Verwerkersovereenkomst

Versie 1.0 — Laatst bijgewerkt: 13 april 2026

Deze verwerkersovereenkomst (hierna: "Verwerkersovereenkomst" of "DPA") maakt integraal onderdeel uit van de overeenkomst tussen Syntora en de Klant en is opgesteld conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG/GDPR). Deze Verwerkersovereenkomst regelt de verplichtingen van partijen ten aanzien van de verwerking van persoonsgegevens door Syntora als verwerker namens de Klant als verwerkingsverantwoordelijke.

1. Definities

In deze Verwerkersovereenkomst wordt verstaan onder:

  1. Verwerker — Syntora, die persoonsgegevens verwerkt ten behoeve van en in opdracht van de Verwerkingsverantwoordelijke.
  2. Verwerkingsverantwoordelijke (hierna ook: "Klant") — de partij die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt en met Syntora een overeenkomst heeft gesloten.
  3. Persoonsgegevens — alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4(1) AVG.
  4. Verwerking — een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
  5. Betrokkenen — de natuurlijke personen van wie persoonsgegevens worden verwerkt.
  6. Subverwerker — een derde partij die door de Verwerker wordt ingeschakeld om namens de Verwerkingsverantwoordelijke persoonsgegevens te verwerken.
  7. Beveiligingsincident — elke gebeurtenis die leidt tot of redelijkerwijs kan leiden tot ongeautoriseerde toegang tot, verlies, vernietiging, wijziging of onbevoegde verstrekking van persoonsgegevens.
  8. Datalek — een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4(12) AVG.
  9. AVG — de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679).
  10. AP — de Autoriteit Persoonsgegevens, de Nederlandse toezichthoudende autoriteit in de zin van de AVG.
  11. Hoofdovereenkomst — de overeenkomst tussen Syntora en de Klant voor het gebruik van de Dienst, waaronder de Algemene Voorwaarden.

2. Onderwerp, duur en aard van de verwerking

Syntora verwerkt persoonsgegevens namens de Klant in het kader van het leveren van het Syntora-platform, een SaaS-oplossing voor recruitment en HR-automatisering.

2.1 Duur

De Verwerkersovereenkomst is van kracht gedurende de looptijd van de Hoofdovereenkomst. De verwerking van persoonsgegevens eindigt op het moment dat de Hoofdovereenkomst wordt beëindigd, behoudens de verplichtingen die op grond van deze Verwerkersovereenkomst of de wet na beëindiging blijven voortbestaan.

2.2 Aard en doel van de verwerking

De verwerking vindt plaats ten behoeve van de volgende doeleinden:

  • Het faciliteren van het wervingsproces van de Klant
  • Het opslaan en structureren van kandidaatgegevens
  • Het verzenden van communicatie namens de Klant (via WhatsApp, e-mail of andere kanalen)
  • Het inplannen van afspraken en het beheren van agenda's
  • Het genereren van conceptcontracten op basis van klantinvoer
  • Het uitvoeren van AI-ondersteunde intake, filtering en suggesties
  • Het bijhouden van statussen, notities, beoordelingen en auditlogs

3. Categorieën persoonsgegevens

De verwerking heeft betrekking op de volgende categorieën persoonsgegevens:

  • Naam en contactgegevens (e-mailadres, telefoonnummer, adres)
  • Sollicitatiegegevens (motivatie, ervaring, beschikbaarheid, werkvergunningsstatus)
  • CV's en overige documenten (uploads, bijlagen)
  • Communicatielogs (WhatsApp-berichten, e-mailcorrespondentie)
  • Statussen, notities en beoordelingen
  • Agenda-gegevens en planningsinformatie
  • Auditlogs en activiteitenregistratie

De Klant bepaalt welke persoonsgegevens in het platform worden ingevoerd. Syntora heeft geen invloed op de inhoud van de door de Klant ingevoerde gegevens.

4. Categorieën betrokkenen

De verwerking heeft betrekking op de volgende categorieën betrokkenen:

  • Sollicitanten en kandidaten
  • Medewerkers en contractanten van de Klant
  • Contactpersonen bij klanten van de Klant
  • Overige personen wiens gegevens door de Klant in het platform worden ingevoerd

5. Verplichtingen van de Verwerker

Syntora verplicht zich als Verwerker tot het volgende:

