Verwerkersovereenkomst
Data Processing Agreement (DPA) — Laatst bijgewerkt: 9 februari 2026
Deze Verwerkersovereenkomst ("Overeenkomst") maakt integraal deel uit van de Algemene Voorwaarden van Sessieklap en is van toepassing op de verwerking van persoonsgegevens door Sessieklap namens de Verwerkingsverantwoordelijke. Deze Overeenkomst is opgesteld conform de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG/GDPR").
Verwerkingsverantwoordelijke ("Verantwoordelijke"): De gebruiker van Sessieklap (de therapeut, zorgverlener of professional die een account aanmaakt)
Verwerker: Sessieklap, gevestigd in België
Contact: info@sessieklap.com
Artikel 1 — Definities
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG
- Bijzondere categorieën van persoonsgegevens: gegevens over gezondheid en gegevens betreffende het psychisch welzijn van betrokkenen, zoals bedoeld in artikel 9 AVG
- Verwerking: elke bewerking van persoonsgegevens, waaronder het verzamelen, vastleggen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, wissen of vernietigen van gegevens
- Betrokkene: de natuurlijke persoon wiens persoonsgegevens worden verwerkt (de cliënten/patiënten van de Verantwoordelijke)
- Subverwerker: een derde partij die door de Verwerker wordt ingeschakeld voor het verwerken van persoonsgegevens
Artikel 2 — Voorwerp en duur
Deze Overeenkomst heeft betrekking op de verwerking van persoonsgegevens die de Verantwoordelijke aan Sessieklap toevertrouwt in het kader van het gebruik van de Dienst. De Overeenkomst is van kracht zolang de Verantwoordelijke een actief account heeft bij Sessieklap.
Artikel 3 — Aard en doel van de verwerking
De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van de Dienst aan de Verantwoordelijke, te weten:
- Het opslaan van audio-opnames van therapie- en behandelsessies
- Het omzetten van audio-opnames naar tekst (transcriptie)
- Het genereren van sessieverslagen met behulp van kunstmatige intelligentie
- Het opslaan en beschikbaar stellen van transcripties en verslagen aan de Verantwoordelijke
- Het beheren van het gebruikersaccount van de Verantwoordelijke
Artikel 4 — Soorten persoonsgegevens
De volgende categorieën persoonsgegevens worden verwerkt:
| Categorie | Gegevens | Bijzonder |
|---|---|---|
| Accountgegevens Verantwoordelijke | Naam, e-mailadres, praktijknaam, telefoonnummer | Nee |
| Sessiegegevens | Audio-opnames van sessies, transcripties, AI-verslagen, naam cliënt, sessiedatum, sessie-type | Ja (gezondheidsgegevens, art. 9 AVG) |
| Stijlvoorbeelden | Voorbeeldverslagen aangeleverd door de Verantwoordelijke | Mogelijk (afhankelijk van inhoud) |
Belangrijk: Sessieklap verwerkt bijzondere categorieën van persoonsgegevens (gezondheidsgegevens) in de zin van artikel 9 AVG. De Verantwoordelijke dient er zelf voor te zorgen dat een geldige verwerkingsgrondslag bestaat (bijvoorbeeld uitdrukkelijke toestemming of noodzaak voor gezondheidszorg, art. 9 lid 2 sub a of h AVG).
Artikel 5 — Verplichtingen van de Verwerker
Sessieklap verbindt zich ertoe:
- Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Verantwoordelijke, tenzij de Verwerker hiertoe verplicht is op grond van toepasselijk recht (art. 28 lid 3 sub a AVG)
- Te waarborgen dat personen die bevoegd zijn om persoonsgegevens te verwerken, zich tot geheimhouding hebben verbonden of een passende wettelijke geheimhoudingsplicht hebben (art. 28 lid 3 sub b AVG)
- Alle vereiste technische en organisatorische maatregelen te treffen om een passend beveiligingsniveau te garanderen (art. 32 AVG), waaronder:
- Versleuteling van gegevens bij opslag (encryption at rest)
- Versleuteling van gegevens bij overdracht (TLS/SSL)
- Versleutelde opslag van wachtwoorden (bcrypt hashing met salt)
- Toegangscontrole op basis van authenticatie (JWT-tokens)
- Regelmatige evaluatie van beveiligingsmaatregelen
- Geen subverwerkers in te schakelen zonder voorafgaande schriftelijke toestemming van de Verantwoordelijke (zie Artikel 7)
- De Verantwoordelijke bij te staan bij het nakomen van verzoeken van betrokkenen (recht op inzage, rectificatie, verwijdering, overdraagbaarheid, beperking en bezwaar — art. 15-22 AVG)
- De Verantwoordelijke bij te staan bij het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA) en voorafgaande raadpleging van de toezichthoudende autoriteit, indien nodig (art. 35-36 AVG)
- Na beëindiging van de Overeenkomst alle persoonsgegevens te wissen of terug te geven naar keuze van de Verantwoordelijke, en bestaande kopieën te verwijderen (art. 28 lid 3 sub g AVG). Standaard worden alle gegevens binnen 30 dagen na accountverwijdering definitief gewist
- Alle informatie beschikbaar te stellen die nodig is om de naleving van de verplichtingen uit dit artikel aan te tonen, en audits en inspecties toe te staan (art. 28 lid 3 sub h AVG)
Artikel 6 — Meldplicht datalekken
In geval van een inbreuk in verband met persoonsgegevens (datalek) zal de Verwerker:
