⚖️ AVG Art. 28 — Verwerkersovereenkomst

Verwerkersovereenkomst

Versie 3.0  ·  Ingangsdatum: 16 juni 2026  ·  Herzien: 20 juni 2026  ·  Conform AVG (EU) 2016/679, UAVG, NIS2 (Cbw), AI Act (EU) 2024/1689, CRA (EU) 2024/2847 & EDPB Richtsnoeren 07/2020

Wat is dit document? Als verhuurder bent u de verwerkingsverantwoordelijke voor de persoonsgegevens van uw huurders. PropAI is uw verwerker. De AVG (art. 28) verplicht dat dit schriftelijk wordt vastgelegd. Dit document voldoet aan die eis. Door gebruik te maken van PropAI gaat u akkoord met deze overeenkomst.
Artikel 1

Partijen en definities

1.1 Verwerkingsverantwoordelijke

De verhuurder die een account aanmaakt bij PropAI en daarmee huurdergegevens via het platform verwerkt. Hierna: "Verhuurder" of "u".

1.2 Verwerker

Lars Tils, handelend onder de naam PropAI, gevestigd te Zilverschoon 53, 1422NZ Uithoorn, Nederland. KvK: 42081154. E-mail: privacy@propai.nl. Hierna: "PropAI".

1.3 Betrokkenen

De huurders en andere natuurlijke personen van wie de persoonsgegevens via het PropAI-platform worden verwerkt.

1.4 Definities

Artikel 2

Onderwerp en duur van de verwerking

2.1 Onderwerp

PropAI verwerkt persoonsgegevens uitsluitend ten behoeve van de dienstverlening aan de Verhuurder, te weten: het aanbieden van een SaaS-platform voor vastgoedbeheer, inclusief huurderportaal, contractgeneratie, ticketbeheer, onboarding en communicatie.

2.2 Duur

De verwerkersovereenkomst is van kracht zolang de Verhuurder gebruik maakt van PropAI. Na beëindiging van de dienst geldt artikel 11 (verwijdering en retour).

2.3 Aard van de verwerking

Opslag, weergave, analyse, doorsturen, aanmaken, wijzigen en verwijderen van persoonsgegevens via de PropAI-applicatie.

Artikel 3

Categorieën persoonsgegevens en betrokkenen

CategorieVoorbeeldenBetrokkenenBewaartermijn
IdentificatiegegevensNaam, adres, geboortedatumHuurdersContractduur + 2 jaar
ContactgegevensE-mailadres, telefoonnummerHuurders, verhuurdersContractduur + 2 jaar
Financiële gegevensHuurbetalingen, betalingsstatusHuurders7 jaar (art. 52 AWR)
Onboarding-documentenInkomensbewijs, borgsombevestigingHuurdersMax. 90 dagen na upload
HuurcontractenVolledige contractinhoud, handtekeningenHuurders, verhuurders7 jaar (art. 52 AWR)
CommunicatieBerichten, tickets, notitiesHuurdersContractduur + 2 jaar
PlaatsbeschrijvingenFoto's woningconditieHuurders (indirect)Contractduur + 2 jaar
Technische gegevensInlogmomenten, IP-adressen (geanon.)Alle gebruikers90 dagen
⚠️ BSN-verbod (UAVG art. 46): PropAI verwerkt geen BSN-nummers en accepteert geen kopieën van identiteitsbewijzen met BSN. Dit is technisch geblokkeerd. De Verhuurder mag huurders nooit vragen een BSN te delen via PropAI.
Artikel 4

Verplichtingen van PropAI als verwerker (art. 28 lid 3 AVG)

PropAI verplicht zich tot het volgende:

4.1 Uitsluitend op instructie verwerken

PropAI verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verhuurder, tenzij een wettelijke verplichting anders vereist. In dat geval informeert PropAI de Verhuurder vooraf, tenzij dit wettelijk verboden is (art. 28 lid 3 sub a AVG).

4.2 Geheimhouding

PropAI zorgt ervoor dat alle medewerkers en eventuele derden met toegang tot persoonsgegevens gebonden zijn aan een geheimhoudingsplicht (art. 28 lid 3 sub b AVG).

4.3 Technische en organisatorische maatregelen

PropAI treft passende technische en organisatorische maatregelen conform art. 32 AVG (art. 28 lid 3 sub c AVG). Zie artikel 8 voor de specifieke maatregelen.

4.4 Sub-verwerkers

PropAI schakelt sub-verwerkers in alleen met toestemming van de Verhuurder. Door akkoord met deze overeenkomst geeft de Verhuurder algemene toestemming voor de sub-verwerkers vermeld in artikel 6. PropAI informeert de Verhuurder minimaal 30 dagen van tevoren bij wijzigingen (art. 28 lid 3 sub d AVG).

4.5 Bijstand bij rechten betrokkenen

PropAI verleent de Verhuurder redelijke bijstand bij het afhandelen van verzoeken van betrokkenen om uitoefening van hun rechten (art. 28 lid 3 sub e AVG).

4.6 Bijstand bij beveiliging en DPIA

PropAI verleent bijstand bij het naleven van de verplichtingen uit art. 32-36 AVG, waaronder het melden van inbreuken en het uitvoeren van gegevensbeschermingseffectbeoordelingen (art. 28 lid 3 sub f AVG).

4.7 Verwijdering of retournering

Na afloop van de verwerking verwijdert PropAI alle persoonsgegevens of geeft deze terug aan de Verhuurder, conform artikel 11 van deze overeenkomst (art. 28 lid 3 sub g AVG).

4.8 Medewerking aan audits

PropAI stelt alle informatie beschikbaar die nodig is om naleving van art. 28 AVG aan te tonen en verleent medewerking aan audits door de Verhuurder of een door hem aangewezen accountant. Audits worden minimaal 30 dagen van tevoren aangekondigd en vinden plaats tijdens kantooruren (art. 28 lid 3 sub h AVG).

Artikel 4a

Privacy by Design en Privacy by Default (art. 25 AVG)

Grondslag: art. 25 AVG | EDPB Guidelines 4/2019 v2.0 (goedgekeurd 20 oktober 2020) | IAPP 2026 Implementation Guidance | Recital 78 AVG

4a.1 Privacy by Design — ingebouwde gegevensbescherming (art. 25 lid 1 AVG)

PropAI integreert gegevensbeschermingsbeginselen structureel in het ontwerp en de werking van het platform. Dit omvat, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en verwerkingsdoeleinden, en de risico's voor de rechten en vrijheden van betrokkenen (EDPB Guidelines 4/2019, par. 7–13):

4a.2 Privacy by Default — standaard gegevensbescherming (art. 25 lid 2 AVG)

PropAI verwerkt standaard uitsluitend persoonsgegevens die strikt noodzakelijk zijn voor elk specifiek doel. Dit geldt voor (art. 25 lid 2, 2e volzin AVG):

4a.3 Bijdrage van PropAI als verwerker aan art. 25-naleving (EDPB Guidelines 4/2019, par. 94–100)

PropAI draagt als verwerker actief bij aan de mogelijkheid van de Verhuurder om te voldoen aan art. 25 AVG. PropAI:

AI Act-koppeling (art. 50 AI Act / augustus 2026): PropAI's AI-functies (risicoscores, document-analyse, PropertyGPT) zijn beoordeeld als beperkt risico. Alle outputs zijn voorzien van verplichte transparantielabels. Menselijke tussenkomst is gegarandeerd — geen volledig geautomatiseerde beslissingen met rechtsgevolg (art. 22 AVG). Zie AI Act risicoklasse-beoordeling.
Artikel 5

Verplichtingen van de Verhuurder als verwerkingsverantwoordelijke

5.1 Rechtmatige grondslag

De Verhuurder is verantwoordelijk voor een rechtmatige grondslag (art. 6 AVG) voor elke verwerking van persoonsgegevens via PropAI.