  1. Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke, gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting van Unierecht of lidstaatrecht anders vereist.
  2. Te waarborgen dat personen die bevoegd zijn om persoonsgegevens te verwerken, zich tot geheimhouding hebben verplicht of onder een passende wettelijke geheimhoudingsplicht vallen.
  3. Passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, conform artikel 32 AVG.
  4. De Verwerkingsverantwoordelijke bij te staan bij het vervullen van verzoeken van betrokkenen tot uitoefening van hun rechten onder de AVG (artikelen 15 tot en met 22).
  5. De Verwerkingsverantwoordelijke bij te staan bij het nakomen van de verplichtingen uit artikelen 32 tot en met 36 AVG, met inachtneming van de aard van de verwerking en de informatie waarover Syntora beschikt.
  6. Na afloop van de verwerkingsdiensten alle persoonsgegevens te verwijderen of aan de Verwerkingsverantwoordelijke terug te bezorgen, en bestaande kopieën te verwijderen, tenzij opslag op grond van Unierecht of lidstaatrecht verplicht is.
  7. Alle informatie ter beschikking te stellen die nodig is om de naleving van de in artikel 28 AVG neergelegde verplichtingen aan te tonen, en audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken en eraan bij te dragen.

6. Instructies van de Verwerkingsverantwoordelijke

Syntora verwerkt persoonsgegevens uitsluitend op basis van de gedocumenteerde instructies van de Verwerkingsverantwoordelijke. De schriftelijke instructies omvatten ten minste:

Aanvullende instructies vereisen schriftelijke overeenstemming tussen partijen. Syntora informeert de Verwerkingsverantwoordelijke onverwijld indien een instructie naar het oordeel van Syntora in strijd is met de AVG of andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.

7. Geheimhouding

Syntora waarborgt dat alle personen die onder haar gezag persoonsgegevens verwerken, gebonden zijn aan een contractuele of wettelijke geheimhoudingsverplichting. Deze verplichting geldt zowel tijdens als na afloop van de verwerking.

Syntora draagt er zorg voor dat toegang tot persoonsgegevens beperkt is tot die personen voor wie toegang noodzakelijk is voor de uitvoering van hun werkzaamheden.

8. Beveiliging

Syntora treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van betrokkenen.

Deze maatregelen omvatten in ieder geval:

  • Versleuteling van persoonsgegevens tijdens transport (TLS) en in opslag (encryption at rest)
  • Rolgebaseerde toegangsbeveiliging en het principe van least privilege
  • Regelmatige geautomatiseerde back-ups
  • Monitoring, logging en alerting van toegang en systeemgebeurtenissen
  • Periodieke evaluatie en actualisering van beveiligingsmaatregelen
  • Incident response procedures voor het adequaat reageren op beveiligingsincidenten

De beveiligingsverplichtingen in dit artikel betreffen een inspanningsverplichting. Syntora garandeert niet dat de beveiliging onder alle omstandigheden doeltreffend is. Geen enkel systeem kan volledige bescherming bieden tegen alle mogelijke dreigingen.

9. Subverwerkers

De Verwerkingsverantwoordelijke verleent hierbij aan Syntora een algemene schriftelijke toestemming voor het inschakelen van subverwerkers voor de uitvoering van de verwerkingsactiviteiten die onder deze Verwerkersovereenkomst vallen.

9.1 Informatieplicht en bezwaar

Syntora informeert de Verwerkingsverantwoordelijke ten minste 14 dagen voorafgaand aan het inschakelen van een nieuwe subverwerker of het vervangen van een bestaande subverwerker. De Verwerkingsverantwoordelijke kan binnen 14 dagen na ontvangst van deze kennisgeving gemotiveerd bezwaar maken tegen de voorgenomen wijziging.

Indien het bezwaar niet in onderling overleg kan worden opgelost, heeft de Verwerkingsverantwoordelijke het recht de Hoofdovereenkomst op te zeggen met inachtneming van een opzegtermijn van 30 dagen, zonder dat dit leidt tot enige schadevergoeding aan Syntora.

9.2 Verplichtingen jegens subverwerkers

Syntora legt aan elke subverwerker dezelfde verplichtingen inzake gegevensbescherming op als die welke in deze Verwerkersovereenkomst zijn opgenomen, met name door middel van een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstaatrecht. Syntora blijft jegens de Verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming van de verplichtingen door de subverwerker.

9.3 Actueel overzicht

Een actueel overzicht van de door Syntora ingeschakelde subverwerkers is beschikbaar op verzoek via info@syntora.nl.

10. Bijstand bij rechten van betrokkenen

Syntora verleent de Verwerkingsverantwoordelijke bijstand bij het vervullen van diens verplichting om te reageren op verzoeken van betrokkenen tot uitoefening van hun rechten onder hoofdstuk III van de AVG, rekening houdend met de aard van de verwerking.

