Verwerkersovereenkomst

Versie 1.0 — 26 maart 2026

Over deze overeenkomst Deze Verwerkersovereenkomst (Data Processing Agreement) maakt integraal onderdeel uit van de overeenkomst tussen Ring AI (Verwerker) en de Klant (Verwerkingsverantwoordelijke). Door gebruik te maken van Ring AI stemt de Klant in met deze Verwerkersovereenkomst.

Artikel 1 — Partijen

  1. Verwerkingsverantwoordelijke (hierna: "Verantwoordelijke"): de Klant die een Ring AI-account heeft en de AI-telefonist inzet voor het beantwoorden van telefoongesprekken namens het eigen bedrijf.
  2. Verwerker: Woon IoT BV (statutair: Viertron Install B.V.), gevestigd te Achterzeedijk 57-40, 2992SB Barendrecht, KvK 76066843, BTW NL860495577B01 (hierna: "Ring AI" of "Verwerker").

Artikel 2 — Definities

In deze Verwerkersovereenkomst wordt verstaan onder:

  • Persoonsgegevens: alle informatie over een geidentificeerde of identificeerbare natuurlijke persoon, in de zin van artikel 4 lid 1 AVG.
  • Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, in de zin van artikel 4 lid 2 AVG.
  • AVG: de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679).
  • Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
  • Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
  • Sub-verwerker: een derde partij die door de Verwerker wordt ingeschakeld om (een deel van) de verwerking uit te voeren.

Artikel 3 — Onderwerp en duur

  1. Deze Verwerkersovereenkomst heeft betrekking op de verwerking van persoonsgegevens die Verwerker uitvoert in het kader van de Ring AI-dienst, namelijk het beantwoorden van inkomende telefoongesprekken namens de Verantwoordelijke met behulp van kunstmatige intelligentie.
  2. Deze Verwerkersovereenkomst treedt in werking op het moment dat de Verantwoordelijke een Ring AI-account aanmaakt en blijft van kracht zolang Verwerker persoonsgegevens verwerkt in het kader van de dienstverlening.
  3. Na beeindging van de dienstverlening blijft deze overeenkomst van kracht tot alle persoonsgegevens zijn verwijderd of teruggegeven conform Artikel 12.

Artikel 4 — Aard en doel van de verwerking

Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de volgende doeleinden:

  1. Het ontvangen en beantwoorden van inkomende telefoongesprekken namens de Verantwoordelijke via AI-spraaktechnologie.
  2. Het genereren van transcripties en samenvattingen van gevoerde gesprekken.
  3. Het verzenden van gespreksnotificaties en samenvattingen per email aan de Verantwoordelijke.
  4. Het opslaan en beschikbaar stellen van gesprekgegevens via het Ring AI-dashboard.

Verwerker verwerkt de persoonsgegevens niet voor eigen doeleinden en uitsluitend op basis van schriftelijke instructies van de Verantwoordelijke, tenzij Verwerker hiertoe wettelijk verplicht is.

Artikel 5 — Soort persoonsgegevens

De volgende categorieen persoonsgegevens worden verwerkt:

Categorie Gegevens
Identificatiegegevens beller Telefoonnummer (via nummerherkenning), eventueel door beller opgegeven naam
Gespreksinhoud Door AI gegenereerde transcriptie van het gesprek, samenvatting van het gesprek
Gespreksmetadata Datum en tijdstip van het gesprek, gespreksduur
Contactgegevens beller Eventueel door de beller opgegeven emailadres of terugbelnummer
Bijzondere persoonsgegevens Ring AI is niet bedoeld voor de verwerking van bijzondere categorieen persoonsgegevens (zoals gezondheidsgegevens, religie of politieke voorkeur). De Verantwoordelijke dient ervoor te zorgen dat de AI-telefonist niet wordt ingezet op een wijze die leidt tot structurele verwerking van bijzondere persoonsgegevens. Indien bellers dergelijke gegevens spontaan delen in een gesprek, worden deze opgenomen in de transcriptie. De Verantwoordelijke is verantwoordelijk voor het passend omgaan met dergelijke gegevens.

Artikel 6 — Categorieen betrokkenen

De persoonsgegevens hebben betrekking op de volgende categorieen betrokkenen:

  • Bellers: natuurlijke personen die het telefoonnummer van de Verantwoordelijke bellen en door de Ring AI-telefonist worden beantwoord. Dit betreft (potentiele) klanten, leveranciers, partners en overige contactpersonen van de Verantwoordelijke.

