Data Processing Agreement (DPA) – Next Shape

1. Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon handelend in de uitoefening van beroep of bedrijf die met Next Shape een overeenkomst aangaat voor afname van diensten (“Klant”).
2. Verwerker: Next Shape, KvK 88315215, Honingboomstraat 23, 6444CA Brunssum, Nederland, e-mail: info@nextshape.nl (“Next Shape”). Klant en Next Shape hierna gezamenlijk: “Partijen”.

A. Klant neemt diensten af van Next Shape (o.a. AI-agents, automatiseringen, integraties, maatwerksoftware en support). B. Voor de uitvoering daarvan verwerkt Next Shape mogelijk persoonsgegevens namens Klant. C. Partijen willen hun afspraken vastleggen conform artikel 28 AVG.

Partijen komen het volgende overeen.

1.1 AVG: Verordening (EU) 2016/679. 1.2 Persoonsgegevens, Verwerking, Betrokkene, Inbreuk in verband met Persoonsgegevens (Datalek): zoals gedefinieerd in de AVG. 1.3 Hoofdovereenkomst: de overeenkomst (incl. SOW/offerte/werkafspraken) tussen Partijen waarop deze DPA betrekking heeft. 1.4 Subverwerker: derde die door Next Shape wordt ingeschakeld voor (een deel van) de Verwerking. 1.5 Projectdata: gegevens (incl. persoonsgegevens) die Klant aanlevert of die worden verwerkt binnen de diensten, waaronder CRM-/sales-/operationele data, klantcommunicatie, support tickets, AI-logs en automatiseringsdata.

2.1 Deze DPA is van toepassing op alle Verwerkingen door Next Shape als Verwerker in het kader van de Hoofdovereenkomst. 2.2 De duur van deze DPA loopt gelijk met de Hoofdovereenkomst en/of zolang Next Shape persoonsgegevens namens Klant verwerkt. 2.3 Details over categorieën betrokkenen, typen persoonsgegevens, doeleinden en verwerkingshandelingen staan in Bijlage 1 (Verwerkingsdetails).

3.1 Klant is (doorgaans) verwerkingsverantwoordelijke en bepaalt het doel en de middelen van de Verwerking; Next Shape verwerkt uitsluitend namens Klant. 3.2 Next Shape verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van Klant, inclusief doorgifte aan een derde land, tenzij een Unierechtelijke of lidstaatrechtelijke verplichting Next Shape hiertoe verplicht; in dat geval informeert Next Shape Klant vooraf (tenzij dit wettelijk verboden is). 3.3 Als Next Shape van mening is dat een instructie in strijd is met de AVG of andere gegevensbeschermingswetgeving, meldt Next Shape dit aan Klant en mag uitvoering opschorten totdat Partijen schriftelijk overeenstemming bereiken.

4.1 Next Shape waarborgt dat personen die onder haar gezag handelen en toegang hebben tot persoonsgegevens (i) gebonden zijn aan geheimhouding of (ii) een passende wettelijke geheimhoudingsplicht hebben. 4.2 Toegang tot persoonsgegevens wordt beperkt tot wat noodzakelijk is (“least privilege”).

5.1 Next Shape treft passende technische en organisatorische maatregelen (TOM’s) om persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerking, rekening houdend met stand van de techniek, uitvoeringskosten en risico’s. 5.2 De TOM’s zijn beschreven in Bijlage 2 (Beveiligingsmaatregelen) en kunnen worden aangepast als dat redelijkerwijs nodig is voor security, stabiliteit of compliance, mits het beschermingsniveau niet wezenlijk wordt verlaagd.

6.1 Klant geeft Next Shape algemene toestemming om Subverwerkers in te schakelen voor de uitvoering van de diensten, mits Next Shape (i) passende due diligence toepast en (ii) met de Subverwerker schriftelijke verplichtingen overeenkomt die materieel niet minder beschermend zijn dan deze DPA. 6.2 Next Shape houdt een (actuele) lijst van Subverwerkers bij in Bijlage 3 (Subverwerkerslijst). Next Shape informeert Klant vooraf over materiële wijzigingen (toevoeging/vervanging) waar redelijkerwijs mogelijk. Klant kan binnen 14 dagen gemotiveerd bezwaar maken; als Partijen geen oplossing vinden, kan Klant het deel van de diensten dat afhankelijk is van de nieuwe Subverwerker beëindigen, met vergoeding van reeds verrichte werkzaamheden. 6.3 Next Shape blijft tegenover Klant volledig verantwoordelijk voor de nakoming door Subverwerkers.

7.1 Indien persoonsgegevens buiten de EER worden verwerkt of toegankelijk zijn, zorgt Next Shape voor passende waarborgen, zoals Standard Contractual Clauses (SCC’s) en waar nodig aanvullende maatregelen (bijv. versleuteling, dataminimalisatie, toegangsbeperkingen). 7.2 Op verzoek verstrekt Next Shape Klant redelijke informatie over de toegepaste waarborgen, voor zover beschikbaar en zonder vertrouwelijke beveiligingsinformatie prijs te geven.

8.1 Next Shape meldt een Datalek aan Klant zonder onredelijke vertraging nadat Next Shape daarvan kennis heeft genomen, en streeft ernaar dit zo snel mogelijk, en waar redelijkerwijs haalbaar binnen 48 uur. 8.2 De melding bevat voor zover bekend: aard van het incident, (waarschijnlijk) getroffen categorieën en aantallen, mogelijke gevolgen, genomen/voorgestelde maatregelen en contactpunt. 8.3 Next Shape houdt een incidentregistratie bij en verleent redelijke medewerking zodat Klant aan meldplichten richting Autoriteit Persoonsgegevens en betrokkenen kan voldoen.