5.2 Informatieplicht

De Verhuurder informeert huurders conform art. 13/14 AVG over de verwerking van hun persoonsgegevens. PropAI biedt hiervoor een standaard privacyverklaring aan (propai.nl/privacy) die de Verhuurder kan doorverwijzen naar huurders.

5.3 Rechten betrokkenen

De Verhuurder behandelt verzoeken van huurders op uitoefening van hun AVG-rechten (inzage, rectificatie, verwijdering, bezwaar) tijdig en correct.

5.4 Geen onrechtmatige instructies

De Verhuurder geeft PropAI uitsluitend rechtmatige instructies. De Verhuurder verwerkt via PropAI geen bijzondere categorieën persoonsgegevens (art. 9 AVG) tenzij hij hiervoor een geldige grondslag heeft en PropAI hiervan op de hoogte heeft gesteld.

5.5 BSN-verbod

De Verhuurder instrueert huurders nimmer een BSN-nummer te delen via PropAI en uploadt zelf geen documenten met BSN via het platform (UAVG art. 46).

5.6 Minderjarige huurkandidaten (art. 6 AVG + BW art. 1:233–234)

Grondslag: BW art. 1:233 (minderjarigheid) | BW art. 1:234 (handelingsbekwaamheid) | BW art. 3:32 (vernietigbaarheid) | Art. 6 lid 1 sub b AVG (uitvoering overeenkomst) | Art. 9 AVG (bijzondere categorieën) | EDPB Statement 1/2025 over leeftijdsborging (11 februari 2025) | AP toezichtsprioriteit 2026: AI en kwetsbare groepen

PropAI is een B2B-platform voor verhuurders. Huurkandidaten zijn in beginsel meerderjarig (18+). De Verhuurder is verantwoordelijk voor het vaststellen van de leeftijd van huurkandidaten vóór verwerking van hun persoonsgegevens via PropAI. Het volgende beleid is van toepassing:

⚠️ Verhuurder-instructie: Gebruik PropAI uitsluitend voor meerderjarige huurkandidaten (18+). Bij twijfel over de leeftijd: verifieer de geboortedatum op een geldig identiteitsbewijs vóór het starten van het screeningsproces via PropAI.
Artikel 6

Sub-verwerkers (art. 28 lid 2 AVG)

PropAI maakt gebruik van de volgende sub-verwerkers. De Verhuurder geeft door ondertekening van deze overeenkomst algemene toestemming (art. 28 lid 2 AVG).

Sub-verwerkerFunctieLocatieDoorgifte-mechanisme
Supabase Pte. Ltd.Database & bestandsopslagEU (Frankfurt)Binnen EER — geen doorgifte
Resend (Plus Five Five Inc.)E-mailverzendingVSEU SCCs (2021/914) + DPF
Vercel Inc.Hosting & CDNVS / EU edgeEU SCCs (2021/914)
Stripe Payments Europe Ltd.BetalingsverwerkingIerland / VSEU SCCs + DPF
OpenAI Ireland Ltd.AI-taalmodel (GPT) — tekst- en documentanalyse, screeningIerland / VSEU SCCs (2021/914); OpenAI DPA v2026 (eff. 1 jan 2026); EEA-verwerking via OpenAI Ireland Ltd.
Groq Inc.AI-inferentie (ZDR ingeschakeld)VSEU SCCs (2021/914)
Wijzigingen sub-verwerkers: PropAI informeert de Verhuurder minimaal 30 dagen vóór inschakeling van nieuwe of gewijzigde sub-verwerkers per e-mail. De Verhuurder kan binnen 14 dagen schriftelijk bezwaar maken.
Artikel 7

Doorgifte buiten de Europese Economische Ruimte (art. 44-49 AVG)

PropAI geeft persoonsgegevens alleen door aan landen buiten de EER als daarvoor een passend beschermingsniveau geldt. Voor de sub-verwerkers in de VS (Resend, Vercel, Stripe, Groq) zijn EU Standaardcontractbepalingen van toepassing conform Commissiebesluit (EU) 2021/914.

Voor Groq geldt aanvullend Zero Data Retention (ZDR): persoonsgegevens worden na de inferentie direct gewist en nooit bewaard op de servers van Groq.

Alle DPA's met sub-verwerkers zijn beschikbaar op verzoek via privacy@propai.nl.

Artikel 8

Beveiliging (art. 32 AVG)

PropAI heeft de volgende technische en organisatorische maatregelen getroffen:

8.1 Audit logging (art. 32 AVG + ISO 27001:2022 Annex A.8.15 + Cbw art. 21 maatregel #2)

Grondslag: Art. 32 AVG (beveiliging — vermogen om vertrouwelijkheid, integriteit en beschikbaarheid te waarborgen én te herstellen) | ENISA Guidelines on Pseudonymisation Techniques 2019 | ISO 27001:2022 Annex A.8.15 (Logging) | NIS2 Cbw art. 21 maatregel #2 (toegangsbeheer) | AP Richtsnoeren Beveiliging Persoonsgegevens | EDPB Recommendation 01/2020 on supplementary measures

PropAI registreert automatisch activiteiten waarbij persoonsgegevens worden verwerkt. Audit logging is een passende technische maatregel conform art. 32 AVG en vereist door ISO 27001:2022 Annex A.8.15 en NIS2 Cbw maatregel #2.

Logtype Wat wordt gelogd Bewaartermijn Grondslag
Authenticatielog Login/logout, mislukte inlogpogingen, sessie-ID (via Supabase Auth) 90 dagen Art. 32 AVG; ISO A.8.15
Activiteitenlog (audit_log) Aanmaken, wijzigen, verwijderen van panden, huurders, contracten, tickets; gebruiker-ID, tijdstip, actie, tabel 1 jaar (daarna geanonimiseerd) Art. 32 AVG; ISO A.8.15; Cbw maatregel #2
AI-prompts log Tijdstip, type AI-aanroep, geanonimiseerde invoer (geen namen/e-mails), model, responstijd 30 dagen Art. 32 AVG; AI Act art. 12 (traceerbaarheid)
AVG Compliance Scanlog Dagelijkse scan-resultaten, geconstateerde afwijkingen, timestamps 1 jaar Art. 5 lid 2 AVG (accountability); art. 24
Dataleklog Alle incidenten en beveiligingsincidenten, ongeacht meldplicht (conform art. 33 lid 5 AVG) 5 jaar Art. 33 lid 5 AVG (documentatieplicht datalekken)

Logs zijn uitsluitend toegankelijk voor geautoriseerde PropAI-beheerders (need-to-know principe). Logs worden beveiligd via Row Level Security (RLS) en zijn niet toegankelijk voor verhuurders of huurders tenzij de Verhuurder hier via een audit-verzoek op grond van art. 28 lid 3 sub h AVG om verzoekt.

