TenantSupport.io

Verwerkersovereenkomst

Versie 17 april 2026 · Conform artikel 28 AVG · Integraal onderdeel van de algemene voorwaarden

Deze verwerkersovereenkomst (“Overeenkomst”) wordt gesloten tussen de klant (“Verantwoordelijke”) en Triad B.V., handelend onder de naam TenantSupport.io (“Verwerker”), gevestigd aan Parallel Boulevard 17A, 2202 HK Noordwijk, KvK 42034623. Zij geldt als overeengekomen op het moment dat Verantwoordelijke een abonnement op de Dienst afsluit.

1. Definities

Begrippen uit deze Overeenkomst hebben de betekenis die daaraan wordt gegeven in de AVG. Daarnaast gelden de definities uit de Algemene voorwaarden. Bij strijdigheid prevaleert deze Overeenkomst ten aanzien van de verwerking van persoonsgegevens.

2. Onderwerp, aard en doel van de verwerking

Verwerker verwerkt persoonsgegevens uitsluitend in opdracht en voor rekening van Verantwoordelijke, in het kader van het leveren van de Dienst TenantSupport.io: het ontvangen, classificeren en opvolgen van meldingen, communicatie met eindgebruikers, koppelingen met vastgoedsoftware en aanverwante facility-management automatisering.

De categorieën betrokkenen en persoonsgegevens zijn beschreven in Bijlage 1.

3. Duur

Deze Overeenkomst gaat in bij het sluiten van het abonnement en loopt zolang Verwerker persoonsgegevens verwerkt voor Verantwoordelijke. Na beëindiging blijven de bepalingen over geheimhouding, aansprakelijkheid en toepasselijk recht van kracht voor zover nodig.

4. Instructies van Verantwoordelijke

Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verantwoordelijke. De algemene voorwaarden, deze Overeenkomst en de configuratie van de Dienst door Verantwoordelijke gelden als zodanige instructies. Verwerker stelt Verantwoordelijke direct op de hoogte als een instructie naar zijn oordeel inbreuk maakt op de AVG of andere gegevensbeschermingsregelgeving.

5. Geheimhouding

Verwerker zorgt dat alle personen die onder zijn gezag persoonsgegevens verwerken, gebonden zijn aan een verplichting tot geheimhouding, hetzij uit hoofde van een wettelijke verplichting, hetzij uit een arbeids- of opdrachtovereenkomst.

6. Beveiligingsmaatregelen

Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, ongeautoriseerde toegang en andere onrechtmatige verwerking, zoals nader beschreven in Bijlage 2. Verwerker beoordeelt deze maatregelen periodiek en actualiseert ze waar passend, rekening houdend met de stand van de techniek en het risico voor betrokkenen.

7. Sub-verwerkers

Verantwoordelijke geeft Verwerker algemene toestemming om de in Bijlage 3 genoemde sub-verwerkers in te schakelen. Verwerker legt iedere sub-verwerker bij schriftelijke overeenkomst dezelfde verplichtingen op als die uit deze Overeenkomst voortvloeien, voor zover toepasselijk.

Verwerker informeert Verantwoordelijke vooraf over beoogde wijzigingen in de lijst met sub-verwerkers (toevoeging of vervanging). Verantwoordelijke kan binnen dertig (30) dagen na kennisgeving gemotiveerd bezwaar maken. Indien partijen niet tot een oplossing komen, mag Verantwoordelijke het abonnement opzeggen tegen de ingangsdatum van de wijziging.

8. Rechten van betrokkenen

Verwerker helpt Verantwoordelijke met passende technische en organisatorische maatregelen, voor zover redelijkerwijs mogelijk, om te voldoen aan zijn verplichting om verzoeken van betrokkenen af te handelen (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar). Verwerker verwijst verzoeken die hem rechtstreeks bereiken door naar Verantwoordelijke.

9. Datalekken

Verwerker stelt Verantwoordelijke zonder onredelijke vertraging en in ieder geval binnen 48 uur na ontdekking van een inbreuk in verband met persoonsgegevens op de hoogte. Daarbij verstrekt Verwerker alle redelijkerwijs beschikbare informatie die Verantwoordelijke nodig heeft om aan zijn wettelijke meld- en documentatieverplichtingen te voldoen, waaronder:

  • de aard van de inbreuk en de betrokken categorieën gegevens;
  • de (geschatte) omvang en mogelijke gevolgen;
  • de reeds getroffen en voorgestelde maatregelen;
  • contactgegevens voor nadere informatie.

Verwerker dient geen zelfstandige melding in bij de Autoriteit Persoonsgegevens of betrokkenen namens Verantwoordelijke, tenzij hiertoe expliciet opdracht is gegeven.

10. Bijstand bij DPIA en voorafgaande raadpleging

Verwerker verleent Verantwoordelijke op diens redelijk verzoek bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en een eventueel daaropvolgende raadpleging van de toezichthouder, rekening houdend met de aard van de verwerking en de informatie waarover Verwerker beschikt.

11. Einde van de verwerking

Na beëindiging van het abonnement biedt Verwerker Verantwoordelijke gedurende 90 dagen de mogelijkheid om persoonsgegevens te exporteren. Daarna verwijdert Verwerker alle persoonsgegevens, tenzij opslag wettelijk verplicht is (bijvoorbeeld fiscale bewaarplicht voor facturatiegegevens). Verwerker bevestigt de verwijdering op verzoek schriftelijk.