- De Verantwoordelijke zonder onredelijke vertraging en uiterlijk binnen 48 uur na ontdekking op de hoogte stellen
- De volgende informatie verstrekken:
- De aard van het datalek, inclusief de categorieën en het geschatte aantal getroffen betrokkenen
- De waarschijnlijke gevolgen van het datalek
- De maatregelen die zijn genomen of worden voorgesteld om het datalek te verhelpen
- Medewerking verlenen aan de Verantwoordelijke bij de melding aan de Gegevensbeschermingsautoriteit (indien vereist, art. 33 AVG) en aan betrokkenen (indien vereist, art. 34 AVG)
Artikel 7 — Subverwerkers
De Verantwoordelijke geeft hierbij algemene schriftelijke toestemming voor het inschakelen van subverwerkers, mits de Verwerker:
- De Verantwoordelijke vooraf informeert over voorgenomen wijzigingen in de lijst van subverwerkers
- De Verantwoordelijke de mogelijkheid biedt om binnen 14 dagen bezwaar te maken
- Met elke subverwerker een overeenkomst sluit die ten minste dezelfde verplichtingen oplegt als deze Overeenkomst
De huidige subverwerkers zijn:
| Subverwerker | Dienst | Locatie | Verwerking |
|---|---|---|---|
| Groq, Inc. | Audio transcriptie (Whisper) | Verenigde Staten | Audio-opnames worden verzonden voor omzetting naar tekst. Groq slaat geen gegevens op na verwerking. |
| Anthropic, PBC | AI verslaggeneratie (Claude) | Verenigde Staten | Transcriptietekst wordt verzonden voor het genereren van verslagen. Anthropic gebruikt deze gegevens niet voor training van modellen. |
| UpCloud Ltd | Serverhosting | Nederland (Amsterdam) | Alle applicatiegegevens worden opgeslagen op servers in de EU. |
Doorgifte buiten de EU/EER: Groq en Anthropic zijn gevestigd in de Verenigde Staten. De doorgifte van persoonsgegevens naar deze partijen vindt plaats op basis van de standaardcontractbepalingen (SCC's) van de Europese Commissie en/of het EU-VS Data Privacy Framework, voor zover van toepassing. De Verwerker zal aanvullende waarborgen treffen indien de omstandigheden dat vereisen.
Artikel 8 — Rechten van betrokkenen
De Verantwoordelijke is als verwerkingsverantwoordelijke verantwoordelijk voor het afhandelen van verzoeken van betrokkenen. De Verwerker ondersteunt de Verantwoordelijke hierbij door:
- Data-export functionaliteit — de Verantwoordelijke kan via de applicatie alle gegevens van een cliënt exporteren (recht op overdraagbaarheid)
- Verwijderfunctionaliteit — de Verantwoordelijke kan sessies en cliëntgegevens verwijderen via de applicatie (recht op verwijdering)
- Accountverwijdering — de Verantwoordelijke kan het volledige account met alle bijbehorende gegevens verwijderen
Indien de Verwerker rechtstreeks een verzoek ontvangt van een betrokkene, zal de Verwerker de betrokkene doorverwijzen naar de Verantwoordelijke en de Verantwoordelijke hiervan onverwijld op de hoogte stellen.
Artikel 9 — Verantwoordelijkheden van de Verantwoordelijke
De Verantwoordelijke garandeert dat:
- Er een geldige rechtsgrondslag bestaat voor de verwerking van persoonsgegevens, inclusief bijzondere categorieën (gezondheidsgegevens)
- Betrokkenen (cliënten/patiënten) adequaat zijn geïnformeerd over de verwerking van hun gegevens, waaronder het gebruik van AI-technologie en doorgifte aan subverwerkers
- Indien vereist, uitdrukkelijke toestemming is verkregen van betrokkenen voor het opnemen van sessies
- Het gebruik van de Dienst in overeenstemming is met het beroepsgeheim en toepasselijke beroepscodes
- De instructies aan de Verwerker in overeenstemming zijn met de AVG en overige toepasselijke wetgeving
Artikel 10 — Aansprakelijkheid
Elke partij is aansprakelijk voor schade veroorzaakt door verwerking die in strijd is met de AVG, conform artikel 82 AVG. De aansprakelijkheid van de Verwerker is beperkt conform de bepalingen in de Algemene Voorwaarden.
Artikel 11 — Duur en beëindiging
- Deze Overeenkomst treedt in werking op het moment dat de Verantwoordelijke een account aanmaakt bij Sessieklap
- De Overeenkomst eindigt automatisch bij beëindiging van het gebruik van de Dienst
- De verplichtingen uit artikelen 5, 6 en 7 blijven van kracht na beëindiging, voor zover relevant voor de afwikkeling van de verwerking
- Na beëindiging verwijdert de Verwerker alle persoonsgegevens binnen 30 dagen, tenzij bewaring wettelijk verplicht is
Artikel 12 — Toepasselijk recht
Op deze Overeenkomst is het Belgisch recht van toepassing. De Overeenkomst wordt beheerst door de AVG/GDPR en de Belgische Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
Geschillen worden voorgelegd aan de bevoegde rechtbanken in België.
Artikel 13 — Contact
Voor vragen over deze Verwerkersovereenkomst of om uw rechten uit te oefenen:
Sessieklap
E-mail: info@sessieklap.com
Door een account aan te maken bij Sessieklap, gaat de Verantwoordelijke akkoord met deze Verwerkersovereenkomst. Deze Overeenkomst vormt samen met de Algemene Voorwaarden en het Privacybeleid de volledige overeenkomst tussen partijen met betrekking tot de verwerking van persoonsgegevens.