Ga naar inhoud
Verwerkersovereenkomst

Verwerkersovereenkomst

Voor scholen, organisaties en andere klanten die Lectame inzetten en daarbij Lectame als verwerker laten optreden. Conform de Algemene Verordening Gegevensbescherming.

Laatst bijgewerkt: 30 mei 2026 · Documentversie 2.0

Samenvatting in gewone taal

  • Jouw organisatie bepaalt welke gegevens worden verwerkt — Lectame voert dat uit binnen de afspraken die hieronder staan.
  • Primaire opslag binnen de EU. Voor sub-verwerkers buiten de EER gelden DPF en/of Standard Contractual Clauses.
  • Datalekken melden wij zonder onredelijke vertraging aan de opdrachtgever; de opdrachtgever beoordeelt vervolgens melding aan de toezichthouder en betrokkenen.
  • Wij gebruiken geen persoonsgegevens uit jouw verwerking voor eigen marketing of AI-training.

Status: dit document is een standaardconcept op basis van de AVG. Voor grote organisaties en aanbestedingen werken we graag met een ondertekende, op jouw situatie toegesneden versie. Neem dan contact op via [email protected].

1. Partijen

Deze verwerkersovereenkomst is van toepassing tussen:

Verwerkingsverantwoordelijke

De school, organisatie of zakelijke gebruiker die Lectame inzet (hierna: Opdrachtgever). Indien gebruikt door een individuele docent zonder organisatie kan deze ook als Opdrachtgever optreden voor de eigen verwerking. De Opdrachtgever bepaalt het doel en de middelen van de verwerking.

In te vullen door de Opdrachtgever bij ondertekening:

  • Naam organisatie: ____________________________
  • Adres: ____________________________
  • KvK-nummer: ____________________________
  • Contactpersoon: ____________________________
  • E-mailadres: ____________________________
Verwerker

LYNT V.O.F. (handelend onder de naam Lectame)
Rotterdam, Nederland
KvK-nummer: 97241229
E-mail: [email protected]

Gezamenlijk aangeduid als "Partijen".

2. Definities

  • AVG: Verordening (EU) 2016/679, de Algemene Verordening Gegevensbescherming.
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG.
  • Verwerking: elke handeling met betrekking tot persoonsgegevens, zoals verzamelen, vastleggen, opslaan, wijzigen, raadplegen, verstrekken of vernietigen.
  • Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben — voornamelijk docenten en deelnemers.
  • Datalek: een inbreuk op de beveiliging die per ongeluk of onrechtmatig leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of toegang tot persoonsgegevens.
  • Sub-verwerker: een derde partij die door de Verwerker wordt ingeschakeld om persoonsgegevens te verwerken in opdracht van de Verwerkingsverantwoordelijke.

3. Onderwerp

Deze overeenkomst regelt de verwerking van persoonsgegevens door Lectame in het kader van de levering van het Lectame-platform — een AI-ondersteund presentatie- en interactieplatform voor onderwijs en training.

4. Duur en einde

De overeenkomst treedt in werking op het moment dat de Opdrachtgever Lectame in gebruik neemt (door account­aanmaak of door een sessie te organiseren waarin gegevens van deelnemers worden verwerkt) en blijft van kracht zolang Lectame persoonsgegevens verwerkt namens de Opdrachtgever.

De overeenkomst eindigt automatisch wanneer Lectame geen persoonsgegevens meer voor de Opdrachtgever verwerkt, of bij schriftelijke opzegging door één van de Partijen met inachtneming van de in de hoofdovereenkomst opgenomen termijn.

5. Rollen

  • Opdrachtgever is verwerkings­verantwoordelijke voor verwerkingen die plaatsvinden in het kader van zijn of haar onderwijs- of trainings­activiteiten met Lectame.
  • Lectame is verwerker voor verwerkingen die in opdracht van de Opdrachtgever plaatsvinden.
  • Voor verwerkingen die Lectame voor eigen bedrijfsdoeleinden verricht (zoals accountbeheer, beveiliging, facturatie, eigen marketing) is Lectame zelf verwerkings­verantwoordelijke. Deze overeenkomst ziet daar niet op; zie daarvoor het privacybeleid.

6. Gedocumenteerde instructies

Lectame verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Opdrachtgever. Deze overeenkomst, de algemene voorwaarden en het privacybeleid samen vormen die instructies, samen met instellingen die de Opdrachtgever in de applicatie maakt (bijvoorbeeld de keuze om AI-functies of analytics aan of uit te zetten).

Lectame stelt de Opdrachtgever in kennis als zij meent dat een instructie inbreuk maakt op de AVG.

7. Aard en doel van de verwerking

  • Het aanmaken en bewerken van presentaties, inclusief eventueel AI-gegenereerde inhoud op verzoek van de docent.
  • Het organiseren en faciliteren van live sessies waarbij deelnemers via een sessiecode of QR-code meedoen.
  • Het vastleggen en aan de docent presenteren van antwoorden en reacties van deelnemers, voor formatieve doeleinden.
  • Beheer en authenticatie van accounts van de Opdrachtgever en diens medewerkers.
  • Logging en monitoring ten behoeve van beveiliging en stabiliteit.