  • Indien Syntora rechtstreeks een verzoek van een betrokkene ontvangt, stelt Syntora de Verwerkingsverantwoordelijke hiervan onverwijld op de hoogte.
  • Syntora reageert niet zelfstandig op verzoeken van betrokkenen, tenzij Syntora hiertoe uitdrukkelijk door de Verwerkingsverantwoordelijke is geïnstrueerd.
  • Syntora mag redelijke kosten in rekening brengen voor de bijstand bij het afhandelen van verzoeken van betrokkenen.

11. Bijstand bij DPIA en toezichthouders

Syntora verleent de Verwerkingsverantwoordelijke bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) als bedoeld in artikel 35 AVG, voor zover dit relevant is voor de verwerkingen die Syntora namens de Verwerkingsverantwoordelijke uitvoert, rekening houdend met de aard van de verwerking en de informatie waarover Syntora beschikt.

Syntora verleent daarnaast bijstand bij de eventuele voorafgaande raadpleging van de Autoriteit Persoonsgegevens als bedoeld in artikel 36 AVG.

Syntora mag redelijke kosten in rekening brengen voor de bijstand op grond van dit artikel.

12. Datalekken en beveiligingsincidenten

Dit artikel dient tevens als Datalek Addendum bij deze Verwerkersovereenkomst.

12.1 Definities

Een Beveiligingsincident is elke gebeurtenis die leidt tot of redelijkerwijs kan leiden tot ongeautoriseerde toegang tot, verlies, vernietiging, wijziging of onbevoegde verstrekking van persoonsgegevens die door Syntora namens de Verwerkingsverantwoordelijke worden verwerkt. Een Datalek is een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4(12) AVG.

12.2 Meldplicht

Syntora stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte van een Beveiligingsincident of Datalek nadat Syntora hiervan kennis heeft genomen, en in ieder geval binnen 48 uur.

12.3 Inhoud van de melding

De melding bevat ten minste de volgende informatie, voor zover beschikbaar:

  • De aard van het incident, inclusief waar mogelijk de categorieën betrokkenen en persoonsgegevens die het betreft
  • Het geschatte aantal betrokkenen en persoonsgegevensrecords dat is getroffen
  • De waarschijnlijke gevolgen van het incident
  • De maatregelen die Syntora heeft genomen of voorstelt te nemen om het incident aan te pakken en de nadelige gevolgen te beperken
  • De naam en contactgegevens van de contactpersoon bij Syntora voor nadere informatie

12.4 Voortgang en mitigatie

Syntora houdt de Verwerkingsverantwoordelijke op de hoogte van de voortgang van het onderzoek naar het incident en verstrekt aanvullende informatie zodra deze beschikbaar is. Syntora neemt redelijke maatregelen om de gevolgen van het incident te beperken en herhaling te voorkomen.

12.5 Medewerking

Syntora verleent volledige medewerking aan het onderzoek van de Verwerkingsverantwoordelijke naar het incident en stelt alle relevante informatie en documentatie ter beschikking.

12.6 Documentatie

Syntora documenteert alle Beveiligingsincidenten, inclusief de feiten omtrent het incident, de gevolgen ervan en de genomen corrigerende maatregelen. Deze documentatie wordt op verzoek aan de Verwerkingsverantwoordelijke ter beschikking gesteld.

12.7 Geen erkenning van aansprakelijkheid

De melding van een Beveiligingsincident of Datalek door Syntora houdt geen erkenning in van schuld of aansprakelijkheid van Syntora.

12.8 Wat wel en niet als incident geldt

Onder een Beveiligingsincident valt in ieder geval:

  • Ongeautoriseerde toegang tot persoonsgegevens
  • Verlies of diefstal van gegevensdragers met persoonsgegevens
  • Onbevoegde vernietiging, wijziging of verstrekking van persoonsgegevens

Niet als Beveiligingsincident worden aangemerkt:

  • Mislukte inlogpogingen die niet hebben geleid tot ongeautoriseerde toegang
  • Port scans, pings of andere geautomatiseerde verkenningsactiviteiten die geen data-inbreuk hebben veroorzaakt
  • Ontvangst van spam of phishing zonder dat daadwerkelijk persoonsgegevens zijn gecompromitteerd

12.9 Verantwoordelijkheid voor melding

De Verwerkingsverantwoordelijke blijft te allen tijde verantwoordelijk voor de melding van een Datalek aan de Autoriteit Persoonsgegevens (artikel 33 AVG) en, indien vereist, de betrokkenen (artikel 34 AVG). Syntora verstrekt de Verwerkingsverantwoordelijke alle informatie die redelijkerwijs nodig is om aan deze meldplichten te voldoen.