Artikel 8a

NIS2-richtlijn en Cyberbeveiligingswet (Cbw) — toepasselijkheid en voorbereiding

Grondslag: EU NIS2-richtlijn (EU) 2022/2555 | Cyberbeveiligingswet (Cbw) — verwachte inwerkingtreding 1 juli 2026, goedgekeurd Tweede Kamer 15 april 2026 (Bird & Bird, 27 april 2026) | NCSC-NL Cbw-documentatie (geraadpleegd 20 juni 2026) | Cbw art. 21 (zorgplicht) | Cbw art. 21a (leveranciersverbod) | Art. 32 AVG (technische beveiliging) | uComply analyse Cbw Q2 2026

8a.1 Scope-analyse — valt PropAI direct onder de Cyberbeveiligingswet?

De Cyberbeveiligingswet (Nederlandse implementatie van NIS2) is van toepassing op essentiële en belangrijke entiteiten in aangewezen sectoren, die voldoen aan de drempelwaarden:

Conclusie per 20 juni 2026: PropAI (eenmanszaak/micro-onderneming, KvK 42081154) valt als early-stage startup niet rechtstreeks onder de Cyberbeveiligingswet op basis van de huidige drempelwaarden. De sector "digitale dienstverlening / SaaS voor vastgoedbeheer" valt niet onder de limitatief opgesomde essentiële sectoren (energie, transport, zorg, financiën, digitale infrastructuur, overheid, ruimtevaart) of de aanvullende belangrijke sectoren.

⚠️ Supply chain-effect: Indien de Verhuurder (als PropAI-klant) zelf onder de Cbw valt — bijv. als woningcorporatie of grote vastgoedbeheerder — dan is PropAI als IT-leverancier indirect onderworpen aan de supply chain-beveiligingseisen van de Verhuurder (Cbw art. 21 lid 2 sub d: leveranciersbeheer). PropAI verplicht zich in dat geval tot medewerking aan redelijke beveiligingsvereisten van de betreffende Verhuurder.

8a.2 Zorgplicht — vrijwillige NIS2-alignment (art. 32 AVG + Cbw art. 21)

Hoewel PropAI formeel buiten de directe Cbw-scope valt, hanteert PropAI de tien verplichte maatregelen van Cbw art. 21 als leidraad voor het beveiligingsbeleid, in aansluiting op de bestaande art. 32 AVG-verplichtingen:

# Cbw-maatregel PropAI-implementatie
1Risicoanalyse DPIA uitgevoerd (juni 2026); AVG Compliance Scanner dagelijks 03:00u
2Toegangsbeheer en personeel JWT + Row Level Security (RLS); need-to-know principe; MFA aanbevolen (in uitvoering)
3Bedrijfscontinuïteit Dagelijkse versleutelde back-ups via Supabase (EU Frankfurt); Vercel multi-region failover
4Incidentrespons Datalekprocedure met 48u-meldtermijn; zie propai.nl/datalekprocedure
5Cyberhygiëne Sterke wachtwoorden (bcrypt); automatische sessie-expiratie; dependency updates via Vercel
6Netwerk- en informatiebeveiliging TLS 1.3; AES-256 at rest; private storage bucket; geen publieke API-endpoints zonder auth
7Supply chain-beveiliging Sub-verwerkers: Supabase (SOC 2 Type II), Vercel (ISO 27001), OpenAI (DPA 2026), Groq (ZDR). Zie artikel 6.
8Cryptografie en versleuteling AES-256 at rest; TLS in transit; bcrypt wachtwoorden; signed URLs (max. 1u)
9Multi-factor authenticatie MFA op Supabase, Vercel en GitHub via TOTP (authenticator app): geïmplementeerd per 20 juni 2026 conform NIS2 art. 21(2)(j) en AVG art. 32. Backup TOTP-factor geregistreerd. Recovery codes veilig opgeslagen.
10Evaluatie en verbetering Halfjaarlijkse AVG-audit; compliance scanner; GitHub Actions CI-pipeline met syntax checks

8a.3 Monitoring en herziening scope

PropAI monitort actief de voortgang van de Cyberbeveiligingswet. Bij groei van PropAI voorbij de drempelwaarden (≥50 fte of ≥€10M omzet), of bij een formele aanwijzing door de toezichthouder, zal PropAI zich onverwijld registreren bij het NCSC-entiteitenregister en volledig voldoen aan de Cbw-verplichtingen (registratieplicht, meldplicht, zorgplicht). Deze overeenkomst wordt op dat moment dienovereenkomstig bijgewerkt.

Laatste scope-beoordeling: 20 juni 2026. Volgende herziening: bij inwerkingtreding Cbw (verwacht 1 juli 2026) en daarna jaarlijks of bij materiële wijziging van de wet of van PropAI's bedrijfsomvang.

Artikel 8b

Informatiebeveiligingsstandaarden — ISO 27001:2022, SOC 2 en RBAC-toegangsbeheer

Grondslag: ISO/IEC 27001:2022 (Annex A, 93 controls — van toepassing als leidraad) | ISO/IEC 27002:2022 (implementatiegids) | SOC 2 Trust Services Criteria (AICPA 2017, herzien 2022) | AVG art. 32 lid 1 sub b (integriteit en vertrouwelijkheid) | AVG art. 32 lid 2 (risicobeoordeling) | ENISA Cloud Security Guidelines 2024 | Cbw art. 21 maatregel #2 (toegangsbeheer) | AP Beveiliging van persoonsgegevens (2021) | Konfirmity ISO 27001 Controls Guide 2026

8b.1 Positie van PropAI ten aanzien van ISO 27001 en SOC 2

PropAI is als micro-onderneming op dit moment niet ISO 27001-gecertificeerd en niet SOC 2-gecertificeerd. Dit is eerlijk vermeld omdat enterprise- of institutionele Verhuurders hierop kunnen toetsen. PropAI hanteert de ISO 27001:2022-controls (Annex A) en de SOC 2 Trust Services Criteria als leidraad voor het beveiligingsbeleid — aantoonbaar via de implementaties beschreven in art. 8, art. 8.1 en art. 8a van deze overeenkomst.

⚠️ Voor enterprise-klanten: Verhuurders die contractueel ISO 27001- of SOC 2-certificering vereisen, kunnen dit als voorwaarde opnemen in een aanvullende schriftelijke overeenkomst. PropAI staat open voor klant-specifieke beveiligingsvereisten en verleent medewerking aan redelijke audits conform art. 28 lid 3 sub h AVG.

