasselijke wetgeving inzake bescherming van persoonsgegevens ("Privacyrecht").
- Platform: de Boomer-software voor WhatsApp-gebaseerde personeelscommunicatie, waaronder webapplicaties, mobiele applicaties, API's, backend-infrastructuur en gekoppelde systemen.
- Subverwerker: iedere derde partij die door Boomer wordt ingeschakeld voor het uitvoeren van (een deel van) de verwerking van persoonsgegevens.
- Datalek: een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 AVG.
- Interne AI-verwerking: AI-verwerking die uitsluitend plaatsvindt ten behoeve van de dienstverlening van Boomer en niet leidt tot gebruik van persoonsgegevens voor externe of zelfstandige doeleinden.
Artikel 2 – Onderwerp en aard van de verwerking
Boomer verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren, onderhouden, beveiligen, analyseren en verbeteren van het Platform aan de Klant. De verwerking omvat het opslaan, doorsturen en verwerken van berichten en contactgegevens via het WhatsApp Business Platform (Meta/Twilio).
Soort persoonsgegevens:
- naam van de Betrokkene;
- telefoonnummer (E.164-formaat);
- eventuele aanvullende gegevens die de Klant zelf aan het Platform toevoegt (bijv. functie, afdeling, locatie);
- inhoud van berichten en communicatiegeschiedenis;
- documenten en bijlagen, operationele gegevens (shift-, project- of planningsgegevens) en aangepaste velden met mogelijke persoonsgegevens.
Categorieën Betrokkenen: medewerkers, flexers en oproepkrachten van de Klant, alsmede opdrachtgevers, relaties en contactpersonen.
Bewaartermijn: actieve gegevens worden bewaard zolang de overeenkomst loopt. Na beëindiging van de overeenkomst verwijdert Boomer de persoonsgegevens binnen 30 dagen, tenzij een wettelijke bewaarplicht een langere termijn vereist.
Artikel 3 – Rolverdeling en instructies
De Klant is ten aanzien van de verwerkingen de Verwerkingsverantwoordelijke en Boomer de Verwerker. Boomer verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Klant of de door de Klant aangewezen contactpersonen, tenzij een wettelijke verplichting anders vereist. Instructies worden per e-mail of via het Platform doorgegeven.
De Klant garandeert dat opvolging van zijn instructies door Boomer niet leidt tot schending van Privacyrecht. Indien Boomer van mening is dat een instructie in strijd is met Privacyrecht, stelt zij de Klant daarvan onmiddellijk op de hoogte en heeft zij het recht de betreffende verwerking op te schorten in afwachting van duidelijkheid. Boomer verwerkt de persoonsgegevens binnen de Europese Economische Ruimte (EER); voor Subverwerkers buiten de EER gelden de waarborgen van artikel 9.
Artikel 4 – Verplichtingen van Boomer als Verwerker
Boomer:
- verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Klant, tenzij een wettelijke verplichting anders vereist;
- zorgt ervoor dat personen die bevoegd zijn de persoonsgegevens te verwerken een passende geheimhoudingsplicht naleven;
- neemt alle passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG;
- helpt de Klant bij het nakomen van diens verplichtingen jegens Betrokkenen (rechten van betrokkenen, meldplicht datalekken, DPIA's);
- stelt na beëindiging alle persoonsgegevens ter beschikking aan de Klant en verwijdert daarna alle kopieën, tenzij een wettelijke bewaarplicht dit verhindert;
- verstrekt de Klant alle informatie die nodig is om naleving van de verplichtingen uit artikel 28 AVG aan te tonen en staat audits of inspecties toe overeenkomstig artikel 7.
