Overeenkomst tot gegevensverwerking

"Verwerkingsverantwoordelijke" betekent de natuurlijke persoon die de gegevens aanmaakt en bezit binnen zijn of haar Clavitor-kluis. Jij bent altijd de Verwerkingsverantwoordelijke van je eigen inloggegevens en persoonlijke gegevens.

"Verwerker" betekent Clavitor.ai, de entiteit die hostinginfrastructuur, versleutelingsorkestratie en gegevensopslagdiensten levert namens de Verwerkingsverantwoordelijke.

"Betrokkene" betekent de natuurlijke persoon wiens persoonsgegevens worden verwerkt — dit kan jij zijn (de Verwerkingsverantwoordelijke) of anderen van wie de gegevens je opslaat in je kluis (familieleden, werknemers, klanten).

"Persoonsgegevens" betekent alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon die in je kluis is opgeslagen, met inbegrip van, maar niet beperkt tot: inloggegevens, wachtwoorden, API-sleutels, betalingskaartgegevens, identiteitsdocumenten en contactgegevens.

"Verwerking" betekent elke bewerking die op persoonsgegevens wordt uitgevoerd, met inbegrip van verzameling, opslag, versleuteling, verzending, back-up en verwijdering.

3.1 Verwerk alleen op basis van gedocumenteerde instructies. Clavitor verwerkt persoonsgegevens uitsluitend om de kluisdienst te leveren zoals beschreven in onze Gebruiksvoorwaarden. We gebruiken gegevens niet voor onze eigen doeleinden, trainen geen AI-modellen, leiden geen inzichten af, of monetariseren anders dan via abonnementskosten.

3.2 Zorg voor vertrouwelijkheid. Al het Clavitor-personeel met potentiële toegang tot infrastructuur is gebonden aan vertrouwelijkheidsovereenkomsten. Toegang wordt verleend op basis van het principe van minimale rechten en wordt gelogd.

3.3 Implementeer beveiligingsmaatregelen. We implementeren:

• End-to-end versleuteling: Gegevens versleuteld bij opslag en tijdens verzending
• Gelaagde versleuteling (L2/L3): Identiteitsvelden versleuteld met sleutels afgeleid van je apparaat (WebAuthn PRF) — niet door ons te ontsleutelen
• Zero-knowledge architectuur: We kunnen kluisinhoud niet ontsleutelen; alleen metadata (entry-ID's, typen, tijdstempels) is leesbaar
• Apparaatgebaseerde authenticatie (WebAuthn): Geen wachtwoorden server-side opgeslagen
• Geografische distributie: 21 Points of Presence (POPs) met versleutelde replicatie
• Incidentrespons: 24/7 monitoring, geautomatiseerde waarschuwingen, gedocumenteerde procedures voor inbreuken

3.4 Transparantie van subprocessors. We gebruiken uitsluitend de subprocessors die vermeld staan op onze Lijst met subprocessors. We informeren abonnees 30 dagen voordat we een nieuwe subprocessor toevoegen.

3.5 Assisteer bij rechten van betrokkenen. Op jouw verzoek zullen we je helpen bij het reageren op verzoeken van betrokkenen die rechten uitoefenen onder de AVG/FADP (toegang, rectificatie, wissing, overdraagbaarheid, beperking, bezwaar). Opmerking: Vanwege de versleutelingsarchitectuur kunnen we geen toegang krijgen tot of wijzigingen aanbrengen in versleutelde kluisinhoud; assistentie is beperkt tot account-level operaties.

3.6 Assisteer bij beveiligingsverplichtingen. We verstrekken beveiligingsdocumentatie, samenvattingen van penetratietests (NDA vereist voor details) en auditlogs op verzoek.

3.7 Verwijder of retourneer gegevens. Na beëindiging van het abonnement worden je kluizen 30 dagen alleen-lezen. Na 30 dagen worden kluisgegevens permanent verwijderd. Back-ups voor naleving worden 30 dagen na verwijdering vernietigd. Voor accounts die zijn opgeschort wegens niet-betaling, worden gegevens 30 dagen na opschorting verwijderd en worden back-ups 60 dagen daarna geroteerd. Onmiddellijke verwijdering is te allen tijde op verzoek beschikbaar. Gegevens kunnen niet in ontsleutelde vorm worden geretourneerd (wij hebben de sleutels niet). Volledige details in onze Gebruiksvoorwaarden.

3.8 Audit en inspectie. Na 30 dagen schriftelijke kennisgeving mag je onze naleving van deze DPA auditen. Audits worden uitgevoerd in ons hoofdkantoor in Zürich of virtueel. We verstrekken relevante documentatie; directe toegang tot infrastructuur vereist beveiligingsgoedkeuring.

