Verwerkersovereenkomst (DPA)

Ingangsdatum: 10 april 2026 Versie: 1.0 Laatst gewijzigd: 10 april 2026

Deze Verwerkersovereenkomst ("DPA") maakt deel uit van de overeenkomst tussen de hieronder genoemde organisatie (de "Verwerkingsverantwoordelijke" of "u") en Crealot Publications Limited, een bedrijf geregistreerd in Engeland en Wales, handelend als Cognistase (de "Verwerker," "Cognistase," "wij," "ons" of "onze"), voor het leveren van het Cognistase-platform en gerelateerde diensten (de "Dienst") zoals beschreven in onze Servicevoorwaarden (de "Hoofdovereenkomst").

Deze DPA is van toepassing wanneer Cognistase persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke in verband met de Dienst. Deze DPA is bedoeld voor scholen, onderwijsinstellingen, klinische praktijken en andere organisaties die het Cognistase-platform in professionele hoedanigheid gebruiken.

Voor individuele ouders en voogden: Deze DPA is bedoeld voor institutioneel en organisatorisch gebruik. Als u een individuele ouder of voogd bent, wordt de verwerking van uw persoonsgegevens geregeld door ons Privacybeleid en onze Servicevoorwaarden.

---

1. Definities

In deze DPA hebben de volgende termen de hieronder beschreven betekenissen. Termen die hier niet zijn gedefinieerd, hebben de betekenis die eraan is gegeven in de UK GDPR, de AVG, of de Hoofdovereenkomst, naar gelang van toepassing.

"Toepasselijke Wetgeving inzake Gegevensbescherming" betekent (i) de UK General Data Protection Regulation ("UK GDPR") zoals behouden in het VK-recht op grond van de European Union (Withdrawal) Act 2018, samen met de Data Protection Act 2018; (ii) de EU Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG"), waar van toepassing; en (iii) alle andere toepasselijke wetten en regelgeving inzake gegevensbescherming.

"Verwerkingsverantwoordelijke" betekent de organisatie die de doeleinden en middelen van de verwerking van Persoonsgegevens vaststelt en deze DPA aangaat met de Verwerker.

"Betrokkene" betekent de geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben, inclusief kinderen, ouders, voogden, docenten en professionals wier gegevens via de Dienst worden verwerkt.

"Persoonsgegevens" betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon die door de Verwerker namens de Verwerkingsverantwoordelijke in verband met de Dienst wordt verwerkt.

"Inbreuk in verband met Persoonsgegevens" betekent een inbreuk op de beveiliging die leidt tot de accidentele of onrechtmatige vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot Persoonsgegevens die zijn verzonden, opgeslagen of anderszins verwerkt.

"Verwerking" betekent elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, met inbegrip van het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, op andere wijze ter beschikking stellen, aligneren, combineren, afschermen, wissen of vernietigen.

"Verwerker" betekent Crealot Publications Limited (handelend als Cognistase), die Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.

"Bijzondere Categorieën van Gegevens" betekent Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op identificatie, gezondheidsgegevens, of gegevens over het seksuele gedrag of de seksuele gerichtheid van een persoon blijken, zoals gedefinieerd in artikel 9 van de UK GDPR / AVG.

"Sub-verwerker" betekent elke derde partij die door de Verwerker is ingeschakeld om Persoonsgegevens namens de Verwerkingsverantwoordelijke te verwerken.

---

2. Reikwijdte en Rollen

2.1 Rollen van de Partijen

De Verwerkingsverantwoordelijke stelt de doeleinden en middelen van de verwerking van Persoonsgegevens vast. De Verwerker verwerkt Persoonsgegevens uitsluitend namens en op de gedocumenteerde instructies van de Verwerkingsverantwoordelijke, zoals vastgelegd in deze DPA en de Hoofdovereenkomst.

