Verwerkersovereenkomst CONCEPT v0.1

Laatst bijgewerkt: 15 maart 2026

Dit is een concept-verwerkersovereenkomst ter beoordeling door Aditi Singh (juridisch adviseur). Deze overeenkomst wordt definitief vastgesteld voor de start van het betaprogramma. Beslispunten zijn gemarkeerd met [BESLUIT].

Partijen

Verwerkingsverantwoordelijke ("Klant"): De organisatie die het Raplio-platform gebruikt en daarbij persoonsgegevens invoert of uploadt.

Verwerker ("Raplio"): De aanbieder van het Raplio-platform.

Juridische entiteitsgegevens (KvK-nummer, rechtsvorm, vestigingsadres) worden hier ingevuld zodra de registratie is afgerond.

1. Definities

AVG — Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).
Persoonsgegevens — alle informatie die direct of indirect herleidbaar is tot een geidentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in artikel 4 lid 1 AVG.
Verwerking — elke bewerking van persoonsgegevens, zoals gedefinieerd in artikel 4 lid 2 AVG.
Klantgegevens — alle gegevens die de Klant invoert, uploadt of genereert via het Raplio-platform, inclusief duurzaamheidsgegevens, energieverbruiksdata, personeelsstatistieken en financiele indicatoren.
Subverwerker — een derde partij die door Raplio wordt ingeschakeld voor de verwerking van Klantgegevens.
Dienst — het Raplio-platform zoals beschreven in de Betavoorwaarden of Serviceovereenkomst.

2. Doel en reikwijdte van de verwerking

2.1 Doel

Raplio verwerkt Klantgegevens uitsluitend ten behoeve van het leveren van de Dienst, waaronder:

Opslag en beheer van duurzaamheidsgegevens in de database
AI-verwerking van geuploade documenten (energierekeningen, vragenlijsten) voor gegevensextractie
Genereren van VSME-rapporten en andere compliance-outputs
Beantwoording van klantvragenlijsten op basis van opgeslagen gegevens
Verzending van transactionele e-mails (accountbevestiging, rapportnotificaties)

2.2 Categorieen van persoonsgegevens

Categorie	Voorbeelden	Bron
Bedrijfsgegevens	Bedrijfsnaam, KvK-nummer, adres, SBI-code	Handmatige invoer
Personeelsstatistieken (geaggregeerd)	Totaal FTE, man/vrouw verhouding, leeftijdsklassen	Handmatige invoer of document upload
Veiligheidsgegevens (geaggregeerd)	Totaal arbeidsongevallen, verloren werkdagen, LTIR	Handmatige invoer
Opleidingsgegevens (geaggregeerd)	Totale opleidingskosten, percentage van personeelskosten	Handmatige invoer
Financiele indicatoren	Totale omzet, personeelskosten	Handmatige invoer of document upload
Energieverbruiksdata	kWh elektriciteit, m3 gas, liter diesel	Document upload (AI-extractie)

2.3 Betrokkenen

De persoonsgegevens hebben betrekking op:

Medewerkers van de Klant (uitsluitend geaggregeerde statistieken, geen individuele gegevens)
Contactpersonen van de Klant (naam, e-mailadres voor accountbeheer)

3. Verplichtingen van Raplio als verwerker

3.1 Instructies

Raplio verwerkt Klantgegevens uitsluitend op basis van schriftelijke instructies van de Klant, tenzij Raplio daartoe verplicht is op grond van Unierecht of lidstaatrecht. In dat geval stelt Raplio de Klant vooraf in kennis, tenzij dit wettelijk verboden is (artikel 28 lid 3 sub a AVG).

3.2 Vertrouwelijkheid

Raplio waarborgt dat personen die toegang hebben tot Klantgegevens gebonden zijn aan een geheimhoudingsplicht (artikel 28 lid 3 sub b AVG).

3.3 Beveiligingsmaatregelen

Raplio treft passende technische en organisatorische maatregelen ter bescherming van Klantgegevens (artikel 32 AVG), waaronder:

Versleuteling van gegevens in transit (TLS 1.2+) en at rest (AES-256)
Multi-tenant isolatie via Row-Level Security (RLS) op databaseniveau
Toegangsbeheer op basis van organisatielidmaatschap
Audit trail van alle gegevenswijzigingen (append-only event log)
Regelmatige beveiligingsaudits en kwetsbaarheidsscans

3.4 Subverwerkers

Raplio maakt gebruik van de volgende subverwerkers. De Klant geeft hierbij algemene toestemming voor het inschakelen van subverwerkers (artikel 28 lid 2 AVG). Raplio informeert de Klant vooraf over wijzigingen in subverwerkers en biedt de mogelijkheid bezwaar te maken.

