Keldio Verwerkersovereenkomst

Laatst bijgewerkt: 27 mei 2026 Ingangsdatum: 27 mei 2026 Documentversie: 1.1

Deze Verwerkersovereenkomst maakt deel uit van de Keldio Platform Servicevoorwaarden en regelt Keldio's verwerking van Persoonsgegevens van Klanten namens Tenants. Zij is bestemd voor zakelijke klanten die Keldio gebruiken om websites, funnels, CRM, e-mail, checkout, ledenportalen, automatiseringen, integraties, API's, MCP-tools, AI-agenten en gerelateerde bedrijfsactiviteiten te beheren.

Deze VWO is geen juridisch advies aan Tenants. Tenants zijn zelf verantwoordelijk voor het verkrijgen van eigen juridisch, privacy-, fiscaal, marketing- en professioneel advies voor hun eigen bedrijf en relaties met Eindgebruikers.

1. Partijen en ingangsdatum

Deze Verwerkersovereenkomst (de "VWO") wordt gesloten tussen:

1. Barriere Brekers B.V., handelend onder de naam Keldio, een besloten vennootschap naar Nederlands recht, ingeschreven bij de Nederlandse Kamer van Koophandel (*Kamer van Koophandel*) onder nummer 94316813, met statutaire zetel te Groene Woud 60, 4834BC Breda, Noord Brabant, Nederland ("Keldio", "Verwerker"); en

1. De klantentiteit die wordt geïdentificeerd in het Bestelformulier, de checkout-aanvaarding of de in-app aanvaardingsgebeurtenis voor het Keldio-platform ("Tenant", "Klant", "Verwerkingsverantwoordelijke").

Deze VWO wordt van kracht op het vroegste van: (a) de datum waarop de Tenant de Keldio Platform Servicevoorwaarden aanvaardt met betrekking tot de Werkruimte; (b) de datum waarop Keldio voor het eerst Persoonsgegevens namens de Tenant verwerkt; of (c) de ingangsdatum van een Bestelformulier waarin deze VWO is opgenomen.

Deze VWO vormt een integraal onderdeel van, en wordt beheerst door, de Keldio Platform Servicevoorwaarden (de "Platformvoorwaarden"). Termen met een hoofdletter die hier niet zijn gedefinieerd, hebben de betekenis die daaraan in de Platformvoorwaarden wordt gegeven.

---

2. Definities

Voor de toepassing van deze VWO:

• "Gelieerde Onderneming" betekent, ten aanzien van een partij, elke entiteit die zeggenschap heeft over, onder zeggenschap staat van, of onder gemeenschappelijke zeggenschap staat met die partij.
• "Verwerkingsverantwoordelijke" heeft de betekenis die daaraan wordt gegeven in artikel 4(7) AVG. De Tenant is doorgaans de Verwerkingsverantwoordelijke van Persoonsgegevens van Klanten.
• "Persoonsgegevens van Klanten" betekent Persoonsgegevens binnen Klantgegevens (zoals gedefinieerd in de Platformvoorwaarden) die door Keldio namens de Tenant worden verwerkt bij het leveren van de Diensten.
• "Export van Persoonsgegevens van Klanten" betekent een export, openbaarmaking, verdere doorgifte, download, webhook-bezorging, API-respons, MCP-toolrespons of andere verplaatsing van Persoonsgegevens van Klanten vanuit door Keldio beheerde infrastructuur naar de Tenant, een Admin-gebruiker, een Agent, een Door de Tenant Geconfigureerde Provider of een door de Tenant beheerde bestemming.
• "Juridische Aanvaardingsgebeurtenis" betekent het technische record waarmee Keldio de clickwrap, elektronische handtekening, bestelformulieraanvaarding of andere gedocumenteerde aanvaarding door de Tenant van deze VWO en gerelateerde juridische documenten vastlegt.
• "Data Privacy Framework" of "DPF" betekent het EU–VS Data Privacy Framework, de UK-uitbreiding op het EU–VS DPF en het Zwitsers–VS DPF, zoals van tijd tot tijd van kracht, met inbegrip van eventuele opvolgende kaders.
• "Betrokkene" heeft de betekenis die daaraan wordt gegeven in artikel 4(1) AVG. In de context van Keldio zijn Betrokkenen doorgaans de Eindgebruikers van de Tenant (Leden, contactpersonen, leads, deelnemers, boekingsgasten, supportcontacten, enz.) en, waar van toepassing, de Admin-gebruikers van de Tenant.
• "Verzoek van een Betrokkene" betekent een verzoek van een Betrokkene om rechten uit te oefenen op grond van de artikelen 12–22 AVG (of het equivalent onder andere toepasselijke gegevensbeschermingswetgeving), waaronder het recht op inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar en het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming.
• "Gegevensbeschermingswetgeving" betekent alle wet- en regelgeving die van toepassing is op de verwerking van Persoonsgegevens onder deze VWO, waaronder: de AVG; de UK GDPR en de UK Data Protection Act 2018; de Zwitserse Federale Wet op de Gegevensbescherming (FADP); de Nederlandse Uitvoeringswet (*Uitvoeringswet AVG*); de ePrivacy-richtlijn 2002/58/EG en de Nederlandse Telecommunicatiewet; de California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) en eventuele gelijkwaardige wetten van Amerikaanse staten; en elke andere privacy- of gegevensbeschermingswet die van toepassing is op de verwerking door de Tenant.
• "EER" betekent de Europese Economische Ruimte.
• "Keldio-subverwerker" betekent een Subverwerker die door Keldio voor eigen rekening wordt ingeschakeld om Persoonsgegevens van Klanten namens Keldio te verwerken bij het leveren van de Diensten. Bijlage C en de gepubliceerde Subverwerkerslijst identificeren de huidige Keldio-subverwerkers en gerelateerde opmerkingen over providerrollen.
• "Ledengegevens" heeft de betekenis die daaraan wordt gegeven in de Platformvoorwaarden — Persoonsgegevens van Eindgebruikers die worden gegenereerd door gebruik van het Ledenportaal (lesvoortgang, communityposts, RSVP's, inlogactiviteit, supportthreads).
• "Persoonsgegevens" heeft de betekenis die daaraan wordt gegeven in artikel 4(1) AVG.
• "Inbreuk in verband met Persoonsgegevens" heeft de betekenis die daaraan wordt gegeven in artikel 4(12) AVG.
• "Verwerking" heeft de betekenis die daaraan wordt gegeven in artikel 4(2) AVG. "Verwerken" en "Verwerkt" worden dienovereenkomstig uitgelegd.
• "Verwerker" heeft de betekenis die daaraan wordt gegeven in artikel 4(8) AVG.
• "SCC's" betekent de Standaardcontractbepalingen voor de doorgifte van Persoonsgegevens aan derde landen op grond van de AVG, vastgesteld bij Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 (of eventuele opvolgende bepalingen vastgesteld door de Europese Commissie).
• "Diensten" betekent de Keldio-platformdiensten zoals gedefinieerd in de Platformvoorwaarden, waaronder de Admin-app, het Ledenportaal, de openbare storefront-oppervlakken, de MCP-server, de REST API, webhooks, automatiseringen, integraties en ondersteunende infrastructuur.
• "Bijzondere Categorieën Persoonsgegevens" betekent Persoonsgegevens binnen de categorieën genoemd in artikel 9(1) AVG (en het equivalent onder Nederlands of ander toepasselijk recht), en Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten binnen artikel 10 AVG.
• "Dienstverlener / Contractant" heeft de betekenis die daaraan wordt gegeven onder de CCPA/CPRA en vergelijkbare privacywetten van Amerikaanse staten. Waar dergelijke wetten van toepassing zijn, treedt Keldio op als Dienstverlener of Contractant ten aanzien van Persoonsgegevens van Klanten en verkoopt of deelt Keldio geen Persoonsgegevens van Klanten zoals die termen zijn gedefinieerd onder de CCPA/CPRA.
• "Subverwerker" betekent elke derde partij (waaronder een Keldio Gelieerde Onderneming) die door Keldio wordt ingeschakeld om Persoonsgegevens van Klanten namens Keldio te Verwerken bij het leveren van de Diensten.
• "Toezichthoudende Autoriteit" heeft de betekenis die daaraan wordt gegeven in artikel 4(21) AVG. De bevoegde Toezichthoudende Autoriteit voor Tenants gevestigd in Nederland is de Autoriteit Persoonsgegevens (AP).
• "TOM's" betekent technische en organisatorische maatregelen in de zin van artikel 32 AVG. De huidige TOM's worden beschreven in Bijlage B.
• "Door de Tenant Geconfigureerde Provider" betekent een Dienst van een Derde waarvoor de Tenant Door de Tenant Verstrekte Inloggegevens heeft verstrekt of een door de Tenant beheerde providerrelatie heeft geselecteerd (bijv. Mailgun, Mollie, Stripe Connect, Cloudflare Stream in BYO-modus, Meta CAPI, TikTok Events, Google Ads). Door de Tenant Geconfigureerde Providers Verwerken Persoonsgegevens voor rekening van de Tenant onder het contract van de Tenant met de Provider; zij zijn geen Keldio-subverwerkers voor de toepassing van deze VWO, hoewel Keldio het kanaal is waarlangs de Tenant ze configureert en gebruikt. Dezelfde provider kan een Keldio-subverwerker zijn voor één door Keldio beheerde stroom en een Door de Tenant Geconfigureerde Provider voor een andere door de Tenant beheerde stroom.
• "Derde Land" betekent een land buiten de EER, het Verenigd Koninkrijk en Zwitserland dat door de Europese Commissie (of, voor doorgiften naar het VK, de Britse overheid) niet is erkend als een land dat een passend beschermingsniveau voor Persoonsgegevens biedt.
• "Doorgifte" betekent een doorgifte (waaronder verdere doorgifte) van Persoonsgegevens die onderworpen is aan de beperkingen op grensoverschrijdende doorgifte in Hoofdstuk V AVG.

Termen die niet zijn gedefinieerd in deze VWO of de Platformvoorwaarden hebben de betekenis die daaraan in de AVG wordt gegeven.

---

3. Onderwerp, reikwijdte, aard, doel, duur en rollen

3.1 Rollen

• De Tenant is de Verwerkingsverantwoordelijke van Persoonsgegevens van Klanten.
• Keldio is de Verwerker van Persoonsgegevens van Klanten en verwerkt deze op de gedocumenteerde instructies van de Tenant in overeenstemming met deze VWO en de Platformvoorwaarden.
• Voor een beperkte set operationele gegevens (uiteengezet in §3.5) treedt Keldio op als zelfstandig Verwerkingsverantwoordelijke.
• Waar toepasselijke Gegevensbeschermingswetgeving de Tenant en Keldio als gezamenlijke verwerkingsverantwoordelijken behandelt ten aanzien van een bepaalde verwerkingsactiviteit (de partijen verwachten dit op dit moment niet), zullen de partijen vóór het uitvoeren van die gezamenlijke verwerking een regeling voor gezamenlijke verwerkingsverantwoordelijkheid op grond van artikel 26 AVG overeenkomen, tenzij de verwerking wettelijk verplicht is.
• Waar de Tenant zelf optreedt als verwerker namens een van zijn eigen cliënten, garandeert de Tenant dat hij bevoegd is van die cliënt om Keldio als subverwerker aan te stellen en om Keldio de in deze VWO uiteengezette instructies te geven.

3.2 Onderwerp en aard van de verwerking

Keldio Verwerkt Persoonsgegevens van Klanten om de Diensten te leveren zoals beschreven in de Platformvoorwaarden — het beheren van de Werkruimte van de Tenant, het hosten van de content van de Tenant en de op Eindgebruikers gerichte oppervlakken van de Tenant, het versturen van communicatie op gezag van de Tenant, het uitvoeren van automatiseringen, het ondersteunen van de Tenant, het beveiligen van het platform en het naleven van de wet.

