Verwerkersovereenkomst
Ingangsdatum: 26 maart 2026
1. Partijen
Deze DPA wordt gesloten tussen:
- Verwerkingsverantwoordelijke ("Verwerkingsverantwoordelijke"): Klantentiteit die abonnement op AgentForge-services heeft afgesloten bepaalt doel en middelen van persoonsgegevensverwering.
- Verwerker ("Verwerker"): KOWEX Co. Holding, bedrijf geregistreerd in Tsjechië, bedrijft AgentForge platform op agentforge.community.
2. Verwerkingsomvang
Verwerker verwerkt persoonlijke gegevens namens Verwerkingsverantwoordelijke alleen voor AgentForge-platformserviceverlening, inclusief:
- Toegang AgentForge API en dashboard
- Hosten en MCP-serverconfiguraties
- API-verzoeken verwerken tussen agenten en MCP-servers
- Gebruikslogboeken en analytics handhaven
- Verificatie en toegangsbeheer
- Abonnementsbetalingsverwerking
Verwerker verwerkt persoonlijke gegevens alleen op gedocumenteerde instructies Verwerkingsverantwoordelijke, tenzij EU of Lidstaat dit verplicht.
3. Verwerkte gegevenscategorieën
Volgende persoonsgegevenscategorieën kunnen onder deze DPA verwerkt:
| Categorie | Gegevenselementenlijst | Betrokkenen |
|---|---|---|
| Accountgegevens | E-mailadres, weergavenaam, verificatiereferenties (gehashed) | Verwerkingsverantwoordelijke medewerkers, geautoriseerde gebruikers |
| API-gebruiksgegevens | Aangeroepen eindpunten, tijdstempels, reactiecodes, tarieflimiettellingen | Verwerkingsverantwoordelijke medewerkers, agenten |
| Servermetagegevens | MCP-servernamen, beschrijvingen, hulpdefiniëringen, mogelijkheden | Verwerkingsverantwoordelijke medewerkers |
| Technische gegevens | IP-adressen, user agent tekenreeksen, request metagegevens | Verwerkingsverantwoordelijke medewerkers, agenten |
4. Beveiligingsmaatregelen
Verwerker implementeert en onderhoudt volgende technische en organisatorische maatregelen voor persoonsgegevensveiligheid conform AVG-artikel 32:
- Versleuteling in rust: Alle databaseopslag versleuteld met AES-256. API-sleutels opgeslagen als gehashte waarden.
- Versleuteling onderweg: Alle gegevensoverdracht tussen clients, servers, subverwerkersgegevens beschermd door TLS 1.2 of hoger.
- Toegangscontroles: Op rollen gebaseerde toegangsbeheer (RBAC) met least-privilege principes. Meervoudige verificatie administratieve toegang. Row Level Security (RLS) afgedwongen databaselaag.
- Auditlogboeken: Alle API-toegang en administratieversies gelogd met tijdstempels, acteuridentificatie, actieondetails. Logboeken bewaard 90 dagen.
- Infrastructuurbeveiliging: Beheerd hosten op Supabase (SOC 2 Type II) en Vercel met geautomatiseerde patches en kwetsbaarheidsscan.
- Incidentrespons: Gedocumenteerde incidentresponsuroeken met vastgestelde rollen en communicatieprotocollen.
5. Subverwerkersgegevens
Verwerkingsverantwoordelijke verleent algemene machtiging voor Verwerker volgende subverwerkersgegevens in te schakelen. Verwerker zal Verwerkingsverantwoordelijke minstens 30 dagen van tevoren op hoogte stellen geplande subverwerkerswijzigingen, zodat Verwerkingsverantwoordelijke kan bezwaar.
| Subverwerker | Doel | Locatie |
|---|---|---|
| Supabase Inc. | Databasehosting, verificatie, opslag | EU (Frankfurt, Duitsland) |
| Stripe Inc. | Betalingsverwerking, abonnementsbeheer | EU |
| Vercel Inc. | Toepassinghosting, edge levering | EU edge (wereldwijd CDN) |
| Anthropic PBC | AI-aangedreven functies (agentaanbevelingen) | VS (met SCCs) |
6. Gegevensinbreukmelding
Bij gegevensinbreuk zal Verwerker:
- Verwerkingsverantwoordelijke onmiddellijk op hoogte stellen en niet later dan 72 uur na ontdekking inbreuk, conform AVG-artikel 33.