12. Audit

Verwerker stelt Verantwoordelijke op verzoek alle informatie ter beschikking die nodig is om naleving van deze Overeenkomst aan te tonen. Verantwoordelijke mag éénmaal per jaar, of vaker bij een redelijk vermoeden van tekortschieten, een audit (laten) uitvoeren. De audit vindt plaats op werkdagen, tijdens kantooruren, na tijdige aankondiging en op zodanige wijze dat de dienstverlening niet onredelijk wordt verstoord. De kosten van de audit komen voor rekening van Verantwoordelijke, tenzij er materiële tekortkomingen worden vastgesteld.

Verwerker kan in plaats daarvan een recente onafhankelijke auditrapportage of ISO 27001/SOC 2-verklaring van (sub-)verwerkers verstrekken, waarmee Verantwoordelijke zich doorgaans tevreden zal stellen.

13. Doorgiften buiten de EER

Voor zover verwerking plaatsvindt buiten de Europese Economische Ruimte, vindt deze plaats op basis van passende waarborgen zoals bedoeld in artikel 46 AVG, waaronder de door de Europese Commissie goedgekeurde standaardcontractbepalingen (SCC's) of het EU-VS Data Privacy Framework, aangevuld met technische aanvullende maatregelen.

14. Aansprakelijkheid

De aansprakelijkheid van partijen onder deze Overeenkomst wordt beheerst door de aansprakelijkheidsregeling in de Algemene voorwaarden. Elk van partijen is aansprakelijk op grond van artikel 82 AVG jegens betrokkenen voor schade die is veroorzaakt doordat die partij zijn verplichtingen onder de AVG niet is nagekomen.

15. Slotbepalingen

Bij strijdigheid tussen deze Overeenkomst en andere documenten tussen partijen, prevaleert deze Overeenkomst voor zover het gaat om de verwerking van persoonsgegevens. Wijzigingen zijn geldig indien deze zijn aangekondigd via de Dienst of per e-mail, met inachtneming van een redelijke termijn om bezwaar te maken of het abonnement te beëindigen. Op deze Overeenkomst is Nederlands recht van toepassing; geschillen worden voorgelegd aan de rechtbank Den Haag.

Bijlage 1 — Gegevens en categorieën betrokkenen

Categorieën betrokkenen

  • Gebruikers van Verantwoordelijke (medewerkers en beheerders)
  • Eindgebruikers (zoals huurders, melders, leveranciers)
  • Contactpersonen van relaties van Verantwoordelijke (bijvoorbeeld aannemers en servicepartijen)

Categorieën persoonsgegevens

  • Identificatie- en contactgegevens: naam, e-mailadres, telefoonnummer, adres, object-/contractreferentie
  • Communicatie-inhoud: e-mails, WhatsApp-berichten, tickets, notities, foto's en bijlagen bij meldingen
  • AI-gegenereerde afgeleide data: classificatie, urgentie, samenvattingen, conceptantwoorden, vertrouwensscores
  • Gekoppelde systeemgegevens: gegevens uit Bloxs, Outlook, Gmail of Unipile voor zover Verantwoordelijke deze koppelingen activeert
  • Technische gegevens: IP-adres, sessie- en loggegevens voor beveiligings- en supportdoeleinden

Aard van de verwerking

Verzamelen, opslaan, raadplegen, structureren, wijzigen, combineren, verzenden (inclusief via AI-diensten voor classificatie en tekstgeneratie), verstrekken aan gekoppelde systemen en wissen.

Bijlage 2 — Beveiligingsmaatregelen

Verwerker heeft onder meer de volgende maatregelen getroffen:

  • TLS 1.2+ voor alle data-in-transit
  • AES-256-GCM-versleuteling van gevoelige credentials (API-keys, OAuth-tokens, klant-specifieke secrets) in de database
  • Multi-tenant isolatie met verplichte tenant_id-scoping en Row-Level Security (RLS) als defense-in-depth
  • Rolgebaseerde toegangscontrole (admin/manager/agent) met least privilege
  • Geheimenbeheer via omgevingsvariabelen met startup-validatie; geen hardcoded secrets
  • Input-validatie (Zod) op alle API-endpoints; sanitisatie van HTML uit user-, AI- en e-mailbron (DOMPurify) ter voorkoming van XSS
  • Timeouts en circuit-breakers op externe API-calls
  • Idempotente webhook-verwerking met deduplicatie op event-id
  • Gesandboxte versiebeheerde deploys, automatische build- en security-checks
  • Audit-logging van gevoelige gebruikersacties en AI-beslissingen
  • Dagelijkse versleutelde back-ups met gescheiden bewaarregime; periodieke restore-tests
  • Toegang tot productiedata beperkt tot een klein aantal medewerkers onder strikte autorisatie en geheimhouding
  • Incidentresponse-proces met 48-uurs meldingsplicht bij datalekken

Bijlage 3 — Sub-verwerkers

Sub-verwerkerVerwerkingLocatie
Supabase (Supabase Inc.)Database, authenticatie, bestandsopslagEU (Frankfurt)
Vercel Inc.Hosting van de webapplicatieEU/VS (SCC's)
OpenAI (OpenAI Ireland Ltd. / OpenAI LLC)AI-classificatie en tekst-/beeldanalyseEU/VS (SCC's; geen training op klantinvoer)
Stripe Payments Europe Ltd.Betaalverwerking en facturatieEU/VS (SCC's)
Microsoft Ireland Operations Ltd.Outlook / Graph API-koppeling (optioneel per klant)EU
Google Ireland Ltd.Gmail API-koppeling (optioneel per klant), Google AnalyticsEU/VS (SCC's)
Unipile SASWhatsApp Business messagingEU
Bloxs Software B.V.Koppeling met vastgoedsoftware en werkorderbeheerEU (NL)