Artikel 7 — Verplichtingen van de Verwerker

De Verwerker verplicht zich om:

  1. Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Verantwoordelijke, inclusief met betrekking tot doorgifte van persoonsgegevens aan een derde land, tenzij de Verwerker hiertoe wettelijk verplicht is. In dat geval stelt de Verwerker de Verantwoordelijke voorafgaand aan de verwerking in kennis, tenzij dit wettelijk verboden is.
  2. Te waarborgen dat personen die bevoegd zijn persoonsgegevens te verwerken, zich hebben verbonden aan geheimhouding of onder een passende wettelijke geheimhoudingsplicht vallen.
  3. Alle vereiste beveiligingsmaatregelen te nemen als bedoeld in Artikel 9 van deze overeenkomst.
  4. De Verantwoordelijke bij te staan bij het nakomen van diens verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG (beveiliging, meldplicht datalekken, gegevensbeschermingseffectbeoordeling, voorafgaande raadpleging).
  5. De Verantwoordelijke bij te staan bij het beantwoorden van verzoeken van betrokkenen tot uitoefening van hun rechten (inzage, rectificatie, verwijdering, beperking, dataportabiliteit, bezwaar).
  6. Na afloop van de verwerkingsdiensten, naar keuze van de Verantwoordelijke, alle persoonsgegevens te wissen of terug te geven, en bestaande kopieen te verwijderen, tenzij opslag wettelijk verplicht is.
  7. De Verantwoordelijke alle informatie ter beschikking te stellen die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen, en audits en inspecties mogelijk te maken als bedoeld in Artikel 11.

Artikel 8 — Sub-verwerkers

  1. De Verantwoordelijke verleent hierbij algemene schriftelijke toestemming aan de Verwerker om sub-verwerkers in te schakelen voor de uitvoering van de verwerking.
  2. De Verwerker maakt op het moment van inwerkingtreding van deze overeenkomst gebruik van de volgende sub-verwerkers:
Sub-verwerker Vestiging Verwerkingsactiviteit Waarborgen
OpenAI, LLC Verenigde Staten AI-spraakverwerking: omzetten van spraak naar tekst, genereren van antwoorden, transcripties en samenvattingen Standard Contractual Clauses (SCC's); data wordt niet gebruikt voor modeltraining (API-voorwaarden)
Voys (VoIPGRID B.V.) Nederland SIP-telefonie: routering van inkomende gesprekken, nummerherkenning Verwerking binnen EU/EER
Cloudflare, Inc. Verenigde Staten CDN, SSL-terminatie, DDoS-bescherming voor het webplatform Standard Contractual Clauses (SCC's); EU-US Data Privacy Framework
Migadu (Migadu GmbH) Zwitserland Verzenden van notificatie-emails met gesprekssamenvattingen Adequaatheidsbesluit Zwitserland
Hetzner Online GmbH Duitsland Serverhosting en gegevensopslag Verwerking binnen EU/EER
  1. De Verwerker informeert de Verantwoordelijke minimaal 14 dagen vooraf over voorgenomen wijzigingen inzake de toevoeging of vervanging van sub-verwerkers. De Verantwoordelijke kan binnen deze termijn bezwaar maken. Indien het bezwaar gegrond is en partijen niet tot een oplossing komen, heeft de Verantwoordelijke het recht de overeenkomst op te zeggen.
  2. De Verwerker legt aan elke sub-verwerker, bij overeenkomst, dezelfde verplichtingen inzake gegevensbescherming op als in deze Verwerkersovereenkomst zijn opgenomen. De Verwerker blijft volledig aansprakelijk jegens de Verantwoordelijke voor de nakoming door de sub-verwerker.

Artikel 9 — Beveiliging

  1. De Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, omvang, context en doeleinden van de verwerking, alsmede de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van betrokkenen.
  2. De Verwerker heeft in ieder geval de volgende maatregelen getroffen:
    • Versleuteling van gegevens in transit (TLS/SSL) en in rust
    • Wachtwoorden worden gehashed opgeslagen (bcrypt)
    • Toegangscontrole op basis van rollen en het principe van minimale rechten
    • Hosting op beveiligde servers in de EU (Hetzner, Duitsland)
    • DDoS-bescherming via Cloudflare
    • Regelmatige beveiligingsupdates en patches
    • Authenticatie via JWT-tokens met beperkte geldigheidsduur
    • Logboekregistratie van toegang tot systemen
    • Automatische verwijdering van gesprekdata na 90 dagen
  3. De Verwerker evalueert regelmatig de doeltreffendheid van de beveiligingsmaatregelen en past deze zo nodig aan.