Artikel 5 – Beveiliging
Boomer treft passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, afgestemd op het risico en met inachtneming van de stand van de techniek. Deze maatregelen omvatten in ieder geval:
- transportencryptie: HTTPS/TLS voor alle data in transit;
- data-at-rest-encryptie: database-encryptie en geëncrypteerde file storage;
- access control: multi-tenant data-isolatie, op rollen gebaseerde autorisatie en automatische filtering van organisatiegegevens;
- authenticatie: gehashte wachtwoorden, beveiligde tokens en session management;
- monitoring: logboekregistratie van toegang, wijzigingen en beveiligingsincidenten;
- backup: regelmatige geëncrypteerde backups van de database;
- infrastructure security: beveiligde hosting met firewall en DDoS-bescherming;
- periodieke beveiligingsbeoordeling van systemen en Subverwerkers.
Boomer evalueert en verbetert deze maatregelen voor zover wettelijke eisen of technologische ontwikkelingen daartoe aanleiding geven, op voorwaarde dat het beschermingsniveau ten minste gelijkwaardig blijft. Om de veiligheid te waarborgen is Boomer beperkt in de technische details die zij kan prijsgeven.
Artikel 6 – Geheimhouding
Boomer verplicht eenieder die toegang heeft tot de persoonsgegevens (waaronder werknemers, externe medewerkers, vertegenwoordigers en Subverwerkers) tot strikte geheimhouding. Deze plicht geldt niet voor zover een wettelijke verplichting tot verstrekking bestaat. Ontvangt Boomer een wettelijk verzoek tot verstrekking, dan verifieert zij de grondslag en de identiteit van de verzoeker en informeert zij de Klant — voor zover wettelijk toegestaan — onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.
Artikel 7 – Informatie en audit
Op verzoek verstrekt Boomer de Klant de relevante rapportages en certificaten waaruit blijkt dat zij voldoet aan haar beveiligingsverplichtingen. Indien hieruit een (dreigende) schending blijkt, heeft de Klant het recht een audit te laten uitvoeren door een onafhankelijke, aan geheimhouding gebonden Register EDP/IT-auditor.
Indien Boomer jaarlijks een onafhankelijke audit laat uitvoeren, het rapport of certificaat (art. 28 lid 5 AVG) aan de Klant ter beschikking stelt en hieruit geen tekortkomingen blijken (dan wel Boomer gemotiveerd aangeeft welke maatregelen zij treft), ziet de Klant af van een eigen audit. Een gewenste audit wordt ten minste 30 dagen vooraf schriftelijk aangekondigd, wordt in goed overleg uitgevoerd met zo min mogelijk hinder voor de bedrijfsvoering van Boomer, en met inachtneming van de beveiligingsrichtlijnen en geheimhoudingsverplichtingen van Boomer. De kosten van de audit worden door de Klant gedragen. Alle in dit kader verstrekte informatie wordt door de Klant vertrouwelijk behandeld.
Artikel 8 – Sub-verwerkers
Boomer maakt gebruik van Subverwerkers voor de levering van het Platform; een actueel overzicht is opgenomen in Bijlage A. De toestemming voor de in Bijlage A genoemde Subverwerkers wordt geacht te zijn verleend bij ondertekening van deze VOW.
Voordat Boomer een Subverwerker toevoegt of vervangt, informeert zij de Klant over de identiteit, de aard van de verwerkingsactiviteiten en de beoogde aanvangsdatum. De Klant kan binnen 14 dagen schriftelijk bezwaar maken. Maakt de Klant geen bezwaar, dan wordt de toestemming geacht te zijn verleend; maakt de Klant wel bezwaar, dan heeft Boomer het recht de overeenkomst inclusief deze VOW te beëindigen per de beoogde aanvangsdatum van de nieuwe Subverwerker. Boomer legt elke Subverwerker contractueel verplichtingen op die ten minste gelijkwaardig zijn aan deze VOW. Voor Subverwerkers buiten de EER zijn de Standaardcontractbepalingen (SCC's) van de Europese Commissie van toepassing.
Artikel 9 – Internationale doorgifte
Wanneer persoonsgegevens worden doorgegeven aan landen buiten de Europese Economische Ruimte (EER), waarborgt Boomer een passend beschermingsniveau via de Standaardcontractbepalingen of een ander door de AVG erkend mechanisme.