2.2 Verantwoordelijkheden van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke is verantwoordelijk voor:

• Het waarborgen dat er een rechtmatige grondslag is voor de verwerking van Persoonsgegevens, inclusief het verkrijgen van alle benodigde toestemmingen van Betrokkenen (inclusief ouderlijke of voogdijtoestemming voor kindergegevens).
• Het verstrekken van nauwkeurige en rechtmatige instructies aan de Verwerker.
• Het naleven van zijn verplichtingen onder de Toepasselijke Wetgeving inzake Gegevensbescherming.
• Het beoordelen van de geschiktheid van de technische en organisatorische maatregelen van de Verwerker voor de beoogde verwerkingsactiviteiten.

2.3 Verantwoordelijkheden van de Verwerker

De Verwerker zal:

• Persoonsgegevens alleen verwerken op de gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij verwerking is vereist op grond van toepasselijk recht. In dat geval zal de Verwerker de Verwerkingsverantwoordelijke informeren over die wettelijke verplichting voor de verwerking, tenzij de wet een dergelijke kennisgeving verbiedt.
• Ervoor zorgen dat personen die bevoegd zijn om de Persoonsgegevens te verwerken, zich hebben verbonden tot geheimhouding of onder een passende wettelijke geheimhoudingsplicht vallen.
• Passende technische en organisatorische maatregelen implementeren en handhaven om een beveiligingsniveau te waarborgen dat past bij het risico van de verwerking, zoals beschreven in Bijlage B.
• De Verwerkingsverantwoordelijke bijstaan bij het nakomen van zijn verplichtingen onder de Toepasselijke Wetgeving inzake Gegevensbescherming, inclusief met betrekking tot verzoeken van Betrokkenen, gegevensbeschermingseffectbeoordelingen en overleg met toezichthoudende autoriteiten.

---

3. Details van Verwerking

Het onderwerp, de duur, de aard, het doel, de typen Persoonsgegevens en de categorieën van Betrokkenen zijn uiteengezet in Bijlage A bij deze DPA.

---

4. Sub-verwerking

4.1 Geautoriseerde Sub-verwerkers

De Verwerkingsverantwoordelijke verleent de Verwerker algemene schriftelijke toestemming om Sub-verwerkers in te schakelen voor de verwerking van Persoonsgegevens in verband met de Dienst, onder voorbehoud van de voorwaarden in dit Artikel 4. De huidige lijst van geautoriseerde Sub-verwerkers is opgenomen in Bijlage C.

4.2 Verplichtingen voor Sub-verwerkers

De Verwerker zal:

• Een schriftelijke overeenkomst sluiten met elke Sub-verwerker die gegevensbeschermingsverplichtingen oplegt die niet minder beschermend zijn dan die in deze DPA.
• Volledig aansprakelijk blijven jegens de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van elke Sub-verwerker.

4.3 Wijzigingen in Sub-verwerkers

De Verwerker stelt de Verwerkingsverantwoordelijke ten minste 30 dagen van tevoren op de hoogte van voorgenomen wijzigingen in de lijst van Sub-verwerkers, inclusief de toevoeging of vervanging van Sub-verwerkers. De Verwerkingsverantwoordelijke heeft 14 dagen vanaf de datum van de kennisgeving om op redelijke gronden met betrekking tot gegevensbescherming bezwaar te maken tegen de voorgestelde wijziging. Als de Verwerkingsverantwoordelijke bezwaar maakt, zullen de partijen het bezwaar te goeder trouw bespreken om tot een oplossing te komen. Als geen oplossing kan worden bereikt, kan de Verwerkingsverantwoordelijke de Hoofdovereenkomst en deze DPA beëindigen.

---

5. Rechten van Betrokkenen

5.1 Bijstand

De Verwerker zal de Verwerkingsverantwoordelijke bijstaan bij het reageren op verzoeken van Betrokkenen om hun rechten uit te oefenen onder de Toepasselijke Wetgeving inzake Gegevensbescherming, inclusief het recht op inzage, rectificatie, wissing, beperking, overdraagbaarheid en het recht van bezwaar.