Een gedetailleerde beschrijving van de verwerking (onderwerp, categorieën Betrokkenen, categorieën Persoonsgegevens, verwerkingsactiviteiten) is uiteengezet in Bijlage A. Keldio-specifieke verwerkingsstromen (Ledenportaal, server-side advertentiepixel, MCP/Agenten, Webhooks, Aangepaste Domeinen) worden beschreven in de Bijlagen E, F en G.

3.3 Duur

Deze VWO geldt voor de duur van de Platformvoorwaarden en blijft van toepassing op Persoonsgegevens van Klanten die Keldio Verwerkt totdat die gegevens worden gewist of geretourneerd in overeenstemming met §13. Bepalingen die naar hun aard de beëindiging overleven (waaronder vertrouwelijkheid, aansprakelijkheid, auditbijstand voor voltooide verwerking en geschillenbeslechting) blijven dienovereenkomstig van kracht.

3.4 Doel

Keldio Verwerkt Persoonsgegevens van Klanten met het doel de Diensten aan de Tenant te leveren onder de Platformvoorwaarden, en voor geen ander doel, behalve waar Keldio optreedt als zelfstandig Verwerkingsverantwoordelijke op grond van §3.5 of waar dit vereist is door Unie- of lidstaatrecht waaraan Keldio is onderworpen.

3.5 Keldio als zelfstandig Verwerkingsverantwoordelijke

Niettegenstaande §3.1–§3.4 treedt Keldio op als zelfstandig Verwerkingsverantwoordelijke (niet als Verwerker namens de Tenant) ten aanzien van de volgende beperkte doeleinden:

• (a) het beheren van de contractuele relatie met de Tenant, waaronder aanmelding, identiteitsverificatie van de eigenaar en Admin-gebruikers van de Tenant, facturatie, facturering, belastingheffing, incasso en boekhouding;
• (a1) het inrichten, activeren, beheren, verifiëren, beveiligen, opschorten en beëindigen van Tenant-werkruimtes, waaronder het verwerken van de identiteit van de eigenaar/admin, het e-mailadres van de eigenaar, factuurcontactgegevens, werkruimte-identificatoren, juridische aanvaardingsrecords, plan-/proef-/abonnementsstatus, inlog- en magic-linkrecords, supporttoegangsrecords en metadata voor accountbeheer;
• (b) het voorkomen, detecteren, onderzoeken en reageren op fraude, misbruik, beveiligingsincidenten en schendingen van de Platformvoorwaarden, het Acceptabel Gebruiksbeleid of de Gegevensbeschermingswetgeving;
• (c) het bijhouden van auditlogs (waaronder platform_audit_log, agent_invocations, webhook_deliveries en gelijkwaardige operationele logs) voor de integriteit, probleemoplossing en beveiliging van de Diensten;
• (d) het genereren van geaggregeerde en gede-identificeerde analyses en statistieken over platformgebruik en -prestaties;
• (e) het naleven van Keldio's eigen juridische, fiscale, boekhoudkundige en regelgevende verplichtingen;
• (f) het verdedigen en instellen van rechtsvorderingen;
• (g) het communiceren met Admin-gebruikers over Service-updates, beveiligingsmeldingen en (met een passende rechtsgrond) marketing.

Voor deze verwerkingsverantwoordelijke-doeleinden wordt Keldio's verwerking beheerst door Keldio's Privacybeleid, niet door deze VWO.

3.6 Categorieën Betrokkenen en Persoonsgegevens

Zie Bijlage A. Samengevat omvatten Betrokkenen de Eindgebruikers van de Tenant (Leden, contactpersonen, leads, deelnemers, boekingsgasten, indieners van contactformulieren, cursusstudenten, communitydeelnemers, webinarregistranten, supportcorrespondenten, ontvangers van Tenant-communicatie) en de Admin-gebruikers van de Tenant. Categorieën Persoonsgegevens omvatten identificatiegegevens (naam, e-mail, telefoon), gedrags- en betrokkenheidsgegevens (paginaweergaven, opt-ins, aankopen, klik-identificatoren), commerciële gegevens (bestellingen, facturen, betaalmetadata), door Tenants en Eindgebruikers geschreven of geüploade content (communityposts, lesvoortgang, supportthreads) en technische gegevens (IP, user agent, apparaat).

---

4. Verplichtingen van de Tenant als Verwerkingsverantwoordelijke

4.1 Rechtsgrond en kennisgevingen

De Tenant garandeert en verbindt zich ertoe dat, ten aanzien van alle Persoonsgegevens van Klanten die de Tenant uploadt, importeert, genereert of Keldio opdraagt te Verwerken:

• (a) de Tenant een geldige rechtsgrond heeft op grond van artikel 6 AVG (en, voor Bijzondere Categorieën Persoonsgegevens, artikel 9(2));
• (b) de Tenant, waar vereist, geldige, vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming heeft verkregen van elke Betrokkene, en records bijhoudt die toereikend zijn om toestemming op verzoek van een Toezichthoudende Autoriteit aan te tonen;
• (c) de Tenant elke Betrokkene de informatie heeft verstrekt die vereist is op grond van de artikelen 13 en 14 AVG, waaronder het identificeren van Keldio (en zijn Subverwerkers) als verwerker waar de privacyverklaring van de Tenant verwijst naar zijn gegevensverwerkingsregelingen;
• (d) de op Eindgebruikers gerichte privacyverklaring, voorwaarden en toestemmingsstromen van de Tenant juist, actueel en consistent zijn met de verwerking die de Tenant feitelijk via de Diensten opdraagt;
• (e) de Tenant alle vereiste toestemmingen heeft verkregen voor doorgiften, server-side advertentiepixelverwerking, gedragsmarketing, profilering en eventuele cookies of vergelijkbare technologieën die de Tenant via de Diensten inzet.

4.2 Kwaliteit van instructies

De Tenant is verantwoordelijk voor de rechtmatigheid, juistheid, kwaliteit en integriteit van:

• (a) de Persoonsgegevens van Klanten die de Tenant aanlevert of laat Verwerken;
• (b) de configuratie van de Werkruimte, waaronder de configuratie van automatiseringen, integraties, segmentatie, server-side advertentiepixelgebeurtenissen, bewaarregels en toegangscontroles;
• (c) de inloggegevens die onder de Werkruimte zijn uitgegeven en de partijen aan wie deze zijn uitgegeven.
• (d) de juistheid en bevoegdheid van eigenaarsrecords van de Werkruimte, admintoewijzingen, juridische aanvaardingsgebeurtenissen, inrichtingsverzoeken, via de API aangemaakte accounts en accountbeheerwijzigingen die door of namens de Tenant worden ingediend.

De Tenant is verantwoordelijk voor de rechtmatigheid, juistheid, bevoegdheid en evenredigheid van instructies voor toegangscontrole, waaronder owner-/admin-/support-/lidtoewijzingen, teamuitnodigingen, API-sleutel-scopes, MCP-sleutel-scopes, agent-inloggegevens, supporttoegangsverzoeken en instructies die worden verzonden via Admin-gebruikers, API-clients, MCP-clients, automatiseringen of verbonden agenten. Keldio mag vertrouwen op geauthenticeerde instructies voor toegangscontrole, tenzij Keldio daadwerkelijk weet dat de instructie onrechtmatig, onbevoegd, technisch onveilig is of in strijd is met een andere bindende instructie.

4.3 Gebruik als bureau, wederverkoper en in een verwerkingsketen

Als de Tenant een bureau, adviseur, wederverkoper, implementatiepartner of andere dienstverlener is die Keldio gebruikt voor of namens een van de cliënten van de Tenant, is de Tenant als enige verantwoordelijk om ervoor te zorgen dat: (a) de Tenant bevoegd is om de relevante Persoonsgegevens in Keldio te uploaden, configureren, raadplegen en Verwerken; (b) het contract van de Tenant met zijn cliënt Keldio waar vereist machtigt als subverwerker of downstream-provider; (c) de cliënt van de Tenant alle vereiste kennisgevingen over Keldio en Keldio-subverwerkers ontvangt; en (d) instructies aan Keldio consistent zijn met de instructies van de Tenant van zijn eigen cliënt. Keldio is niet verplicht de bevoegdheid van de Tenant ten opzichte van de cliënt van de Tenant te verifiëren, tenzij Keldio daadwerkelijk kennis heeft van een geschil of onrechtmatigheid.

4.4 Door de Tenant Geconfigureerde Providers

De Tenant is de Verwerkingsverantwoordelijke voor Persoonsgegevens die de Tenant Keldio opdraagt te verzenden naar een Door de Tenant Geconfigureerde Provider (bijv. via Mailgun voor e-mailbezorging, Mollie/Stripe voor betalingen, Bundle.social voor social publishing, Meta CAPI / TikTok Events / Google Ads voor advertentieconversiegebeurtenissen, Cloudflare Stream in BYO-modus voor video). De relatie tussen de Tenant en elke dergelijke Provider wordt beheerst door het contract van de Tenant met de Provider en de eigen gegevensverwerkingsvoorwaarden van de Provider; Keldio is geen partij bij die relatie en is daarin geen gezamenlijke verwerkingsverantwoordelijke.

4.5 Bijzondere Categorieën Persoonsgegevens

De Tenant mag geen Bijzondere Categorieën Persoonsgegevens uploaden, genereren of Keldio opdragen te Verwerken, tenzij: (a) de Tenant een rechtsgrond heeft op grond van artikel 9(2) AVG; (b) de Tenant Keldio vooraf heeft geïnformeerd en Keldio schriftelijk heeft bevestigd dat de relevante Servicemodule geschikt is voor die gegevens; en (c) eventuele aanvullende waarborgen die door de Gegevensbeschermingswetgeving worden vereist, zijn geïmplementeerd. Sectoren die doorgaans Bijzondere Categorieën Persoonsgegevens genereren (medisch, geestelijke gezondheid, religieus, politiek, biometrisch, seksuele geaardheid) zijn onderworpen aan de clausule inzake gereguleerde sectoren in de Platformvoorwaarden.

4.6 Leden en minderjarigen

Waar de Tenant een Ledenportaal beheert dat toegankelijk is voor Leden, is de Tenant de Verwerkingsverantwoordelijke voor Ledengegevens. De Tenant garandeert dat hij de Diensten niet bewust zal gebruiken om Persoonsgegevens te Verwerken van kinderen onder de leeftijdsgrens die van toepassing is op de relevante Betrokkene (16 in de EU/EER, 13 in de Verenigde Staten) zonder geverifieerde toestemming van een ouder of voogd in overeenstemming met artikel 8 AVG of ander toepasselijk recht.

4.7 Naleving van de Gegevensbeschermingswetgeving

De Tenant leeft alle Gegevensbeschermingswetgeving na die van toepassing is op de verwerking door de Tenant via de Diensten, waaronder het uitvoeren van Gegevensbeschermingseffectbeoordelingen waar vereist (artikel 35 AVG), het bijhouden van zijn eigen artikel 30-registers, het aanwijzen van een Functionaris voor Gegevensbescherming waar vereist, en het op de hoogte stellen van zijn bevoegde Toezichthoudende Autoriteit en Betrokkenen in overeenstemming met de artikelen 33–34 AVG voor inbreuken die de verantwoordelijkheden van de Tenant als verwerkingsverantwoordelijke raken.

4.8 Vrijwaring voor inbreuk aan verantwoordelijke-zijde

De Tenant vrijwaart Keldio voor verliezen, boetes, regelgevende sancties en vorderingen van derden die voortvloeien uit de schending door de Tenant van §4.1–§4.10 of uit enige onjuistheid in de in deze §4 gegeven garanties. De vrijwaring komt bovenop (en doet geen afbreuk aan) de vrijwaring in de Platformvoorwaarden.

