GRUB-Verwerkersovereenkomst

Versie 1 juni 2026, 4e versie

ComplianceWise BV (KvK 59384999 voor de Nederlandse activiteiten) respectievelijk
ComplianceWise BE BV (KBO 26328580 voor de Belgische activiteiten)hierna te noemen
“ComplianceWise” of “Verwerker”, en de “Client”, of “Verwerkingsverantwoordelijke”, hierna
gezamenlijk aangeduid als “Partijen”, nemen het volgende in overweging:

a) Verwerkingsverantwoordelijke en Verwerker hebben door ondertekening van het Grub
order formulier een overeenkomst gesloten, hierna te noemen “Overeenkomst”, tot
het verlenen van diensten door Verwerker aan Verwerkingsverantwoordelijke;
b) Op basis van de Overeenkomst zal Verwerker in opdracht en ten behoeve van
Verwerkingsverantwoordelijke Persoonsgegevens verwerken;
c) De afspraken die in dat verband tussen Partijen gelden, zijn vastgelegd in deze
Verwerkersovereenkomst;

En komen overeen als volgt:

1. Definities
Onderstaande begrippen worden met een hoofdletter geschreven en hebben de volgende
betekenis:
1.1. Audit: Het onderzoek bedoeld in artikel 11 van deze Verwerkersovereenkomst
1.2. AVG: Algemene verordening gegevensbescherming (EU) 2016/679
1.3. Betrokkene: Een geïdentificeerde of identificeerbare natuurlijke persoon wiens
Persoonsgegevens worden verwerkt
1.4. Bijlage: Een bijlage bij deze Verwerkersovereenkomst die daarvan integraal deel uitmaakt
1.5. Datalek: Een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 sub 12 van
de AVG
1.6. EU AI Act: Verordening artificiële intelligentie (EU) 2024/1689
1.7. Overeenkomst: De overeenkomst genoemd in overweging A.
1.8. Partijen: Verwerker en Verwerkingsverantwoordelijke.
1.9. Persoonsgegevens: Alle informatie als bedoeld in artikel 4 sub 1 van de AVG die Verwerker
op basis van de Overeenkomst en/of Verwerkersovereenkomst ten behoeve van
Verwerkingsverantwoordelijke verwerkt.
1.10. PIA (Privacy impact assessment): Gegevensbeschermingseffectbeoordeling als bedoeld in
artikel 35 van de AVG
1.11. Sub-verwerker: Een andere verwerker die door Verwerker wordt ingeschakeld
1.12. Verwerkingsverantwoordelijke: De partij met wie Verwerker de Overeenkomst bedoeld in
overweging A heeft gesloten.
1.13. Uitvoeringswet: toepasselijke nationale uitvoeringswetgeving
1.14. Verwerkersovereenkomst: Onderhavige overeenkomst tussen Verwerker en
Verwerkingsverantwoordelijke, inclusief overwegingen en Bijlagen

2. Duur van de Verwerkersovereenkomst
2.1. Deze Verwerkersovereenkomst vangt aan per de ingangsdatum van de Overeenkomst en
zal van kracht zijn zolang de Overeenkomst van kracht is. Door ondertekening van de
Overeenkomst verklaren Partijen zich tevens akkoord met deze Verwerkersovereenkomst. Bij
beëindiging van de Overeenkomst eindigt deze Verwerkersovereenkomst van rechtswege
zonder dat enige nadere (rechts)handeling vereist is.