5.2 Directe Verzoeken

Als de Verwerker een verzoek rechtstreeks van een Betrokkene ontvangt, zal de Verwerker het verzoek onverwijld doorsturen naar de Verwerkingsverantwoordelijke, tenzij de Verwerker op grond van toepasselijk recht verplicht is om rechtstreeks te reageren. De Verwerker zal niet reageren op enig verzoek van een Betrokkene zonder de voorafgaande schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij dit wettelijk verplicht is.

---

6. Beveiligingsmaatregelen

6.1 Technische en Organisatorische Maatregelen

De Verwerker zal de technische en organisatorische beveiligingsmaatregelen implementeren en handhaven die zijn beschreven in Bijlage B. Deze maatregelen zijn ontworpen om Persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen accidenteel verlies, vernietiging of beschadiging.

6.2 Voortdurende Beveiliging

De Verwerker zal regelmatig de doeltreffendheid van zijn technische en organisatorische maatregelen testen, beoordelen en evalueren en deze waar nodig bijwerken om een passend beveiligingsniveau te handhaven, rekening houdend met de stand van de techniek, de implementatiekosten en de aard, omvang, context en doeleinden van de verwerking, alsmede de risico's voor Betrokkenen.

---

7. Inbreuken in Verband met Persoonsgegevens

7.1 Kennisgeving

De Verwerker zal de Verwerkingsverantwoordelijke onverwijld, en in elk geval binnen 24 uur, informeren na kennisneming van een Inbreuk in verband met Persoonsgegevens. De kennisgeving omvat:

• Een beschrijving van de aard van de Inbreuk in verband met Persoonsgegevens, inclusief, waar mogelijk, de categorieën en het geschatte aantal getroffen Betrokkenen en Persoonsgegevensrecords.
• De naam en contactgegevens van de Functionaris voor Gegevensbescherming van de Verwerker of een ander contactpunt waar verdere informatie kan worden verkregen.
• Een beschrijving van de waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens.
• Een beschrijving van de genomen of voorgestelde maatregelen om de Inbreuk in verband met Persoonsgegevens aan te pakken, inclusief maatregelen om de mogelijke nadelige gevolgen te beperken.

7.2 Bijstand

De Verwerker zal samenwerken met en de Verwerkingsverantwoordelijke bijstaan bij het onderzoeken van de Inbreuk in verband met Persoonsgegevens en bij het nakomen van de kennisgevingsverplichtingen van de Verwerkingsverantwoordelijke jegens de relevante toezichthoudende autoriteit en getroffen Betrokkenen onder de Toepasselijke Wetgeving inzake Gegevensbescherming.

7.3 Documentatie

De Verwerker zal alle Inbreuken in verband met Persoonsgegevens documenteren, inclusief de feiten met betrekking tot de inbreuk, de gevolgen ervan en de genomen herstelmaatregelen. Deze documentatie wordt op verzoek aan de Verwerkingsverantwoordelijke verstrekt.

---

8. Gegevensbeschermingseffectbeoordeling

Wanneer een gegevensbeschermingseffectbeoordeling is vereist onder de Toepasselijke Wetgeving inzake Gegevensbescherming, zal de Verwerker de Verwerkingsverantwoordelijke redelijke bijstand verlenen, rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor de Verwerker.

---

9. Audits en Inspecties

9.1 Auditrechten

De Verwerker stelt alle informatie die nodig is om de naleving van de verplichtingen uit deze DPA aan te tonen ter beschikking van de Verwerkingsverantwoordelijke en staat audits, inclusief inspecties, uitgevoerd door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemandateerde onafhankelijke auditor, toe en draagt daaraan bij.