4.9 ePrivacy, cookies, pixels en communicatie

De Tenant is verantwoordelijk voor de naleving van de ePrivacy-richtlijn, de Nederlandse Telecommunicatiewet, CAN-SPAM, CASL, PECR en gelijkwaardige marketing-, cookie- en elektronische-communicatieregels die van toepassing zijn op het gebruik van de Diensten door de Tenant. Dit omvat het configureren van cookiebanners, consent mode, trackingpixels, e-mailtoestemmingen, afhandeling van afmeldingen, list-unsubscribe-headers, afzenderidentiteit en onderdrukkingsregels. Keldio kan tools aanbieden, maar de Tenant blijft verantwoordelijk voor de vraag of die tools rechtmatig zijn geconfigureerd voor het publiek en het rechtsgebied van de Tenant.

4.10 Geautomatiseerde besluitvorming en profilering

De Tenant is verantwoordelijk voor het beoordelen of segmentatie, leadscoring, AI-ondersteunde aanbevelingen, automatisering, weigering van toegang, prijsstelling of een andere door de Tenant geconfigureerde workflow profilering of geautomatiseerde besluitvorming vormt op grond van artikel 22 AVG of gelijkwaardig recht. Keldio biedt niet doelbewust tools voor besluiten die rechtsgevolgen of vergelijkbaar aanzienlijke gevolgen teweegbrengen zonder betekenisvolle menselijke tussenkomst; als de Tenant de Diensten op die manier gebruikt, moet de Tenant de kennisgevingen, waarborgen, menselijke beoordeling en rechtsgrond implementeren die de Gegevensbeschermingswetgeving vereist.

---

5. Verplichtingen van Keldio als Verwerker

5.1 Gedocumenteerde instructies

Keldio Verwerkt Persoonsgegevens van Klanten uitsluitend op de gedocumenteerde instructies van de Tenant, behalve waar dit vereist is door Unie- of lidstaatrecht waaraan Keldio is onderworpen. De instructies van de Tenant bestaan uit:

• (a) de Platformvoorwaarden en deze VWO, die de permanente instructies van de Tenant vormen;
• (b) de configuratie van de Werkruimte door de Tenant, die operationele instructies vormt voor doorlopende Verwerking (de "configuratie-als-instructie"-doctrine — d.w.z. wanneer de Tenant een contactpersoon toevoegt, een Workflow bouwt, een campagne plant, een advertentiepixel configureert of een MCP-tool aanroept, instrueert de Tenant Keldio om dienovereenkomstig te Verwerken);
• (c) de handelingen van de Tenant in de Admin-app, REST API, MCP en Werkruimte-instellingen;
• (d) instructies die via Keldio's gedocumenteerde supportkanalen worden gegeven door een Admin-gebruiker of eigenaar van de Tenant.
• (e) inrichtings- en onboardinghandelingen die worden gestart via checkout, bestelformulieren, API-inrichting, geautoriseerde Keldio-adminhandelingen of support-ondersteunde installatie, voor zover die handelingen een Werkruimte aanmaken of configureren namens de Tenant.

Indien Keldio wettelijk verplicht is Persoonsgegevens van Klanten anders dan op de instructies van de Tenant te Verwerken, zal Keldio de Tenant vóór de Verwerking van die wettelijke verplichting op de hoogte stellen, tenzij de wet dit verbiedt op gewichtige gronden van algemeen belang.

5.2 Kennisgeving van onrechtmatige instructies

Indien een instructie naar de mening van Keldio inbreuk maakt op de Gegevensbeschermingswetgeving, deze VWO of de Platformvoorwaarden, zal Keldio de Tenant zonder onnodige vertraging informeren. Keldio is niet verplicht een dergelijke instructie op te volgen.

5.3 Naleving van de Gegevensbeschermingswetgeving

Keldio leeft de Gegevensbeschermingswetgeving na die op een Verwerker van toepassing is bij het leveren van de Diensten.

5.4 Vertrouwelijkheid van personeel

Keldio zorgt ervoor dat personen die bevoegd zijn om Persoonsgegevens van Klanten te Verwerken (waaronder Keldio-personeel en opdrachtnemers met toegang tot Werkruimtes) zich tot vertrouwelijkheid hebben verbonden of onder een passende wettelijke geheimhoudingsplicht vallen.

5.5 Toegangsdiscipline

Keldio beperkt de toegang tot Persoonsgegevens van Klanten tot personeel en geautoriseerde operationele accounts met een legitieme behoefte om deze te raadplegen ten behoeve van het leveren van de Diensten, support, probleemoplossing, migratie, facturatie, beveiliging, misbruikonderzoek, naleving of bescherming van de Diensten. Keldio hanteert need-to-know-discipline, op rollen gebaseerde toegangspraktijken en auditlogging van support-/admintoegang en gevoelige platformgebeurtenissen waar technisch beschikbaar. Dergelijke logs kunnen actor-identificatoren, rol- of accountmetadata, tenant-identificatoren, tijdstempels, supporttoegangs- of impersonatiegebeurtenissen, API-sleutelmetadata en actiedetails bevatten. Deze logs zijn records van Keldio als zelfstandig verwerkingsverantwoordelijke en worden gebruikt voor beveiliging, integriteit, probleemoplossing, naleving, misbruikpreventie en handhaving.

5.6 Medewerking aan naleving door de Tenant

Rekening houdend met de aard van de Verwerking en de aan Keldio beschikbare informatie, staat Keldio de Tenant bij door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bij het nakomen van de verplichtingen van de Tenant om:

• (a) te reageren op Verzoeken van Betrokkenen (§9);
• (b) de beveiliging van de verwerking te waarborgen (§6);
• (c) de Toezichthoudende Autoriteit en Betrokkenen op de hoogte te stellen van Inbreuken in verband met Persoonsgegevens (§10);
• (d) Gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging uit te voeren (§11).

5.7 Bijstand bij security-by-design en -by-default

Keldio houdt rekening met gegevensbescherming door ontwerp en door standaardinstellingen bij het ontwikkelen van wezenlijk nieuwe Servicemodules die Persoonsgegevens van Klanten Verwerken. Dit vereist niet dat Keldio de Diensten voor elke Tenant aanpast, maar het vereist dat Keldio toegangscontrole, minimalisatie, bewaring, logging, isolatie en veilige standaardinstellingen in acht neemt bij de normale productontwikkeling.

5.8 Verwerking buiten reikwijdte

Keldio is niet verantwoordelijk voor Persoonsgegevens die de Tenant buiten de Diensten Verwerkt, voor Persoonsgegevens die door Door de Tenant Geconfigureerde Providers voor rekening van de Tenant worden Verwerkt, voor Persoonsgegevens die de Tenant verzendt via tools, plug-ins of websites die de Tenant buiten de Keldio-infrastructuur beheert, of voor Persoonsgegevens die de Eindgebruikers van de Tenant rechtstreeks aan een derde verstrekken. De Tenant vrijwaart Keldio voor aansprakelijkheden die voortvloeien uit dergelijke verwerking buiten reikwijdte.

---

6. Beveiliging — Technische en Organisatorische Maatregelen (TOM's)

6.1 Norm

Keldio implementeert en onderhoudt TOM's die passend zijn voor het risico dat de Verwerking met zich meebrengt, waaronder, waar passend, de maatregelen genoemd in artikel 32(1) AVG. De huidige TOM's worden beschreven in Bijlage B (Overzicht Beveiligingsmaatregelen).

6.2 Categorieën maatregelen

De TOM's omvatten ten minste:

• pseudonimisering en versleuteling van Persoonsgegevens waar passend;
• maatregelen om de blijvende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en Diensten te waarborgen;
• het vermogen om de beschikbaarheid van en toegang tot Persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident;
• een procedure voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de TOM's;
• opleiding, screening en toegangscontroles voor personeel;
• praktijken voor een veilige softwareontwikkelingscyclus.

6.3 Wijzigingen in TOM's

Keldio mag de TOM's van tijd tot tijd bijwerken, mits dergelijke wijzigingen niet leiden tot een wezenlijke verlaging van het beveiligingsniveau. Wezenlijke verlagingen vereisen kennisgeving aan de Tenant; een Tenant kan op redelijke gegevensbeschermingsgronden bezwaar maken in overeenstemming met §7.4.

6.4 Opslag van bring-your-own-inloggegevens

Keldio slaat Door de Tenant Verstrekte Inloggegevens versleuteld op in rust op in de tenant_api_keys-tabel. De Tenant is verantwoordelijk voor inloggegevenshygiëne bij de bronprovider (rotatie, scoping, intrekking). Een inbreuk die Keldio's opslag van Door de Tenant Verstrekte Inloggegevens raakt, is een Inbreuk in verband met Persoonsgegevens voor de toepassing van §10. Een inbreuk bij de onderliggende Provider is het incident van die Provider; Keldio zal de Tenant bijstaan bij rotatie, maar is niet verantwoordelijk voor de beveiliging van de Provider.

6.5 Supporttoegang en administratieve interventie

Waar Keldio-personeel een Tenant-werkruimte raadpleegt voor support, probleemoplossing, migratie, misbruikonderzoek, beveiligingsonderzoek of redenen van wettelijke naleving, beperkt Keldio die toegang tot personeel met een legitieme behoefte, logt het de toegang waar technisch beschikbaar en past het redelijke minimalisatie toe. Keldio mag Werkruimtes raadplegen zonder voorafgaande goedkeuring van de Tenant waar dit noodzakelijk is om beveiligingsincidenten te onderzoeken, misbruik te voorkomen, de wet na te leven of de Diensten of andere Tenants te beschermen.

6.6 Beveiliging aan Tenant-zijde

De Tenant is verantwoordelijk voor de beveiliging van zijn eigen infrastructuur, apparaten, netwerken, downstream-systemen (waaronder webhook-endpoints) en inloggegevens die onder de Werkruimte zijn uitgegeven. Keldio is niet verantwoordelijk voor inbreuken die voortvloeien uit een compromittering van de omgeving van de Tenant.

---

7. Subverwerkers

7.1 Algemene machtiging

De Tenant verleent Keldio een algemene schriftelijke machtiging op grond van artikel 28(2) AVG om Keldio-subverwerkers in te schakelen voor het Verwerken van Persoonsgegevens van Klanten, onder de voorwaarden van deze §7.

7.2 Huidige Subverwerkers

De lijst van huidige Keldio-subverwerkers is uiteengezet in Bijlage C en wordt bijgehouden op https://keldio.com/subprocessors. Keldio houdt die lijst actueel.

7.3 Kennisgeving van nieuwe of vervangende Subverwerkers

Keldio stelt de Tenant ten minste 30 dagen voordat de nieuwe Subverwerker met de Verwerking van Persoonsgegevens van Klanten begint op de hoogte van de toevoeging of vervanging van een Keldio-subverwerker. Kennisgeving wordt gegeven door:

• (a) het bijwerken van de gepubliceerde Subverwerkerslijst met de voorgestelde ingangsdatum; en
• (b) e-mail naar het factuur- of juridische-kennisgevingsadres van de Tenant, of een in-app kennisgeving die Admin-gebruikers bij de volgende aanmelding zien.

Voor wijzigingen in Subverwerkers die voortvloeien uit een beveiligings- of operationele noodsituatie, mag Keldio een kortere kennisgevingstermijn hanteren, met details over de urgentie.

7.4 Recht van bezwaar

Binnen 15 dagen na kennisgeving op grond van §7.3 kan de Tenant op redelijke gegevensbeschermingsgronden bezwaar maken tegen een voorgestelde nieuwe of vervangende Keldio-subverwerker door schriftelijke kennisgeving aan Keldio. De partijen bespreken het bezwaar te goeder trouw. Als de partijen het bezwaar niet binnen 30 dagen kunnen oplossen, mag de Tenant, als zijn enige en exclusieve rechtsmiddel, de Platformvoorwaarden voor de betrokken Dienst beëindigen in overeenstemming met de Platformvoorwaarden. Keldio betaalt eventuele vooruitbetaalde Vergoedingen voor de periode na beëindiging terug.

