Verwerkersovereenkomst

conform artikel 28 van de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679)

Versie 1.016 april 2026

Partijen

1. De Verwerkingsverantwoordelijke:

De natuurlijke persoon of rechtspersoon die een Overeenkomst heeft gesloten met Bimizi B.V. voor het gebruik van het Platform (hierna: "Verwerkingsverantwoordelijke" of "Opdrachtgever").

2. De Verwerker:

Bimizi B.V., gevestigd aan Hanenweg 1, 4317 NJ Noordgouwe, Pays-Bas, ingeschreven bij de Kamer van Koophandel onder nummer [invullen], hierna: "Verwerker" of "Bimizi".

Verwerkingsverantwoordelijke en Verwerker hierna gezamenlijk ook aangeduid als "Partijen" en afzonderlijk als "Partij".

Overwegende dat:

  • Verwerkingsverantwoordelijke gebruikmaakt van het door Verwerker aangeboden AI-gestuurde SaaS-platform voor geautomatiseerde offertevorming in de bouwsector (het "Platform");
  • Verwerker in het kader van de uitvoering van de Overeenkomst persoonsgegevens verwerkt ten behoeve van Verwerkingsverantwoordelijke;
  • Partijen op grond van artikel 28 van de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679, hierna: "AVG") verplicht zijn de afspraken over deze verwerking schriftelijk vast te leggen;
  • Partijen met deze Verwerkersovereenkomst (hierna: "Verwerkersovereenkomst") beogen te voldoen aan de vereisten van artikel 28 lid 3 AVG;

Komen het volgende overeen:

Artikel 1 — Definities

De begrippen die in deze Verwerkersovereenkomst met een hoofdletter worden geschreven, hebben de betekenis die daaraan in de AVG, de Uitvoeringswet AVG of de Algemene Voorwaarden van Verwerker wordt toegekend, tenzij in deze Verwerkersovereenkomst een afwijkende definitie is opgenomen.

Aanvullend gelden de volgende definities:

Betrokkene: de natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.

Datalek: een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4 lid 12 AVG.

Persoonsgegevens: alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon, als bedoeld in artikel 4 lid 1 AVG, die Verwerker in het kader van deze Verwerkersovereenkomst verwerkt ten behoeve van Verwerkingsverantwoordelijke.

Subverwerker: een derde partij die door Verwerker wordt ingeschakeld om namens Verwerkingsverantwoordelijke (een deel van) de Persoonsgegevens te verwerken.

Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, als bedoeld in artikel 4 lid 2 AVG.

Artikel 2Onderwerp en duur van de verwerking

1. Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de Overeenkomst tussen Partijen met betrekking tot het gebruik van het Platform en de daarbij behorende Algemene Voorwaarden van Bimizi B.V.

2. De duur van de verwerking is gelijk aan de looptijd van de Overeenkomst, inclusief eventuele verlengingen, tenzij in deze Verwerkersovereenkomst anders is bepaald.

3. Na beëindiging van de Overeenkomst zal Verwerker de verwerking van Persoonsgegevens beëindigen, behoudens de verplichtingen als omschreven in artikel 12 van deze Verwerkersovereenkomst.

Artikel 3Aard, doel en grondslag van de verwerking

1. Verwerker verwerkt Persoonsgegevens uitsluitend in het kader van de uitvoering van de Overeenkomst, te weten: het beschikbaar stellen van het Platform waarmee Verwerkingsverantwoordelijke bouwtekeningen kan uploaden en analyseren, en waarmee het AI-systeem van Verwerker automatisch bouwelementen segmenteert, oppervlakten en volumes berekent, deze koppelt aan door Verwerkingsverantwoordelijke ingevoerde hoeveelhedenstaaten (BOQ) en op basis daarvan offertes genereert.

2. De verwerking omvat de volgende handelingen: opslaan, ordenen, raadplegen, gebruiken (waaronder AI-gestuurde analyse), verstrekken door middel van doorzending aan Verwerkingsverantwoordelijke, en wissen of vernietigen van Persoonsgegevens.

3. Verwerkingsverantwoordelijke garandeert dat hij beschikt over een geldige grondslag voor de verwerking van de Persoonsgegevens in de zin van artikel 6 AVG en dat de verwerking door Verwerker niet in strijd is met de rechten van Betrokkenen of derden.