9.2 Voorwaarden

Audits zijn onderworpen aan de volgende voorwaarden:

• De Verwerkingsverantwoordelijke geeft ten minste 30 dagen vooraf schriftelijk kennis van een audit (behalve in het geval van een audit die vereist is vanwege een Inbreuk in verband met Persoonsgegevens of regelgevend onderzoek, in welk geval redelijke kennisgeving wordt gegeven).
• Audits worden uitgevoerd tijdens normale kantooruren en op een wijze die de werkzaamheden van de Verwerker minimaal verstoort.
• De Verwerkingsverantwoordelijke (of zijn auditor) leeft de redelijke beveiligings- en vertrouwelijkheidseisen van de Verwerker na.
• De kosten van audits worden gedragen door de Verwerkingsverantwoordelijke, tenzij de audit een wezenlijke schending van deze DPA door de Verwerker aan het licht brengt, in welk geval de Verwerker de kosten draagt.
• De Verwerkingsverantwoordelijke mag niet meer dan een audit per periode van 12 maanden uitvoeren, tenzij een audit specifiek wordt gevraagd door een toezichthoudende autoriteit of wordt getriggerd door een Inbreuk in verband met Persoonsgegevens.

9.3 Externe Certificeringen

Wanneer de Verwerker over relevante externe certificeringen beschikt (zoals ISO 27001 of SOC 2 Type II), kan de Verwerker kopieën van auditrapporten of certificaten verstrekken ter voldoening aan de auditrechten van de Verwerkingsverantwoordelijke, mits dergelijke rapporten de zorgen van de Verwerkingsverantwoordelijke adequaat adresseren.

---

10. Internationale Gegevensoverdrachten

10.1 Geen Overdrachten Buiten het VK/de EER

De Verwerker draagt geen Persoonsgegevens over naar enig land buiten het Verenigd Koninkrijk of de Europese Economische Ruimte. Alle verwerking van Persoonsgegevens vindt plaats op de privaat beheerde, EU-gebaseerde infrastructuur van de Verwerker, gevestigd in Duitsland.

10.2 Geen Publieke Cloud-AI

De Verwerker maakt geen gebruik van publieke cloud-AI-diensten of -API's die Persoonsgegevens naar servers buiten het VK/de EER zouden kunnen routeren. Alle AI-verwerking wordt uitgevoerd op de privaat beheerde infrastructuur van de Verwerker binnen de Europese Unie.

10.3 Wijzigingen

Als de Verwerker voornemens is de locatie van zijn gegevensverwerkingsinfrastructuur te wijzigen, stelt hij de Verwerkingsverantwoordelijke ten minste 60 dagen van tevoren op de hoogte. Elke nieuwe locatie bevindt zich binnen het Verenigd Koninkrijk of de Europese Economische Ruimte.

---

11. Teruggave en Verwijdering van Gegevens

11.1 Bij Beëindiging

Bij beëindiging van de Hoofdovereenkomst (of op schriftelijk verzoek van de Verwerkingsverantwoordelijke op elk moment), zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke:

• Alle Persoonsgegevens teruggeven aan de Verwerkingsverantwoordelijke in een gestructureerd, gangbaar en machineleesbaar formaat (JSON of CSV); en/of
• Alle Persoonsgegevens verwijderen door middel van cryptografische wissing, waardoor de gegevens permanent en onherstelbaar ontoegankelijk worden.

11.2 Tijdlijn

De Verwerker voltooit de teruggave en/of verwijdering van Persoonsgegevens binnen 30 dagen na ontvangst van de instructies van de Verwerkingsverantwoordelijke. De Verwerker bevestigt schriftelijk dat hij aan zijn verplichtingen onder dit artikel heeft voldaan.

11.3 Uitzonderingen

De Verwerker mag Persoonsgegevens bewaren voor zover dit vereist is door toepasselijk recht (bijv. auditlogboeken voor regelgevingsnaleving), mits de Verwerker dergelijke gegevens blijft beschermen in overeenstemming met deze DPA en ze alleen verwerkt voor de doeleinden die door de wet zijn vereist. De Verwerker informeert de Verwerkingsverantwoordelijke over dergelijke bewaringsvereisten.