7.5 Verplichtingen van Subverwerkers

Keldio zal:

• (a) elke Keldio-subverwerker inschakelen onder een schriftelijk contract dat gegevensbeschermingsverplichtingen oplegt die niet minder beschermend zijn dan die in deze VWO, waaronder de verplichtingen van artikel 28(3) AVG (*mutatis mutandis*);
• (b) ervoor zorgen dat elke Keldio-subverwerker TOM's implementeert die passend zijn voor de Verwerking en voldoet aan artikel 32 AVG;
• (c) waar de Subverwerker is gevestigd in een Derde Land, een passend doorgiftemechanisme implementeren in overeenstemming met §8.

7.6 Aansprakelijkheid voor Subverwerkers

Keldio blijft jegens de Tenant aansprakelijk voor het handelen en nalaten van zijn Keldio-subverwerkers ten aanzien van hun Verwerking van Persoonsgegevens van Klanten, als waren dat handelen en nalaten Keldio's eigen handelen en nalaten, met inachtneming van de aansprakelijkheidsbeperkingen in §17.

7.7 Door de Tenant Geconfigureerde Providers

Voor alle duidelijkheid: Door de Tenant Geconfigureerde Providers zijn geen Keldio-subverwerkers. Het contract van de Tenant met elke dergelijke Provider beheerst de Verwerking van die Provider. De rol van Keldio is het kanaal waarlangs de Tenant de Provider configureert en gebruikt; Keldio's verplichtingen onder deze VWO ten aanzien van Door de Tenant Geconfigureerde Providers zijn beperkt tot (i) het veilig verzenden van Persoonsgegevens zoals geconfigureerd door de Tenant, (ii) het veilig opslaan van Door de Tenant Verstrekte Inloggegevens zoals uiteengezet in §6.4, en (iii) het niet Verwerken van de Persoonsgegevens voor enig ander doel dan zoals geïnstrueerd door de Tenant. Bijlage C vermeldt de huidige Door de Tenant Geconfigureerde Providers ten behoeve van transparantie.

---

8. Internationale doorgiften

8.1 Standaard — verwerking binnen de EER

Keldio Verwerkt Persoonsgegevens van Klanten primair binnen de EER (Supabase-regio geconfigureerd voor de EU; Mailgun EU geconfigureerd; Mollie gevestigd in de EU; Bundle.social gevestigd in de EU; Vercel configureerbaar). Sommige Subverwerkers kunnen Persoonsgegevens Verwerken in of doorgeven naar de Verenigde Staten of andere landen (Clerk, Vercel global edge, Cloudflare global edge, Vimeo, Svix, Meta, TikTok, Google zoals vermeld in Bijlage C).

8.2 Doorgiftemechanismen

Waar Keldio of een Keldio-subverwerker Persoonsgegevens van Klanten Verwerkt of Doorgeeft naar een Derde Land, vindt de Doorgifte plaats onder een van de volgende mechanismen, in volgorde van prioriteit:

• (a) een adequaatheidsbesluit van de Europese Commissie (of de Britse overheid voor doorgiften naar het VK) — bijvoorbeeld het EU–VS Data Privacy Framework voor zelf-gecertificeerde Amerikaanse ontvangers;
• (b) de EU-SCC's (Uitvoeringsbesluit 2021/914 van de Commissie), met Module 2 (verwerkingsverantwoordelijke-naar-verwerker) voor rechtstreekse doorgiften van de Tenant naar Keldio waar Keldio zich in een Derde Land bevindt, en Module 3 (verwerker-naar-verwerker) voor verdere doorgiften van Keldio naar een Subverwerker in een Derde Land;
• (c) voor VK-gerelateerde doorgiften, het UK International Data Transfer Addendum bij de SCC's, of de UK International Data Transfer Agreement;
• (d) voor Zwitserland-gerelateerde doorgiften, de SCC's zoals aangevuld met de vereisten van de Zwitserse Federale Gegevensbeschermingsautoriteit;
• (e) elk ander geldig doorgiftemechanisme op grond van artikel 46 AVG.

8.3 Opname van de SCC's

Waar de SCC's van toepassing zijn, komen de partijen overeen dat de SCC's door verwijzing in deze VWO worden opgenomen, met:

• de Tenant als gegevensexporteur en Keldio als gegevensimporteur voor Module 2;
• in Module 3-contexten, de relevante Keldio-subverwerker als importeur en Keldio als exporteur, met machtiging van de Tenant;
• Clausule 7 (docking) niet van toepassing;
• Clausule 9 (gebruik van subverwerkers) — optie 2 (algemene schriftelijke machtiging) met de kennisgevingstermijn in §7.3;
• Clausule 11 (verhaal) — optioneel onafhankelijk geschillenbeslechtingsorgaan niet standaard opgenomen;
• Clausule 17 (toepasselijk recht) — het recht van Nederland, mits het gekozen recht Betrokkenen toestaat de SCC's af te dwingen zoals vereist door de SCC's;
• Clausule 18 (forum en jurisdictie) — de rechtbanken van Nederland;
• Bijlage I, II en III ingevuld door verwijzing naar de Bijlagen A, B en C van deze VWO.

8.4 Doorgifte-effectbeoordeling

Keldio heeft voor elke Doorgifte naar een Derde Land onder de SCC's een doorgifte-effectbeoordeling uitgevoerd en houdt deze actueel. Een samenvatting van de beoordeling is op verzoek beschikbaar voor Tenants onder passende vertrouwelijkheid. De Tenant erkent dat hij de gepubliceerde Subverwerkerslijst en de Doorgiftemechanismen in §8.2 heeft beoordeeld en dat de partijen, op basis van de verstrekte informatie, van oordeel zijn dat de Doorgiften een in wezen gelijkwaardig beschermingsniveau bieden.

8.5 Toegang door de overheid

Keldio zal redelijke inspanningen leveren om juridisch ongeldige verzoeken om overheidstoegang tot Persoonsgegevens van Klanten te betwisten en zal, waar wettelijk toegestaan, de Tenant op de hoogte stellen van bindende verzoeken om overheidstoegang. Keldio zal van tijd tot tijd een transparantierapport publiceren waarin geaggregeerde overheidstoegangsactiviteit wordt beschreven.

8.6 Dataresidentie op verzoek

De Tenant kan toezeggingen inzake dataresidentie aanvragen (bijv. uitsluitend EU-verwerking) door contact op te nemen met Keldio. Keldio is niet verplicht zich te committeren aan dataresidentieconfiguraties die verder gaan dan wat momenteel beschikbaar is; waar Keldio zich schriftelijk aan een specifieke configuratie committeert, zal Keldio de configuratie niet wijzigen zonder de toestemming van de Tenant.

---

9. Verzoeken van Betrokkenen

9.1 Routering

Een Verzoek van een Betrokkene met betrekking tot Persoonsgegevens van Klanten dient te worden gericht aan de Tenant als Verwerkingsverantwoordelijke. Waar Keldio rechtstreeks van een Betrokkene een Verzoek van een Betrokkene ontvangt ten aanzien van Persoonsgegevens van Klanten, zal Keldio:

• (a) niet zelf op het verzoek reageren, behalve om de ontvangst te bevestigen en de Betrokkene waar passend door te verwijzen naar de Tenant;
• (b) de Tenant zonder onnodige vertraging (doorgaans binnen 5 werkdagen) op de hoogte stellen van het verzoek;
• (c) op instructie en kosten van de Tenant de Tenant bijstaan bij het reageren op het verzoek.

9.2 Selfservicetools

Keldio biedt Werkruimtetools waarmee de Tenant veelvoorkomende Verzoeken van Betrokkenen rechtstreeks kan afhandelen, waaronder:

• (a) inzage — de Tenant kan contactrecords, bestelgeschiedenis en gerelateerde gegevens exporteren via de in-app exports;
• (b) rectificatie — de Tenant kan contactrecords en andere velden met Persoonsgegevens rechtstreeks bewerken;
• (c) wissing — de Tenant kan contactrecords, communityposts, lesvoortgang en andere Persoonsgegevens verwijderen via de admin-UI of REST API;
• (d) beperking — de Tenant kan contacten onderdrukken van communicatie, records als beperkt markeren of contacten afmelden;
• (e) overdraagbaarheid — de Tenant kan contact- en bestelgegevens exporteren in een gestructureerd, gangbaar, machineleesbaar formaat (CSV/JSON);
• (f) bezwaar — de Tenant kan verdere Verwerking voor marketing stopzetten door contacten te onderdrukken.

9.3 Beperkingen van wissing

De Tenant erkent dat wissing uit actieve systemen Persoonsgegevens niet onmiddellijk verwijdert uit:

• (a) back-ups (die verlopen volgens de standaard back-upbewaarcyclus, streefwaarde 30 dagen);
• (b) auditlogs en beveiligingstelemetrie die worden bewaard op grond van §3.5(b)–(c) en §16;
• (c) agent_invocations die 90 dagen worden bewaard en webhook_deliveries die volgens het gegevensbewaarschema worden bewaard;
• (d) legal-hold- of fiscale/boekhoudkundige records die op grond van toepasselijk recht worden bewaard (bijv. NL fiscale bewaring tot 7 jaar voor facturen);
• (e) Mailgun-onderdrukkingslijsten, die identificatoren uitdrukkelijk bewaren om verdere communicatie te voorkomen;
• (f) downstream Door de Tenant Geconfigureerde Providers, waar wissing afzonderlijk door de Tenant moet worden aangevraagd.

Keldio staat de Tenant op verzoek bij in het identificeren en aanpakken van dergelijke beperkingen.

9.4 Identiteitsverificatie

De Tenant is verantwoordelijk voor het verifiëren van de identiteit van de Betrokkene en het bevestigen van de bevoegdheid van de Tenant om op het verzoek te handelen voordat Keldio een door de Tenant geïnstrueerde actie uitvoert die Persoonsgegevens van Klanten zou wijzigen of verwijderen.

9.5 Instructies van de Tenant en afhandeling van conflicten

Als Keldio tegenstrijdige instructies ontvangt van meerdere Admin-gebruikers, de eigenaar van de Werkruimte, de factuureigenaar of de juridische contactpersoon, kan Keldio bevestiging verlangen van de eigenaar van de Werkruimte of een andere geautoriseerde vertegenwoordiger voordat het actie onderneemt. Keldio kan weigeren te handelen op een instructie tot wissing, export of beperking waar Keldio redelijkerwijs van mening is dat de instructie onbevoegd, onrechtmatig, technisch onveilig is of waarschijnlijk een andere Tenant of Betrokkene onrechtmatig zal raken.

9.6 Kosten van bijstand

Routinematige bijstand bij Verzoeken van Betrokkenen die beschikbaar is via de Werkruimtetools is inbegrepen in de Diensten. Maatwerkbijstand (bijv. forensische gegevensexport over meerdere modules, aangepaste rapporten, bijstand ter plaatse) kan in rekening worden gebracht tegen Keldio's dan geldende tarieven voor professionele dienstverlening.

---

10. Kennisgeving van Inbreuken in verband met Persoonsgegevens

10.1 Kennisgeving aan de Tenant

Keldio stelt de Tenant zonder onnodige vertraging nadat Keldio bekend wordt met de Inbreuk op de hoogte van een bevestigde Inbreuk in verband met Persoonsgegevens die Persoonsgegevens van Klanten raakt, met een streefwaarde van binnen 72 uur na bevestiging. Keldio kan ook een voorlopige kennisgeving van een vermoed incident verstrekken waar dit de Tenant redelijkerwijs zou helpen Betrokkenen te beschermen, zelfs als het incident nog niet als een Inbreuk in verband met Persoonsgegevens is bevestigd.