8b.2 ISO 27001:2022 Annex A — relevante controls en PropAI-implementatie

PropAI implementeert de volgende meest relevante ISO 27001:2022 Annex A-controls voor een SaaS-platform met persoonsgegevens (AVG art. 32 + ISO 27001:2022 Clause 6.1.3 Statement of Applicability-benadering):

Control Omschrijving PropAI-status
A.8.2Beheer bevoorrechte toegangsrechten ✅ Supabase RLS + beheerderrol (tils1993@gmail.com only)
A.8.3Authenticatie-informatie ✅ bcrypt wachtwoorden; ✅ MFA geïmplementeerd 20 juni 2026
A.8.5Veilige authenticatie ✅ JWT + sessie-expiratie; ✅ MFA geïmplementeerd 20 juni 2026
A.8.11Gegevensversleuteling ✅ AES-256 at rest (Supabase); TLS 1.3 in transit
A.8.15Logging ✅ Zie art. 8.1 (audit_log, auth-log, dataleklog)
A.8.24Gebruik van cryptografie ✅ AES-256 + bcrypt + signed URLs (max. 1u)
A.5.23Informatiebeveiliging bij gebruik clouddiensten ✅ Supabase (SOC 2 Type II), Vercel (ISO 27001), OpenAI Ireland (DPA 2026)
A.5.29Informatiebeveiliging bij incidenten ✅ Datalekprocedure met 48u interne meldtermijn; zie art. 9
A.5.30ICT-gereedheid voor bedrijfscontinuïteit ✅ Dagelijkse back-ups Supabase EU; ⚠️ formeel BCP-document Q3 2026
A.8.8Beheer technische kwetsbaarheden ⚠️ Via Supabase/Vercel CVE-monitoring; eigen pentest gepland Q4 2026
A.8.9Configuratiebeheer ✅ GitHub Actions CI-pipeline met syntaxchecks; IaC via Vercel

8b.3 RBAC — Rolgebaseerd toegangsbeheer (ISO A.8.2 + AVG art. 32 + Cbw maatregel #2)

PropAI hanteert een formeel RBAC-model (Role-Based Access Control) conform ISO 27001:2022 A.8.2 (beheer bevoorrechte toegangsrechten) en AVG art. 32 lid 1 sub b (permanente beschikbaarheid, integriteit en vertrouwelijkheid):

Rol Toegang Technische afdwinging
Admin (PropAI) Volledige toegang alle tabellen; gebruikersbeheer; AVG-register Supabase service role key (geheim, alleen server-side); ✅ MFA geïmplementeerd 20 juni 2026
Verhuurder Eigen panden, huurders, contracten, tickets, betalingen (eigen account) Supabase RLS: auth.uid() = user_id op alle tabellen; JWT-authenticatie
Huurder Eigen profiel, eigen berichten, eigen tickets; geen andere huurderdata Supabase RLS: auth.email() = huurder_email; apart auth-domein (huurder.html)
Publiek (niet ingelogd) Geen toegang tot persoonsgegevens; alleen publieke pagina's (index, privacy, dpa) Supabase anon key met lege RLS-policies; geen SELECT op persoonsgegevens-tabellen

Toegangsrollen worden uitsluitend toegekend op basis van het need-to-know principe (ISO A.8.2 + AVG art. 5 lid 1 sub c dataminimalisatie). Rollen worden gecontroleerd bij elke halvejaarlijkse AVG-audit.

8b.4 SOC 2 Trust Services Criteria — alignment

SOC 2 (AICPA Trust Services Criteria, herzien 2022) is een Amerikaanse auditstandaard die vijf principes toetst: beveiliging (CC), beschikbaarheid (A), verwerkingsintegriteit (PI), vertrouwelijkheid (C) en privacy (P). PropAI is niet SOC 2-gecertificeerd maar voldoet aan de meest relevante criteria via de volgende implementaties:

PropAI streeft naar formele SOC 2 Type II-certificering zodra de bedrijfsomvang en klantbehoefte dit rechtvaardigen. Enterprise-klanten kunnen een aantoonbaarheidsrapport opvragen conform art. 28 lid 3 sub h AVG.

Artikel 8c

Business Continuity Plan (BCP) en ICT-gereedheid (art. 32 lid 1 sub c AVG + ISO A.5.30)

Grondslag: AVG art. 32 lid 1 sub c ("het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen") | AVG art. 32 lid 1 sub d ("een procedure voor het op gezette tijden testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen") | ISO/IEC 27001:2022 Annex A.5.29 (Informatiebeveiliging bij storingen) | ISO/IEC 27001:2022 Annex A.5.30 (ICT-gereedheid voor bedrijfscontinuïteit) | ENISA Cloud Security Guidelines 2024 | NIS2 Cbw art. 21 maatregel #3 (bedrijfscontinuïteit)

8c.1 Scope en doelstelling

Dit Business Continuity Plan beschrijft de maatregelen die PropAI neemt om de beschikbaarheid van persoonsgegevens en de continuïteit van de dienstverlening te waarborgen bij incidenten, storingen of calamiteiten. Het BCP is een passende technische en organisatorische maatregel conform AVG art. 32 lid 1 sub c en ISO 27001:2022 A.5.30.

8c.2 Risicoscenario's en herstelmaatregelen

Scenario Kans Impact Maatregel RTO
Vercel CDN-storing Laag Hoog (platform onbereikbaar) Vercel multi-region failover; automatisch Vercel incident dashboard < 30 min
Supabase database-storing Laag Kritiek (dataverlies risico) Dagelijkse versleutelde back-ups (Supabase EU Frankfurt); Point-in-Time Recovery (PITR) beschikbaar via Supabase Pro < 4u
Datalek / cyberaanval Laag Hoog (AVG art. 33) Datalekprocedure (48u interne melding); RLS-isolatie beperkt schade; zie art. 9 48u melding
OpenAI/Groq API onbeschikbaar Gemiddeld Laag (AI-functies tijdelijk uitgeschakeld; kernplatform werkt door) AI-functies graceful degradation; platform functioneel zonder AI-modules 0 min (kern)
GitHub/deployment-storing Laag Laag (alleen nieuwe deploys geblokkeerd; bestaande versie draait door) Vercel bewaart laatste 10 productie-deploys; rollback binnen 1 muisklik < 15 min
Dataverlies (accidenteel) Zeer laag Hoog Supabase dagelijkse back-up + PITR; maximaal gegevensverlies = 24 uur (RPO) < 4u (RPO 24u)

RTO = Recovery Time Objective (maximale hersteltijd). RPO = Recovery Point Objective (maximaal acceptabel gegevensverlies).