Artikel 10 — Meldplicht datalekken

  1. De Verwerker stelt de Verantwoordelijke zonder onredelijke vertraging, en in ieder geval binnen 48 uur na ontdekking, op de hoogte van een Datalek dat betrekking heeft op de persoonsgegevens die in het kader van deze overeenkomst worden verwerkt.
  2. De melding bevat ten minste:
    • een beschrijving van de aard van het Datalek, waar mogelijk met vermelding van de categorieen en het geschatte aantal betrokkenen en persoonsgegevensregisters;
    • de naam en contactgegevens van het contactpunt bij de Verwerker;
    • een beschrijving van de waarschijnlijke gevolgen van het Datalek;
    • een beschrijving van de maatregelen die zijn genomen of worden voorgesteld om het Datalek aan te pakken, waaronder maatregelen om de nadelige gevolgen te beperken.
  3. De Verwerker werkt volledig mee met de Verantwoordelijke bij het onderzoeken, beperken en herstellen van het Datalek.
  4. De Verwerker documenteert alle Datalekken, inclusief de feiten, de gevolgen en de genomen corrigerende maatregelen.

Artikel 11 — Audits en inspecties

  1. De Verwerker stelt de Verantwoordelijke in staat audits uit te voeren, of te laten uitvoeren door een onafhankelijke derde, om de naleving van deze Verwerkersovereenkomst te verifieren.
  2. De Verantwoordelijke stelt de Verwerker minimaal 30 dagen vooraf schriftelijk in kennis van een voorgenomen audit.
  3. De audit vindt plaats tijdens reguliere kantooruren en mag de bedrijfsactiviteiten van de Verwerker niet onredelijk verstoren.
  4. De kosten van de audit komen voor rekening van de Verantwoordelijke, tenzij uit de audit blijkt dat de Verwerker deze Verwerkersovereenkomst niet naleeft.
  5. De Verwerker kan ervoor kiezen een samenvatting van een onafhankelijk beveiligingsauditrapport ter beschikking te stellen in plaats van een audit ter plaatse, mits dit rapport voldoende inzicht biedt in de naleving.

Artikel 12 — Teruggave en verwijdering van gegevens

  1. Na beeindging van de dienstverlening zal de Verwerker, naar keuze van de Verantwoordelijke:
    • alle persoonsgegevens teruggeven aan de Verantwoordelijke in een gestructureerd, gangbaar en machineleesbaar formaat (JSON of CSV); of
    • alle persoonsgegevens wissen en bestaande kopieen verwijderen.
  2. De Verantwoordelijke dient deze keuze binnen 30 dagen na beeindging schriftelijk kenbaar te maken. Indien de Verantwoordelijke geen keuze maakt, worden alle persoonsgegevens verwijderd.
  3. Verwijdering geschiedt conform de bewaartermijnen uit de Privacyverklaring:
    • Gesprekgegevens: verwijderd na 90 dagen
    • Accountgegevens: verwijderd 30 dagen na definitieve opzegging
  4. Gegevens die op grond van wettelijke bewaarplichten (bijv. fiscaal) moeten worden bewaard, worden na afloop van de wettelijke termijn alsnog verwijderd.
  5. De Verwerker bevestigt de verwijdering schriftelijk op verzoek van de Verantwoordelijke.

Artikel 13 — Doorgifte naar derde landen

  1. De Verwerker verwerkt persoonsgegevens primair binnen de EU/EER (servers in Duitsland).
  2. Voor zover persoonsgegevens worden doorgegeven aan sub-verwerkers buiten de EU/EER, zorgt de Verwerker ervoor dat passende waarborgen zijn getroffen conform Hoofdstuk V AVG, waaronder:
    • Standard Contractual Clauses (SCC's) goedgekeurd door de Europese Commissie;
    • het EU-US Data Privacy Framework, waar van toepassing; of
    • een adequaatheidsbesluit van de Europese Commissie.
  3. De Verantwoordelijke kan op verzoek een kopie ontvangen van de toepasselijke waarborgen.

Artikel 14 — Aansprakelijkheid

  1. De aansprakelijkheid van de Verwerker onder deze Verwerkersovereenkomst is beperkt overeenkomstig de bepalingen in de Algemene Voorwaarden van Ring AI.
  2. Iedere partij is aansprakelijk voor schade veroorzaakt door een verwerking die inbreuk maakt op de AVG, conform artikel 82 AVG.

Artikel 15 — Toepasselijk recht en geschillen

  1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
  2. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Rotterdam.

Contactgegevens Verwerker

Woon IoT BV (statutair: Viertron Install B.V.)
Achterzeedijk 57-40
2992SB Barendrecht
KvK: 76066843
BTW: NL860495577B01
Email: info@ringai.nl
Telefoon: 085 - 489 50 75
Website: ringai.nl