GDPR

Verwerkersovereenkomst

Versie 1.0 — 23 april 2026

Deze verwerkersovereenkomst ('DPA') regelt hoe Attentico B.V. ('Verwerker') persoonsgegevens verwerkt namens klanten die Attentico zakelijk gebruiken ('Verwerkingsverantwoordelijke') — zoals HR-teams die medewerkersverjaardagen en mijlpalen beheren. De DPA maakt onderdeel uit van de algemene voorwaarden en is automatisch van kracht zodra je Attentico Work gebruikt. Geen aparte handtekening nodig.

Een getekende PDF-versie is op aanvraag beschikbaar voor je inkoop- of legal-team. Stuur een mailtje naar dpa@attentico.nl.

1. Partijen

De Verwerkingsverantwoordelijke is de onderneming die Attentico Work inkoopt (de klant). De Verwerker is Attentico B.V., een besloten vennootschap gevestigd in Amsterdam, Nederland, ingeschreven in het handelsregister onder het in je factuur vermelde KvK-nummer.

2. Onderwerp en duur

Deze DPA is van toepassing op alle persoonsgegevens die je via Attentico verwerkt — denk aan medewerkersgegevens, verjaardagen, afdelingen, cadeau-geschiedenis. De DPA loopt zolang je een actief Attentico-account hebt. Na beëindiging verwijderen we je data binnen 30 dagen, tenzij wettelijke bewaarplichten anders voorschrijven (bijvoorbeeld belastingadministratie).

3. Aard en doel van de verwerking

Attentico verwerkt persoonsgegevens uitsluitend om de dienst te leveren: het plannen van attenties, het versturen van geschenken en kaarten, en het beheren van HR-cadeaubeleid. We gebruiken je data niet voor marketing, training van AI-modellen van derden, of doorverkoop. Punt.

4. Soorten gegevens

We verwerken geen gevoelige categorieën (ras, religie, gezondheid, politiek, biometrie) tenzij je ze expliciet zelf invoert als voorkeur — en ook dan vragen we je dat te heroverwegen.

De volgende categorieën persoonsgegevens kunnen verwerkt worden:

  • Identificatie: volledige naam, werk-e-mail, afdeling, functie
  • Persoonlijke mijlpalen: geboortedatum, werkjubileum, eerste werkdag
  • Bezorggegevens: thuisadres (alleen als medewerker dit zelf aanlevert)
  • Voorkeuren: interesses, dieet, allergieën (alleen als vrijwillig ingevoerd)
  • Gebruiksgegevens: logins, acties in de app, foutmeldingen

5. Verplichtingen van Attentico

  • We verwerken gegevens alleen op jouw gedocumenteerde instructies (de kernfunctionaliteit van Attentico geldt als zo'n instructie).
  • Iedereen met toegang tot jouw data heeft een geheimhoudingsplicht.
  • We nemen passende technische en organisatorische maatregelen (zie §7).
  • We helpen je bij verzoeken van betrokkenen (inzage, verwijdering) binnen redelijke termijnen.
  • We stellen je onverwijld op de hoogte van datalekken — uiterlijk binnen 24 uur na ontdekking.
  • Na afloop van de dienst verwijderen we alle persoonsgegevens binnen 30 dagen, tenzij wetgeving anders vereist.
  • We werken mee aan audits door jou of een onafhankelijke auditor, met redelijke notice.

6. Sub-verwerkers

Attentico werkt met een beperkt aantal zorgvuldig geselecteerde sub-verwerkers die nodig zijn om de dienst te leveren. Door deze DPA geef je toestemming voor hun inzet. Wij blijven verantwoordelijk voor hun handelen.

Sub-verwerkerDoelLocatie
Supabase, Inc.Database-hosting, authenticatieEU (Frankfurt)
Vercel Inc.Applicatiehosting, statische assetsEU / VS (SCCs)
Mollie B.V.BetalingsverwerkingEU (Amsterdam)
Anthropic PBCAI-voorstellen (geen training op jouw data)VS (SCCs + DPF)
Microsoft Azure Communication ServicesTransactionele e-mailEU (Amsterdam)
Affiliate-netwerken (Daisycon, Awin, TradeTracker)Click-tracking + commissieEU
Print.oneFysieke kaartenNL

We stellen je minimaal 30 dagen vooraf op de hoogte van wijzigingen in deze lijst, zodat je bezwaar kunt maken. Actuele lijst altijd beschikbaar op aanvraag.

7. Beveiligingsmaatregelen

We nemen passende maatregelen om je data te beschermen tegen verlies, ongeautoriseerde toegang en wijziging:

  • Encryptie tijdens transport (TLS 1.2+) en in rust (AES-256)
  • Row-level security op alle gebruikerstabellen in de database
  • Tweefactorauthenticatie verplicht voor al ons personeel
  • Minimale toegang — enkel engineers die het nodig hebben, met audittrail
  • Dagelijkse automatische back-ups met 30 dagen bewaartermijn
  • Jaarlijkse penetratietest en maandelijkse dependency-scan
  • Incident-response procedure met definieerd aanspreekpunt (dpa@attentico.nl)

8. Internationale doorgifte

Persoonsgegevens worden waar mogelijk binnen de EER verwerkt. Voor sub-verwerkers buiten de EER (momenteel Anthropic in de VS) baseren we doorgifte op de Standard Contractual Clauses van de Europese Commissie (Besluit 2021/914) en, waar van toepassing, het EU-US Data Privacy Framework.

9. Aansprakelijkheid

De aansprakelijkheidsregeling uit onze algemene voorwaarden is onverkort van toepassing op deze DPA. Voor directe schade veroorzaakt door een toerekenbare tekortkoming van Attentico is onze aansprakelijkheid beperkt tot het bedrag dat je in de twaalf (12) maanden voorafgaand aan het schadevoorval aan abonnementsgelden hebt betaald, met een minimum van €500.

10. Toepasselijk recht

Nederlands recht is van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam, tenzij dwingend recht anders bepaalt.

Vragen of een getekende versie nodig?

Mail ons op dpa@attentico.nl — we sturen doorgaans dezelfde werkdag nog een door ons getekende PDF terug.

    Verwerkersovereenkomst (DPA) — Attentico | Attentico