8c.3 Back-up en herstelverificatie (ISO A.5.30 + AVG art. 32 lid 1 sub d)

8c.4 Communicatieprotocol bij calamiteiten

Bij een storing of calamiteit met impact op de dienstverlening aan Verhuurders:

  1. Detectie (0-1u): Automatische monitoring via Supabase/Vercel dashboards en e-mailalerts.
  2. Beoordeling (1-2u): Bepaal impact op beschikbaarheid persoonsgegevens en dienstverlening.
  3. Melding Verhuurder (binnen 4u bij kritieke storing): E-mail via support@propai.nl met beschrijving, verwachte hersteltijd en tijdelijke maatregelen.
  4. AVG-beoordeling (parallel): Is er sprake van een inbreuk op persoonsgegevens? Zo ja: datalekprocedure (art. 9) activeren — melding AP binnen 72u.
  5. Herstel en nazorg: Post-mortem documentatie; lessons learned opslaan in AVG-auditdossier.
Artikel 8d

Kwetsbaarheidsbeheer en penetratietesten (ISO A.8.8 + AVG art. 32 + NIS2 Cbw maatregel #5)

Grondslag: ISO/IEC 27001:2022 Annex A.8.8 (Beheer van technische kwetsbaarheden) | AVG art. 32 lid 1 ("passende technische en organisatorische maatregelen rekening houdend met de stand van de techniek") | NIS2 Cbw art. 21 maatregel #5 (cyberhygiëne en opleiding) | OWASP Testing Guide v4.2 (2021) | ENISA Good Practices for Security of IoT and Smart Infrastructures 2022 | CVE/NVD (National Vulnerability Database) | Scrut.io ISO 27001 Penetration Testing Guide 2025

8d.1 Scope van kwetsbaarheidsbeheer

PropAI voert een gestructureerd kwetsbaarheidsbeheer uit op de volgende componenten van het platform:

8d.2 Continue kwetsbaarheidsbewaking (ISO A.8.8 + NIS2 maatregel #5)

Maatregel Frequentie Verantwoordelijke Status
Dependency-scan (npm audit) Bij elke deployment (GitHub Actions CI) Automatisch ✅ Actief
Vercel security updates Automatisch bij deployment Vercel (ISO 27001) ✅ Actief via sub-verwerker
Supabase CVE-monitoring Continu (Supabase SOC 2 Type II programma) Supabase (SOC 2 Type II) ✅ Actief via sub-verwerker
JS Syntax & Code Quality Check Bij elke GitHub-push (GitHub Actions) Automatisch ✅ Actief (node --check)
AVG Compliance Scanner Dagelijks om 03:00 (geautomatiseerd) Automatisch ✅ Actief
OWASP Top 10 handmatige review Halfjaarlijks PropAI (eigenaar) ✅ Actief (laatste: juni 2026)
Externe penetratietest Jaarlijks (eerste: gepland Q4 2026) Externe partij (CREST/OSCP gecertificeerd) ⚠️ Gepland Q4 2026

8d.3 Patchbeleid — responsetijden per ernst (ISO A.8.8 + CVSS)

PropAI hanteert responsetijden gebaseerd op de CVSS v3.1-score (Common Vulnerability Scoring System):

Ernst (CVSS) Score Max. reactietijd Actie
Kritiek 9.0–10.0 24 uur Onmiddellijke patch of tijdelijke mitigatie; gebruikersmelding indien persoonsgegevens betrokken
Hoog 7.0–8.9 72 uur Patch in eerstvolgende sprint; tijdelijke mitigatie indien nodig
Gemiddeld 4.0–6.9 2 weken Gepland in regulier release-schema
Laag 0.1–3.9 30 dagen Opgenomen in kwartaalreview

8d.4 Penetratietest — planning en scope (ISO A.8.8 + OWASP)

De eerste externe penetratietest is gepland voor Q4 2026. Scope en methodologie:

Verhuurders kunnen het samenvatting-rapport van de laatste penetratietest opvragen via privacy@propai.nl (conform art. 28 lid 3 sub h AVG — vertrouwelijke behandeling vereist).

Artikel 8e

Secure Software Development Lifecycle (Secure SDLC) — Privacy by Design en Secure by Design

Grondslag: AVG art. 25 lid 1 (gegevensbescherming door ontwerp — "privacy by design") | AVG art. 25 lid 2 (gegevensbescherming door standaardinstellingen — "privacy by default") | AVG art. 32 lid 1 (passende technische en organisatorische maatregelen) | Verordening (EU) 2024/2847 (Cyber Resilience Act) — art. 14 vulnerability disclosure van toepassing 11 september 2026; full compliance 11 december 2027 | NIS2 (Richtlijn (EU) 2022/2555) art. 21 maatregel #7 ("beveiligde softwareontwikkeling") | ENISA Privacy and Data Protection by Design (2014, methodologie) | ENISA Secure By Design and Default Playbook v0.4 (2026) | Datatilsynet (Noors DPA) Secure SDLC Guidelines | OWASP Software Assurance Maturity Model (SAMM) v3.0 | Microsoft Security Development Lifecycle (SDL)

8e.1 Juridische verankering — art. 25 AVG (Privacy by Design)

AVG art. 25 lid 1 verplicht PropAI als verwerker om zowel bij het bepalen van de middelen voor de verwerking als bij de feitelijke verwerking passende technische en organisatorische maatregelen te treffen die privacybeginselen (dataminimalisatie) doeltreffend implementeren. Dit is geen inspanningsverplichting maar een resultaatsverplichting: de maatregelen moeten aantoonbaar zijn geborgd in het ontwikkelproces.

AVG art. 25 lid 2 verplicht tot privacy by default: standaardinstellingen mogen uitsluitend de persoonsgegevens verwerken die voor het specifieke verwerkingsdoel noodzakelijk zijn. Maximale privacybescherming is de standaard, niet een optie.

Boetes voor schending van art. 25 AVG: tot €10.000.000 of 2% van de wereldwijde jaaromzet (art. 83 lid 4 AVG). Handhaving door Autoriteit Persoonsgegevens (AP) en Europese toezichthouders.

8e.2 PropAI Secure SDLC — zeven fasen

PropAI hanteert een Secure SDLC conform de ENISA Secure by Design Playbook (2026) en de Datatilsynet Secure SDLC Guidelines, geïntegreerd in het GitHub/Vercel CI-CD pipeline:

Fase Privacy/Security maatregel Grondslag Status
1. Design DPIA-toets bij nieuwe feature met persoonsgegevens; dataminimalisatie als ontwerpregel; threat modelling AVG art. 25 + art. 35 ✅ Actief (DPIA onboarding gepubliceerd)
2. Requirements Privacy-eisen opgenomen in functionele specificaties; "need-to-know" als basisregel; geen overbodige datavelden AVG art. 5 lid 1 sub c (dataminimalisatie) ✅ Actief
3. Coding AI-prompts geanonimiseerd (geen namen/e-mails naar OpenAI); RLS op alle tabellen; geen persoonsgegevens in logs; geen hardcoded secrets AVG art. 25 + art. 32; ENISA Secure SDLC ✅ Actief (zie ook art. 8, art. 8.1)
4. Code Review Elke push: automatische JS-syntax check (GitHub Actions); OWASP Top 10 handmatige review (halfjaarlijks) ISO A.8.8; NIS2 maatregel #7; OWASP SAMM ✅ Actief
5. Testing RLS-policies getest per Supabase rol; authenticatieflows getest; geen productiedata in testomgeving AVG art. 25 + art. 32; ISO A.8.8 ✅ Actief; ⚠️ geautomatiseerde security-test suite Q4 2026
6. Release GitHub Actions CI-gate: syntaxcheck móét slagen vóór deployment; rollback-mechanisme (Vercel); commitlog met semantische versievermelding CRA art. 14 (vulnerability disclosure); ISO A.8.9 (configuratiebeheer) ✅ Actief
7. Maintenance Dagelijkse AVG-compliance scan; patchbeleid (CVSS, zie art. 8d); jaarlijkse OWASP-herziening; back-up en BCP (art. 8c) AVG art. 32 lid 1 sub d; ISO A.5.30; CRA art. 14 ✅ Actief