13. Audits

De Verwerkingsverantwoordelijke heeft het recht om de naleving van deze Verwerkersovereenkomst door Syntora te (laten) controleren.

13.1 Frequentie en voorwaarden

  • Audits vinden maximaal eenmaal per jaar plaats, tenzij er een gegronde aanleiding is voor een aanvullende audit (bijvoorbeeld naar aanleiding van een Datalek).
  • De Verwerkingsverantwoordelijke stelt Syntora ten minste 30 dagen vooraf schriftelijk op de hoogte van de voorgenomen audit.
  • Audits worden uitgevoerd tijdens reguliere kantooruren en op kosten van de Verwerkingsverantwoordelijke.

13.2 Uitvoering

Syntora mag voorstellen dat de audit wordt uitgevoerd door een onafhankelijke, gekwalificeerde auditor. Indien Syntora beschikt over een recente audit, certificering of vergelijkbaar rapport van een onafhankelijke derde, mag Syntora dit rapport aanbieden in plaats van een afzonderlijke audit, mits het rapport de relevante onderwerpen afdoende dekt.

13.3 Vertrouwelijkheid en bevindingen

De auditor is gebonden aan een geheimhoudingsverplichting. Syntora werkt redelijkerwijs mee aan de audit. De bevindingen worden gedeeld met Syntora. Kritieke bevindingen worden door Syntora zonder onredelijke vertraging geadresseerd.

14. Internationale doorgifte

Syntora draagt geen persoonsgegevens over naar landen buiten de Europese Economische Ruimte (EER) zonder passende waarborgen conform hoofdstuk V van de AVG. Passende waarborgen kunnen omvatten:

  • Een adequaatheidsbesluit van de Europese Commissie (artikel 45 AVG)
  • Door de Europese Commissie goedgekeurde standaardcontractbepalingen (SCC's, artikel 46(2)(c) AVG), zo nodig aangevuld met aanvullende technische en organisatorische maatregelen

Syntora informeert de Verwerkingsverantwoordelijke over doorgiften naar landen buiten de EER en draagt er zorg voor dat subverwerkers aan dezelfde voorwaarden voldoen.

15. Verwijdering en retour van gegevens

Na beëindiging van de Hoofdovereenkomst heeft de Verwerkingsverantwoordelijke het recht om binnen 30 dagen een export van de persoonsgegevens op te vragen in een gangbaar, machine-leesbaar formaat.

Na het voltooien van de export, of na het verstrijken van de termijn van 30 dagen zonder dat een exportverzoek is ingediend, verwijdert Syntora alle persoonsgegevens en eventuele kopieën, tenzij opslag op grond van Unierecht of lidstaatrecht verplicht is.

Syntora bevestigt de verwijdering van persoonsgegevens desgevraagd schriftelijk aan de Verwerkingsverantwoordelijke.

16. Aansprakelijkheid

De aansprakelijkheid van partijen onder deze Verwerkersovereenkomst wordt beheerst door de aansprakelijkheidsbepalingen in de Algemene Voorwaarden. De totale gezamenlijke aansprakelijkheid van Syntora onder de Hoofdovereenkomst en deze Verwerkersovereenkomst wordt niet overschreden.

Elke partij is aansprakelijk voor de schade die wordt veroorzaakt door een verwerking die in strijd is met de AVG, overeenkomstig artikel 82 AVG. Elke partij draagt de verantwoordelijkheid voor de nakoming van de verplichtingen die de AVG specifiek aan haar oplegt.

17. Rangorde

In geval van strijdigheid tussen de bepalingen van deze Verwerkersovereenkomst en de Algemene Voorwaarden of andere onderdelen van de Hoofdovereenkomst, prevaleren de bepalingen van deze Verwerkersovereenkomst voor zover het betreft de verwerking van persoonsgegevens.

18. Looptijd en beëindiging

Deze Verwerkersovereenkomst treedt in werking op het moment dat de Hoofdovereenkomst van kracht wordt en loopt voor de duur van de Hoofdovereenkomst.

Bepalingen die naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging van kracht. Dit betreft onder meer de bepalingen inzake geheimhouding, aansprakelijkheid, verwijdering van gegevens en geschilbeslechting.

19. Toepasselijk recht

Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen die voortvloeien uit of verband houden met deze Verwerkersovereenkomst worden beslecht conform de geschilbeslechtingsregeling in de Algemene Voorwaarden.

Contact

Voor vragen over deze Verwerkersovereenkomst kunt u contact opnemen via:

  • E-mail: info@syntora.nl
  • Website: syntora.nl