Subverwerker	Doel	Locatie
Supabase Inc.	Database, authenticatie, bestandsopslag	EU (eu-west-1)
Anthropic PBC	AI-verwerking (documentextractie, formulierassistent)	VS (commerciele voorwaarden, geen training op klantdata)
Vercel Inc.	Applicatiehosting	EU (eu-west-1)
Resend Inc.	Transactionele e-mailverzending	VS
Mollie B.V.	Betalingsverwerking (iDEAL)	Nederland
Inngest Inc.	Achtergrondtaakverwerking	VS
Microsoft Corp.	E-mailoverzicht (Outlook)	EU

[BESLUIT — Aditi]: Is een aanvullende Standard Contractual Clauses (SCC)-verwijzing nodig voor de VS-gebaseerde subverwerkers (Anthropic, Resend, Inngest)?

3.5 Bijstand bij rechten van betrokkenen

Raplio verleent de Klant bijstand bij het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar) voor zover technisch mogelijk en redelijk (artikel 28 lid 3 sub e AVG). Het Raplio-platform biedt de Klant de mogelijkheid om gegevens zelf in te zien, te corrigeren en te exporteren.

3.6 Meldplicht datalekken

Raplio meldt inbreuken op de beveiliging van Klantgegevens aan de Klant zonder onredelijke vertraging en in elk geval binnen 48 uur na kennisname (artikel 33 lid 2 AVG). De melding bevat ten minste:

De aard van het datalek
De categorieen en het geschatte aantal betrokkenen
De waarschijnlijke gevolgen
De genomen of voorgestelde maatregelen

3.7 Audit

Raplio stelt de Klant alle informatie ter beschikking die nodig is om de naleving van de verplichtingen uit artikel 28 AVG aan te tonen, en staat audits en inspecties toe (artikel 28 lid 3 sub h AVG). Raplio mag redelijke voorwaarden stellen aan de uitvoering van audits, waaronder voorafgaande kennisgeving en beperking tot kantooruren.

4. Locatie en doorgifte van gegevens

Klantgegevens worden primair opgeslagen en verwerkt binnen de Europese Unie (EU). Voor verwerking door subverwerkers buiten de EU (met name Anthropic, Resend en Inngest in de VS) gelden de volgende waarborgen:

EU-VS Data Privacy Framework (indien van toepassing)
Standaardcontractbepalingen (SCCs) conform besluit 2021/914/EU
Commerciele verwerkersvoorwaarden van de betreffende subverwerker

[BESLUIT — Aditi]: Welke doorgiftemechanisme(n) moeten expliciet worden opgenomen? DPF + SCC als fallback?

5. Bewaartermijn en verwijdering

Raplio bewaart Klantgegevens gedurende de looptijd van de overeenkomst. Na beeindiging van de overeenkomst:

De Klant heeft 90 dagen om gegevens te exporteren (JSON, PDF, CSV)
Na deze exportperiode worden alle Klantgegevens definitief verwijderd
Raplio verstrekt op verzoek een schriftelijke bevestiging van verwijdering

Gegevens die op grond van wettelijke bewaarplichten bewaard moeten worden, zijn hiervan uitgezonderd.

6. Duur en beeindiging

Deze verwerkersovereenkomst is van kracht zolang Raplio Klantgegevens verwerkt. De overeenkomst eindigt automatisch wanneer de onderliggende dienstverleningsovereenkomst (Betavoorwaarden of Serviceovereenkomst) eindigt.

7. Toepasselijk recht

Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.

Dit is een concept ter beoordeling. De definitieve versie wordt vastgesteld in overleg met juridisch adviseur Aditi Singh.

← Terug naar raplio.nl

Data Processing Agreement DRAFT v0.1

Last updated: 15 March 2026

This is a draft Data Processing Agreement for review by Aditi Singh (legal counsel). This agreement will be finalised before the start of the beta program. Decision points are marked with [DECIDE].

Parties

Data Controller ("Customer"): The organisation that uses the Raplio platform and enters or uploads personal data.

Data Processor ("Raplio"): The provider of the Raplio platform.

Legal entity details (KvK number, legal form, registered address) will be added here once registration is completed.

1. Definitions

GDPR — Regulation (EU) 2016/679 (General Data Protection Regulation).
Personal Data — any information relating to an identified or identifiable natural person, as defined in Article 4(1) GDPR.
Processing — any operation performed on personal data, as defined in Article 4(2) GDPR.
Customer Data — all data entered, uploaded, or generated by the Customer through the Raplio platform, including sustainability data, energy consumption data, employee statistics, and financial indicators.
Sub-processor — a third party engaged by Raplio for the processing of Customer Data.
Service — the Raplio platform as described in the Beta Terms or Service Agreement.

