Verwerkersovereenkomst

1 Definities

Begrippen in deze overeenkomst hebben dezelfde betekenis als in de Algemene Verordening Gegevensbescherming (AVG). Daarnaast geldt:

• Persoonsgegevens — alle informatie over een geidentificeerde of identificeerbare natuurlijke persoon.
• Verwerking — elke handeling met persoonsgegevens (verzamelen, opslaan, gebruiken, verwijderen, etc.).
• Datalek — een inbreuk op de beveiliging die leidt tot onbedoelde toegang tot of verlies van persoonsgegevens.

2 Voorwerp en duur

• 2.1 Leverancier verwerkt persoonsgegevens uitsluitend ten behoeve van de levering van de Flowstudio-dienst aan Afnemer.
• 2.2 Deze overeenkomst is van kracht zolang Leverancier persoonsgegevens verwerkt in opdracht van Afnemer.

3 Aard en doel van de verwerking

Leverancier verwerkt persoonsgegevens voor de volgende doeleinden:

4 Categorieen betrokkenen en gegevens

4.1 Betrokkenen

• Medewerkers van Afnemer (gebruikers van Flowstudio)
• Deelnemers aan workshops en interviews die worden opgenomen
• Personen die worden genoemd in audio-opnames of transcripten

4.2 Categorieen persoonsgegevens

5 Verplichtingen van Leverancier

• 5.1 Leverancier verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van Afnemer, waaronder deze overeenkomst en de Algemene Voorwaarden. Indien Leverancier van oordeel is dat een instructie van Afnemer in strijd is met de AVG of andere toepasselijke wetgeving, stelt Leverancier Afnemer hiervan onverwijld op de hoogte.
• 5.2 Leverancier zorgt ervoor dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan geheimhouding.

5.3 Beveiligingsmaatregelen

Leverancier treft passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat past bij het risico:

• Versleuteling van data in transit (TLS) en at rest
• Toegangsbeheer op basis van least privilege
• Multi-factor authenticatie voor beheeraccounts
• Logische scheiding tussen tenants (klanten)
• Logging en monitoring van toegang
• Regelmatige back-ups met herstelmogelijkheid

5.4 Leverancier gebruikt persoonsgegevens niet om AI-modellen te trainen, tenzij Afnemer hier expliciet schriftelijk toestemming voor geeft.

6 Subverwerkers

6.1 Afnemer geeft Leverancier algemene toestemming om subverwerkers in te schakelen voor de uitvoering van de dienst.

6.2 Op het moment van aangaan van deze overeenkomst maakt Leverancier gebruik van de volgende subverwerkers:

*Bij doorgifte buiten de EU zorgen wij voor passende waarborgen (Standard Contractual Clauses en/of het EU-US Data Privacy Framework). Dit geldt voor alle subverwerkers met gegevensverwerking buiten de EER, waaronder Stripe, Sentry, Resend, Feedback Fish en Web3Forms.

6.3 Leverancier sluit met elke subverwerker een overeenkomst die minimaal gelijkwaardige verplichtingen bevat als deze overeenkomst.

6.4 Leverancier informeert Afnemer via e-mail bij wijzigingen in subverwerkers. Afnemer kan binnen 30 dagen gemotiveerd bezwaar maken. Bij gegrond bezwaar zal Leverancier de wijziging heroverwegen of Afnemer de mogelijkheid geven de overeenkomst te beeindigen.

7 Doorgifte buiten de EER

• 7.1 Leverancier verwerkt persoonsgegevens binnen de Europese Economische Ruimte (EER).
• 7.2 Doorgifte naar landen buiten de EER vindt alleen plaats indien: de Europese Commissie een adequaatheidsbesluit heeft genomen; of passende waarborgen zijn getroffen (Standard Contractual Clauses); of Afnemer hier expliciet opdracht toe geeft.

8 Bijstand aan Afnemer

• 8.1 Leverancier verleent Afnemer redelijke bijstand bij: het beantwoorden van verzoeken van betrokkenen (inzage, correctie, verwijdering, etc.); het uitvoeren van een Data Protection Impact Assessment (DPIA) indien vereist; het nakomen van meldplichten bij datalekken.
• 8.2 Leverancier mag redelijke kosten in rekening brengen voor bijstand die verder gaat dan wat direct voortvloeit uit de dienstverlening.

9 Datalekken

• 9.1 Leverancier informeert Afnemer zonder onredelijke vertraging, en streeft naar melding binnen 72 uur na ontdekking van een datalek dat (mogelijk) betrekking heeft op persoonsgegevens van Afnemer.

9.2 De melding bevat ten minste:

• de aard van het datalek;
• de (vermoedelijke) categorieen en aantallen betrokkenen en gegevens;
• de waarschijnlijke gevolgen;
• de genomen of voorgestelde maatregelen.

9.3 Afnemer blijft verantwoordelijk voor het melden van datalekken aan de Autoriteit Persoonsgegevens en betrokkenen waar vereist.

10 Bewaartermijn en verwijdering

• 10.1 Leverancier bewaart persoonsgegevens niet langer dan noodzakelijk voor de uitvoering van de dienst.

10.2 Na beeindiging van de overeenkomst:

• kan Afnemer tot 30 dagen na einddatum een export aanvragen;
• verwijdert Leverancier alle persoonsgegevens binnen 90 dagen, tenzij wettelijke bewaarplicht anders vereist.

11 Audit

• 11.1 Leverancier stelt op verzoek informatie beschikbaar om naleving van deze overeenkomst aan te tonen.

11.2 Audit voorwaarden:

Afnemer of een door Afnemer aangewezen onafhankelijke auditor mag maximaal eenmaal per jaar een audit uitvoeren, met inachtneming van:

• een aankondigingstermijn van minimaal 30 dagen;
• geheimhouding van bevindingen;
• minimale verstoring van de bedrijfsvoering.

11.3 Kosten van de audit zijn voor rekening van Afnemer.

12 Aansprakelijkheid

• 12.1 De aansprakelijkheid van Leverancier onder deze verwerkersovereenkomst is beperkt conform de Algemene Voorwaarden.
• 12.2 Afnemer vrijwaart Leverancier tegen aanspraken van betrokkenen of toezichthouders voor zover deze voortvloeien uit verwerkingen waarvoor Afnemer verantwoordelijk is of uit instructies van Afnemer.

13 Overige bepalingen

• 13.1 Bij tegenstrijdigheid tussen deze verwerkersovereenkomst en de Algemene Voorwaarden prevaleert deze verwerkersovereenkomst voor wat betreft de verwerking van persoonsgegevens.
• 13.2 Op deze overeenkomst is Nederlands recht van toepassing.
• 13.3 Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Gelderland.

✉ Contact

Vragen over deze verwerkersovereenkomst?