Juridisch

Verwerkersovereenkomst

1.0 (pilot — concept) · 2026-05-01 · Klarifai

Partijen

Verwerkingsverantwoordelijke: De klant die een Box.16-account aanmaakt en CMR-documenten uploadt.

Verwerker: Klarifai, gevestigd in Nederland (KvK: [in te vullen]).

Artikel 1 — Onderwerp en duur

1.1 De Verwerker verwerkt Persoonsgegevens namens de Verwerkingsverantwoordelijke voor het doel van het neutraliseren van CMR-vervoersdocumenten (verwijdering/bedekking van vervoerdersidentificatie in Vak 16 en Vak 23).

1.2 Deze Verwerkersovereenkomst (VOK) is van kracht zolang de Verwerkingsverantwoordelijke gebruikmaakt van de Box.16-dienst.

Artikel 2 — Persoonsgegevens

De volgende categorieën persoonsgegevens worden verwerkt:

Bedrijfsnamen, adressen en contactgegevens van vervoerders (opgenomen in CMR-documenten)
E-mailadressen en namen van gebruikers van de Box.16-applicatie
IP-adressen en sessie-informatie (voor beveiliging en audit)

De verwerking is beperkt tot wat strikt noodzakelijk is voor het neutralisatieproces.

Artikel 3 — Verplichtingen Verwerker

De Verwerker zal:

Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke;
Vertrouwelijkheid garanderen van alle verwerkte Persoonsgegevens;
Passende technische en organisatorische beveiligingsmaatregelen treffen (AVG artikel 32);
Subverwerkers alleen inschakelen met voorafgaande schriftelijke toestemming;
De Verwerkingsverantwoordelijke ondersteunen bij het nakomen van rechten van betrokkenen;
Persoonsgegevens verwijderen of retourneren na beëindiging van de dienstverlening.

Artikel 4 — Subverwerkers

De volgende subverwerkers worden ingezet:

Subverwerker	Doel	Locatie
Vercel (EU - Frankfurt)	Frontend hosting	EU
Railway (EU - Netherlands)	Backend + database hosting	EU
Cloudflare R2 (EU)	Documentopslag	EU
Google Gemini (EU API endpoint)	OCR-verwerking Tier 2	EU
Sentry (EU data residency)	Foutmonitoring	EU

Artikel 5 — Beveiliging

De Verwerker past de volgende technische maatregelen toe:

Versleuteling van data in transit (TLS 1.2+)
Versleuteling van data at rest (PostgreSQL + R2 server-side encryption)
Toegangscontrole via JWT RS256-tokens
Multi-tenant isolatie via PostgreSQL Row Level Security
Automatische verwijdering van uploads na `retention_days` (instelbaar per organisatie, standaard 30 dagen)

Artikel 6 — Datalekken

De Verwerker informeert de Verwerkingsverantwoordelijke zonder onredelijke vertraging (en in elk geval binnen 72 uur) na ontdekking van een datalek dat persoonsgegevens betreft.

Contact bij datalekken: info@box16.nl

Artikel 7 — Toepasselijk recht

Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.

Dit is een pilot-skeleton. Laat dit document beoordelen door een juridisch adviseur voor productie-gebruik.