Verwerkersovereenkomst
Laatst bijgewerkt: 1 maart 2026
Artikel 1 — Partijen
Deze verwerkersovereenkomst (“Overeenkomst”) is aangegaan tussen:
- De Verwerkingsverantwoordelijke: de klant die gebruik maakt van de diensten van LookDay (hierna: “Klant” of “Verwerkingsverantwoordelijke”), en
- De Verwerker: LookDay B.V., gevestigd in Nederland (hierna: “LookDay” of “Verwerker”).
Deze Overeenkomst maakt integraal onderdeel uit van de algemene voorwaarden en de dienstverleningsovereenkomst tussen Klant en LookDay.
Artikel 2 — Definities
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.
- Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
- Verwerking: elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, opvragen, raadplegen, gebruiken, verstrekken of vernietigen van gegevens.
- Sub-verwerker: een derde partij die door de Verwerker wordt ingeschakeld om (een deel van) de verwerking van persoonsgegevens uit te voeren.
- Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
- AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679.
Artikel 3 — Doel en duur van de verwerking
LookDay verwerkt persoonsgegevens uitsluitend in opdracht van de Klant ten behoeve van het leveren van de AI-gestuurde makelaarsdiensten via het LookDay-platform. Dit omvat onder meer het beheren van klantrelaties, het genereren van documenten, het ondersteunen van Wwft-processen en het faciliteren van communicatie.
De verwerking duurt zolang de dienstverleningsovereenkomst tussen Klant en LookDay van kracht is. Na beëindiging van de overeenkomst worden de persoonsgegevens verwijderd conform artikel 10 van deze Overeenkomst, tenzij een wettelijke bewaarplicht van toepassing is.
Artikel 4 — Aard van de verwerking en categorieën persoonsgegevens
De verwerking betreft de volgende categorieën persoonsgegevens en betrokkenen:
4.1 Contactgegevens kopers en verkopers
Naam, e-mailadres, telefoonnummer, adresgegevens. Betrokkenen: kopers, verkopers en andere relaties van de Klant.
4.2 Transactiegegevens
Koopsom, voorwaarden, biedingen, taxatiegegevens en overige financiële transactiegegevens.
4.3 Wwft-gegevens
Identiteitsdocumenten (kopie paspoort/ID-kaart), PEP-screening resultaten, sanctiescreening resultaten, risicoprofielen en UBO-informatie. Dit betreft gegevens die de Klant verwerkt in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
4.4 Communicatiegegevens
E-mailberichten, chatberichten, bezichtigingsverslagen, notities en overige communicatie die via het platform wordt verwerkt.
Artikel 5 — Sub-verwerkers
De Klant geeft LookDay bij het aangaan van deze Overeenkomst toestemming voor het inschakelen van de volgende sub-verwerkers. LookDay informeert de Klant vooraf over wijzigingen in sub-verwerkers en biedt de mogelijkheid om bezwaar te maken.
| Sub-verwerker | Locatie | Doel |
|---|---|---|
| Amazon Web Services (AWS) | eu-west-1, Ierland | Compute, database, opslag |
| Vercel | EU edge | Frontend hosting |
| Stripe | EU | Betalingsverwerking |
| Resend | EU | Transactionele e-mail |
| Anthropic / AWS Bedrock | eu-west-1, Ierland | AI-verwerking (geen data opslag) |
| EU | Calendar en Gmail integratie — alleen met expliciete toestemming van de Klant | |
| Microsoft | EU | Outlook en Calendar integratie — alleen met expliciete toestemming van de Klant |
Met elke sub-verwerker heeft LookDay een verwerkersovereenkomst gesloten die ten minste dezelfde verplichtingen oplegt als deze Overeenkomst.
Artikel 6 — Beveiligingsmaatregelen
LookDay treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, onrechtmatige verwerking en ongeoorloofde toegang. Deze maatregelen omvatten onder meer:
- Encryptie: alle gegevens worden versleuteld in transit (TLS 1.3) en at rest (AES-256). Wwft-gegevens worden aanvullend versleuteld met tenant-specifieke encryptiesleutels.