---

12. Vertrouwelijkheid

12.1 Verplichtingen

De Verwerker behandelt alle Persoonsgegevens als vertrouwelijk en zorgt ervoor dat alle personen die bevoegd zijn om Persoonsgegevens te verwerken, onderworpen zijn aan passende vertrouwelijkheidsverplichtingen, contractueel of wettelijk.

12.2 Openbaarmaking

De Verwerker maakt geen Persoonsgegevens openbaar aan derden, behalve:

• Aan geautoriseerde Sub-verwerkers in overeenstemming met Artikel 4.
• Zoals vereist door toepasselijk recht, in welk geval de Verwerker de Verwerkingsverantwoordelijke informeert (waar wettelijk toegestaan) en de openbaarmaking beperkt tot het minimaal vereiste.
• Met de voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.

---

13. Aansprakelijkheid

De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de beperkingen en uitsluitingen van aansprakelijkheid zoals uiteengezet in de Hoofdovereenkomst, met dien verstande dat niets in deze DPA of de Hoofdovereenkomst de aansprakelijkheid van een der partijen beperkt of uitsluit voor schendingen van de Toepasselijke Wetgeving inzake Gegevensbescherming.

---

14. Duur en Beëindiging

14.1 Duur

Deze DPA treedt in werking op de datum van ondertekening door beide partijen en blijft van kracht voor de duur van de Hoofdovereenkomst.

14.2 Voortbestaan

De verplichtingen van de Verwerker onder Artikelen 7 (Inbreuken in verband met Persoonsgegevens), 9 (Audits), 11 (Teruggave en Verwijdering), 12 (Vertrouwelijkheid) en 13 (Aansprakelijkheid) blijven van kracht na beëindiging van deze DPA.

---

15. Toepasselijk Recht en Rechtsbevoegdheid

Deze DPA wordt beheerst door en uitgelegd in overeenstemming met het recht van Engeland en Wales. Geschillen voortvloeiend uit of in verband met deze DPA worden onderworpen aan de exclusieve bevoegdheid van de rechtbanken van Engeland en Wales, met inachtneming van de verplichte consumentenbeschermings- en gegevensbeschermingsbepalingen van het toepasselijke recht van enige EU-lidstaat.

---

16. Contact

Functionaris voor Gegevensbescherming Crealot Publications Limited (handelend als Cognistase) E-mail: dpo@cognistase.com

Beveiliging E-mail: security@cognistase.com

Juridische Zaken E-mail: legal@cognistase.com

---

Bijlage A: Details van Verwerking

---

Bijlage B: Technische en Organisatorische Maatregelen

De Verwerker implementeert de volgende technische en organisatorische maatregelen om Persoonsgegevens te beschermen:

B.1 Encryptie

• Tijdens transport: Alle gegevens die worden verzonden tussen gebruikers en de Dienst zijn versleuteld met TLS 1.3.
• In rust: Alle opgeslagen Persoonsgegevens zijn versleuteld met AES-256-GCM.
• Per-record encryptie: Elk record is versleuteld met zijn eigen unieke Data Encryption Key (DEK), waardoor cryptografische wissing mogelijk is.
• Sleutelbeheer: Encryptiesleutels worden opgeslagen in een speciaal sleutelbeheersysteem, gescheiden van de gegevens die ze beschermen.

B.2 Toegangscontroles

• Rolgebaseerde toegangscontrole (RBAC): Toegang tot Persoonsgegevens is beperkt op basis van rol en noodzaak. Gebruikers hebben alleen toegang tot de gegevens die relevant zijn voor hun rol en autorisatieniveau.
• Multi-factor authenticatie (MFA): Verplicht voor al het personeel met toegang tot de infrastructuur en voor professionele accounts.
• Principe van minimale privileges: Personeelstoegang is beperkt tot het minimum dat nodig is voor hun rol.
• Unieke referenties: Elke medewerker gebruikt unieke, individuele referenties. Gedeelde accounts zijn verboden.