3. Relatie partijen
3.1. Deze Verwerkersovereenkomst bevat de afspraken tussen Partijen over de verwerking van
Persoonsgegevens in het kader van de verlening van diensten door Verwerker ter uitvoering van
de Overeenkomst.
3.2. Verwerkingsverantwoordelijke stelt zelfstandig het doel en de middelen van de verwerking
van de Persoonsgegevens vast, waaronder de inzet van AI-functionaliteit via de GRUB AIapplicatie.
3.3. Verwerker verwerkt de Persoonsgegevens in opdracht van en voor de doeleinden zoals
bepaald door Verwerkingsverantwoordelijke. Verwerker is niet gerechtigd de Persoonsgegevens
voor eigen doeleinden of eigen gebruik aan te wenden.
3.4. Partijen verstrekken elkaar alle in redelijkheid benodigde informatie om een goede naleving
van de op hen rustende wet- en regelgeving ter zake bescherming van persoonsgegevens
mogelijk te maken.
3.5. Indien Verwerker meent dat de instructies van Verwerkingsverantwoordelijke in strijd zijn met
de geldende wet- en regelgeving, stelt Verwerker Verwerkingsverantwoordelijke daarvan in
kennis.

4. Verwerking
4.1. Partijen hebben in Bijlage I de aard en het doel van de verwerking, het soort
Persoonsgegevens dat wordt verwerkt en de categorieën van Betrokkenen beschreven.
4.2. Verwerker zal Persoonsgegevens slechts voor de in de Overeenkomst gespecificeerde
doeleinden verwerken en niet voor (verdere) AI-training of -optimalisatie inzetten, tenzij (i)
Verwerkingsverantwoordelijke hiervoor schriftelijke instructies geeft en (ii) de rechtsgrondslag voor
het andere doel onder de AVG, toepasselijke nationale uitvoeringswetgeving en EU AI Act
aanwezig is en dit onverminderd het gebruik van werkelijk geanonimiseerde gegevens, zoals voor
voorzien in de algemene voorwaarden en voor zover die niet langer als persoonsgegevens
kwalificeren onder de AVG.

5. Beveiliging
5.1. Verwerker dient de door Partijen overeengekomen passende technische en
organisatorische maatregelen te treffen en in stand te houden ter beveiliging van de
Persoonsgegevens die op basis van de Overeenkomst worden verwerkt.
5.2. Partijen nemen bij het vaststellen van passende technische en organisatorische
maatregelen de risico’s in aanmerking die een beveiligingsincident of Datalek zou kunnen
veroorzaken ten aanzien van de betreffende verwerking en kijken voorts naar de actuele
technische beveiligingsmogelijkheden, de uitvoeringskosten en de aard, omvang en context
van de verwerking van de Persoonsgegevens.
5.3. Partijen hebben in Bijlage II opgenomen welke technische en organisatorische
beveiligingsmaatregelen Verwerker dient te treffen. Verwerkingsverantwoordelijke heeft de in
Bijlage II opgenomen maatregelen geaccepteerd als zijnde van een passend niveau als
bedoeld in artikel 5.1.

6. Hulp bij Datalekken
6.1. Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging en in ieder
geval binnen 24 uur zodra hij bekend is met een Datalek ten aanzien van Persoonsgegevens die
Verwerker op basis van de Overeenkomst verwerkt. Daarbij geeft Verwerker zo spoedig mogelijk
aan welke gebeurtenissen en omstandigheden tot het Datalek hebben geleid en welke
maatregelen zijn getroffen om het Datalek te dichten.
6.2. Indien Verwerkingsverantwoordelijke het Datalek aan de nationaal bevoegde
gegevensbeschermingsautoriteit en/of Betrokkenen moet melden, verleent Verwerker aan
Verwerkingsverantwoordelijke redelijke assistentie om Verwerkingsverantwoordelijke in staat te
stellen om binnen de daaraan gestelde wettelijke termijnen deze melding(en) te doen.
6.3. Partijen nemen bij een Datalek de in Bijlage III opgenomen procedure in acht.