Artikel 4 — Soort Persoonsgegevens en categorieën van Betrokkenen

1. Categorieën van Betrokkenen:

De verwerking heeft betrekking op Persoonsgegevens van de volgende categorieën van Betrokkenen:

  • Medewerkers en contactpersonen van Verwerkingsverantwoordelijke die toegang hebben tot het Platform (Gebruikers);
  • Personen wier gegevens zijn opgenomen in door Verwerkingsverantwoordelijke geüploade bouwtekeningen of ingevoerde hoeveelhedenstaaten, voor zover deze persoonsgegevens bevatten (bijvoorbeeld namen van opdrachtgevers, projectleiders of contactpersonen);
  • Personen wier gegevens zijn opgenomen in door het Platform gegenereerde offertes.

2. Soorten Persoonsgegevens:

De verwerking kan betrekking hebben op de volgende soorten Persoonsgegevens:

  • Accountgegevens: naam, e-mailadres, telefoonnummer, functie, bedrijfsnaam;
  • Inloggegevens: gebruikersnaam, (gehashte) wachtwoorden, IP-adressen, sessiegegevens;
  • Gebruiksgegevens: logbestanden, activiteitenregistratie op het Platform, tijdstippen van gebruik;
  • Projectgegevens: gegevens die zijn opgenomen in door Verwerkingsverantwoordelijke geüploade bouwtekeningen, hoeveelhedenstaaten en de daaruit gegenereerde offertes, voor zover deze persoonsgegevens bevatten;
  • Communicatiegegevens: berichten en correspondentie via het Platform of met de klantenservice van Verwerker.

3. Verwerker verwerkt geen bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9 AVG, tenzij deze onverhoopt door Verwerkingsverantwoordelijke in de geüploade documenten zijn opgenomen. Verwerkingsverantwoordelijke draagt er zorg voor dat dit niet geschiedt.

Artikel 5 — Verplichtingen van Verwerker

Verwerker verplicht zich tot het volgende:

1. Instructies. Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, waaronder met betrekking tot doorgiften van Persoonsgegevens aan een derde land of internationale organisatie, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of Pays-Basse wettelijke bepaling Verwerker tot verwerking verplicht. In dat geval stelt Verwerker Verwerkingsverantwoordelijke voorafgaand aan de verwerking in kennis van dat wettelijk voorschrift, tenzij de betreffende wetgeving deze kennisgeving verbiedt om gewichtige redenen van algemeen belang.

2. Instructies in strijd met de AVG. Indien Verwerker van mening is dat een instructie van Verwerkingsverantwoordelijke in strijd is met de AVG of andere Unierechtelijke of nationale gegevensbeschermingsbepalingen, stelt Verwerker Verwerkingsverantwoordelijke hiervan onmiddellijk schriftelijk op de hoogte.

3. Geheimhouding. Verwerker waarborgt dat de tot het verwerken van Persoonsgegevens gemachtigde personen zich hebben verplicht tot geheimhouding of aan een passende wettelijke geheimhoudingsplicht zijn gebonden.

4. Beveiliging. Verwerker treft passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van Betrokkenen. Deze maatregelen omvatten onder meer, voor zover passend:

  • de pseudonimisering en versleuteling van Persoonsgegevens;
  • het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;
  • een procedure voor het op gezette tijden testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

5. Register van verwerkingsactiviteiten. Verwerker houdt een register van verwerkingsactiviteiten bij als bedoeld in artikel 30 lid 2 AVG.

Artikel 6Bijstand aan Verwerkingsverantwoordelijke

1. Verwerker verleent, rekening houdend met de aard van de verwerking, Verwerkingsverantwoordelijke voor zover mogelijk bijstand bij het vervullen van diens verplichtingen om te reageren op verzoeken van Betrokkenen tot uitoefening van hun rechten als bedoeld in hoofdstuk III van de AVG (waaronder het recht op inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar). Indien een Betrokkene zich rechtstreeks tot Verwerker wendt met een dergelijk verzoek, zal Verwerker het verzoek onverwijld doorsturen naar Verwerkingsverantwoordelijke.

2. Overige verplichtingen. Verwerker verleent Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking en de Verwerker ter beschikking staande informatie, bijstand bij het nakomen van de verplichtingen uit hoofde van:

  • artikel 32 AVG: beveiliging van de verwerking;
  • artikelen 33 en 34 AVG: meldplicht bij Datalekken;
  • artikel 35 AVG: gegevensbeschermingseffectbeoordeling (DPIA);
  • artikel 36 AVG: voorafgaande raadpleging van de toezichthouder.