10.2 Inhoud van de kennisgeving

De kennisgeving omvat, voor zover dan bekend en voor zover wettelijk toegestaan:

• (a) een beschrijving van de aard van de Inbreuk, waaronder de categorieën en het bij benadering aantal getroffen Betrokkenen en records;
• (b) de waarschijnlijke gevolgen van de Inbreuk;
• (c) de maatregelen die zijn genomen of voorgesteld om de Inbreuk aan te pakken en mogelijke nadelige gevolgen te beperken;
• (d) de naam en contactgegevens van Keldio's gegevensbeschermingscontactpersoon voor de aangelegenheid;
• (e) alle overige informatie die de Tenant redelijkerwijs nodig heeft om aan zijn verplichtingen op grond van de artikelen 33 en 34 AVG te voldoen.

Waar niet alle informatie bij de eerste kennisgeving beschikbaar is, verstrekt Keldio gefaseerd updates naarmate meer bekend wordt.

10.3 Medewerking

Keldio werkt te goeder trouw met de Tenant samen bij het onderzoek naar, de beperking van en het herstel van de Inbreuk, en verleent redelijke bijstand bij elke kennisgeving aan een Toezichthoudende Autoriteit of Betrokkene die de Tenant verplicht is te doen.

10.4 Kennisgevingsverantwoordelijkheden van de Tenant

De Tenant is verantwoordelijk voor het beoordelen of een Toezichthoudende Autoriteit en/of getroffen Betrokkenen op grond van de artikelen 33 en 34 AVG moeten worden geïnformeerd, en voor het doen van dergelijke kennisgevingen. Keldio's kennisgeving aan de Tenant op grond van deze §10 vormt geen kennisgeving namens de Tenant aan een Toezichthoudende Autoriteit of Betrokkene.

10.5 Beperking

Keldio neemt onverwijld passende maatregelen om de Inbreuk in te dammen, te beperken en te herstellen.

10.6 Geen erkenning

Keldio's kennisgeving of medewerking op grond van deze §10 vormt geen erkenning van schuld of aansprakelijkheid.

---

11. Gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging

11.1 Bijstand

Waar de Tenant verplicht is een Gegevensbeschermingseffectbeoordeling uit te voeren op grond van artikel 35 AVG, of een Toezichthoudende Autoriteit te raadplegen op grond van artikel 36 AVG, ten aanzien van Verwerking via de Diensten, verleent Keldio redelijke bijstand, waaronder:

• (a) informatie over de aard van de Verwerking, de TOM's en de Subverwerkerslijst;
• (b) antwoorden op redelijke, afgebakende vragen over de Service-architectuur die relevant zijn voor de beoordeling;
• (c) waar passend, deelname aan één werksessie per beoordeling.

11.2 Kosten

Routinematige informatie en de beschrijving van de Service-architectuur zijn inbegrepen in de Diensten. Uitgebreide maatwerkbijstand (bijv. op maat gemaakte opstelling van effectbeoordelingen, deelname aan meerdere bijeenkomsten met toezichthouders) kan in rekening worden gebracht tegen Keldio's dan geldende tarieven voor professionele dienstverlening, vooraf overeengekomen.

11.3 Garantie van de Tenant

De Tenant blijft verantwoordelijk voor het voltooien van de beoordeling en voor alle communicatie met de Toezichthoudende Autoriteit.

---

12. Audits en inspecties

12.1 Eerst informatie

Keldio stelt de Tenant de informatie ter beschikking die nodig is om naleving van artikel 28 AVG aan te tonen, waaronder:

• (a) deze VWO;
• (b) de gepubliceerde Subverwerkerslijst;
• (c) de TOM's (Bijlage B);
• (d) Keldio's gepubliceerde Privacybeleid en Overzicht Beveiligingsmaatregelen;
• (e) certificeringen en attesten die Keldio van tijd tot tijd heeft verkregen (bijv. ISO/IEC 27001, SOC 2 Type II — indien aanwezig);
• (f) samenvattingen van resultaten van penetratietests (onder passende vertrouwelijkheid);
• (g) antwoorden op een redelijk aantal precontractuele of jaarlijkse beveiligingsvragenlijsten per jaar.

12.2 Recht op audit door derden

Op redelijke schriftelijke kennisgeving (ten minste 30 dagen, behalve in geval van een bevestigde Inbreuk waar een kortere kennisgevingstermijn passend kan zijn) kan de Tenant, op eenmaal-per-12-maanden-basis (en aanvullend na een bevestigde Inbreuk), een onafhankelijke audit door een derde van Keldio's naleving van deze VWO uitvoeren of laten uitvoeren, met inachtneming van:

• (a) dat de audit wordt uitgevoerd door een gekwalificeerde onafhankelijke auditor onder schriftelijke vertrouwelijkheids- en non-conflictverplichtingen die met Keldio zijn overeengekomen;
• (b) dat de auditor geen concurrent van Keldio is;
• (c) dat de audit is afgebakend tot Keldio's Verwerking van Persoonsgegevens van Klanten namens de Tenant, en zich niet uitstrekt tot gegevens van andere Tenants, interne Keldio-activiteiten die geen verband houden met de Tenant, of de commerciële informatie van Keldio;
• (d) dat de audit wordt uitgevoerd tijdens normale kantooruren, met minimale verstoring van Keldio's activiteiten;
• (e) dat de audit niet vereist dat Keldio gegevens van andere klanten openbaar maakt, een legal hold schendt of vertrouwelijkheidsverplichtingen jegens Subverwerkers schendt;
• (f) dat alle kosten door de Tenant worden gedragen, waaronder redelijke medewerkingskosten van Keldio;
• (g) dat de auditor een NDA met Keldio ondertekent.

12.3 Bevindingen

De Tenant deelt auditbevindingen onverwijld met Keldio. De partijen bespreken bevindingen te goeder trouw en komen eventuele herstelmaatregelen overeen.

12.4 Verzoeken van Toezichthoudende Autoriteiten

Deze §12 beperkt niet de verplichting van Keldio of de Tenant om mee te werken aan een inspectie of onderzoek van een Toezichthoudende Autoriteit dat wordt uitgevoerd op grond van haar wettelijke bevoegdheden.

---

13. Wissing of retournering van Persoonsgegevens bij beëindiging

13.1 Keuze van de Tenant

Bij beëindiging of afloop van de Platformvoorwaarden (of eerder op schriftelijk verzoek van de Tenant) kan de Tenant Keldio opdragen Persoonsgegevens van Klanten te wissen of te retourneren. Waar de Tenant geen instructie geeft, is de standaard wissing in overeenstemming met §13.3.

13.2 Exportvenster

De Tenant heeft na beëindiging een exportvenster in overeenstemming met de Platformvoorwaarden (doorgaans 30 dagen standaard; 90 dagen waar Keldio zonder reden beëindigt of bij een Service-brede afbouw). Tijdens dit venster behoudt de Tenant alleen-lezentoegang tot de Werkruimte en de exporttools.

13.3 Wissing

Na het exportvenster wist Keldio Persoonsgegevens van Klanten binnen een verdere 30 dagen uit actieve systemen, met uitzondering van gegevens die op grond van §13.5 worden bewaard.

13.4 Back-ups

Persoonsgegevens van Klanten kunnen gedurende de standaard back-upbewaarperiode (doorgaans 30 dagen vanaf de datum van de laatste schrijfactie) in versleutelde back-ups blijven bestaan voordat ze via de normale back-upcyclus worden gewist. Tijdens deze residuele periode Verwerkt Keldio de gegevens uitsluitend voor back-upintegriteitsdoeleinden.

13.5 Bewaarde gegevens

Keldio mag Persoonsgegevens van Klanten na de wissingstermijnen in §13.3–§13.4 bewaren voor zover en gedurende de periode die vereist is om te voldoen aan:

• (a) wettelijke, regelgevende, fiscale of boekhoudkundige verplichtingen (bijv. Nederlandse fiscale bewaring van facturen tot 7 jaar);
• (b) legitieme records voor fraudepreventie, misbruikonderzoek of beveiligingsincidenten;
• (c) het verdedigen of instellen van rechtsvorderingen;
• (d) het bewaren van bewijs onder een legal hold;
• (e) onderdrukkingslijsten aan Subverwerker-zijde (bijv. Mailgun-onderdrukking) waar bewaring een privacybeschermend doel dient (het voorkomen van hermailing na afmelding).

Bewaarde gegevens worden gescheiden gehouden en zijn toegangsbeperkt. Ze worden gewist wanneer de bewaargrond vervalt.

13.6 Geaggregeerde en gede-identificeerde gegevens

Geaggregeerde en gede-identificeerde gegevens die zijn afgeleid van het gebruik door de Tenant zijn geen Persoonsgegevens van Klanten en kunnen voor onbepaalde tijd worden bewaard.

13.7 Juridische aanvaardings- en bewijsrecords

Keldio mag Juridische Aanvaardingsgebeurtenissen, documentversierecords, aanvaardingshashes, tijdstempels, IP-adressen, user agents en gerelateerd auditbewijs bewaren zolang dit redelijkerwijs noodzakelijk is om de totstandkoming van het contract te bewijzen, rechtsvorderingen te verdedigen, de wet na te leven of naleving van de Gegevensbeschermingswetgeving aan te tonen. Deze records zijn records van Keldio als verwerkingsverantwoordelijke op grond van §3.5 en worden niet gewist louter omdat een Werkruimte wordt verwijderd, tenzij bewaring niet langer noodzakelijk of vereist is.

13.8 Bevestiging

Op schriftelijk verzoek van de Tenant bevestigt Keldio schriftelijk dat de wissing is voltooid in overeenstemming met deze §13, met verwijzing naar gegevenscategorieën en data.

---

14. AI-functies, agenten en de MCP-server (Keldio-specifiek)

14.1 Machtiging van agenten door de Tenant

De Tenant mag REST API-sleutels en MCP-sleutels ("Agent-inloggegevens") uitgeven aan zijn Admin-gebruikers, opdrachtnemers, partners of aan AI-agenten die worden geëxploiteerd door Externe AI-providers. Door een Agent-inloggegeven uit te geven, machtigt de Tenant de houder om namens de Tenant te handelen bij het Verwerken van Persoonsgegevens van Klanten via de Diensten.

Waar een Agent-inloggegeven scopes voor teambeheer, instellingen, export, juridisch, facturatie, betaling, e-mail, inbox, publicatie of andere gevoelige scopes omvat, erkent de Tenant dat de verbonden agent handelingen kan verrichten met wezenlijke juridische, commerciële, privacy- of beveiligingsgevolgen. De Tenant blijft verantwoordelijk voor het selecteren van passende scopes, het toezicht houden op het agentgebruik, het beoordelen van door Keldio beschikbaar gestelde logs en het intrekken van inloggegevens die niet langer nodig of vertrouwd zijn.

14.2 Toerekening van agenten

Verwerking die wordt uitgevoerd onder een Agent-inloggegeven wordt voor de toepassing van deze VWO aan de Tenant toegerekend. De Tenant is de Verwerkingsverantwoordelijke van Verwerking die door een Agent wordt gestart. Keldio is de Verwerker van die activiteit op de instructies van de Tenant, ongeacht of de actor aan de zijde van de Tenant een mens, een script of een AI-agent is.

14.3 Geen menselijke-goedkeuringspoort

De Tenant erkent dat MCP-toolaanroepen, REST API-verzoeken, Workflow-uitvoeringen en Sequence-stappen onmiddellijk worden uitgevoerd bij ontvangst van een geauthenticeerd verzoek en dat er geen menselijke-goedkeuringsonderschepping door Keldio plaatsvindt. De Tenant is verantwoordelijk voor de rechtmatigheid, reikwijdte en gevolgen van alle Verwerking die onder Agent-inloggegevens wordt gestart.

14.4 Logging en bewaring

Keldio logt Agent-activiteit in agent_invocations gedurende 90 dagen. De Tenant kan de log raadplegen via de Werkruimte-UI of API. De log wordt bewaard als operationele gegevens van Keldio op grond van §3.5(c).