Artikel 10 – Meldplicht datalekken
Boomer informeert de Klant zonder onredelijke vertraging — en in ieder geval uiterlijk binnen 72 uur na ontdekking — over een Datalek. De melding bevat, voor zover bekend bij Boomer, minimaal:
- een beschrijving van de aard van het Datalek, waar mogelijk met de categorieën en het geschatte aantal Betrokkenen en gegevens;
- de waarschijnlijke gevolgen van het Datalek;
- de genomen of voorgestelde maatregelen, waaronder maatregelen ter beperking van nadelige gevolgen.
Boomer ondersteunt de Klant waar mogelijk bij het voldoen aan de meldplicht conform artikelen 33 en 34 AVG. De Klant is verantwoordelijk voor het zelf melden aan de Autoriteit Persoonsgegevens en, indien vereist, aan Betrokkenen.
Artikel 11 – Rechten van Betrokkenen en bijstand
Wanneer een Betrokkene bij Boomer een verzoek indient om zijn of haar rechten onder de AVG uit te oefenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid of bezwaar), verwijst Boomer de Betrokkene door naar de Klant en stelt Boomer de Klant in staat het verzoek te behandelen. Boomer verleent de Klant redelijkerwijs bijstand bij verzoeken van Betrokkenen en bij verzoeken of onderzoeken van de Autoriteit Persoonsgegevens die betrekking hebben op de verwerkingen in het kader van de SaaS-dienst.
Standaardfunctionaliteit binnen het Platform maakt deel uit van de dienstverlening en wordt niet separaat in rekening gebracht; redelijke kosten van bijstand die buitengewone inspanningen of maatwerk vereist, draagt de Klant. De Klant informeert Boomer onmiddellijk en zo gedetailleerd mogelijk over klachten of vorderingen van Betrokkenen die gerelateerd zijn aan de SaaS-dienst.
Artikel 12 – AI-gestuurde verwerking
Het Platform maakt gebruik van AI-technologie voor geautomatiseerde verwerking en het genereren van suggesties ("AI-verwerking"), waaronder het genereren van automatische antwoorden, analyse van conversaties voor context-extractie, suggesties voor acties (zoals shift-toewijzingen en planning) en het routeren van berichten.
Deze AI-verwerking maakt standaard onderdeel uit van de SaaS-dienst (Interne AI-verwerking) en geldt niet als gebruik van persoonsgegevens voor externe of zelfstandige doeleinden. Bij AI-verwerking kunnen berichtinhoud en conversatiegeschiedenis technisch worden doorgegeven aan een AI-Subverwerker (waaronder Microsoft Azure / Azure OpenAI). Deze Subverwerkers zijn contractueel uitgesloten van het gebruik van persoonsgegevens voor eigen trainingsdoeleinden of andere zelfstandige doeleinden.
De Klant heeft volledige controle over het in- of uitschakelen van AI-functionaliteit per organisatie. Gebruik van persoonsgegevens van de Klant voor training, fine-tuning of verbetering van externe foundation AI-modellen die niet exclusief onder de controle van Boomer vallen, vindt uitsluitend plaats na expliciete, voorafgaande en schriftelijke toestemming van de Klant (opt-in). Het ontbreken van deze toestemming beperkt het gebruik van de kernfunctionaliteit niet. Boomer informeert de Klant proactief over materiële wijzigingen in AI-functionaliteit die gevolgen hebben voor de verwerking van persoonsgegevens. Voor alle AI-verwerking heeft Boomer met de betrokken Subverwerkers een verwerkersovereenkomst gesloten conform artikel 28 AVG.