7. Hulp bij uitoefening van rechten van de betrokkenen, PIA’s en
voorafgaande raadpleging
7.1. Verwerker verleent Verwerkingsverantwoordelijke redelijke assistentie om
Verwerkingsverantwoordelijke in staat te stellen binnen de wettelijke termijnen aan verzoeken
van Betrokkenen tot uitoefening van hun rechten op grond van de AVG te voldoen.
7.2. Indien een Betrokkene een verzoek als bedoeld in het eerste lid rechtstreeks aan de
Verwerker richt, zal Verwerker Verwerkingsverantwoordelijke hierover informeren door betreffend
verzoek aan Verwerkingsverantwoordelijke te zenden.
7.3. Indien Verwerkingsverantwoordelijke ingevolge de AVG een PIA dient te verrichten, dan wel
de PIA uitwijst dat de nationaal bevoegde gegevensbeschermingsautoriteit dient te worden
geraadpleegd, dan verleent Verwerker aan Verwerkingsverantwoordelijke alle redelijke bijstand
die in dit verband van Verwerker verwacht mag worden.
7.4. Verwerker kan kosten verbonden aan het verlenen van de redelijke bijstand als bepaald in
dit artikel 7 bij Verwerkingsverantwoordelijke in rekening brengen na voorafgaande schriftelijke
opgave van deze kosten aan Verwerkingsverantwoordelijke.
7.5. Verwerker zal in het kader van verwerkingen van persoons door GRUB AI-applicatie redelijke
maatregelen treffen om discriminatie, vooroordelen (‘bias’) en andere ongewenste uitkomsten
van de AI-systemen te beperken. Dit omvat bijvoorbeeld regelmatige controles op
trainingsdata, monitoring van afwijkende uitkomsten en, waar relevant, correcties van resultaten
en/of uitleg aan de relevante betrokkenen.

8. Vertrouwelijkheid
8.1. Verwerker houdt de Persoonsgegevens die hij op basis van de Overeenkomst en/of de
Verwerkersovereenkomst verwerkt geheim, evenals alle andere informatie die hem krachtens
deze Verwerkersovereenkomst bekend is of wordt, tenzij een wettelijke verplichting of een
gerechtelijke beslissing hem tot openbaring van de Persoonsgegevens of andere informatie
verplicht. CW is echter wel gerechtigd vertrouwelijk informatie te delen met haar auditors en
adviseurs, Sub-verwerkers en andere derden die zij al dan niet inschakelt ter uitvoering van de
Overeenkomst en die aan dezelfde geheimhoudingsverplichting zijn gebonden als de
Verwerker zelf.
8.2. Verwerker zorgt ervoor dat zijn medewerkers of andere personen of Sub-verwerkers die hij
inzet bij de uitvoering van de Overeenkomst en/of de Verwerkingsovereenkomst
geheimhouding betrachten van Persoonsgegevens als bedoeld artikel 8.1.

9. Sub-verwerker
9.1. Verwerkingsverantwoordelijke geeft Verwerker hierbij algemene toestemming als bedoeld in
artikel 28 lid 2 van de AVG voor het inschakelen van Sub-verwerker(s) bij de uitvoering van de
Overeenkomst.
9.2. Verwerker zal met Sub-verwerker(s) een overeenkomst aangaan, waarin Sub-verwerker -met
name ten aanzien van beveiliging en het melden van Datalekken- aan vergelijkbare eisen wordt
gebonden als neergelegd in deze Verwerkersovereenkomst.
9.3. Verwerker blijft bij inschakeling van een Sub-verwerker verantwoordelijk voor de nakoming
van zijn verplichtingen uit deze Verwerkersovereenkomst.
9.4. Verwerker informeert Verwerkingsverantwoordelijke voorafgaand aan de toevoeging of
vervanging van Sub-verwerkers, zodat de Verwerkingsverantwoordelijke de mogelijkheid heeft
om een bezwaar te maken zoals voorzien in artikel 28 lid 2 AVG.

10. Internationale aspecten
10.1. Verwerker verwerkt de Persoonsgegevens uitsluitend binnen de Europese Economische
Ruimte (EER), tenzij Verwerkingsverantwoordelijke heeft ingestemd met doorgifte naar landen
buiten de EER en is voorzien in één van de maatregelen die zorgen voor een adequaat
beschermingsniveau voor deze Persoonsgegevens.
10.2. Onverminderd het bepaalde in artikel 10.1, is Verwerker gerechtigd, indien dit vereist is op
grond van de specifieke technische architectuur vereisten of vanwege technische beperkingen
om de gevraagde functionaliteit te kunnen leveren, Persoonsgegevens door de goedgekeurde
Sub-verwerker(s) buiten de EER te verwerken, op voorwaarde dat hij passende waarborgen
implementeert die in overeenstemming zijn met artikel 46 AVG, zoals maar niet beperkt tot
standaardbepalingen inzake gegevensbescherming die door de EU Commissie zijn vastgesteld.