8. Categorieën persoonsgegevens

CategorieGegevens
Account docent / beheerderE-mailadres, naam (optioneel), gehasht wachtwoord of OAuth-identifier, eventueel TOTP-secret
DeelnemerschemaZelfgekozen weergavenaam, sessiecode, tijdstempels
Sessie-inhoudAntwoorden, reacties, bijdragen en eventuele open invoer
Presentatie-inhoudDoor docenten aangemaakte presentaties, slides en bijbehorende uploads
Technische gegevensIP-adres, User-Agent, tijdstempels, beperkte loggegevens
Facturatiegegevens (bij betaalde accounts)Verwerkt door onze betaaldienst (Mollie); Lectame ziet alleen factuurmetadata, geen kaartgegevens

9. Categorieën betrokkenen

  • Docenten en beheerders van de Opdrachtgever die een account hebben.
  • Deelnemers (typisch studenten of cursisten) die via een sessiecode meedoen aan een live sessie.
  • Gasten die zonder account presentaties maken onder verantwoordelijkheid van de Opdrachtgever.

10. Bijzondere persoonsgegevens

Lectame is niet ontworpen voor de structurele verwerking van bijzondere persoonsgegevens (artikel 9 AVG) of strafrechtelijke gegevens (artikel 10 AVG). De Opdrachtgever zorgt ervoor dat gebruikers binnen de eigen organisatie geen medische gegevens, diagnoses, religieuze overtuiging, etniciteit, seksuele gerichtheid of vergelijkbare gegevens invoeren in presentatie-inhoud, AI-prompts of sessiegegevens, tenzij daar vooraf een rechtmatige basis en passende maatregelen voor zijn ingericht.

Lectame toont waar relevant in de interface waarschuwingen aan gebruikers om geen persoonsgegevens, patiëntgegevens of vertrouwelijke informatie in AI-prompts op te nemen.

11. Geheimhouding

Alle medewerkers van Lectame en alle bij Lectame betrokken externe personen die toegang tot persoonsgegevens kunnen krijgen, zijn gebonden aan geheimhouding op grond van hun arbeids- of opdrachtovereenkomst of een aanvullende geheimhoudings­verklaring.

12. Technische en organisatorische maatregelen

Lectame neemt passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat past bij het risico. Op hoofdlijnen gaat het om:

  • Toegangsbeheer, authenticatie en op rollen gebaseerde autorisatie.
  • Versleuteling van verbindingen en versleuteling van opslag op platformniveau.
  • Logging en monitoring van security-relevante gebeurtenissen.
  • Back-up en herstelvoorzieningen.
  • Regelmatige updates en patching van componenten.
  • Procedures voor incidentrespons.
  • Toetsing van leveranciers en sub-verwerkers.
  • Dataminimalisatie en doelbinding bij het ontwerp van functies.
  • Periodieke evaluatie van de maatregelen.

Een toelichting op hoofdlijnen is te vinden op de beveiligingspagina. Aanvullende details kunnen onder geheimhoudings­afspraken worden gedeeld met scholen en organisaties die dat nodig hebben voor hun eigen toetsing.

13. Sub-verwerkers

De Opdrachtgever geeft hierbij algemene schriftelijke toestemming voor het inschakelen van de hieronder genoemde sub-verwerkers. Voor wijzigingen geldt de procedure in artikel 14.

Sub-verwerkerDienstLocatieCategorie gegevensWaarborg
Supabase Inc.Database, authenticatie, opslagEU (Frankfurt, Duitsland)Accountgegevens, presentatie-inhoud, sessiegegevens, geüploade afbeeldingen.Verwerking binnen EER.
Hetzner Online GmbHVPS-hostingFalkenstein, DuitslandTijdelijke verwerking van alle applicatiegegevens.Verwerking binnen EER.
Cloudflare Inc.CDN, DNS, edge-beveiligingWereldwijd edge-netwerkIP-adres, technische verbindingsgegevens.EU-US Data Privacy Framework (DPF) gecertificeerd; aanvullend Standard Contractual Clauses via Cloudflare DPA.
Groq, Inc.AI-inferentieVerenigde StatenDoor de docent ingevoerde lesinhoud (onderwerp, leerdoelen, casusbeschrijving). De docent is zelf verantwoordelijk om geen persoonsgegevens in de prompt op te nemen.Standard Contractual Clauses + interface-waarschuwing tegen invoer van persoonsgegevens.
Mollie B.V.BetalingsverwerkingAmsterdam, NederlandNaam, factuuradres, e-mailadres, betalingsgegevens (Mollie verwerkt kaartgegevens zelfstandig — Lectame ontvangt deze niet).Verwerking binnen EER.
Resend, Inc.Transactionele e-mailVerenigde Staten (EU-routes beschikbaar)E-mailadres, bericht-inhoud, verzendmetadata.Standard Contractual Clauses; dataminimalisatie (alleen noodzakelijke transactionele berichten).
Google Ireland Ltd.Optionele website-analyticsEU + VSGeanonimiseerd IP-adres, paginabezoeken, apparaattype.EU-US Data Privacy Framework; IP-anonimisatie ingeschakeld; geen verwerking zonder consent.

