Box16
Hoe het werktPrijzenInloggenProbeer gratis
Juridisch

Verwerkersovereenkomst

1.0 · 2026-05-01

PrivacyverklaringVerwerkersovereenkomstGebruiksvoorwaarden

Partijen

Verwerkingsverantwoordelijke: De klant die een Box.16-account aanmaakt en CMR-documenten uploadt.

Verwerker: Klarifai, gevestigd in Nederland (KvK: [in te vullen]).

Artikel 1. Onderwerp en duur

1.1 De Verwerker verwerkt Persoonsgegevens namens de Verwerkingsverantwoordelijke voor het doel van het neutraliseren van CMR-vervoersdocumenten (verwijdering/bedekking van vervoerdersidentificatie in Vak 16 en Vak 23).

1.2 Deze Verwerkersovereenkomst (VOK) is van kracht zolang de Verwerkingsverantwoordelijke gebruikmaakt van de Box.16-dienst.

Artikel 2. Persoonsgegevens

De volgende categorieën persoonsgegevens worden verwerkt:

  • Bedrijfsnamen, adressen en contactgegevens van vervoerders (opgenomen in CMR-documenten)
  • E-mailadressen en namen van gebruikers van de Box.16-applicatie
  • IP-adressen en sessie-informatie (voor beveiliging en audit)

De verwerking is beperkt tot wat strikt noodzakelijk is voor het neutralisatieproces.

Artikel 3. Verplichtingen Verwerker

De Verwerker zal:

  1. Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke;
  2. Vertrouwelijkheid garanderen van alle verwerkte Persoonsgegevens;
  3. Passende technische en organisatorische beveiligingsmaatregelen treffen (AVG artikel 32);
  4. Subverwerkers alleen inschakelen met voorafgaande schriftelijke toestemming;
  5. De Verwerkingsverantwoordelijke ondersteunen bij het nakomen van rechten van betrokkenen;
  6. Persoonsgegevens verwijderen of retourneren na beëindiging van de dienstverlening.

Artikel 4. Subverwerkers

De volgende subverwerkers worden ingezet:

SubverwerkerDoelLocatie
Vercel (EU - Frankfurt)Frontend hostingEU
Railway (EU - Netherlands)Backend + database hostingEU
Cloudflare R2 (EU)DocumentopslagEU
Google Gemini (EU API endpoint)OCR-verwerking Tier 2EU
Sentry (EU data residency)FoutmonitoringEU

Artikel 5. Beveiliging

De Verwerker past de volgende technische maatregelen toe:

  • Versleuteling van data in transit (TLS 1.2+)
  • Versleuteling van data at rest (PostgreSQL + R2 server-side encryption)
  • Toegangscontrole via JWT RS256-tokens
  • Multi-tenant isolatie via PostgreSQL Row Level Security
  • Automatische verwijdering van uploads na `retention_days` (instelbaar per organisatie, standaard 30 dagen)

Artikel 6. Datalekken

De Verwerker informeert de Verwerkingsverantwoordelijke zonder onredelijke vertraging (en in elk geval binnen 72 uur) na ontdekking van een datalek dat persoonsgegevens betreft.

Contact bij datalekken: info@box16.nl

Artikel 7. Toepasselijk recht

Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.

Box16© 2026 Box16. Alle rechten voorbehouden.
PrivacyVerwerkersovereenkomstVoorwaarden