8e.3 Privacy by Default — concrete implementatie (art. 25 lid 2 AVG)

PropAI heeft de volgende privacy-by-default maatregelen structureel in het platform ingebouwd:

8e.4 Cyber Resilience Act — positiebepaling en deadlines

De CRA (Verordening (EU) 2024/2847) is van kracht per 10 december 2024 en is volledig van toepassing per 11 december 2027. PropAI kwalificeert als "pure SaaS" (cloud-hosted, geen lokale installatie, niet als product op de markt gebracht) en valt daarmee buiten het primaire toepassingsbereik van de CRA als "product met digitale elementen" (conform CRA art. 3 en Overweging 15; analyse DLA Piper, Technology's Legal Edge, februari 2026).

De volgende CRA-gebaseerde acties zijn desondanks proactief genomen:

Samenvatting: PropAI heeft Privacy by Design (art. 25 AVG) structureel geborgd in alle zeven ontwikkelfasen. Concrete maatregelen zijn aantoonbaar via de GitHub commit-log, de dagelijkse compliance scanner, en de DPIA-documentatie. De CRA geldt formeel niet voor PropAI als pure SaaS — het secure-by-design principe wordt desondanks proactief gevolgd.
Artikel 8f

Dienstverleningsniveau (SLA) — Beschikbaarheid, Veerkracht en Hersteltijden

Grondslag: AVG art. 32 lid 1 sub b ("het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te garanderen") | AVG art. 32 lid 1 sub c ("het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen") | AVG art. 28 lid 3 sub c (verwerker verleent alle vereiste medewerking om te zorgen dat aan de beveiligingsvereisten wordt voldaan) | EDPB Richtsnoeren 07/2020 over verwerkersverantwoordelijke en verwerker (par. 90–99): DPA moet "specifiekere en concretere informatie" bevatten dan herhaling van de AVG-tekst | AVG art. 5 lid 1 sub f (integriteits- en vertrouwelijkheidsbeginsel)

8f.1 Beschikbaarheidsdoelstelling (SLA)

PropAI streeft naar een beschikbaarheid van minimaal 99,5% per kalendermaand (gemeten over de primaire gebruikersfuncties: inloggen, beheer panden/huurders/contracten/tickets).

Maatstaf Waarde Toelichting
Beschikbaarheidsdoelstelling ≥ 99,5% per maand Maximaal ~3,6 uur downtime per maand als streefdoel
Geplande onderhoudsvensters Niet meegerekend als downtime Onderhoud wordt minimaal 48u vooraf gecommuniceerd via e-mail aan de Verhuurder
RTO (Recovery Time Objective) < 4 uur Maximale hersteltijd bij kritieke storing; zie risicoscenario's in art. 8c
RPO (Recovery Point Objective) < 24 uur Maximaal dataverlies bij calamiteit (dagelijkse back-up door Supabase)
AI-functies beschikbaarheid Best-effort AI-functies (PropertyGPT, risicoscores) zijn afhankelijk van OpenAI/Groq API-beschikbaarheid; kernplatform werkt door bij AI-uitval (graceful degradation)

8f.2 Storingscategorieën en responstijden

Categorie Omschrijving Initiële respons Streefdoel herstel
P1 — Kritiek Platform volledig onbereikbaar; dataverlies; beveiligingsincident 1 uur 4 uur
P2 — Ernstig Kernfunctie deels onbeschikbaar (bijv. contracten-module of betalingsmodule) 4 uur 24 uur
P3 — Normaal Beperkte functionaliteitsstoring; workaround beschikbaar 8 uur (werkdag) 5 werkdagen
P4 — Laag Cosmetisch probleem; informatievraag 2 werkdagen Volgend releasevenster

Incidenten kunnen worden gemeld via support@propai.nl met vermelding van het prioriteitsniveau en een beschrijving van het probleem.

8f.3 SLA-uitsluitingen (force majeure)

De beschikbaarheidsdoelstelling geldt niet voor onderbrekingen als gevolg van:

8f.4 Monitoring en transparantie

PropAI monitort de beschikbaarheid continu via:

Verhuurders kunnen de actuele status opvragen via support@propai.nl. PropAI publiceert een beschikbaarheidsrapport op verzoek van de Verhuurder conform art. 28 lid 3 sub h AVG.

Artikel 8g

Single Sign-On (SSO) en gecentraliseerd identiteitsbeheer

Grondslag: AVG art. 32 lid 1 sub b (vertrouwelijkheid, integriteit en beschikbaarheid van verwerkingssystemen) | ISO/IEC 27001:2022 Annex A.8.2 (beheer bevoorrechte toegangsrechten) | ISO/IEC 27001:2022 Annex A.8.3 (authenticatie-informatie) | ISO/IEC 27001:2022 Annex A.8.5 (veilige authenticatie) | NIST SP 800-63B (Digital Identity Guidelines, authenticatieniveaus) | Cbw art. 21 maatregel #2 (toegangsbeheer) | Aanbeveling: ENISA Guidelines on Security of Personal Data Processing (2017)

8g.1 SSO — definitie en juridisch kader

Single Sign-On (SSO) is een authenticatiemechanisme waarbij een gebruiker éénmalig inlogt via een centrale identiteitsprovider (IdP) en daarmee toegang verkrijgt tot meerdere systemen of diensten zonder herhaald inloggen. SSO is geen wettelijke verplichting onder de AVG of enige andere op PropAI van toepassing zijnde EU-regelgeving per juni 2026. SSO is een enterprise-beveiligingsfaciliteit die de beveiliging en het gebruiksgemak voor organisaties met meerdere gebruikers kan verbeteren.

8g.2 Huidige authenticatie-infrastructuur van PropAI

PropAI hanteert momenteel directe authenticatie via Supabase Auth, conform de volgende standaarden:

8g.3 SSO-roadmap en enterprise-faciliteiten

PropAI is bereid om SSO te faciliteren voor enterprise-klanten die dit contractueel vereisen. De geplande roadmap:

Fase Capability Technologie Planning
1 (nu actief) E-mail + wachtwoord (bcrypt + JWT) Supabase Auth ✅ Live
2 MFA (TOTP + SMS) Supabase Auth MFA (ingebouwd) ⚠️ Q3 2026
3 OAuth 2.0 Social Login (Google, Microsoft) Supabase Auth OAuth providers ⚠️ Q4 2026 (op verzoek)
4 Enterprise SSO (SAML 2.0 / OIDC — bijv. Azure AD, Okta) Supabase Enterprise / custom SAML-integratie ⚠️ Op verzoek enterprise-klanten (2027+)

8g.4 Positiebepaling: MFA prioriteit boven SSO

Conform NIST SP 800-63B (Level of Assurance 2) en ENISA-aanbevelingen geldt MFA als de effectiefste maatregel om accountcompromittering te voorkomen. Voor PropAI — met enkelvoudige inlogpunten per gebruikerstype — biedt MFA meer beveiligingswaarde dan SSO. SSO is primair relevant bij meerdere interne systemen per organisatie (federatief identiteitsbeheer), een scenario dat pas bij enterprise-klanten met meerdere beheerders relevant wordt.