11. Audit
11.1. Verwerkingsverantwoordelijke is gerechtigd bij Verwerker na voorafgaande schriftelijke
kennisgeving met inachtneming van een periode van vier weken onderzoek (hierna: Audit) te
verrichten om te controleren of aan de toepasselijke wet -en regelgeving en de bepalingen van
deze Verwerkersovereenkomst wordt voldaan. Verwerkingsverantwoordelijke is gerechtigd
hiertoe een onafhankelijke derde in te schakelen, mits deze derde geheimhouding betracht.
Verwerkingsverantwoordelijke draagt de kosten van de Audit.
11.2. Een Audit zal maximaal eenmaal per kalenderjaar plaatsvinden, tenzij
Verwerkingsverantwoordelijke concrete aanwijzingen heeft dat Verwerker zijn wettelijke of
contractuele verplichtingen niet nakomt en hij de Verwerker hierover schriftelijk en
gedocumenteerd bericht.
11.3. Verwerker zal Verwerkingsverantwoordelijke of de ingeschakelde onafhankelijke derde
toegang verschaffen tot zijn gebouwen, kantoren, systemen, informatie en documentatie en
redelijke medewerking verlenen indien en voor zover dit noodzakelijk is voor de Audit die door of
namens Verwerkingsverantwoordelijke wordt verricht. De hiermee gepaard gaande kosten zijn
voor rekening van Verwerkingsverantwoordelijke.
11.4. Verwerkingsverantwoordelijke zal binnen een redelijke termijn na afronding van de Audit de
resultaten met Verwerker delen. Indien onregelmatigheden zijn aangetroffen, bepalen Partijen in
onderling overleg op welke wijze en binnen welke termijn deze zullen worden aangepast en
hersteld.
11.5. Indien de nationaal bevoegde gegevensbeschermingsautoriteit of een andere
toezichthouder bij Verwerker een onderzoek start, informeert Verwerker
Verwerkingsverantwoordelijke hierover onmiddellijk schriftelijk of per email, tenzij Verwerker
hiertoe op grond van een wettelijke verplichting, een gerechtelijke uitspraak of een opdracht van
de AP niet gerechtigd is. Partijen zullen in gezamenlijk overleg hun medewerking verlenen aan
het onderzoek.

12. Aansprakelijkheid
12.1 Voor de aansprakelijkheid van elk der Partijen voortvloeiend uit of samenhangend met deze
Verwerkersovereenkomst en de Overeenkomst in totaal, gelden de uitsluitingen en beperkingen
van aansprakelijkheid zoals deze door Partijen in de Overeenkomst zijn overeengekomen.

13. Einde Verwerkersovereenkomst
13.1 Bij einde van de Verwerkersovereenkomst heeft Verwerkingsverantwoordelijke gedurende
een in de Overeenkomst beschreven periode de mogelijkheid om door middel van een export
functionaliteit de Persoonsgegevens te verkrijgen. Na afloop van die periode verwijdert Verwerker
de Persoonsgegevens, tenzij Verwerker op basis van een wettelijke verplichting of gerechtelijke
uitspraak gehouden is betreffende Persoonsgegevens te bewaren.