- Tenant-isolatie: strikte isolatie van gegevens per klant op databaseniveau. Geen gegevens worden gedeeld tussen tenants.
- Audit logging: alle verwerkingsactiviteiten worden gelogd in een onveranderbaar audit trail, inclusief wie welke gegevens heeft benaderd.
- EU hosting: alle persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Unie (AWS eu-west-1, Ierland).
- Toegangscontrole: rolgebaseerde toegangscontrole (RBAC) en het principe van minimale rechten (least privilege).
- Monitoring: continue monitoring van systemen op afwijkingen en potentiële beveiligingsincidenten.
Artikel 7 — Rechten van betrokkenen
LookDay ondersteunt de Klant bij het voldoen aan verzoeken van betrokkenen op grond van de AVG, waaronder:
- Recht op inzage: het verstrekken van een overzicht van verwerkte persoonsgegevens.
- Recht op rectificatie: het corrigeren van onjuiste of onvolledige gegevens.
- Recht op verwijdering: het wissen van persoonsgegevens, tenzij een wettelijke bewaarplicht van toepassing is (bijvoorbeeld Wwft-gegevens).
- Recht op dataportabiliteit: het exporteren van persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat.
LookDay biedt technische functionaliteit in het platform waarmee de Klant zelfstandig aan deze verzoeken kan voldoen, waaronder data-export en verwijderfuncties.
Artikel 8 — Meldplicht datalekken
LookDay meldt een datalek aan de Klant zonder onredelijke vertraging en waar mogelijk binnen 72 uur na ontdekking. De melding bevat ten minste:
- De aard van het datalek
- De categorieën en het geschatte aantal betrokkenen
- De waarschijnlijke gevolgen van het datalek
- De maatregelen die zijn genomen of worden voorgesteld om het datalek aan te pakken en de nadelige gevolgen te beperken
LookDay verleent alle medewerking aan de Klant bij het nakomen van diens meldplicht bij de Autoriteit Persoonsgegevens en eventueel bij betrokkenen.
Artikel 9 — Geheimhouding
LookDay garandeert dat personen die bevoegd zijn om persoonsgegevens te verwerken, gebonden zijn aan geheimhouding. LookDay waarborgt dat de toegang tot persoonsgegevens beperkt is tot personeel dat deze toegang nodig heeft voor de uitvoering van de diensten.
Artikel 10 — Duur en beëindiging
Deze Overeenkomst treedt in werking op het moment dat de Klant gebruik maakt van de diensten van LookDay en blijft van kracht zolang LookDay persoonsgegevens verwerkt ten behoeve van de Klant.
Na beëindiging van de dienstverlening zal LookDay, naar keuze van de Klant, alle persoonsgegevens retourneren of verwijderen, tenzij het Unierecht of het lidstatelijke recht opslag van de persoonsgegevens verplicht. Verwijdering vindt plaats binnen 30 dagen na beëindiging.
Wwft-gegevens worden conform de wettelijke bewaarplicht van 5 jaar bewaard, ook na beëindiging van de overeenkomst.
Artikel 11 — Audits
LookDay stelt alle informatie beschikbaar die nodig is om de naleving van deze Overeenkomst aan te tonen en maakt audits, waaronder inspecties, door de Klant of een door de Klant gemachtigde auditor mogelijk. LookDay informeert de Klant onmiddellijk indien een instructie naar mening van LookDay in strijd is met de AVG of andere privacywetgeving.
Artikel 12 — Toepasselijk recht
Op deze Overeenkomst is Nederlands recht van toepassing. Geschillen die voortvloeien uit of verband houden met deze Overeenkomst worden voorgelegd aan de bevoegde rechter in Nederland.
Contact
Voor vragen over deze verwerkersovereenkomst kunt u contact opnemen met:
LookDay B.V.
E-mail: privacy@lookday.nl