3. Verwerker is gerechtigd redelijke kosten in rekening te brengen voor de bijstand als bedoeld in dit artikel, voor zover deze bijstand het gebruikelijke dienstverleningsniveau overschrijdt.

Artikel 7Datalekken

1. Verwerker stelt Verwerkingsverantwoordelijke zonder onredelijke vertraging, en in ieder geval binnen achtenveertig (48) uur na kennisname, op de hoogte van een Datalek dat Persoonsgegevens betreft die in het kader van deze Verwerkersovereenkomst worden verwerkt.

2. De melding aan Verwerkingsverantwoordelijke bevat ten minste de volgende informatie, voor zover op dat moment beschikbaar:

  • de aard van het Datalek, waar mogelijk onder vermelding van de categorieën en het bij benadering aantal Betrokkenen en Persoonsgegevens die daarbij betrokken zijn;
  • de naam en contactgegevens van de contactpersoon bij Verwerker waar meer informatie kan worden verkregen;
  • de waarschijnlijke gevolgen van het Datalek;
  • de maatregelen die Verwerker heeft voorgesteld of getroffen om het Datalek aan te pakken, waaronder, in voorkomend geval, maatregelen om de mogelijke nadelige gevolgen te beperken.

3. Indien het niet mogelijk is alle informatie gelijktijdig te verstrekken, verstrekt Verwerker de informatie in fasen, zonder verdere onredelijke vertraging.

4. Verwerker documenteert alle Datalekken, met inbegrip van de feiten, de gevolgen en de getroffen corrigerende maatregelen, en stelt deze documentatie op verzoek aan Verwerkingsverantwoordelijke ter beschikking.

5. Het melden van een Datalek door Verwerker aan Verwerkingsverantwoordelijke mag niet worden beschouwd als erkenning van schuld of aansprakelijkheid aan de zijde van Verwerker.

Artikel 8Subverwerkers

1. Verwerkingsverantwoordelijke verleent Verwerker hierbij algemene schriftelijke toestemming om Subverwerkers in te schakelen voor de uitvoering van de verwerking.

2. Verwerker maakt op het moment van het sluiten van deze Verwerkersovereenkomst gebruik van de volgende Subverwerkers:

SubverwerkerDienstLocatie verwerking
[Hostingprovider invullen]Hosting en opslag van het Platform en gegevensEU/EER
Stripe, Inc. / Mollie B.V.BetalingsverwerkingEU/EER (Stripe: deels VS, onder adequaatheidsbesluit)
[Eventuele overige invullen][Dienst][Locatie]

3. Verwerker stelt Verwerkingsverantwoordelijke voorafgaand in kennis van voorgenomen wijzigingen in de lijst van Subverwerkers, waaronder het toevoegen of vervangen van een Subverwerker. Verwerkingsverantwoordelijke heeft het recht bezwaar te maken tegen een voorgenomen wijziging binnen veertien (14) dagen na kennisgeving. Indien Partijen na het bezwaar geen overeenstemming bereiken, heeft Verwerkingsverantwoordelijke het recht de Overeenkomst en deze Verwerkersovereenkomst op te zeggen.

4. Verwerker legt aan iedere Subverwerker bij overeenkomst dezelfde verplichtingen inzake gegevensbescherming op als die welke in deze Verwerkersovereenkomst zijn opgenomen, met name de verplichting afdoende garanties te bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen.

5. Indien een Subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Verwerker ten aanzien van Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die Subverwerker.

6. Een actuele lijst van Subverwerkers is op verzoek beschikbaar bij Verwerker en kan tevens worden gepubliceerd op het Platform.

Artikel 9Doorgifte buiten de EER

1. Verwerker verwerkt Persoonsgegevens in beginsel uitsluitend binnen de Europese Economische Ruimte (EER).

2. Doorgifte van Persoonsgegevens naar een land buiten de EER of aan een internationale organisatie is uitsluitend toegestaan indien:

  • de Europese Commissie voor dat land een adequaatheidsbesluit heeft genomen als bedoeld in artikel 45 AVG; of
  • er passende waarborgen zijn getroffen als bedoeld in artikel 46 AVG, waaronder standaardcontractbepalingen (SCC's) vastgesteld door de Europese Commissie; of
  • een van de afwijkingen als bedoeld in artikel 49 AVG van toepassing is.