Enterprise-klanten die SSO als contractuele eis stellen, kunnen dit opnemen in een aanvullende overeenkomst. PropAI verleent medewerking aan een redelijke implementatietijdlijn en zal de Verhuurder tijdig informeren over de beschikbaarheid van SSO-functionaliteit.

Artikel 9

Meldplicht datalekken (art. 33-34 AVG)

9.1 Melding door PropAI aan Verhuurder

PropAI meldt een inbreuk op de beveiliging van persoonsgegevens zo spoedig mogelijk aan de Verhuurder, en in ieder geval binnen 48 uur nadat PropAI hiervan kennis heeft genomen. De melding bevat minimaal:

9.2 Melding door Verhuurder aan Autoriteit Persoonsgegevens

De Verhuurder is verantwoordelijk voor het beoordelen of de inbreuk gemeld moet worden aan de Autoriteit Persoonsgegevens (binnen 72 uur, art. 33 AVG) en/of aan de betrokkenen (art. 34 AVG). PropAI verleent hierbij redelijke bijstand. De volledige datalekprocedure is beschikbaar op propai.nl/datalekprocedure.

Artikel 10

Rechten van betrokkenen (art. 15-22 AVG)

Indien een huurder of andere betrokkene een verzoek indient bij PropAI over uitoefening van zijn rechten (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar), dan:

PropAI heeft in het platform een directe verwijderfunctie voor documenten beschikbaar voor de Verhuurder.

Artikel 11

Bewaartermijnen en verwijdering van gegevens (art. 5 lid 1 sub e + art. 28 lid 3 sub g AVG)

Grondslag: art. 5 lid 1 sub e AVG (opslagbeperking) | AP richtlijn bewaren persoonsgegevens | BW art. 2:24 (bewaarplicht) | AWR art. 52 (fiscale bewaarplicht 7 jaar) | BW art. 3:310 (verjaringstermijn 5 jaar) | Law&More NL januari 2026

11.1 Bewaartermijnen per gegevenscategorie (tijdens actief gebruik)

PropAI hanteert de volgende bewaartermijnen voor persoonsgegevens tijdens de actieve dienstverlening. Gegevens worden na afloop van de termijn automatisch verwijderd of geanonimiseerd, tenzij een wettelijke bewaarplicht langer bewaren vereist.

Gegevenscategorie Bewaartermijn Juridische grondslag
Huurcontracten (tekst, partijen, voorwaarden) Duur huurovereenkomst + 7 jaar na beëindiging BW art. 2:24 (bewaarplicht administratie); AWR art. 52 (fiscale bewaarplicht); BW art. 3:310 (verjaringstermijn vorderingen)
Geüploade documenten (ID-bewijzen, inkomensbewijzen, werkgeversverklaringen) 2 jaar na einde huurovereenkomst, daarna automatisch verwijderd Art. 5 lid 1 sub e AVG (opslagbeperking — niet langer dan noodzakelijk); AP richtlijn: ID-kopieën mogen niet langer bewaard worden dan het verificatiedoel vereist
Plaatsbeschrijvingen + foto's Duur huurovereenkomst + 2 jaar (bewijsfunctie schade/geschillen) BW art. 3:310 (verjaring rechtsvorderingen 2 jaar na ontdekking schade, max. 5 jaar absoluut); proportionaliteitsbeginsel AVG
Betalingsgegevens (bedrag, datum, status — geen volledige bankgegevens) 7 jaar na het kalenderjaar van de betaling AWR art. 52 (fiscale bewaarplicht 7 jaar); BW boek 2 art. 24
Servicetickets en onderhoudsverzoeken Afhandeling + 2 jaar Art. 5 lid 1 sub e AVG; BW art. 3:310 lid 1 (verjaringstermijn wanprestatie)
Huurder-accounts en profielgegevens (naam, e-mail, telefoon) Einde huurovereenkomst + 1 jaar, daarna geanonimiseerd Art. 5 lid 1 sub e AVG; noodzakelijk voor afwikkeling eventuele vorderingen (BW art. 3:307)
AI-gegenereerde risicoscores en analyses Duur huurrelatie; na beëindiging direct geanonimiseerd Art. 5 lid 1 sub e AVG; art. 22 AVG (geautomatiseerde besluitvorming — minimale bewaartermijn conform doel)
Verhuurder-account en abonnementsgegevens Duur abonnement + 7 jaar (facturatiehistorie) AWR art. 52 (fiscale administratie); BW art. 2:24
Berichten / inbox (communicatie verhuurder–huurder) Duur huurovereenkomst + 1 jaar Art. 5 lid 1 sub e AVG; proportionaliteitsbeginsel

11.2 Automatische verwijdering (technische implementatie)

PropAI streeft naar automatische verwijdering van gegevens na het verstrijken van de bewaartermijn. De huidige implementatie:

11.3 Bij beëindiging van de dienst

Na beëindiging van het PropAI-abonnement verwijdert PropAI alle persoonsgegevens van de Verhuurder en zijn huurders binnen 30 dagen, tenzij de Verhuurder binnen die periode verzoekt om retournering in CSV/JSON-formaat.

Gegevens met een lopende wettelijke bewaarplicht (zie tabel 11.1) worden na beëindiging voor de resterende wettelijke termijn bewaard in geïsoleerde opslag, zonder actieve verwerking, en daarna onherstelbaar verwijderd.

11.4 Bevestiging en recht op vergetelheid

PropAI verstrekt op verzoek van de Verhuurder een schriftelijke bevestiging van verwijdering. Bij een verzoek om vergetelheid (art. 17 AVG) van een huurder beoordeelt de Verhuurder als verwerkingsverantwoordelijke of een wettelijke bewaarplicht het verzoek beperkt. PropAI verleent technische bijstand bij de uitvoering.