Artikel 13 – Aansprakelijkheid
De aansprakelijkheid voor de verwerking van persoonsgegevens is geregeld in de Algemene Voorwaarden van Boomer. Boomer is niet aansprakelijk voor schade die voortvloeit uit: verwerkingsinstructies van de Klant die strijdig zijn met de AVG of overige privacywetgeving; gebruik van de SaaS-dienst in strijd met de instructies of documentatie; ongeautoriseerde toegang als gevolg van zwakke of gedeelde inloggegevens van de Klant; datalekken bij Subverwerkers waarmee Boomer een verwerkersovereenkomst heeft; of overmacht. De Klant is aansprakelijk voor naleving van het Privacyrecht ten aanzien van de via het Platform verwerkte persoonsgegevens en vrijwaart Boomer voor claims van derden die voortvloeien uit niet-naleving door de Klant.
Artikel 14 – Looptijd, beëindiging en data-exit
Deze VOW geldt voor de duur van de overeenkomst tussen Boomer en de Klant en zolang er persoonsgegevens worden verwerkt. Verplichtingen die naar hun aard voortduren, blijven na beëindiging in stand. Na beëindiging van de SaaS-dienst zal Boomer, naar keuze van de Klant:
- de persoonsgegevens binnen 30 dagen verwijderen, tenzij een langere opslag wettelijk verplicht is; of
- de persoonsgegevens aan de Klant overdragen in een gangbaar machineleesbaar formaat, indien de Klant dit ten minste 14 dagen vóór beëindiging schriftelijk aangeeft en de kosten daarvan draagt.
Na verwijdering of overdracht verwijdert Boomer alle kopieën uit haar systemen en backups, met uitzondering van: persoonsgegevens waarvan bewaring wettelijk verplicht is (bijvoorbeeld factuurgegevens, 7 jaar); geanonimiseerde statistische data zonder identificeerbare informatie; en data in gearchiveerde backups die binnen 90 dagen automatisch worden overschreven.
Artikel 15 – Toepasselijk recht en geschillen
Op deze VOW is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Amsterdam.
Contact
Vragen over de verwerking van persoonsgegevens kunnen worden gericht aan [email protected].
Overige vragen: [email protected].
Boomr B.V. (Boomer) — Ruyschstraat 71-2, 1091 BX Amsterdam — KvK 90417526 — www.heyboomer.nl
Bijlage A – Overzicht Subverwerkers
Boomer maakt voor de levering van het Platform gebruik van de onderstaande Subverwerkers. Met elke Subverwerker is een verwerkersovereenkomst conform artikel 28 AVG gesloten. Voor Subverwerkers buiten de EER zijn Standaardcontractbepalingen (SCC's) en/of het EU-US Data Privacy Framework van toepassing. De Klant wordt minimaal 14 dagen vooraf geïnformeerd bij toevoeging of vervanging. Een actueel overzicht kan te allen tijde worden opgevraagd via [email protected].
- Twilio Inc. — Rol: WhatsApp Business API & messaging. Doel: verzenden en ontvangen van WhatsApp- en SMS-berichten. Locatie / waarborg: VS — DPF / SCC's.
- Twilio SendGrid — Rol: e-mailservice. Doel: transactionele e-mails (wachtwoordreset, uitnodigingen, notificaties). Locatie / waarborg: VS — DPF / SCC's.
- Supabase Inc. (AWS eu-central-1) — Rol: databasehosting & realtime. Doel: database, file storage en realtime-communicatie. Locatie / waarborg: Duitsland (EU) — binnen EER.
- Microsoft Azure (Azure OpenAI) — Rol: AI-verwerking. Doel: automatische berichtverwerking, conversatie-analyse, suggesties. Locatie / waarborg: Europa (EU) — SCC's voor zover buiten EER.
- Mollie B.V. — Rol: betaalverwerking. Doel: verwerking van betalingen en Credits (beperkte klantdata). Locatie / waarborg: Nederland — binnen EER.
- Google LLC (Firebase) — Rol: push notificaties. Doel: push notificaties naar mobiele apps; device tokens en notificatie-inhoud. Locatie / waarborg: adequaatheidsbesluit / EU Model Clauses.
- PostHog EU Cloud — Rol: product analytics. Doel: anonieme gebruiksstatistieken en platformmonitoring. Locatie / waarborg: EU — binnen EER, GDPR-compliant.