14. Overig
14.1. Bij enige tegenspraak tussen de bepalingen uit deze Verwerkersovereenkomst en de
Overeenkomst, prevaleren de bepalingen uit deze Verwerkersovereenkomst, tenzij Partijen
uitdrukkelijk en schriftelijk anders zijn overeengekomen.
14.2.Verwerkingsverantwoordelijke is niet gerechtigd rechten en verplichtingen uit deze
Verwerkersovereenkomst aan een derde over te dragen, behoudens voorafgaande schriftelijke
toestemming van de Verwerker.
14.3. Partijen kunnen deze Verwerkersovereenkomst uitsluitend schriftelijk wijzigen.
14.4. Verplichtingen uit hoofde van deze Verwerkersovereenkomst welke naar hun aard bestemd
zijn om ook na het einde van deze Verwerkersovereenkomst voort te duren, zoals maar niet
beperkt tot het artikel inzake aansprakelijkheid, blijven na het einde van deze
Verwerkersovereenkomst bestaan.

15. Toepasselijk recht en bevoegde rechter
15.1. Deze Verwerkersovereenkomst wordt uitsluitend beheerst door het recht van het land waar
CW haar statutaire zetel heeft, met uitsluiting van de regels van internationaal privaatrecht voor
zover die tot de toepassing van een ander recht dan het nationale recht van het land van de
statutaire zetel van CW zouden leiden.
15.2. Alle geschillen, samenhangend met of voortvloeiend uit tussen CW en afnemer gesloten
overeenkomsten behoren, bij gebreke aan minnelijke regeling, tot de exclusieve bevoegdheid
van de rechtbanken van de plaats waar CW haar statutaire zetel heeft en dit onverminderd het
recht van CW om de afnemer te dagvaarden voor de rechter van de zetel van de afnemer.
Door ondertekening van de Overeenkomst verklaren Partijen zich tevens akkoord met deze
Verwerkersovereenkomst.

Bijlage 1: Verwerking van persoonsgegevens
Deze Bijlage beschrijft welke verwerkingsactiviteiten plaatsvinden in het kader van de uitvoering
van de diensten door Verwerker ten behoeve van Verwerkingsverantwoordelijke als
overeengekomen in de Overeenkomst.
Contactgegevens van de Verwerker (inclusief land waar de gegevens worden verwerkt):

Nederland
ComplianceWise B.V.
Anthony Fokkerweg 1
1059 CM Amsterdam

België
ComplianceWise BE
Grotebeerstraat 44
2018 Antwerpen

Contactpersoon: Taco van Voorst
E-mail: grubsupport@compliance-wise.com

Landen waar de persoonsgegevens worden verwerkt: Nederland en België
De applicatie GRUB faciliteert de Verwerkingsverantwoordelijke bij het voldoen aan de
toepasselijke antiwitwas- en terrorismefinancieringsregelgeving, waaronder, de Wet van 18
september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme en
tot beperking van het gebruik van contanten, zoals van tijd tot tijd gewijzigd.
Aard, duur en doel van de verwerking:
• De applicatie GRUB faciliteert de Verwerkingsverantwoordelijke bij het voldoen aan antiwitwasregelgeving, zoals know your customer (KYC) en transactiemonitoring tijdens de duur
van de Overeenkomst.
Soort Persoonsgegevens dat wordt verwerkt
• Persoonsgegevens die verzameld en gecontroleerd worden om te voldoen aan anti-witwas
regelgeving, zoals contactgegevens, gegevens betreffende identificatie, KvK-gegevens,
PEP (politically exposed person) gegevens, of personen voorkomend op internationale
sanctielijsten en relevante gegevens gegenereerd door online onderzoek.
Categorieën van betrokkenen:
• Klanten en potentiële klanten van de Client en/of personen werkzaam bij of betrokken bij de
klanten en potentiële klanten van Client.
Indien van toepassing: Gegevens van de Sub-verwerker(s)
• AWS
• VerID
• CompanyInfo
Internationaal: verwerking van Persoonsgegevens buiten de EER? Zo ja, welke landen betreft het
en welke waarborgen zijn er / of zijn getroffen teneinde een adequaat beschermingsniveau te
waarborgen.
• N.v.t.