Opslagbeperking (art. 5 lid 1 sub e AVG): Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld. De bovenstaande termijnen zijn gebaseerd op de minimale wettelijke bewaarverplichting of de kortst mogelijke termijn die de bedrijfsvoering van de Verhuurder ondersteunt.
Artikel 11a

EU Data Act — Overstaprecht en data-portabiliteit (Verordening (EU) 2023/2854)

Grondslag: Verordening (EU) 2023/2854 van 13 december 2023 (Dataverordening / EU Data Act) | Van toepassing vanaf 12 september 2025 | Hoofdstuk VI art. 23–31 (overstappen dataverwerkingsdiensten) | Art. 25 (contractuele bepalingen bij overstap) | Art. 23 (verbod op belemmeringen) | Art. 29 (overstapkosten) | EUR-Lex CELEX:32023R2854 | Clairfield analyse Data Act SaaS november 2025 | Hannes Snellman Digital Horizon Data Act Commentary 2025

11a.1 Toepasselijkheid op PropAI

PropAI is een aanbieder van dataverwerkingsdiensten (SaaS-platform) die persoonsgegevens verwerkt namens de Verhuurder. PropAI valt daarmee onder het toepassingsbereik van Hoofdstuk VI van de EU Data Act (art. 23–31), dat van toepassing is vanaf 12 september 2025. De bepalingen in dit artikel zijn rechtstreeks werkend EU-recht en hebben voorrang op tegenstrijdige contractuele bedingen.

11a.2 Verbod op belemmeringen bij overstap (art. 23 Data Act)

PropAI legt de Verhuurder geen commerciële, technische, contractuele of organisatorische belemmeringen op die de overstap naar een andere aanbieder van dataverwerkingsdiensten bemoeilijken of verhinderen. Verboden zijn onder meer:

11a.3 Verplichte contractuele bepalingen bij overstap (art. 25 lid 2 Data Act)

Conform art. 25 lid 2 van de EU Data Act bevat deze overeenkomst de volgende verplichte bepalingen:

Art. 25 lid 2 Vereiste PropAI-invulling
sub a Overstap op verzoek, binnen 30 dagen transitieperiode PropAI voert het overstapproces uit binnen 30 kalenderdagen na verzoek, inclusief volledige data-export en overdracht aan de nieuwe aanbieder.
sub a-i Redelijke assistentie bij overstap PropAI verleent technische bijstand aan de Verhuurder en door de Verhuurder gemachtigde derden gedurende het overstapproces.
sub a-ii Bedrijfscontinuïteit gedurende overstap PropAI garandeert continuïteit van alle overeengekomen functies en diensten gedurende de transitieperiode.
sub a-iv Hoge beveiliging tijdens overstap Gegevens worden versleuteld overgedragen (TLS 1.3 + AES-256). Beveiligingsniveau blijft gehandhaafd gedurende de volledige retrievalperiode.
sub b Ondersteuning exit-strategie PropAI verstrekt alle relevante informatie (datastructuur, API-documentatie, exportformaten) die noodzakelijk is voor een succesvolle migratie.
sub d Max. opzegtermijn 2 maanden De opzegtermijn voor het initiëren van het overstapproces bedraagt maximaal 2 kalendermaanden.
sub e Specificatie exporteerbare data Alle gegevens in de PropAI-database behorend bij het account van de Verhuurder zijn exporteerbaar (zie art. 11a.4 voor het overzicht).
sub g Min. 30 dagen data-retrievalperiode Na afloop van de transitieperiode heeft de Verhuurder minimaal 30 kalenderdagen om gegevens op te halen. Na deze periode worden gegevens verwijderd conform art. 11.
sub h Volledige verwijdering na retrievalperiode PropAI verwijdert alle exporteerbare gegevens en digitale assets van de Verhuurder na het verstrijken van de retrievalperiode, tenzij wettelijke bewaarplicht geldt.
sub i Overstapkosten (art. 29) PropAI brengt geen overstapkosten in rekening (zie art. 11a.5).

11a.4 Exporteerbare gegevens en digitale assets (art. 25 lid 2 sub e)

De volgende gegevenscategorieën zijn exporteerbaar in machineleesbaar formaat (CSV/JSON/PDF):

Interne configuratiedata specifiek voor de PropAI-architectuur (databaseschema, interne logging, beveiligingssleutels) is uitgezonderd van de export conform art. 25 lid 2 sub f Data Act, voor zover openbaarmaking een risico op schending van bedrijfsgeheimen oplevert en de overstap niet belemmert.

11a.5 Overstapkosten (art. 29 Data Act)

Op grond van art. 29 van de EU Data Act geldt het volgende regime voor overstapkosten:

Verhuurder-rechten samenvatting: U kunt uw volledige dataset op elk moment exporteren, overstappen naar een andere aanbieder binnen 30 dagen, en PropAI brengt tot september 2027 geen overstapkosten in rekening. Neem contact op via privacy@propai.nl om een export- of overstapverzoek in te dienen.
Artikel 12

Aansprakelijkheid

PropAI is aansprakelijk voor schade die het gevolg is van een verwerkingsactiviteit waarbij PropAI niet heeft voldaan aan de specifiek op verwerkers gerichte verplichtingen van de AVG, of waarbij PropAI buiten de rechtmatige instructies van de Verhuurder heeft gehandeld (art. 82 lid 2 AVG).

PropAI is niet aansprakelijk als zij aantoont dat haar geen schuld treft voor de schadeveroorzakende gebeurtenis (art. 82 lid 3 AVG).

Artikel 13

Wijzigingen en looptijd

PropAI kan deze verwerkersovereenkomst aanpassen bij wetswijzigingen of operationele noodzaak. Verhuurders worden minimaal 30 dagen van tevoren per e-mail geïnformeerd. Voortgezet gebruik na de ingangsdatum geldt als akkoord.

Bij substantiële wijzigingen die de rechten van betrokkenen beïnvloeden, heeft de Verhuurder het recht de overeenkomst te beëindigen zonder kosten.

Artikel 14

Toepasselijk recht en geschillen

Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Amsterdam, tenzij partijen overeenkomen het geschil via mediation te beslechten.

De Autoriteit Persoonsgegevens is de bevoegde toezichthoudende autoriteit (art. 51 AVG): www.autoriteitpersoonsgegevens.nl

Ondertekening

Door gebruik te maken van PropAI en het accepteren van de Servicevoorwaarden gaat de Verhuurder akkoord met deze verwerkersovereenkomst. Voor een getekend exemplaar per e-mail: privacy@propai.nl

Verwerker: PropAI

Lars Tils — Founder & Verwerkingsverantwoordelijke

Zilverschoon 53, 1422NZ Uithoorn

KvK: 42081154  |  privacy@propai.nl

Datum ondertekening: 16 juni 2026 (v1.0) — Herzien: 20 juni 2026 (v3.0)

Verwerkingsverantwoordelijke: Verhuurder

Naam: ___________________________

Bedrijf (indien van toepassing): _______________

E-mail: ___________________________

Datum: ___________________________

Versiehistorie
v1.0 — 16 juni 2026: initiële versie (art. 1–9, subverwerkers, datalekprocedure)
v2.0 — 19 juni 2026: uitbreiding met art. 8a (NIS2/Cbw), art. 8.1 (audit & logging), bewaartermijnen, minderjarigen, EU Data Act
v2.4 — 20 juni 2026: art. 8b (ISO 27001/SOC 2/RBAC), art. 8c (BCP), art. 8d (vulnerability management), cookiebanner 5 pagina's
v3.0 — 20 juni 2026: art. 8e (Secure SDLC + CRA), art. 8f (SLA 99,5% + P1-P4), art. 8g (SSO roadmap + MFA) — volledige juridische dekking (23 artikelen)