Toelichting
Deze lijst vormt Bijlage 2 bij de Verwerkersovereenkomst van Practions en is bindend voor alle Klanten die de Dienst gebruiken. Klaver Solutions schakelt onderstaande sub-verwerkers in voor de levering en het beheer van de Dienst. Wijzigingen worden minimaal dertig (30) dagen vóór inwerkingtreding aangekondigd via e-mail of een mededeling in de Dienst, conform artikel 6 van de Verwerkersovereenkomst.
Categorieën in de tabel:
- Doel: het concrete doel waarvoor de sub-verwerker wordt ingezet.
- Soort gegevens: de categorieën Persoonsgegevens die door of via de sub-verwerker worden verwerkt.
- Vestigingsland verwerking: het land waar de gegevens daadwerkelijk worden verwerkt of opgeslagen.
- Doorgifte-mechanisme: het door artikel 44 tot en met 49 AVG vereiste mechanisme bij verwerking buiten de Europese Economische Ruimte (EER).
Actieve sub-verwerkers
| Sub-verwerker | Vestiging entiteit | Vestigingsland verwerking | Doel | Soort gegevens | Doorgifte-mechanisme |
|---|---|---|---|---|---|
| Mollie B.V. | Amsterdam, Nederland | Nederland (EER) | Betalingsverwerking voor abonnementen en, optioneel, voor coach-uitgaande facturen aan Cliënten van Klant via iDEAL, Bancontact, creditcard en SEPA | Naam, e-mail, IBAN, betalingsdata, betalingsstatus, factuurkenmerken | n.v.t. (verwerking binnen EER) |
| Moneybird B.V. | Hilversum, Nederland | Nederland (EER) | Optionele synchronisatie van facturen en contacten met de boekhouding van Klant | Factuurregels, contactgegevens, BTW-codes (uitsluitend wanneer Klant deze koppeling activeert) | n.v.t. (verwerking binnen EER) |
| Microsoft Ireland Operations Limited (Azure OpenAI) | Dublin, Ierland | EU-regio's: West Europe, Sweden Central, France Central | Generatie van conceptsessienotities, AI-bewerkingen op notities, AI-praktijkmanager-chat in productie | Sessietranscripten, conceptnotities, prompts en context-fragmenten uit de Dienst | n.v.t. (verwerking binnen EER); aanvullend Microsoft Online Services Terms (DPA) |
| Zoho Corporation B.V. | Utrecht, Nederland (EU-aanbod) | Europees datacenter (smtp.zoho.eu) | Verzending van transactionele e-mails (verificatie, password-reset, factuur, sessieherinnering, onboarding) | Naam, e-mailadres, e-mailinhoud (transactionele body) | n.v.t. (verwerking binnen EER) bij gebruik .eu-endpoint; bij wijziging naar US-endpoint: standaardcontractsbepalingen (SCC) en aanvullende waarborgen |
Meta Platforms Ireland Limited (WhatsApp Business Cloud-API, graph.facebook.com) |
Dublin, Ierland | Ierland (EER), met routing via Meta-infrastructuur | Optionele WhatsApp-verificatie bij signup en transactionele WhatsApp-notificaties; alleen actief wanneer Klant deze koppeling activeert en niet voor Cliëntcommunicatie | Telefoonnummer van Klant, template-naam, bericht-payload | n.v.t. (Meta Ireland is verwerkingsentiteit binnen EER); Meta DPA en standaardcontractsbepalingen voor zover Meta-content buiten de EER wordt gerouteerd |
| Cloudflare, Inc. | San Francisco, Verenigde Staten | EU edges + US (operationele back-end) | Tunneling- en netwerkdiensten tussen het publieke domein en de productieomgeving | IP-adressen, request-metadata; geen content-payload op application-layer | Standaardcontractsbepalingen (SCC) en, voor zover van toepassing, EU-US Data Privacy Framework |
| Europese Commissie / VIES | Brussel, België | EU (institutie) | Validatie van BTW-nummers van zakelijke Cliënten | BTW-nummer, naam handelsentiteit, validatieresultaat | n.v.t. (verwerking binnen EER) |
| OpenAI L.L.C. | San Francisco, Verenigde Staten | Verenigde Staten | Uitsluitend in ontwikkel- en testomgevingen, met niet-productieve testdata | Geen productieve persoonsgegevens | Standaardcontractsbepalingen (SCC); productiegebruik is technisch geblokkeerd op startup van de productieomgeving |
Sub-verwerkers die uitsluitend operationeel of optioneel zijn
| Sub-verwerker | Doel | Status | Doorgifte-mechanisme |
|---|---|---|---|
| TURN-provider voor WebRTC-NAT-traversal | Indien geconfigureerd, optionele media-relay voor videogesprekken bij netwerken met symmetric NAT | Nog niet geconfigureerd op de productie-deploy van 2026-05-04. Bij activering wordt de specifieke provider en het vestigingsland aan deze lijst toegevoegd via de aankondigingsprocedure | nader te bepalen bij activering |
| Sentry (Functional Software, Inc.) | Optionele foutregistratie | Alleen actief wanneer SENTRY_DSN in productie wordt geconfigureerd. Inhoud van events wordt voorgefilterd om bekende PII-velden weg te laten |
EU-region waar mogelijk; SCC en, indien van toepassing, EU-US Data Privacy Framework |
| Hugging Face, Inc. | Eenmalige downloads van publieke spraakmodellen voor lokale transcriptie | Geen overdracht van persoonsgegevens van Klanten of Cliënten naar Hugging Face | n.v.t. (geen persoonsgegevens worden uitgewisseld) |
| Google Ireland Limited (Google Fonts) | Levering van webfonts (DM Sans, Fraunces) op practions.com | Bij elk paginabezoek wordt het IP-adres met Google uitgewisseld | n.v.t. (verwerking binnen EER), met de aantekening dat een verschuiving naar self-hosted fonts wordt overwogen |
| Cloudflare jsDelivr CDN (cdn.jsdelivr.net) | Laden van iconensprites in de aanmeld- en gebruiksomgeving | Geen identificerende cookies; uitwisseling van IP-adres bij CDN-fetch | SCC en, voor zover van toepassing, EU-US Data Privacy Framework |
Procedurele bepalingen
- Wijzigingen in deze lijst worden gedateerd en gearchiveerd voor audittraceability. De huidige versie is altijd te raadplegen op https://practions.com/sub-verwerkers.
- Klant heeft op grond van artikel 6 lid 4 van de Verwerkers- overeenkomst het recht binnen de aankondigingstermijn gemotiveerd bezwaar te maken tegen een nieuwe sub-verwerker.
- Voor vragen over deze sub-verwerkerslijst kunt u contact opnemen via [email protected].