14.5 Externe AI-providers

Waar de Tenant een AI-agent heeft verbonden die wordt geëxploiteerd door een Externe AI-provider (bijv. Anthropic, OpenAI, de eigen modelimplementatie van de Tenant) met de Diensten, wordt de Verwerking van de Provider beheerst door het contract van de Tenant met de Provider. De Provider is geen Keldio-subverwerker. De Tenant is verantwoordelijk voor de gegevensverwerking, het beleid inzake trainingsgegevens, de bewaring en de beveiligingshouding van de Provider.

14.6 Keldio's gebruik van klantgegevens voor AI-training

Keldio gebruikt geen identificeerbare Persoonsgegevens van Klanten, Klantcontent of Ledengegevens om door Keldio geëxploiteerde AI-modellen te trainen, en machtigt Keldio-subverwerkers niet om dit namens Keldio te doen. Keldio mag geaggregeerde, gede-identificeerde gebruikssignalen gebruiken om heuristieken, ranking en aanbevelingen te verbeteren, consistent met §3.5(d) en de Platformvoorwaarden. Als Keldio later eigen AI-modellen exploiteert die zijn getraind op klantgegevens, zal Keldio een duidelijk opt-in-/opt-outmechanisme publiceren en deze VWO wijzigen in overeenstemming met §19.

14.7 AI-output en menselijke beoordeling

De Tenant blijft verantwoordelijk voor het beoordelen van door AI of agenten gegenereerde Output voordat hij erop vertrouwt in juridisch, financieel, medisch, arbeidsgerelateerd, educatief of vergelijkbaar ingrijpende contexten. Keldio Verwerkt Persoonsgegevens van Klanten die door AI-/Agent-functies worden gebruikt op de instructies van de Tenant, maar Keldio garandeert niet dat Output juist, volledig, rechtmatig voor het specifieke gebruik van de Tenant, niet-discriminerend of vrij van hallucinaties is.

14.8 Veiligheidscontroles

Keldio mag, zonder kennisgeving, Agent-activiteit afknijpen, in scope beperken, met een kill-switch stopzetten of auditen om de Diensten, andere Tenants of Eindgebruikers te beschermen. Keldio's uitoefening van deze controles vormt geen schending van deze VWO of de Platformvoorwaarden.

---

15. Door de Tenant Geconfigureerde Providers (Keldio-specifiek)

15.1 Kanaalrol

Waar de Tenant een Door de Tenant Geconfigureerde Provider heeft geconfigureerd (Mailgun, Mollie, Stripe Connect, Cloudflare Stream in BYO-modus, Bundle.social, Meta CAPI, TikTok Events API, Google Ads, enz.), is de rol van Keldio ten aanzien van die Provider die van kanaal: Keldio gebruikt de inloggegevens van de Tenant om namens de Tenant op het account bij de Provider te handelen zoals de Tenant heeft geconfigureerd.

15.2 Gegevensstromen

Bijlage G beschrijft de stromen van Persoonsgegevens voor de belangrijkste Door de Tenant Geconfigureerde Providers. De Tenant garandeert dat hij de toestemmingen van Betrokkenen heeft verkregen en de kennisgevingen heeft verstrekt die voor elke dergelijke stroom vereist zijn (bijv. toestemming voor server-side advertentieconversiegebeurtenissen naar Meta CAPI / TikTok Events / Google Ads).

15.3 Keldio's verplichtingen

Ten aanzien van Door de Tenant Geconfigureerde Providers zijn Keldio's VWO-verplichtingen beperkt tot:

• (a) het verzenden van Persoonsgegevens in overeenstemming met de configuratie van de Tenant;
• (b) het veilig opslaan van Door de Tenant Verstrekte Inloggegevens (§6.4);
• (c) het niet Verwerken van de Persoonsgegevens voor enig ander doel dan zoals geïnstrueerd.

15.4 Webhooks en externe bestemmingen

Waar de Tenant webhooks, API-exports, automatiseringen, MCP-aanroepen of andere uitgaande bezorgingen naar door de Tenant beheerde of externe bestemmingen configureert, eindigt de verantwoordelijkheid van Keldio wanneer Keldio de payload veilig heeft verzonden volgens de configuratie van de Tenant, behalve voor zover Keldio's eigen verzendfout. De Tenant is verantwoordelijk voor het ontvangende endpoint, de authenticatie, logging, bewaring, verdere openbaarmaking en beveiliging van de bestemming.

15.5 Geen VWO tussen Keldio en Door de Tenant Geconfigureerde Providers

Keldio bevindt zich niet in een Subverwerkerrelatie met Door de Tenant Geconfigureerde Providers ten aanzien van het account van de Tenant bij die Providers. De Tenant is verantwoordelijk voor zijn contract en VWO met elke Provider.

---

16. Registers van verwerkingsactiviteiten (artikel 30)

16.1 Keldio's registers

Keldio houdt registers bij van zijn verwerkingsactiviteiten zoals vereist door artikel 30(2) AVG, waaronder de categorieën Verwerking die namens elke Tenant worden uitgevoerd (geaggregeerd waar een Tenant geen specifieke registers heeft aangevraagd), de categorieën Subverwerkers, de internationale doorgiften en de TOM's.

16.2 Overlegging op verzoek

Keldio stelt deze registers op verzoek ter beschikking aan een Toezichthoudende Autoriteit en op redelijk schriftelijk verzoek aan de Tenant, met inachtneming van redactie van vertrouwelijke informatie van andere klanten.

16.3 Registers van de Tenant

De Tenant blijft verantwoordelijk voor het bijhouden van zijn eigen artikel 30(1)-registers als Verwerkingsverantwoordelijke.

---

17. Aansprakelijkheid

17.1 Brug naar de Platformvoorwaarden

De bepalingen inzake beperking van aansprakelijkheid van de Platformvoorwaarden zijn van toepassing op aansprakelijkheid die voortvloeit uit of verband houdt met deze VWO, behalve zoals uitdrukkelijk bepaald in deze §17.

17.2 Verzekering-eerst-beginsel

Voor zover Keldio aansprakelijk is voor schade die voortvloeit uit deze VWO, is Keldio's aansprakelijkheid in eerste instantie beperkt tot het bedrag dat door Keldio's verzekeraar ter zake van de betreffende vordering wordt uitgekeerd (waar een dergelijke dekking aanwezig is).

17.3 Aggregaat-plafond waar de verzekering niet reageert

Waar Keldio's verzekeraar de schade niet (of niet volledig) dekt, is Keldio's totale aansprakelijkheid onder deze VWO — samen met alle aansprakelijkheid onder de Platformvoorwaarden ten aanzien van dezelfde aangelegenheid — geplafonneerd conform de Platformvoorwaarden (doorgaans 12 maanden van daadwerkelijk betaalde Vergoedingen; €100 voor Proef-/kostenloze accounts), met inachtneming van de uitzonderingen in de Platformvoorwaarden.

17.4 Geen vermenigvuldiging van plafonds

Het VWO-plafond en het Platformvoorwaarden-plafond worden geaggregeerd, niet gestapeld. Dezelfde aangelegenheid kan niet tweemaal worden vergoed.

17.5 Indirecte schade uitgesloten

Elke partij sluit aansprakelijkheid uit voor indirecte, incidentele, bijzondere, gevolg-, punitieve of exemplaire schade, winstderving, omzetverlies, bedrijfsverlies, verlies van goodwill, verlies van kansen of verlies van verwachte besparingen, in elk geval voor zover maximaal wettelijk toegestaan.

17.6 Uitsluiting van falen van derden

Storingen in de diensten van derden — waaronder Keldio-subverwerkers, Door de Tenant Geconfigureerde Providers, hostingproviders, telecommunicatieproviders, internetrouting, energieleveranciers, overheidsinfrastructuur en andere leveranciers — zijn niet aan Keldio toe te rekenen, en Keldio is niet aansprakelijk voor schade veroorzaakt door dergelijke storingen, behalve voor zover Keldio's verantwoordelijkheid voor Keldio-subverwerkers op grond van §7.6.

17.7 Vrijwaring door de Tenant

De vrijwaring door de Tenant in §4.8 is van toepassing op verliezen, boetes, regelgevende sancties en vorderingen van derden die voortvloeien uit de schending aan verantwoordelijke-zijde door de Tenant.

17.8 Uitzonderingen

Niettegenstaande deze §17 beperkt of sluit geen van beide partijen aansprakelijkheid uit voor: fraude; opzettelijk wangedrag; grove nalatigheid; overlijden of persoonlijk letsel veroorzaakt door nalatigheid; of enige aansprakelijkheid die op grond van toepasselijk recht niet rechtmatig kan worden beperkt of uitgesloten.

17.9 Regelgevende boetes

Waar een Toezichthoudende Autoriteit een boete oplegt aan een partij op grond van artikel 83 AVG (of het equivalent daarvan), wordt die boete gedragen door de partij aan wie deze is opgelegd, behalve waar de boete geheel of grotendeels voortvloeit uit de schending van deze VWO door de andere partij, in welk geval de inbreukmakende partij de andere vrijwaart tot het plafond in §17.3 en met inachtneming van de uitzonderingen in §17.8.

---

18. Looptijd, beëindiging en voortbestaan

18.1 Looptijd

Deze VWO geldt voor de duur van de Platformvoorwaarden.

18.2 Beëindiging

Deze VWO eindigt automatisch wanneer de Platformvoorwaarden eindigen. Beëindiging van deze VWO laat de doorlopende rechten van de Tenant ten aanzien van reeds Verwerkte Persoonsgegevens van Klanten onverlet.

18.3 Voortbestaan

De bepalingen van deze VWO die naar hun aard bedoeld zijn de beëindiging te overleven — waaronder §3.5 (verwerkingsverantwoordelijke-doeleinden van Keldio), §10 (inbreukkennisgeving, voor gebeurtenissen die zich tijdens de looptijd voordoen), §13 (wissing of retournering), §16 (registers), §17 (aansprakelijkheid), §20 (toepasselijk recht) — blijven dienovereenkomstig van kracht.

18.4 Rangorde

In geval van strijdigheid tussen deze VWO en de Platformvoorwaarden, prevaleert deze VWO ten aanzien van de Verwerking van Persoonsgegevens; de Platformvoorwaarden prevaleren in alle overige opzichten. In geval van strijdigheid tussen deze VWO en de SCC's (waar opgenomen), prevaleren de SCC's ten aanzien van de aangelegenheden die zij regelen.

---

19. Wijzigingen in deze VWO

19.1 Recht op wijziging

Keldio mag deze VWO van tijd tot tijd bijwerken:

• (a) om wijzigingen in de Gegevensbeschermingswetgeving of richtsnoeren van een Toezichthoudende Autoriteit weer te geven;
• (b) om wijzigingen in de Subverwerkerslijst weer te geven in overeenstemming met §7;
• (c) om wijzigingen in de Keldio Service-architectuur weer te geven die de Verwerking raken;
• (d) om fouten of inconsistenties te corrigeren; en
• (e) om andere redelijke redenen die consistent zijn met de gegevensbeschermingsrechten van Betrokkenen.

19.2 Kennisgeving

Wezenlijke wijzigingen (wijzigingen die de Verwerking wezenlijk uitbreiden, de rechten van de Tenant wezenlijk verminderen, de beveiliging wezenlijk verzwakken of het internationale doorgiftemechanisme wezenlijk wijzigen) worden ten minste 30 dagen nadat kennisgeving aan Admin-gebruikers per e-mail en in-app kennisgeving is gegeven, van kracht. Niet-wezenlijke wijzigingen worden van kracht bij plaatsing.

19.3 Recht op beëindiging bij wezenlijke wijziging

Als de Tenant binnen 30 dagen na kennisgeving van een wezenlijke wijziging schriftelijk bezwaar maakt op redelijke gegevensbeschermingsgronden, en de partijen het bezwaar niet binnen een verdere 30 dagen kunnen oplossen, mag de Tenant de betrokken Dienst beëindigen in overeenstemming met de Platformvoorwaarden. Keldio betaalt eventuele vooruitbetaalde Vergoedingen voor de periode na beëindiging terug.