9.1 Next Shape zal, rekening houdend met de aard van de Verwerking, Klant assisteren met passende technische en organisatorische maatregelen bij het afhandelen van verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar). 9.2 Als Next Shape rechtstreeks een verzoek ontvangt, stuurt zij dit onverwijld door aan Klant en handelt niet zelfstandig inhoudelijk af, tenzij Klant dit schriftelijk instrueert.

10.1 Next Shape assisteert Klant redelijkerwijs bij: (i) beveiligingsverplichtingen, (ii) DPIA’s, en (iii) voorafgaande raadpleging van toezichthouders, voor zover de gevraagde informatie betrekking heeft op de door Next Shape uitgevoerde Verwerking. 10.2 Deze assistentie kan als meerwerk worden gefactureerd tegen geldend tarief, tenzij in de Hoofdovereenkomst anders is overeengekomen.

11.1 Next Shape stelt Klant alle informatie ter beschikking die redelijkerwijs nodig is om naleving van deze DPA aan te tonen. 11.2 Klant mag maximaal één keer per kalenderjaar een audit laten uitvoeren, vooraf aangekondigd met minimaal 30 dagen, door een onafhankelijke auditor die aan geheimhouding is gebonden. De audit mag de bedrijfsvoering niet onredelijk verstoren en is beperkt tot systemen/processen die relevant zijn voor de Verwerking. 11.3 Kosten van de audit zijn voor rekening van Klant, tenzij de audit een materiële tekortkoming van Next Shape aantoont; dan draagt Next Shape redelijke kosten van herstelmaatregelen.

12.1 Na beëindiging van de diensten verwijdert of retourneert Next Shape (naar keuze van Klant, indien praktisch) de persoonsgegevens, tenzij opslag wettelijk verplicht is. 12.2 Back-ups kunnen persoonsgegevens nog gedurende een beperkte periode bevatten; definitieve verwijdering volgt de back-upcyclus, conform jullie algemene bewaartermijnbenadering. 12.3 Next Shape bevestigt op verzoek schriftelijk dat verwijdering heeft plaatsgevonden, voor zover redelijkerwijs aantoonbaar.

13.1 De aansprakelijkheidsregeling uit de Hoofdovereenkomst/Algemene Voorwaarden is van toepassing op deze DPA, tenzij dwingend recht anders bepaalt. 13.2 Elke Partij is verantwoordelijk voor boetes/schade die het directe gevolg zijn van haar eigen toerekenbare schending van de AVG of deze DPA. Next Shape is niet verantwoordelijk voor de rechtmatigheid van de door Klant aangeleverde gegevens, grondslagen of instructies. 13.3 Niets in deze DPA beperkt aansprakelijkheid voor zover beperking wettelijk niet is toegestaan.

14.1 Bij strijd tussen deze DPA en de Hoofdovereenkomst geldt deze rangorde: (1) DPA voor zover het persoonsgegevensverwerking betreft, daarna (2) SOW/hoofdovereenkomst, (3) overige bijlagen, (4) algemene voorwaarden.

15.1 Op deze DPA is Nederlands recht van toepassing. 15.2 Geschillen worden exclusief voorgelegd aan de bevoegde rechter zoals bepaald in de Hoofdovereenkomst (bij Next Shape: Rechtbank Limburg, locatie Maastricht), tenzij dwingend recht anders voorschrijft.

1. Onderwerp en aard van de Verwerking: leveren, ontwikkelen, hosten/beheren (indien overeengekomen) en ondersteunen van AI-agents, automatiseringen, integraties, maatwerkapplicaties, dashboards en bijbehorende monitoring/optimalisatie.
2. Doeleinden: uitvoering Hoofdovereenkomst; implementatie, beheer, support, incidentafhandeling, (waar overeengekomen) monitoring en optimalisatie.
3. Categorieën betrokkenen (voorbeelden): medewerkers van Klant, (eind)klanten/leadcontacten van Klant, leveranciers/partners van Klant, gebruikers van Klant-systemen.
4. Type persoonsgegevens (voorbeelden): identificatie- en contactgegevens, werkgerelateerde gegevens (functie/afdeling), communicatie-inhoud, CRM-/salesdata, operationele data, supporttickets, gebruikers-/accountgegevens, loggegevens en AI-logs voor zover herleidbaar.
5. Bijzondere categorieën: niet beoogd; Klant zal dergelijke gegevens niet aanleveren of laten verwerken tenzij schriftelijk overeengekomen én rechtmatig met passende waarborgen.
6. Verwerkingshandelingen: verzamelen/ontvangen, opslaan, structureren, raadplegen, gebruiken, delen met Subverwerkers voor levering dienst, beveiligen, verwijderen/retourneren.

Next Shape hanteert maatregelen passend bij risico en dienst, waaronder waar toepasselijk: toegangsbeheer (least privilege), MFA waar mogelijk, TLS-versleuteling tijdens transport, logging/monitoring, patchmanagement, scheiding omgevingen (dev/test/prod waar relevant), secrets management, back-up procedures, incident response-proces, contractuele security-afspraken met Subverwerkers, en dataminimalisatie.

Deze lijst kan per klantproject verschillen (afhankelijk van stack en afspraken). Next Shape kan o.a. gebruikmaken van:

1. AI providers: OpenAI, Anthropic
2. Automation: n8n, Make, Zapier
3. Hosting/infrastructuur: Supabase, Vercel, Google Cloud Platform
4. Analytics: Google Analytics 4, PostHog
5. Payments (indien van toepassing): Stripe