Bijlage 2: Beveiliging
Deze Bijlage beschrijft welke technische en organisatorische maatregelen zijn getroffen ter beveiliging van de Persoonsgegevens.
Om de Persoonsgegevens te beveiligen heeft ComplianceWise een aantal organisatorische en technische maatregelen getroffen.
Om toegang te hebben tot de Persoonsgegevens moet de Gebruiker de juiste autorisatie hebben. Autorisatie binnen het systeem wordt geregeld op user niveau aan de hand van de wensen van de klant. Wanneer beheerders of werknemers van ComplianceWise toegang nodig hebben tot de omgeving dienen zij hiervoor toestemming te vragen. Bij de aanvraag moet het doel en de termijn van de toegang duidelijk worden omschreven. Naast de toegangsbeveiliging binnen het ComplianceWise systeem zijn de gegevens ook
versleuteld. Er wordt gebruikt gemaakt van een AES256 versleuteling zowel bij de Client data in transit als de Client data at rest. Op deze manier kunnen de gegevens binnen het systeem niet
onderschept of door derden gelezen worden. Meer informatie over de beveiliging van persoonsgegevens binnen ComplianceWise kan worden verstrekt door de Security Officers. Mail hiervoor naar grubsupport@compliance-wise.com.

Om ongeautoriseerde toegang tot de beveiligde systeemonderdelen van de door
ComplianceWise aan de Client ontsloten systemen te voorkomen, moeten alle gebruikers
daarop inloggen met multifactorauthenticatie (MFA).
Om te zorgen dat de integriteit en beschikbaarheid van de Client data gegarandeerd is, maakt
ComplianceWise elke dag een versleutelde back-up van de Client data. ComplianceWise monitort continu of de Applicatie en de Client data nog bereikbaar zijn.
Wanneer er door een Incident of disaster (tijdelijk) geen toegang is tot de Client data wordt er door ComplianceWise kennis gegeven aan de eigenaar van de Client data via de aangegeven contactpersoon. Vervolgens streeft ComplianceWise ernaar om zo snel mogelijk de service te herstellen, conform de overeengekomen service level agreement.
Om de AI-verwerkingen in GRUB AI-applicatie te faciliteren, hanteer ComplianceWise de volgende maatregelen: (a) instelbare parameters waarmee Verwerkingsverantwoordelijke menselijke tussenkomst afdwingt; (b) logging en audit trails van AI-output; (c) waar redelijkerwijs mogelijk, hulpmiddelen voor toelichting van AI-output. ComplianceWise hanteert het continual service improvement-principe om periodiek de opgestelde processen te evalueren en waar nodig verbeteringen aan te brengen.

Meer informatie over de back-up en disaster recovery processen van ComplianceWise zijn op te
vragen via grubsupport@compliance-wise.com.

Bijlage 3: Procedure bij datalekken
Verwerker meldt een Datalek per email of telefonisch aan de hem bekende contactpersoon
van Verwerkingsverantwoordelijke.
Verwerker verschaft op verzoek van Verwerkingsverantwoordelijke in ieder geval de door
Verwerker beschikbare gegevens zoals vastgelegd in artikel 33 (3) Avg om
Verwerkingsverantwoordelijke in staat te stellen aan zijn wettelijke verplichtingen bij een Datalek
te voldoen. Hierbij wordt uitdrukkelijk opgemerkt dat Verwerker uitsluitend deze informatie aan
Verwerkingsverantwoordelijke verstrekt, maar niet zelf melding doet bij de AP en/of aan de
Betrokkenen.
Verwerkingsverantwoordelijke beslist op basis van de wettelijke criteria en de richtlijnen van de
AP of het Datalek aan de AP en eventueel ook aan de Betrokkenen moet worden gemeld.
Verwerker houdt een beveiligde registratie bij van de Datalekken die zich hebben voorgedaan
ten aanzien van Verwerkingsverantwoordelijke. Deze registratie wordt op eerste verzoek van
Verwerkingsverantwoordelijke aan deze ter beschikking gesteld.
Artikel 8 van de Verwerkersovereenkomst is onverkort van toepassing.