3. Verwerker informeert Verwerkingsverantwoordelijke voorafgaand over iedere voorgenomen doorgifte buiten de EER en verstrekt informatie over de gehanteerde waarborgen.

Artikel 10Audit

1. Verwerker stelt alle informatie die nodig is om de nakoming van de in artikel 28 AVG neergelegde verplichtingen aan te tonen ter beschikking van Verwerkingsverantwoordelijke, en maakt audits, waaronder inspecties, door Verwerkingsverantwoordelijke of een door Verwerkingsverantwoordelijke gemachtigde auditor mogelijk en draagt eraan bij.

2. Verwerkingsverantwoordelijke kan ten hoogste eenmaal per kalenderjaar een audit laten uitvoeren, tenzij er een concrete aanleiding is (zoals een Datalek of een vermoeden van niet-naleving) die een aanvullende audit rechtvaardigt. Verwerkingsverantwoordelijke stelt Verwerker ten minste dertig (30) dagen voorafgaand aan de audit schriftelijk op de hoogte.

3. De audit wordt uitgevoerd op een wijze die de bedrijfsvoering van Verwerker zo min mogelijk verstoort. De auditor is gehouden aan geheimhouding.

4. Verwerker is gerechtigd redelijke kosten voor de medewerking aan een audit bij Verwerkingsverantwoordelijke in rekening te brengen.

5. Indien Verwerker beschikt over een actueel auditrapport, certificering of verklaring van een onafhankelijke derde partij (zoals een SOC 2-rapport of ISO 27001-certificering), kan Verwerkingsverantwoordelijke dit accepteren als (gedeeltelijke) invulling van het auditrecht.

Artikel 11Aansprakelijkheid

1. De aansprakelijkheid van Verwerker jegens Verwerkingsverantwoordelijke in het kader van deze Verwerkersovereenkomst wordt beheerst door de aansprakelijkheidsbepalingen in de Algemene Voorwaarden van Verwerker, voor zover niet in strijd met de AVG.

2. Elke Partij is aansprakelijk voor schade als gevolg van verwerking die in strijd is met de AVG, overeenkomstig artikel 82 AVG. De verdeling van de aansprakelijkheid tussen Partijen laat de rechten van Betrokkenen jegens iedere Partij onverlet.

3. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken van Betrokkenen of derden die voortvloeien uit het niet-naleven door Verwerkingsverantwoordelijke van zijn verplichtingen op grond van de AVG of deze Verwerkersovereenkomst, waaronder het verstrekken van Persoonsgegevens zonder geldige grondslag.

Artikel 12Beëindiging en teruggave of verwijdering van gegevens

1. Bij beëindiging van de Overeenkomst en deze Verwerkersovereenkomst zal Verwerker, naar keuze van Verwerkingsverantwoordelijke:

  • alle Persoonsgegevens terugbezorgen aan Verwerkingsverantwoordelijke in een gangbaar, machineleesbaar formaat; en/of
  • alle Persoonsgegevens en bestaande kopieën verwijderen en vernietigen.

2. Verwerkingsverantwoordelijke maakt zijn keuze als bedoeld in lid 1 schriftelijk kenbaar binnen dertig (30) dagen na beëindiging. Bij gebreke van een tijdige keuze is Verwerker gerechtigd de Persoonsgegevens te verwijderen en te vernietigen.

3. Verwerker stelt na verwijdering of vernietiging een schriftelijke bevestiging hiervan ter beschikking aan Verwerkingsverantwoordelijke.

4. De verplichting tot verwijdering geldt niet voor zover Verwerker op grond van Unierechtelijke of Pays-Basse wettelijke bepalingen verplicht is de Persoonsgegevens (langer) te bewaren. In dat geval informeert Verwerker Verwerkingsverantwoordelijke over de toepasselijke bewaarverplichting en waarborgt Verwerker de vertrouwelijkheid van de betreffende gegevens.

Artikel 13Specifieke bepalingen inzake AI-verwerking

1. Het Platform maakt gebruik van kunstmatige intelligentie voor het analyseren van bouwtekeningen en het genereren van offertes. Verwerker verwerkt de door Verwerkingsverantwoordelijke geüploade gegevens met behulp van AI-modellen uitsluitend ten behoeve van de uitvoering van de Overeenkomst.