---

20. Algemene bepalingen

20.1 Toepasselijk recht

Deze VWO wordt beheerst door het recht van Nederland.

20.2 Jurisdictie

Elk geschil dat voortvloeit uit of verband houdt met deze VWO wordt voorgelegd aan de exclusieve bevoegdheid van de bevoegde rechtbanken van Amsterdam, Nederland. Elke partij kan in elke bevoegde rechtbank om een voorlopige voorziening verzoeken.

20.3 Scheidbaarheid

Indien een bepaling van deze VWO ongeldig, onwettig of niet-afdwingbaar wordt geacht, blijven de geldigheid, wettigheid en afdwingbaarheid van de overige bepalingen onaangetast. De partijen vervangen de ongeldige bepaling door een geldige bepaling die de oorspronkelijke bedoeling van de partijen het dichtst benadert.

20.4 Taal

De Engelse versie van deze VWO is de bindende versie. Een Nederlandse vertaling kan voor het gemak beschikbaar worden gesteld; in geval van strijdigheid prevaleert de Engelse versie — tenzij dwingend Nederlands consumentenbeschermingsrecht anders vereist voor een bepaalde Tenant.

20.5 Volledige overeenkomst

Deze VWO vormt, samen met de Platformvoorwaarden, het Acceptabel Gebruiksbeleid, de gepubliceerde Subverwerkerslijst en een eventueel toepasselijk Bestelformulier, de volledige overeenkomst van de partijen ten aanzien van de Verwerking van Persoonsgegevens en vervangt eventuele eerdere gegevensverwerkingsregelingen tussen de partijen.

20.6 Overdracht

Geen van beide partijen mag deze VWO overdragen zonder voorafgaande schriftelijke toestemming van de andere, behalve zoals toegestaan door de Platformvoorwaarden (die overdracht door Keldio aan een Gelieerde Onderneming of rechtsopvolger in verband met een fusie, overname of herstructurering na kennisgeving toestaan).

20.7 Kennisgevingen

Kennisgevingen op grond van deze VWO kunnen worden gegeven in overeenstemming met de Platformvoorwaarden. Formele kennisgevingen aan Keldio voor de toepassing van deze VWO dienen tevens te worden gestuurd naar legal@keldio.com en in kopie naar dpo@keldio.com (indien aanwezig).

20.8 Exemplaren en elektronische handtekening

Deze VWO kan in exemplaren en door elektronische aanvaarding worden ondertekend. Click-to-sign-aanvaarding via de Keldio-werkruimte vormt een geldige ondertekening.

---

21. Aanvaardingsbewijs en versiebeheer

21.1 Clickwrap en aanvaardingsrecords

De Tenant kan deze VWO aanvaarden via een selectievakje, checkout-aanvaarding, in-app clickwrap, API-/bestelformulieraanvaarding, elektronische handtekening of voortgezet gebruik na een kennisgeving van een wezenlijke wijziging waar de Platformvoorwaarden dat mechanisme toestaan. Keldio legt een Juridische Aanvaardingsgebeurtenis vast voor clickwrap- of in-app aanvaarding.

21.2 Inhoud van de Juridische Aanvaardingsgebeurtenis

Een Juridische Aanvaardingsgebeurtenis dient, waar beschikbaar, vast te leggen: Tenant-ID, Werkruimte-ID, ID van de aanvaardende gebruiker, e-mailadres, naam/bedrijf, tijdstempel, IP-adres, user agent, aanvaardingsbron, exacte tekst van het selectievakje of de knop, aanvaarde documenttypen, documentversienummers, document-URL's, content-hashes van documenten en gerelateerde checkout-/bestel-/sessie-identificatoren.

21.3 Geversioneerde juridische documenten

Keldio houdt geversioneerde records bij van deze VWO en andere door de Tenant aanvaarde juridische documenten, toereikend om de tekst te reconstrueren die op het moment van aanvaarding is aanvaard. Een openbare URL kan in de loop van de tijd wijzigen; het aanvaardingsrecord dient de aanvaarde versie en content-hash te identificeren.

21.4 CRM-projectie

Keldio mag de aanvaardingsstatus in de Keldio super-admin CRM weergeven als een Juridische Aanvaardingskaart, tijdlijngebeurtenis, downloadbaar bewijscertificaat of vergelijkbare operationele projectie. De CRM-projectie is voor het gemak. De Juridische Aanvaardingsgebeurtenis en het geversioneerde juridische-documentrecord vormen de bron van waarheid.

21.5 Heraanvaarding

Keldio kan heraanvaarding van deze VWO verlangen waar Keldio wezenlijke wijzigingen aanbrengt, waar dit wettelijk vereist is, of waar een Tenant upgradet naar een Servicemodule die de Verwerking wezenlijk wijzigt. Heraanvaarding creëert een nieuwe Juridische Aanvaardingsgebeurtenis en overschrijft eerdere aanvaardingsrecords niet.

---

Bijlage A — Beschrijving van de Verwerking

A.1 Onderwerp van de Verwerking

De levering van de Keldio-platformdiensten aan de Tenant onder de Platformvoorwaarden.

A.2 Duur van de Verwerking

Voor de duur van de Platformvoorwaarden, plus de wissings-/bewaarperioden uiteengezet in §13.

A.3 Aard van de Verwerking

Hosting, opslag, organisatie, structurering, opvraging, raadpleging, gebruik, verzending, op elkaar afstemmen, combineren, beperken, wissen en vernietigen van Persoonsgegevens; verzending van communicatie op gezag van de Tenant; uitvoering van door de Tenant geconfigureerde automatiseringen; levering van het Ledenportaal van de Tenant; verwerking van bestellingen, facturen en betalingen via Door de Tenant Geconfigureerde Providers; verzending van server-side advertentieconversiegebeurtenissen naar Door de Tenant Geconfigureerde Providers; bezorging van webhooks naar door de Tenant geregistreerde endpoints; levering van analyses en rapportage; levering van support.

A.4 Doel van de Verwerking

Het leveren van de Diensten aan de Tenant, waaronder het beheren van de bedrijfsprocessen van de Tenant via de Werkruimte.

A.5 Categorieën Betrokkenen

• De contacten en leads van de Tenant;
• De klanten en voormalige klanten van de Tenant (kopers van de producten of diensten van de Tenant);
• De Leden van de Tenant (cursusstudenten, communitydeelnemers, leden van het Ledenportaal van de Tenant);
• De webinarregistranten en -deelnemers van de Tenant;
• De boekingsgasten van de Tenant;
• Ontvangers van de communicatie van de Tenant (e-mail, social, transactioneel);
• Indieners van openbare contactformulieren aan de Tenant;
• De Admin-gebruikers, eigenaren en teamleden van de Tenant;
• Auteurs van communityposts binnen de Werkruimte van de Tenant;
• Houders van door de Tenant uitgegeven REST API-sleutels, MCP-sleutels en webhook-secrets, en personen die onder dergelijke inloggegevens handelen.

A.6 Categorieën Persoonsgegevens

• Identificatiegegevens — naam, e-mail, telefoon, postadres, social handles, profielfoto.
• Account-/inloggegevens — gebruikersnamen, gehashte authenticatietokens (Keldio slaat geen wachtwoorden in platte tekst op), sessie-identificatoren (via Clerk).
• Commerciële gegevens — aankoopgeschiedenis, abonnementsstatus, factuurrecords, terugbetalingsrecords, klant-ID's van de betaalprovider, transactie-ID's van de betaalprovider (geen kaartnummers — die blijven bij Mollie / Stripe).
• Gedrags-/betrokkenheidsgegevens — paginaweergaven, opt-ins, formulierinzendingen, klikgebeurtenissen, lesvoortgang, communityposts, deelname aan supportthreads.
• Marketingattributiegegevens — UTM-parameters, klik-identificatoren van advertentieplatforms (fbclid, gclid, ttclid, li_fat_id, twclid), Meta fbc/fbp-cookies, referrer-URL, landingspagina.
• Communicatie-inhoud — inkomende en uitgaande e-mailteksten; social posts; communityposts; berichten in supportthreads; webinar-chatregels; door AI opgestelde communicatie.
• Gebruiksgegevens ledenportaal — lesson_progress (started_at, completed_at), event_rsvps, community_members, course_enrollments, inlogactiviteit van leden.
• Boekingsgegevens — naam, e-mail, telefoon, tijdslot, notities van de boeker.
• Webinar- en videogegevens — registratiegegevens, aanwezigheidsgegevens, chatgegevens, opnames, replay-toegangsrecords, geüploade videobestanden, videometadata, kijker-/verzoekmetadata en gerelateerde probleemoplossings- of bezorgingslogs.
• Advertentieconversiegegevens (server-side) — gehashte e-mail, gehasht telefoonnummer, IP, user agent, klik-identificator, verzonden naar Meta CAPI / TikTok Events / Google Ads op configuratie van de Tenant.
• Technische gegevens — IP-adres, user agent, apparaatgegevens, browsergegevens, loggegevens.
• Bijzondere Categorieën Persoonsgegevens — uitsluitend waar de Tenant Verwerking opdraagt in overeenstemming met §4.5.

A.7 Frequentie

Doorlopende Verwerking voor de duur van de Diensten.

A.8 Bewaring

Voor de duur van de Platformvoorwaarden, plus de wissings- en bewaarperioden uiteengezet in §13.

---

Bijlage B — Technische en Organisatorische Maatregelen (TOM's)

B.1 Vertrouwelijkheid (artikel 32(1)(b))

• Versleuteling van Persoonsgegevens tijdens verzending via TLS 1.2+ voor alle klantgerichte endpoints.
• Versleuteling van Persoonsgegevens in rust via Supabase-opslagversleuteling.
• Versleuteling van Door de Tenant Verstrekte Inloggegevens in rust in de tenant_api_keys-tabel.
• SHA-256-hashing van REST API-sleutels en MCP-sleutels; platte tekst uitsluitend getoond bij uitgifte.
• Authenticatie via Clerk voor Admin-gebruikers en Leden.
• Multifactorauthenticatie beschikbaar voor Admin-gebruikers; vereist voor Keldio-personeel met productietoegang.
• Op rollen gebaseerde toegangscontrole met least-privilege-standaardinstellingen.
• Isolatie van Tenant-gegevens afgedwongen door scoping op applicatieniveau (tenant_id op elke relevante tabel) met selectieve Postgres Row-Level Security.

B.2 Integriteit (artikel 32(1)(b))

• Auditlogging van gevoelige adminhandelingen (platform_audit_log).
• Logging van agent-aanroepen (agent_invocations, 90 dagen bewaring).
• Logging van webhook-bezorgingen (webhook_deliveries).
• Webhook-ondertekening met roteerbare HMAC-secrets.
• Database-integriteit via PostgreSQL-constraints, foreign keys, transacties.
• Broncodereview voor productiewijzigingen.

B.3 Beschikbaarheid en veerkracht (artikel 32(1)(b))

• Gehost op beheerde cloudinfrastructuur met door de provider beheerde uptime (Vercel, Supabase).
• Databaseback-ups gemaakt volgens het door Supabase geleverde schema; back-upbewaring vermeld in §13.4.
• Monitoring van platformgezondheid, foutpercentages en gezondheid van Subverwerkers.
• Incidentresponsprocedure met on-call-dekking.

B.4 Herstel (artikel 32(1)(c))

• Back-upherstelprocedures periodiek getest.
• Gedocumenteerd terugrolpad voor productie-implementaties.

B.5 Testen en evaluatie (artikel 32(1)(d))

• Periodieke penetratietests (doorgaans ten minste jaarlijks zodra de omzet dit rechtvaardigt; anders bij wezenlijke architectuurwijziging).
• Responsible-disclosurebeleid (indien gepubliceerd).
• Interne beveiligingsreview voor nieuwe functies en wijzigingen in Subverwerkers.
• Jaarlijkse review van de TOM's.

