Juridisch

Verwerkersovereenkomst (DPA)

Laatst bijgewerkt: 25 mei 2026

Deze verwerkersovereenkomst ("DPA") maakt onderdeel uit van de algemene voorwaarden en geldt zodra je het Corlega-platform gebruikt namens een bedrijf of organisatie. Hierin treedt Retrii B.V. ("Verwerker", aanbieder van Corlega) op als verwerker voor jou als verwerkingsverantwoordelijke ("Klant").

1. Onderwerp

Corlega verwerkt persoonsgegevens van klanten van de Klant (eindklanten van het MKB-bedrijf) ten behoeve van de dienstverlening van het Corlega-platform.

2. Soort gegevens en betrokkenen

Soort gegevens:

  • Naam, e-mailadres, telefoonnummer
  • Bedrijfsnaam, adres, KvK-nummer
  • Factuur- en betalingsgegevens (geen volledige creditcardnummers)
  • Inhoud van zakelijke e-mails (offerteaanvragen, supportvragen)
  • Productinformatie en prijslijsten

Betrokkenen:

  • (Potentiële) klanten van de Klant
  • Contactpersonen bij leveranciers
  • Eindgebruikers binnen Klant-organisatie

3. Doel en duur

Doel: het leveren van AI-administratie via het Corlega-platform.

Duur: zolang de overeenkomst tussen Klant en Corlega duurt, plus 30 dagen voor data-export, plus wettelijke bewaartermijnen.

4. Verplichtingen van Verwerker

Retrii (als aanbieder van Corlega):

  • Verwerkt gegevens alleen op gedocumenteerde instructie van de Klant.
  • Zorgt voor passende technische en organisatorische beveiligingsmaatregelen (zie §6).
  • Garandeert dat personen met toegang tot de gegevens een geheimhoudingsplicht hebben.
  • Schakelt geen sub-verwerkers in zonder voorafgaande toestemming (zie §5).
  • Helpt de Klant bij verzoeken van betrokkenen (inzage, correctie, verwijdering).
  • Meldt datalekken binnen 24 uur aan de Klant.
  • Verwijdert of retourneert na einde overeenkomst alle gegevens, tenzij wettelijke bewaarplicht anders bepaalt.

5. Sub-verwerkers

Retrii gebruikt voor het Corlega-platform de volgende sub-verwerkers:

Sub-verwerkerDoelLocatie
Hetzner Online GmbHServer hostingEU (Duitsland en Finland)
OpenAI Ireland Ltd.AI-modellen (zero retention)EU (Ierland)
Resend Inc.Transactionele e-mailEU
Sentry GmbHError tracking (zonder PII)EU
Stripe Payments Europe Ltd.Abonnementsbetalingen CorlegaEU (Ierland)

De actuele lijst staat altijd op /security. Toevoeging van nieuwe sub-verwerkers melden we minimaal 30 dagen vooraf.

6. Beveiligingsmaatregelen

  • Encryptie at-rest: database AES-256 encrypted
  • Encryptie in-transit: TLS 1.3 voor alle verkeer
  • Toegangscontrole: granular permissies per gebruiker en per agent
  • Audit-log: volledige log van wie wat zag
  • Backups: dagelijks encrypted backups met 30 dagen retentie
  • Disaster recovery: RPO 24 uur, RTO 4 uur, jaarlijks getest
  • Pen-tests: jaarlijks door externe partij
  • Zero-retention bij alle AI-providers: klantdata wordt nooit gebruikt om externe modellen te trainen

7. Internationale doorgifte

Alle persoonsgegevens worden binnen de EU verwerkt. Er vindt geen doorgifte plaats naar de Verenigde Staten of andere derde landen zonder adequaatheidsbesluit van de Europese Commissie.

8. Datalekken

Bij een (vermoedelijk) datalek:

  1. Retrii meldt aan Klant binnen 24 uur na ontdekking
  2. Klant ontvangt: aard van het lek, betrokken gegevens en personen, getroffen maatregelen
  3. Klant beslist over melding aan Autoriteit Persoonsgegevens (binnen 72 uur conform AVG)
  4. Klant beslist over melding aan betrokkenen

Contact bij vermoeden datalek: security@corlega.com, 040 304 1951 (24/7).

9. Audits

Klant heeft het recht om eenmaal per jaar een audit uit te voeren op de naleving van deze DPA. Audits worden minimaal 30 dagen vooraf aangekondigd en uitgevoerd zonder onnodige verstoring van de dienstverlening.

10. Aansprakelijkheid

De aansprakelijkheid van Retrii onder deze DPA is begrensd op het bedrag genoemd in de algemene voorwaarden, behalve voor schade door opzet of grove nalatigheid.

11. Slotbepalingen

Bij tegenstrijdigheid tussen deze DPA en de algemene voorwaarden, prevaleert deze DPA voor zover het verwerking van persoonsgegevens betreft.

Contact

Retrii B.V.. DPO en privacy team
Kastanjelaan 400, 5616 LZ Eindhoven
privacy@corlega.com