B.3 Infrastructuurbeveiliging

• Private cloud: Alle Persoonsgegevens worden opgeslagen en verwerkt op privaat beheerde servers binnen de Europese Unie (Duitsland). Geen publieke cloudproviders (AWS, Google Cloud, Microsoft Azure) worden gebruikt voor de opslag of verwerking van Persoonsgegevens.
• Netwerksegmentatie: Klinische en ontwikkelingsgegevens worden opgeslagen in een apart, geïsoleerd netwerksegment (PHI-isolatiezone) met extra toegangscontroles.
• Zero-trust architectuur: Elk verzoek wordt onafhankelijk geverifieerd. Er wordt geen impliciet vertrouwen verleend op basis van netwerklocatie.
• Firewall en inbraakdetectie: Netwerkfirewalls en inbraakdetectiesystemen monitoren op ongeautoriseerde toegangspogingen.

B.4 De-identificatie

• Voor elke AI-verwerking worden Persoonsgegevens gede-identificeerd. De AI verwerkt alleen klinische en ontwikkelingsgegevenspunten, het heeft geen toegang tot identificerende informatie.
• De-identificatie volgt de HIPAA Safe Harbor-standaard (18 identificatorcategorieën verwijderd) als extra beschermingsmaatregel bovenop de AVG-vereisten.

B.5 Auditspoor

• Alle toegang tot Persoonsgegevens wordt gelogd in een onveranderlijk, cryptografisch geketend auditspoor.
• Auditlogboeken registreren wie welke gegevens heeft geraadpleegd, wanneer en welke actie is uitgevoerd.
• Auditlogboeken bevatten geen klinische of ontwikkelingsgegevenscontent, alleen metadata over toegangsgebeurtenissen.
• Auditlogboeken worden minimaal 7 jaar bewaard voor regelgevingsnaleving.

B.6 Personeelsbeveiliging

• Al het personeel met toegang tot Persoonsgegevens ondergaat een achtergrondcontrole.
• Al het personeel ontvangt training in gegevensbescherming en informatiebeveiliging bij indiensttreding en jaarlijks daarna.
• Al het personeel is gebonden aan vertrouwelijkheidsverplichtingen.

B.7 Bedrijfscontinuiteit en Noodherstel

• Regelmatige versleutelde back-ups van alle gegevens.
• Back-upgegevens worden opgeslagen in hetzelfde rechtsgebied (EU) als de primaire gegevens.
• Noodherstelplan wordt regelmatig getest en herzien.
• Back-ups zijn versleuteld met hetzelfde per-record encryptiemodel, waardoor cryptografische wissing ook back-ups treft.

B.8 Kwetsbaarheidsbeheer

• Regelmatige kwetsbaarheidsscanning van alle systemen.
• Penetratietesten door onafhankelijke derden.
• Beveiligingscodebeoordeling voor alle codewijzigingen.
• Programma voor verantwoorde openbaarmaking voor externe beveiligingsonderzoekers.
• Incidentresponsplan wordt regelmatig getest door middel van oefeningen.

B.9 Fysieke Beveiliging

• Toegang tot het datacenter is beperkt tot uitsluitend geautoriseerd personeel.
• Fysieke beveiligingscontroles omvatten toegangspassen, camerabewaking en omgevingscontroles (brandblussing, klimaatbeheersing, stroomredundantie).

---

Bijlage C: Geautoriseerde Sub-verwerkers

De volgende Sub-verwerkers zijn geautoriseerd om Persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke:

De Verwerker onderhoudt deze lijst en stelt de Verwerkingsverantwoordelijke ten minste 30 dagen van tevoren op de hoogte van wijzigingen, in overeenstemming met Artikel 4.3 van deze DPA.

---

Deze Verwerkersovereenkomst is voor het laatst bijgewerkt op 10 april 2026.