Sla navigatie over

Juridisch

Verwerkersovereenkomst

Versie 2026-07-16 — van kracht vanaf 16 juli 2026. Verwerker: New Generation Company B.V., handelend onder de handelsnaam Agentancy, KvK 85400718.

Partijen

Verwerkingsverantwoordelijke: jouw accountants-/administratiekantoor (hierna: Klant).

Verwerker: New Generation Company B.V., handelend onder de handelsnaam Agentancy, statutair gevestigd Bloemenstraat 54, 6681 NN Bemmel; kantooradres Oranjesingel 60, Nijmegen, KvK 85400718 (hierna: Agentancy).

Met het gecombineerde akkoord sluit de Klant deze verwerkersovereenkomst met Agentancy en accepteert de Klant ook de Algemene Voorwaarden. Beide versies worden afzonderlijk vastgelegd. De ondertekenaar verklaart bevoegd te zijn namens de Klant.

1. Onderwerp en duur

Deze overeenkomst regelt de verwerking van persoonsgegevens door Agentancy namens de Klant voor factuur- en bonverwerking, herkenning, boeking, koppelingen en digitale ondersteuning.

De overeenkomst duurt zolang Agentancy de diensten levert, gevolgd door 90 dagen voor data-export en de toepasselijke wettelijke bewaartermijnen voor boekstukken.

2. Aard, doel en gegevens

Agentancy slaat gegevens op, voert OCR en AI-extractie uit, houdt een audit-trail bij, beheert gebruikers en sessies en wisselt gegevens uit met door de Klant gekozen boekhoud- en scanoplossingen.

Het doel is ondersteuning van de boekhoudkundige werkzaamheden van de Klant voor diens eindklanten.

Verwerkte gegevens kunnen onder meer namen, adressen, contactgegevens, IBAN, btw- en KvK-nummers, factuurinhoud, gebruikersgegevens en IP-adressen omvatten. Bijzondere persoonsgegevens worden niet bewust gevraagd; als ze toch in een document staan, vallen ze onder dezelfde beveiligingsafspraken.

Digitale ondersteuning kan tekstvragen en, wanneer de gebruiker die functie uitdrukkelijk start, live audio verwerken. Scherminhoud wordt alleen gedeeld na een aparte browserkeuze. Agentancy bewaart via de Live-routes geen audio of schermbeelden; tekstberichten en browserondertiteling kunnen onderdeel van het supportgesprek zijn.

3. Verplichtingen van Agentancy

Agentancy verwerkt persoonsgegevens alleen op gedocumenteerde instructie van de Klant en bindt medewerkers en subverwerkers aan vertrouwelijkheid.

Geautoriseerd Agentancy-personeel kan uitsluitend voor support, beheer, foutoplossing en incidentafhandeling tijdelijk binnen één kantoor meekijken of handelen. Deze toegang is tijdgebonden, zichtbaar en wordt geaudit.

Agentancy treft passende technische en organisatorische beveiligingsmaatregelen, ondersteunt de Klant bij AVG-verzoeken en meldt een datalek zonder onredelijke vertraging en uiterlijk binnen 48 uur na ontdekking.

De Klant heeft eenmaal per jaar, of bij een gegrond vermoeden van een inbreuk, een redelijk auditrecht.

4. Subverwerkers en AI-routes

Agentancy gebruikt subverwerkers voor hosting, opslag, queues, AI, bedrijfsinformatie, betalingen en e-mail. De actuele lijst staat in de privacyverklaring en het subverwerkersregister. Materiële wijzigingen worden normaal 30 dagen vooraf aangekondigd; de Klant kan binnen die termijn bezwaar maken.

Document- en tekst-AI kan via Google Vertex AI in de vaste EU-multiregio of via EUrouter en een geselecteerde upstream-provider lopen. Voor de gebruikte EUrouter-route kan prompt- en antwoordinhoud volgens de providerpolicy maximaal 30 dagen worden bewaard; gebruik voor training en datacollectie is uitgeschakeld en er is geen stille providerfallback.

De optionele betaalde Gemini Live-supportfunctie verwerkt live audio en eventueel tijdelijk gedeelde scherminhoud wereldwijd. Google gebruikt betaalde service-inhoud niet voor modelverbetering, maar kan inhoud voor misbruikdetectie maximaal 55 dagen bewaren en gemarkeerde inhoud laten beoordelen. De gebruiker start deze functie per sessie zelf.

5. Beveiligingsmaatregelen

De applicatie, worker en database draaien bij Fly.io in Amsterdam. Objectopslag en queue zijn voor EU-regio's geconfigureerd.

Publieke en externe verbindingen gebruiken TLS. Koppelingscredentials, OAuth-tokens en andere applicatiegeheimen worden versleuteld opgeslagen.

MFA is verplicht voor de kantoor-eigenaar. Autorisatie, expliciete kantoorscoping en auditlogging beperken en registreren toegang. Auditgegevens worden zeven jaar bewaard.

6. Internationale doorgifte

Documentopslag en reguliere document- en tekstverwerking gebruiken EU-routes. De afzonderlijk gekozen Gemini Live-supportfunctie is wereldwijd en steunt op de toepasselijke Google-verwerkersvoorwaarden en doorgiftewaarborgen, waaronder SCC's waar van toepassing.

7. Einde dienstverlening

De Klant krijgt 90 dagen om gegevens te exporteren. Daarna worden contactgegevens gepseudonimiseerd waar mogelijk; boekstukken blijven bewaard zolang een wettelijke bewaarplicht geldt. Als geen bewaarplicht meer geldt, verwijdert Agentancy persoonsgegevens op verzoek.

8. Aansprakelijkheid en recht

Toezichthouderboetes die rechtstreeks voortkomen uit een schending door Agentancy komen voor rekening van Agentancy. De overige aansprakelijkheid is beperkt volgens de Algemene Voorwaarden.

Nederlands recht is van toepassing. Geschillen worden voorgelegd aan de rechtbank Midden-Nederland.