Verwerkersovereenkomst
Deze Verwerkersovereenkomst ("VO") maakt onderdeel uit van de Overeenkomst. Begrippen met hoofdletter hebben de betekenis uit artikel 1 van de AV.
1. Rollen en scope
1.1 Klant is verwerkingsverantwoordelijke. &Ampersand is verwerker.
1.2 &Ampersand verwerkt persoonsgegevens namens Klant voor:
a. ontvangst, opslag, weergave en verwerking van Documenten (inclusief AI-output);
b. export en doorsturen indien ingesteld door Klant;
c. onderhoud, beveiliging en support voor zover noodzakelijk.
1.3 Categorieën persoonsgegevens: naam, e-mailadres, adres, telefoonnummer, factuurgegevens (referenties, betaalgegevens, IBAN), IP-adres en loggegevens.
1.4 Categorieën betrokkenen: medewerkers, klanten, leveranciers en andere relaties van Klant.
1.5 Bijzondere persoonsgegevens worden niet beoogd. Indien Klant deze uploadt, is Klant verantwoordelijk voor de rechtmatigheid.
1.6 Voor gegevens die &Ampersand verwerkt als eigen verwerkingsverantwoordelijke (accountbeheer, facturatie, beveiligingslogs) geldt de Privacyverklaring.
2. Instructies en geheimhouding
2.1 &Ampersand verwerkt persoonsgegevens uitsluitend op instructie van Klant. Instellingen en handelingen van Admins en Gebruikers gelden als instructies.
2.2 Indien &Ampersand meent dat een instructie in strijd is met wetgeving, meldt zij dit aan Klant.
2.3 &Ampersand zorgt dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan geheimhouding.
3. Subverwerkers
3.1 Klant verleent algemene toestemming voor het inschakelen van subverwerkers. Het actuele overzicht van subverwerkers en hun locaties is altijd online beschikbaar en wordt bijgewerkt bij wijzigingen:
3.2 &Ampersand meldt wijzigingen minimaal 14 dagen vooraf per e-mail. Klant kan binnen die termijn gemotiveerd bezwaar maken. Indien geen redelijke oplossing mogelijk is, kan Klant de Overeenkomst opzeggen voor het geraakte onderdeel.
3.3 &Ampersand legt aan subverwerkers minimaal vergelijkbare verplichtingen op als in deze VO.
3.4 Waar technisch mogelijk dwingt &Ampersand Zero Data Retention (ZDR) af bij subverwerkers, zodat persoonsgegevens uitsluitend in transit worden verwerkt en niet door de subverwerker worden opgeslagen.
4. Doorgifte buiten de EER
4.1 &Ampersand verwerkt persoonsgegevens in beginsel uitsluitend binnen de EER. Indien (een deel van) de verwerking plaatsvindt buiten de EER, bijvoorbeeld door inschakeling van subverwerkers, gebeurt dit uitsluitend met passende waarborgen conform hoofdstuk V AVG. Het actuele overzicht van subverwerkers en hun verwerkingslocaties is beschikbaar via het subverwerkeroverzicht in artikel 3.
4.2 Doorgifte van persoonsgegevens naar landen buiten de EER vindt uitsluitend plaats indien het betreffende land beschikt over een adequaatheidsbesluit van de Europese Commissie (zoals het EU-US Data Privacy Framework voor de Verenigde Staten) of indien passende waarborgen zijn getroffen, waaronder de meest recente EU-Standard Contractual Clauses (SCC's, Uitvoeringsbesluit 2021/914).
4.3 Indien &Ampersand of een subverwerker onder Amerikaanse jurisdictie valt, kan deze op grond van de Amerikaanse Cloud Act verplicht worden persoonsgegevens te verstrekken aan Amerikaanse autoriteiten, ook als deze gegevens zich in de EU bevinden. &Ampersand informeert Klant hierover voor zover wettelijk toegestaan.
5. Beveiliging
5.1 &Ampersand treft passende technische en organisatorische maatregelen overeenkomstig artikel 32 AVG. &Ampersand past continue monitoring toe op de beveiliging van de Dienst en hanteert procedures voor detectie, beoordeling en opvolging van beveiligingsincidenten.
6. Datalekken
6.1 &Ampersand meldt een inbreuk op persoonsgegevens zonder onredelijke vertraging en uiterlijk binnen 48 uur na ontdekking aan Klant.
6.2 De melding bevat ten minste, voor zover beschikbaar: de aard en het tijdstip van het incident, welke gegevens mogelijk zijn geraakt, de mogelijke gevolgen en de genomen of voorgestelde maatregelen.
6.3 Klant is verantwoordelijk voor melding aan toezichthouder en betrokkenen.
7. Rechten van betrokkenen en DPIA
7.1 &Ampersand stuurt verzoeken van betrokkenen door aan Klant en verleent redelijke medewerking bij de afhandeling.
7.2 &Ampersand verleent redelijke medewerking aan een gegevensbeschermingseffectbeoordeling (DPIA) en voorafgaande raadpleging van de toezichthouder (art. 35–36 AVG), voor zover de benodigde informatie bij &Ampersand beschikbaar is.
8. Audit
8.1 Klant mag eenmaal per jaar redelijke vragen stellen of een audit laten uitvoeren, onder geheimhouding en zonder onnodige verstoring. &Ampersand mag verwijzen naar een actueel audit- of certificeringsrapport als alternatief.
9. Duur, teruggave en verwijdering
9.1 Deze VO geldt zolang &Ampersand persoonsgegevens verwerkt namens Klant.
9.2 Na beëindiging geldt de export- en verwijderingsregeling uit artikel 9 van de AV.
10. Aansprakelijkheid
10.1 De aansprakelijkheidsbeperking uit artikel 10 van de AV geldt ook voor deze VO.
11. Slotbepalingen
11.1 Op deze VO is Nederlands recht van toepassing. Bij tegenstrijdigheid met andere onderdelen van de Overeenkomst prevaleert deze VO voor wat betreft de verwerking van persoonsgegevens, onverminderd de rangorde uit artikel 2.3 van de AV.