B.6 Personeel

• Vertrouwelijkheidsverklaringen voor alle personeel met toegang tot Persoonsgegevens van Klanten.
• Beveiligingsbewustzijnstraining voor personeel.
• Achtergrondcontroles voor personeel met productietoegang (waar wettelijk toegestaan in het relevante rechtsgebied).
• Onmiddellijke intrekking van toegang bij vertrek of rolwijziging van personeel.

B.7 Beheer van Subverwerkers

• Pre-engagement beveiligings- en gegevensbeschermingsreview van nieuwe Subverwerkers.
• Schriftelijke contracten met elke Keldio-subverwerker die de verplichtingen van artikel 28(3) opleggen *mutatis mutandis*.
• Jaarlijkse review van Subverwerkers.

B.8 Leveranciers en toeleveringsketen

• Procedures voor patching en het bijwerken van afhankelijkheden.
• Gebruik van gecontroleerde libraries en frameworks.

B.9 Incidentrespons

• Gedocumenteerd incidentresponse-playbook met: detectie, triage, indamming, eradicatie, herstel, lessons learned.
• Streefwaarde inbreukkennisgeving van 72 uur na bevestiging (§10.1).

B.10 Fysieke beveiliging

• Alle Persoonsgegevens van Klanten worden gehost in datacentra van derden die worden geëxploiteerd door Keldio-subverwerkers. Fysieke beveiliging wordt beheerd door de relevante Subverwerker en is gedocumenteerd in de gepubliceerde beveiligingsmaterialen van de Subverwerker.

B.11 Pseudonimisering en minimalisatie

• Pseudonimisering toegepast waar passend (bijv. gehashte PII in server-side advertentieconversie-aanroepen).
• Gegevensminimalisatie door ontwerp in nieuwe functies.

---

Bijlage C — Subverwerkers en Door de Tenant Geconfigureerde Providers

C.1 Keldio-subverwerkers (Verwerken voor rekening van Keldio)

C.2 Door de Tenant Geconfigureerde Providers (Verwerken voor rekening van de Tenant; geen Keldio-subverwerkers)

C.3 Opmerking over hybride providerrol (Cloudflare Stream)

Waar de Tenant het standaard Cloudflare Stream-account van Keldio gebruikt (niet de BYO-modus), treedt Cloudflare op als Keldio-subverwerker voor videoverwerking en is het opgenomen in C.1. Waar de Tenant zijn eigen Cloudflare-account of inloggegevens verbindt, treedt Cloudflare Stream voor die stroom op als Door de Tenant Geconfigureerde Provider en is het opgenomen in C.2.

C.4 Optioneel / inactief

• AI-providers (Anthropic, OpenAI, enz.) — uitsluitend waar de Tenant een Agent heeft verbonden. Deze Providers Verwerken voor rekening van de Tenant; zij zijn geen Keldio-subverwerkers.

---

Bijlage D — EU-Standaardcontractbepalingen

De Standaardcontractbepalingen vastgesteld bij Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 worden door verwijzing in deze VWO opgenomen, met de volgende parameters:

• Module 2 (Verwerkingsverantwoordelijke-naar-Verwerker) is van toepassing op rechtstreekse Doorgiften van de Tenant (als gegevensexporteur) naar Keldio (als gegevensimporteur) waar Keldio's Verwerking buiten de EER plaatsvindt.
• Module 3 (Verwerker-naar-Verwerker) is van toepassing op verdere Doorgiften van Keldio (als exporteur) naar een Keldio-subverwerker (als importeur) waar de Subverwerker buiten de EER Verwerkt.
• Clausule 7 (Docking) — niet van toepassing.
• Clausule 9 (Subverwerkers) — Optie 2 (algemene schriftelijke machtiging), met de kennisgevingsprocedure in §7.3.
• Clausule 11 (Verhaal) — onafhankelijk geschillenbeslechtingsorgaan niet standaard opgenomen.
• Clausule 17 (Toepasselijk recht) — Nederland, met inachtneming van de dwingende vereisten van de SCC's.
• Clausule 18 (Forum en jurisdictie) — Nederland.
• Bijlage I.A (Lijst van partijen) — de partijen geïdentificeerd in §1 van deze VWO.
• Bijlage I.B (Beschrijving van de doorgifte) — Bijlage A van deze VWO.
• Bijlage I.C (Bevoegde toezichthoudende autoriteit) — Autoriteit Persoonsgegevens (de Nederlandse gegevensbeschermingsautoriteit) voor Tenants gevestigd in Nederland; anders de toezichthoudende autoriteit van de EER-lidstaat van de hoofdvestiging van de Tenant.
• Bijlage II (Technische en organisatorische maatregelen) — Bijlage B van deze VWO.
• Bijlage III (Lijst van subverwerkers) — Bijlage C van deze VWO.

Voor VK-gerelateerde Doorgiften wordt het UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (B.1.0) door verwijzing opgenomen, met Tabellen 1–4 ingevuld door verwijzing naar de Bijlagen van deze VWO. Voor Zwitserland-gerelateerde Doorgiften zijn de SCC's van toepassing met de aanvullende vereisten van de Zwitserse FDPIC.

---

Bijlage E — Gegevensstroom Ledenportaal (Keldio-specifiek)

E.1 Beschrijving

Het Ledenportaal op /learn is een door de Tenant gemerkt oppervlak waarlangs de Eindgebruikers van de Tenant (Leden) toegang krijgen tot content die de Tenant publiceert (cursussen, community, evenementen, facturatie). Leden authenticeren via Clerk met een inloggegeven dat voor hen is aangemaakt, hetzij handmatig door de Tenant, hetzij automatisch bij aankoop.

E.2 Verwerkte Persoonsgegevens

• Ledenidentificatie (naam, e-mail).
• Authenticatiestatus van het Lid (Clerk-sessie).
• Ledengebruik (lesson_progress, event_rsvps, communityposts, inlogactiviteit).
• Communicatie tussen Lid en Tenant (supportthreads die in het Ledenportaal ontstaan).

E.3 Rollen

• De Tenant is de Verwerkingsverantwoordelijke van Ledengegevens.
• Keldio is de Verwerker van Ledengegevens op de instructies van de Tenant.
• Clerk is een Keldio-subverwerker voor authenticatie.

E.4 Rechten van Betrokkenen

Een Verzoek van een Betrokkene van een Lid wordt naar de Tenant gerouteerd. Waar een Lid rechtstreeks contact opneemt met Keldio, verwijst Keldio het Lid door naar de Tenant (§9.1).

E.5 Continuïteit bij beëindiging

Bij beëindiging van de Platformvoorwaarden stopt de toegang van Leden tot de content van het Ledenportaal conform §13 en de Platformvoorwaarden. Keldio bevindt zich niet in een contractuele relatie met Leden en neemt geen verplichting op zich om namens de Tenant met Leden te communiceren, behalve zoals schriftelijk overeengekomen.

---

Bijlage F — AI-/Agent-/MCP-verwerking (Keldio-specifiek)

F.1 Beschrijving

De Tenant mag Agent-inloggegevens uitgeven aan AI-agenten, scripts of partnersystemen. Deze maken verbinding met de REST API of met de MCP-server op /api/mcp en voeren Verwerkingsactiviteiten uit op de Werkruimte van de Tenant.

F.2 Verwerkte Persoonsgegevens

Wat de Werkruimte van de Tenant ook bevat, afhankelijk van de aangeroepen tools: contacten, bestellingen, communicatie, ledengegevens, enz.

F.3 Rollen

• De Tenant is de Verwerkingsverantwoordelijke van alle Verwerking onder Agent-inloggegevens (§14.2).
• Keldio is de Verwerker op de instructies van de Tenant.
• Externe AI-providers die Agenten exploiteren zijn geen Keldio-subverwerkers (§14.5).

F.4 Geen menselijke-goedkeuringspoort

Agent-activiteit wordt uitgevoerd zonder menselijke beoordeling door Keldio (§14.3).

F.5 Logging en bewaring

Agent-aanroepen worden 90 dagen gelogd (§14.4).

F.6 Garanties van de Tenant

De Tenant garandeert dat Agent-inloggegevens uitsluitend worden uitgegeven aan partijen die gebonden zijn aan passende vertrouwelijkheids- en rechtmatige-verwerkingsverplichtingen, en dat de Tenant de inloggegevens passend heeft afgebakend voor de beoogde Verwerking.

F.7 Keldio's veiligheidscontroles

Keldio mag Agent-activiteit afknijpen, in scope beperken, met een kill-switch stopzetten of auditen om de Diensten te beschermen (§14.8).

F.8 Geen AI-training op identificeerbare gegevens

Keldio gebruikt geen identificeerbare Persoonsgegevens van Klanten om door Keldio geëxploiteerde AI-modellen te trainen (§14.6).

---

Bijlage G — Server-side advertentiepixelverwerking (Keldio-specifiek)

G.1 Beschrijving

Waar de Tenant Meta Conversions API, TikTok Events API of Google Ads Measurement Protocol heeft geconfigureerd, verzendt Keldio server-side conversiegebeurtenissen die Persoonsgegevens bevatten op het account van de Tenant bij de relevante Provider.

G.2 Verwerkte Persoonsgegevens

• Gehasht (SHA-256) e-mailadres;
• Gehasht telefoonnummer;
• Klik-identificator (fbclid, gclid, ttclid, li_fat_id, twclid);
• IP-adres;
• User agent;
• Metadata van conversiegebeurtenis (gebeurtenisnaam, waarde, valuta, tijdstempel).

G.3 Rollen

• De Tenant is de Verwerkingsverantwoordelijke van deze Doorgiften; de Tenant heeft eventueel vereiste toestemming van Betrokkenen verkregen en kennisgeving verstrekt.
• De relevante advertentie-Provider (Meta, TikTok, Google) is een zelfstandig Verwerkingsverantwoordelijke van de gegevens die de Provider ontvangt.
• Keldio is het kanaal; Keldio Verwerkt de gegevens uitsluitend om deze te formatteren en te verzenden op de instructies van de Tenant.

G.4 Garanties van de Tenant

De Tenant garandeert dat:

• de Tenant geldige toestemming (of een andere rechtsgrond) van elke Betrokkene heeft verkregen voor de server-side advertentieconversiestroom;
• de op Eindgebruikers gerichte privacyverklaring en cookiebanner van de Tenant de stroom bekendmaken;
• de Tenant de voorwaarden van de ontvangende Provider naleeft (Meta Business Tools-voorwaarden, TikTok Business Products-voorwaarden, Google Ads-beleid).

G.5 Keldio's rol

Keldio's rol is beperkt tot de kanaalfunctie. Keldio is niet verantwoordelijk voor de Verwerking door de advertentie-Provider na ontvangst of voor de rechtmatigheid van de onderliggende configuratiekeuzes van de Tenant.

---

Bijlage H — Bevoegde Toezichthoudende Autoriteit

Voor Tenants gevestigd in Nederland: Autoriteit Persoonsgegevens (AP), adres: Hoge Nieuwstraat 8, 2514 EL Den Haag, Nederland; website: https://autoriteitpersoonsgegevens.nl.

Voor Tenants gevestigd in een andere EER-lidstaat is de bevoegde Toezichthoudende Autoriteit de gegevensbeschermingsautoriteit van die lidstaat.

Voor VK-Tenants is de bevoegde Toezichthoudende Autoriteit de Information Commissioner's Office (ICO).

Voor Zwitserse Tenants is de bevoegde autoriteit de Federal Data Protection and Information Commissioner (FDPIC).

Voor Tenants gevestigd buiten de EER / het VK / Zwitserland maar die gegevens van EER-Betrokkenen Verwerken, wordt de bevoegde Toezichthoudende Autoriteit bepaald op grond van artikel 56 AVG (één-loketmechanisme waar van toepassing).