Gegevensoverdracht (Data Transfers)

Laatst bijgewerkt: 2026-06-12

1. Uitgangspunt: data blijft in de EU

Andri AI B.V. is een Nederlandse onderneming. Klantdata wordt opgeslagen en verwerkt binnen de Europese Unie, in de AWS-regio’s eu-west-1 (Ierland) en eu-central-1 (Frankfurt), zonder replicatie buiten de EU en met zelfbeheerde encryptiesleutels. AI-verwerking vindt plaats via AWS Bedrock in de EU-regio; daarbij verlaten klantgegevens de EU niet. Internationale doorgifte van klantdata is bij Andri dus de uitzondering, niet de regel.

2. Wanneer vindt doorgifte plaats?

Een beperkt aantal subverwerkers opereert deels buiten de EER. In die gevallen geldt:

  • Vercel (frontend hosting), Clerk (authenticatie) en Stripe (betalingen): doorgifte naar de VS vindt plaats onder standaardcontractbepalingen (SCC’s) en/of het EU-US Data Privacy Framework.
  • Doorgifte naar landen met een adequaatheidsbesluit van de Europese Commissie (zoals Zwitserland en het Verenigd Koninkrijk) is toegestaan zonder aanvullende maatregelen.
  • Het actuele overzicht van al onze subverwerkers staat op de subverwerkers-pagina.

3. Klanten in het Verenigd Koninkrijk

Voor klanten in het VK geldt: doorgifte van het VK naar de EER is onder de UK GDPR en de Britse adequacy regulations toegestaan, omdat de EER door het VK als adequaat is aangemerkt. Andri treedt daarbij op als verwerker in Nederland. Waar een klant desondanks het UK International Data Transfer Addendum (IDTA) of het UK Addendum bij de EU SCC’s wenst, kan dat als onderdeel van de verwerkersovereenkomst worden overeengekomen.

4. Doorgiftemechanismen en rangorde

Als op een doorgifte meerdere mechanismen van toepassing kunnen zijn, geldt er één, in deze volgorde:

  • Een adequaatheidsbesluit van de Europese Commissie (art. 45 AVG)
  • De EU standaardcontractbepalingen (SCC’s, art. 46 lid 2 sub c AVG), module 2 (verwerkingsverantwoordelijke naar verwerker) of module 3 (verwerker naar subverwerker), al naar gelang de rollen
  • Het UK International Data Transfer Addendum, waar het UK GDPR van toepassing is
  • Elk ander mechanisme dat onder de toepasselijke gegevensbeschermingswetgeving is toegestaan en in de verwerkersovereenkomst is opgenomen

Waar SCC’s gelden, bieden zij passende waarborgen met afdwingbare rechten en doeltreffende rechtsmiddelen voor betrokkenen (art. 46 AVG), waaronder verwerking uitsluitend op gedocumenteerde instructies, doelbinding, dataminimalisatie, opslagbeperking, beveiliging van de verwerking en voorwaarden voor verdere doorgifte.

5. Details van de verwerking

5.1 Categorieën betrokkenen

  • Gebruikers (advocaten en medewerkers van de klant)
  • Cliënten van de klant
  • Derden van wie persoonsgegevens in zaakdocumenten voorkomen (wederpartijen, getuigen, procesdeelnemers)

5.2 Categorieën persoonsgegevens

  • Contactgegevens en professionele gegevens
  • Zaakgegevens en door gebruikers geüploade documenten
  • Gebruiksgegevens en technische gegevens

Gevoelige gegevens, waaronder details van juridische zaken, worden uitsluitend verwerkt voor zover strikt noodzakelijk voor de dienstverlening en met aanvullende waarborgen (zie sectie 6).

6. Technische en organisatorische maatregelen

Ons managementsysteem voor informatiebeveiliging is ISO 27001-gecertificeerd door Kiwa (certificaatnummer K-0229199/1, online verifieerbaar). Kernmaatregelen:

  • Versleuteling in transit (TLS 1.3) en at rest (AES-256)
  • Multifactor-authenticatie, role-based access control en least privilege, met periodieke toegangsreviews
  • Technisch afgedwongen tenant-isolatie tussen klanten
  • Logging en monitoring, met onafhankelijke penetratietesten door Fox-IT / NCC Group
  • Backup, disaster recovery, netwerk- en fysieke beveiliging (AWS-datacenters)

7. Subverwerkers

  • Schriftelijke contracten met gelijkwaardige of strengere verplichtingen dan onze verwerkersovereenkomst
  • Actuele lijst op de subverwerkers-pagina
  • Wijzigingen worden minimaal 30 dagen vooraf schriftelijk aangekondigd; klanten kunnen binnen 14 dagen bezwaar maken op zwaarwegende gronden rond AVG-compliance of beveiliging
  • Andri blijft volledig aansprakelijk voor de nakoming door subverwerkers

8. Melding van datalekken

Bij een beveiligingsincident informeren wij de klant onverwijld, waar mogelijk binnen 24 uur en uiterlijk binnen 72 uur, met een gedetailleerd incidentrapport en volledige medewerking aan onderzoek en eventuele meldingen aan toezichthouders en betrokkenen.

9. Audit en beëindiging

  • Klanten hebben recht op een jaarlijkse audit (eigen kosten), in overleg en zonder verstoring van onze bedrijfsprocessen
  • Wij houden gedetailleerde documentatie bij van verwerkingsactiviteiten en werken samen met toezichthouders
  • Na beëindiging van de dienstverlening worden alle persoonsgegevens geretourneerd of verwijderd, behoudens wettelijke bewaarplichten

10. Verhouding tot de verwerkersovereenkomst

Deze pagina is een informatieve samenvatting van hoe Andri met internationale doorgifte omgaat. De bindende afspraken staan in de verwerkersovereenkomst (DPA) die elke klant met Andri sluit; bij verschil tussen deze pagina en de verwerkersovereenkomst gaat de verwerkersovereenkomst voor.

11. Contact