2. Purpose and scope of processing

2.1 Purpose

Raplio processes Customer Data solely for the purpose of providing the Service, including:

Storage and management of sustainability data in the database
AI processing of uploaded documents (energy bills, questionnaires) for data extraction
Generation of VSME reports and other compliance outputs
Answering customer questionnaires based on stored data
Sending transactional emails (account confirmation, report notifications)

2.2 Categories of personal data

Category	Examples	Source
Company data	Company name, KvK number, address, SBI code	Manual entry
Employee statistics (aggregated)	Total FTE, gender ratio, age groups	Manual entry or document upload
Safety data (aggregated)	Total workplace accidents, lost workdays, LTIR	Manual entry
Training data (aggregated)	Total training costs, percentage of personnel costs	Manual entry
Financial indicators	Total revenue, personnel costs	Manual entry or document upload
Energy consumption data	kWh electricity, m3 gas, litres diesel	Document upload (AI extraction)

2.3 Data subjects

The personal data relates to:

Customer's employees (aggregated statistics only, no individual data)
Customer's contact persons (name, email address for account management)

3. Obligations of Raplio as processor

3.1 Instructions

Raplio processes Customer Data only on the basis of documented instructions from the Customer, unless required by Union or Member State law. In that case, Raplio shall inform the Customer in advance, unless legally prohibited (Article 28(3)(a) GDPR).

3.2 Confidentiality

Raplio ensures that persons authorised to process Customer Data are bound by a duty of confidentiality (Article 28(3)(b) GDPR).

3.3 Security measures

Raplio implements appropriate technical and organisational measures to protect Customer Data (Article 32 GDPR), including:

Encryption of data in transit (TLS 1.2+) and at rest (AES-256)
Multi-tenant isolation via Row-Level Security (RLS) at the database level
Access control based on organisation membership
Audit trail of all data changes (append-only event log)
Regular security audits and vulnerability scans

3.4 Sub-processors

Raplio uses the following sub-processors. The Customer hereby grants general authorisation for the engagement of sub-processors (Article 28(2) GDPR). Raplio shall inform the Customer in advance of any changes to sub-processors and provide the opportunity to object.

Sub-processor	Purpose	Location
Supabase Inc.	Database, authentication, file storage	EU (eu-west-1)
Anthropic PBC	AI processing (document extraction, form assistant)	US (commercial terms, no training on customer data)
Vercel Inc.	Application hosting	EU (eu-west-1)
Resend Inc.	Transactional email delivery	US
Mollie B.V.	Payment processing (iDEAL)	Netherlands
Inngest Inc.	Background task processing	US
Microsoft Corp.	Email (Outlook)	EU

[DECIDE — Aditi]: Is an additional Standard Contractual Clauses (SCC) reference needed for US-based sub-processors (Anthropic, Resend, Inngest)?

3.5 Assistance with data subject rights

Raplio assists the Customer in responding to data subject requests (access, rectification, erasure, restriction, portability, objection) insofar as technically feasible and reasonable (Article 28(3)(e) GDPR). The Raplio platform provides the Customer with the ability to view, correct, and export data independently.

3.6 Data breach notification

Raplio shall notify the Customer of any breach of security affecting Customer Data without undue delay and in any event within 48 hours of becoming aware (Article 33(2) GDPR). The notification shall include at least:

The nature of the data breach
The categories and approximate number of data subjects affected
The likely consequences
The measures taken or proposed

3.7 Audit

Raplio shall make available to the Customer all information necessary to demonstrate compliance with the obligations in Article 28 GDPR, and shall allow for and contribute to audits and inspections (Article 28(3)(h) GDPR). Raplio may impose reasonable conditions on audits, including prior notice and limitation to business hours.

4. Data location and transfers

Customer Data is primarily stored and processed within the European Union (EU). For processing by sub-processors outside the EU (notably Anthropic, Resend, and Inngest in the US), the following safeguards apply:

EU-US Data Privacy Framework (where applicable)
Standard Contractual Clauses (SCCs) pursuant to Decision 2021/914/EU
Commercial processing terms of the relevant sub-processor

[DECIDE — Aditi]: Which transfer mechanism(s) should be explicitly included? DPF + SCC as fallback?

5. Retention and deletion

Raplio retains Customer Data for the duration of the agreement. Upon termination of the agreement:

The Customer has 90 days to export data (JSON, PDF, CSV)
After this export period, all Customer Data is permanently deleted
Raplio shall provide written confirmation of deletion upon request

Data that must be retained due to legal retention obligations is exempt from the above.

6. Duration and termination

This Data Processing Agreement is effective for as long as Raplio processes Customer Data. The agreement terminates automatically when the underlying service agreement (Beta Terms or Service Agreement) ends.

7. Governing law

This Data Processing Agreement is governed by the laws of the Netherlands. Disputes shall be submitted to the competent court in the Netherlands.

This is a draft for review. The final version will be determined in consultation with legal counsel Aditi Singh.

← Back to raplio.nl