2. Verwerker kan geanonimiseerde en niet tot personen herleidbare gegevens gebruiken voor het trainen en verbeteren van de AI-modellen, tenzij Verwerkingsverantwoordelijke hiertegen schriftelijk bezwaar maakt. Gegevens die voor dit doel worden gebruikt, zijn niet langer te kwalificeren als Persoonsgegevens in de zin van de AVG.

3. Verwerker treft passende maatregelen om te voorkomen dat Persoonsgegevens die in geüploade documenten zijn opgenomen via de AI-output onbedoeld worden ontsloten aan onbevoegde derden.

4. Verwerker streeft ernaar te voldoen aan de op het Platform van toepassing zijnde transparantieverplichtingen uit hoofde van de Verordening (EU) 2024/1689 (AI-Verordening), voor zover deze betrekking hebben op de verwerking van Persoonsgegevens.

Artikel 14Medewerking aan de toezichthouder

1. Verwerker verleent medewerking aan de Autoriteit Persoonsgegevens of een andere bevoegde toezichthouder bij de uitoefening van diens taken, voor zover dit betrekking heeft op de verwerking van Persoonsgegevens in het kader van deze Verwerkersovereenkomst.

Artikel 15Overige bepalingen

1. In geval van strijdigheid tussen de bepalingen van deze Verwerkersovereenkomst en de Algemene Voorwaarden, prevaleren de bepalingen van deze Verwerkersovereenkomst voor zover het de verwerking van Persoonsgegevens betreft.

2. Wijzigingen van deze Verwerkersovereenkomst zijn slechts geldig indien deze schriftelijk door beide Partijen zijn overeengekomen.

3. Op deze Verwerkersovereenkomst is Pays-Bass recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Zeeland-West-Brabant, tenzij dwingendrechtelijke bepalingen een andere rechter aanwijzen.

Artikel 16 — Contactgegevens

Voor vragen over deze Verwerkersovereenkomst of over de verwerking van Persoonsgegevens kunt u contact opnemen met:

Bimizi B.V.
Hanenweg 1, 4317 NJ Noordgouwe, Pays-Bas
E-mail: hello@bimizi.com

Bijlage A — Technische en organisatorische maatregelen (artikel 32 AVG)

Verwerker heeft de volgende technische en organisatorische maatregelen getroffen ter beveiliging van Persoonsgegevens:

Toegangsbeheer

  • Toegang tot Persoonsgegevens is beperkt tot geautoriseerde medewerkers op basis van het need-to-know-principe.
  • Meerfactorauthenticatie (MFA) is verplicht voor toegang tot productiesystemen.
  • Toegangsrechten worden periodiek geëvalueerd en bij uitdiensttreding onmiddellijk ingetrokken.

Versleuteling

  • Persoonsgegevens worden versleuteld opgeslagen (encryption at rest) en versleuteld verstuurd (encryption in transit) met behulp van gangbare, actuele versleutelingsmethoden (minimaal TLS 1.2 voor transport, AES-256 voor opslag).

Netwerkbeveiliging

  • Het Platform wordt beschermd door firewalls, intrusion detection/prevention systemen en DDoS-bescherming.
  • Periodieke kwetsbaarheidsscans en penetratietests worden uitgevoerd.

Back-up en herstel

  • Er worden dagelijks geautomatiseerde back-ups gemaakt van alle Persoonsgegevens.
  • Herstelprocedures worden periodiek getest.

Logging en monitoring

  • Toegang tot en verwerking van Persoonsgegevens wordt gelogd.
  • Afwijkingen en beveiligingsincidenten worden gemonitord en onderzocht.

Organisatorische maatregelen

  • Medewerkers die toegang hebben tot Persoonsgegevens zijn gebonden aan geheimhoudingsverplichtingen.
  • Medewerkers ontvangen periodieke bewustwordingstraining op het gebied van informatiebeveiliging en gegevensbescherming.
  • Er is een intern beleid vastgesteld voor het melden en afhandelen van beveiligingsincidenten en Datalekken.

Fysieke beveiliging

  • Servers en infrastructuur worden gehost in gecertificeerde datacenters binnen de EER met passende fysieke toegangsbeveiliging.

Deze maatregelen worden periodiek geëvalueerd en waar nodig bijgewerkt overeenkomstig de stand van de techniek en de aard van de verwerking.

Mentions légalesConditions généralesPolitique de confidentialitéPolitique de cookiesAccord de traitement des donnéesAccord de niveau de serviceTransparence IAParamètres des cookies

© 2026 Bimizi B.V. Tous droits réservés.