- Uitgebreide details verschaffen inclusief inbreukaard, betrokken gegevenscategorieën en geschatte aantal betrokkenen, waarschijnlijke gevolgen, voorgestelde maatregelen inbreukvermindering.
- Volledig samenwerken Verwerkingsverantwoordelijke inbreukonderzoek en vervulling toezichthouders en betrokkenenmeldplichten.
- Alle inbreuken documenteren ongeacht ernst, handhaafgeleidingsfeiten, gevolgen, herstelmaatregelen.
7. Gegevensretour en -verwijdering
Op beëindigung of vervalindatum dienstovereenkomst zal Verwerker, Verwerkingsverantwoordelijke keuze:
- Alle persoonlijke gegevens teruggeven Verwerkingsverantwoordelijke in gestructureerd, algemeen gebruikt, machineleesbaar formaat (JSON export), inclusief accountgegevens, serverconfiguraties, gebruikslogboeken.
- Alle persoonlijke gegevens verwijderen binnen 30 dagen beëindigingsdatum, inclusief kopieën actieve systemen en backups, behalve wettelijk bewaarvereiste EU of Lidstaat.
Verwerker zal schriftelijke verwijderingbevestiging verschaffen op verzoek. Factureringsgegevens kunnen tot 10 jaar bewaard blijven volgens Tsjechische boekhoudkundige wet (wet nr. 563/1991 Sb.).
8. Auditrechten
Verwerkingsverantwoordelijke heeft recht Verwerker AVG-naleving verifiëren:
- Jaarlijkse audits: Verwerkingsverantwoordelijke mag jaarlijkse onafhankelijke audit Verwerkergegevensverwerkingsactiviteiten uitvoeren of toewijzen, minstens 30 dagen schriftelijke voorafgaande kennisgeving.
- Bereik: Audits kunnen beveiligingsmaatregelen, subverwerkersmanagement, gegevenshantering, incidentresponstoepassing.
- Samenwerking: Verwerker zal informatie verschaffen aantoning AVG-naleving, inclusief faciliteiten, systemen, personeeltoegang tijdens normale uren.
- Certificeringsalternatief: Verwerker mag auditverzoeken vervullen door huidigeuitvoering SOC 2 Type II rapporten, ISO 27001 certificaten, equivalente onafhankelijke beoordelingen.
9. Internationale overdrachten
Verwerker dragen persoonlijke gegevens niet buiten Europese Economische Ruimte (EER) over behalve waar:
- Europese Commissie adequaathedingsbesluit voor doelland uitgegeven (AVG-artikel 45).
- Passende waarborgen plaatsen, inclusief Standaardcontractbepalingen (SCCs) goedgekeurd Europese Commissie (AVG-artikel 46(2)(c)).
- Transferimpactbeoordeling (TIA) geleid en gedocumenteerd voor specifieke overdracht.
Op heden, enige subverwerker buiten EER Anthropic PBC (Verenigde Staten), waarvan SCCs plaatsen en AI-verwerking niet permanente opslag persoonlijke gegevens.
10. DPA-uitvoeringcontact
Ondertekende DPA aanvragen, termenbespreking of gegevensbeschermingspraktijkenonderzoek:
KOWEX Co. Holding — Enterprise Team
E-mail: enterprise@agentforge.community
Functionaris voor Gegevensbescherming: privacy@agentforge.community
Deze DPA wordt beheerst door Tsjechische wetgeving. Geschillen voortvloeiend uit deze DPA onderworpen exclusieve bevoegdheid Tsjechische gerechtshoven. Deze DPA blijft van kracht Verwerkingsverantwoordelijke AgentForge-servicesduur en zolang Verwerker persoonlijke gegevens Verwerkingsverantwoordelijke namens bewaart.