3.9 Meld inbreuken. We informeren je binnen 24 uur na ontdekking van een inbreuk die je persoonsgegevens treft. We zullen de melding nooit uitstellen voor onderzoek of juridische beoordeling.

3.10 Documenteer verwerkingsactiviteiten. We houden registers bij van verwerkingsactiviteiten en stellen samenvattingen beschikbaar op verzoek.

Je garandeert dat:

• Je een wettelijke grondslag hebt om persoonsgegevens in je kluis te verwerken
• Je passende privacy-notificaties hebt verstrekt aan betrokkenen van wie de gegevens je opslaat
• Je geen gegevens zult opslaan in strijd met toepasselijke wetgeving
• Je ons onmiddellijk op de hoogte zult stellen van verzoeken van Betrokkenen of regelgevende vragen

Je kluisgegevens worden versleuteld opgeslagen op het Point of Presence (POP) dat geografisch het dichtst bij je toegangspatroon ligt. Primaire en back-up POP's bevinden zich in verschillende regio's voor veerkracht. De volledige lijst van 21 POP's met steden, providers en nalevingscertificeringen wordt bijgehouden in onze POP-database.

Infrastructuurproviders die worden gebruikt voor POP's omvatten: Amazon Web Services (17 POP's, primaire provider voor de meeste regio's), ISHosting (Istanbul, Almaty, Bogotá), en HostAfrica (Lagos). Zürich HQ-operaties (facturatie, administratie) gebruiken Hostkey.

Alle POP's bevinden zich ofwel:

• In rechtsgebieden met adequaatheidsbesluiten (EU, EER, Zwitserland, VK, Canada, etc.)
• Gebonden aan Standaard Contractuele Clausules (SCC's) waar geen adequaatheidsbesluit bestaat

Vanwege onze versleutelingsarchitectuur (zero-knowledge) zijn zelfs gegevens die in niet-adequate rechtsgebieden zijn opgeslagen technisch beschermd. Wij kunnen ze niet ontsleutelen; lokale autoriteiten ook niet. DNS-resolutie wordt afgehandeld door Cloudflare; geen kluisgegevens passeren ooit hun netwerk.

Geen enkele gegevens is door ons ontsleutelbaar bij opslag. Het kluisbestand is versleuteld en de versleutelingssleutel wordt niet op de server opgeslagen. Wanneer een AI-agent of gebruiker verbinding maakt, draagt deze de L1-sleutel met zich mee — we zouden deze technisch kunnen onderscheppen tijdens de overdracht (hoewel we dat niet doen, en TLS voorkomt dat derden dat doen). Zelfs met L1 is alleen metadata zichtbaar. Inloggegevens- en identiteitsvelden blijven verzegeld.

• L1 (Kluisversleuteling): De kluis is versleuteld bij opslag met AES-256-GCM. De 8-byte L1-sleutel wordt door de AI-agent of gebruiker bij elk verzoek meegedragen — deze wordt niet op de server opgeslagen. Met L1 zijn entry-titels, typen en tijdstempels zichtbaar. Dit is het operationele minimum dat nodig is om verzoeken te bedienen.
• L2 (Inloggegevensvelden): Wachtwoorden, API-sleutels, TOTP-seeds, OAuth-tokens — per veld versleuteld met een 16-byte sleutel die nooit op de server bestaat. L2 is alleen in het bezit van de browser van de gebruiker en hun geregistreerde AI-agenten. We kunnen inloggegevensvelden niet ontsleutelen, en geen enkel server-side proces heeft ooit toegang tot L2.
• L3 (Identiteitsvelden): Creditcards, CVV, paspoortnummers, burgerservicenummers, herstelcodes — versleuteld met een 32-byte sleutel van pure willekeurige entropie, gegenereerd bij het aanmaken van de kluis. De gebruiker kent deze sleutel niet. Wij hebben deze niet. L3 bestaat nooit op enige server. Het wordt beschermd door het te wrappen met de 32-byte output van de PRF van je hardwaresleutel (vingerafdruk, gezicht of beveiligingssleutel via WebAuthn PRF). Zonder het fysieke apparaat kan L3 niet worden uitgepakt. Wij kunnen wiskundig gezien identiteitsvelden niet ontsleutelen, en we kunnen niet worden gedwongen een sleutel te produceren die we niet hebben.

Voor DPA-gerelateerde vragen:

Functionaris voor gegevensbescherming (DPO) Clavitor LLC t.a.v. Johan Jongsma

Deze DPA is van kracht vanaf de startdatum van je abonnement en blijft van kracht tot beëindiging. Wijzigingen worden 30 dagen van tevoren gemeld. Voortgezet gebruik geldt als acceptatie.

Laatst bijgewerkt: 25 mei 2026 · Versie 1.1