14. Wijzigingen in sub-verwerkers

Lectame informeert de Opdrachtgever ten minste 30 dagen vóór een voorgenomen wijziging in de sub-verwerkers (toevoeging, vervanging of locatiewijziging). De Opdrachtgever kan binnen die termijn gemotiveerd bezwaar maken. Bij gegrond bezwaar zoeken Partijen naar een redelijke oplossing; lukt dat niet, dan kan de Opdrachtgever de overeenkomst opzeggen.

15. Internationale doorgifte

De primaire opslag vindt plaats binnen de EER. Voor sub-verwerkers waarbij verwerking (deels) buiten de EER kan plaatsvinden, hanteren we waarborgen zoals het EU-US Data Privacy Framework en/of Standard Contractual Clauses. De toepasselijke waarborg per sub-verwerker staat in de tabel hierboven.

16. Ondersteuning bij privacyrechten

Lectame ondersteunt de Opdrachtgever bij het beantwoorden van verzoeken van betrokkenen (inzage, correctie, verwijdering, beperking, overdraagbaarheid, bezwaar) door waar mogelijk de benodigde gegevens toegankelijk te maken of te exporteren via de beheer­functies van het platform.

Bij verzoeken die de Opdrachtgever niet zelf kan afhandelen, helpt Lectame op redelijke wijze met de gevraagde informatie.

17. DPIA en voorafgaande raadpleging

Lectame ondersteunt de Opdrachtgever bij het uitvoeren van een gegevens­beschermings­effect­beoordeling (DPIA) en bij een eventuele voorafgaande raadpleging van de toezichthouder, voor zover dat redelijkerwijs van Lectame kan worden verwacht.

18. Datalekken

Lectame meldt een mogelijk datalek zonder onredelijke vertraging aan de Opdrachtgever nadat Lectame daarvan kennis heeft genomen. De Opdrachtgever beoordeelt vervolgens, als verwerkings­verantwoordelijke, of melding aan de toezichthouder (in beginsel binnen 72 uur na kennisname door de Opdrachtgever) en aan betrokkenen nodig is.

De melding van Lectame bevat zoveel mogelijk:

  • De aard van het incident.
  • De categorieën persoonsgegevens en betrokkenen.
  • Een (geschat) aantal betrokkenen.
  • De vermoedelijke gevolgen.
  • De genomen en voorgestelde maatregelen.
  • Contactgegevens van een aanspreekpunt bij Lectame.
  • Aanvullende informatie zodra die beschikbaar komt.

Lectame documenteert alle datalekken en de naar aanleiding daarvan genomen maatregelen.

19. Audits en informatieverstrekking

Op verzoek verstrekt Lectame de Opdrachtgever redelijkerwijs beschikbare informatie waarmee de Opdrachtgever de naleving van deze overeenkomst kan toetsen. Een audit door of namens de Opdrachtgever is mogelijk op basis van een schriftelijke aankondiging, met inachtneming van een redelijke voorbereidings­tijd en bedrijfs­continuïteit, en onder geheimhoudings­afspraken. Eventuele kosten van een audit worden door de Opdrachtgever gedragen, tenzij de audit een wezenlijke tekortkoming aantoont.

20. Verwijdering of teruggave na einde dienstverlening

Na beëindiging van de dienstverlening verwijdert Lectame de persoonsgegevens uit actieve systemen binnen 30 dagen, tenzij wettelijke bewaarplichten anders vereisen. Op verzoek van de Opdrachtgever wordt vóór verwijdering een export beschikbaar gesteld in een gangbaar formaat.

Roterende back-ups die ten tijde van verwijdering nog persistent zijn, verdwijnen volgens het back-upschema van onze hostingprovider; in die periode blijven daarin opgeslagen gegevens versleuteld en niet toegankelijk voor productiegebruik.

21. Aansprakelijkheid

De aansprakelijkheid van Lectame onder deze overeenkomst sluit aan bij de aansprakelijkheidsregeling in onze algemene voorwaarden, behoudens voor zover dwingend recht hier anders over bepaalt (zoals artikel 82 AVG).

22. Rangorde tussen documenten

Bij strijdigheid tussen deze verwerkersovereenkomst, de algemene voorwaarden en het privacybeleid geldt de volgende rangorde:

  1. Deze verwerkersovereenkomst (voor verwerkings­onderwerpen).
  2. De algemene voorwaarden.
  3. Het privacybeleid (als toelichting op de verwerking).

23. Contact

Vragen over deze verwerkersovereenkomst? Mail [email protected] of [email protected]. Bij klachten over de verwerking van persoonsgegevens kun je ook terecht bij de Autoriteit Persoonsgegevens.

Zie ook

Documentversie 2.0 · Laatst bijgewerkt op 30 mei 2026.

Vragen? Mail [email protected].