Privacybeleid

A. Verwerkersovereenkomst

1. Achtergrond en interpretatie

Deze Verwerkersovereenkomst ("Addendum") stelt de aanvullende voorwaarden, vereisten en condities vast waarop Respondo.ai persoonlijke gegevens zal verwerken bij het leveren van de Diensten aan de Klant onder de Overeenkomst. Dit Addendum is onderhevig aan de voorwaarden van de Overeenkomst en is hierin opgenomen. Daarom zijn alle rechten en verplichtingen die voortvloeien uit de Overeenkomst, inclusief eventuele toepasselijke algemene voorwaarden en/of aansprakelijkheidsbeperkingen, ook van toepassing op dit Addendum.

2. Rollen en verwerkingsdetails

Voor de doeleinden van dit Addendum wordt Respondo.ai beschouwd als gegevensverwerker en zal persoonlijke gegevens alleen verwerken namens de Klant. De Klant kan de verwerkingsverantwoordelijke zijn (de partij die het doel en de middelen van de verwerking bepaalt) of een andere gegevensverwerker namens een derde partij, in welk geval Respondo.ai als sub-verwerker kan worden beschouwd.

Het onderwerp, de duur, de aard en het doel van de verwerking en de categorieën van persoonlijke gegevens en betrokkenen met betrekking tot welke Respondo.ai kan verwerken om haar verplichtingen onder de Overeenkomst na te komen, worden verder gedetailleerd in de artikelen en tabellen hieronder.

Respondo.ai zal de persoonlijke gegevens alleen verwerken voor zover, en op een manier, die noodzakelijk is voor de levering van de Diensten onder de Overeenkomst en in overeenstemming met de schriftelijke instructies van de Klant. Respondo.ai zal de persoonlijke gegevens niet voor enig ander doel verwerken of op een manier die niet voldoet aan deze Overeenkomst of toepasselijke wetgeving inzake gegevensbescherming, met name de EU Algemene Verordening Gegevensbescherming 2016/679 ("AVG"). Respondo.ai zal de Klant onmiddellijk op de hoogte stellen indien, naar zijn mening, de instructie van de Klant niet zou voldoen aan de wetgeving inzake gegevensbescherming.

De termen "toestemming", "verwerkingsverantwoordelijke", "betrokkene", "persoonsgegevens", "inbreuk in verband met persoonsgegevens", "verwerker", "sub-verwerker", "verwerking", "toezichthoudende autoriteit" en "derde" hebben de betekenissen zoals uiteengezet in artikel 4 van de AVG.

3. Details en reikwijdte van de verwerking

De verwerking van persoonlijke gegevens binnen het kader van de Overeenkomst en dit Addendum zal worden uitgevoerd in overeenstemming met de volgende bepalingen en zoals vereist onder artikel 28(3) van de AVG. De partijen kunnen deze informatie van tijd tot tijd wijzigen, indien de partijen dit redelijkerwijs noodzakelijk achten om aan die vereisten te voldoen:

• Het onderwerp en de doeleinden van de verwerking zijn beperkt tot het leveren van de Diensten die worden geleverd door Respondo.ai onder de Overeenkomst, inclusief verbetering van de Diensten;
• De persoonlijke gegevens zullen worden verwerkt zolang de Diensten worden geleverd door Respondo.ai onder de Overeenkomst;
• De verwerkingsactiviteiten door Respondo.ai met betrekking tot de Diensten worden uiteengezet in de Overeenkomst en zullen, indien van toepassing, omvatten: (a) het leveren van de Diensten; (b) de detectie, preventie en oplossing van beveiligings- en technische problemen; en (c) het beantwoorden van ondersteuningsverzoeken van de Klant;
• De soorten te verwerken persoonlijke gegevens:
  • Identificatie: naam, gebruikersnaam, e-mailadres;
  • Contact: e-mailadres, telefoonnummer;
  • Locatie: land;
  • Authenticatie: wachtwoord, 2FA-gegevens;
  • Apparaatgegevens: IP-adres, MAC-adres, browserfingerprint;
  • Gedragsgegevens: gebruiksgedrag;
  • Open-veld gegevens: alle soorten persoonlijke gegevens ingevoerd in een open invoerveld binnen de Diensten;
  • Alle soorten persoonlijke gegevens opgenomen in de gegevens die via o.a. integraties naar Respondo.ai worden verzonden.
• De categorieën betrokkenen op wie de persoonlijke gegevens betrekking hebben:
  • Eindgebruikers van de Diensten (bijv. werknemers, aannemers en tijdelijke werknemers van de Klant);
  • Alle personen op wie de persoonlijke gegevens betrekking hebben die zijn opgenomen in de gegevens die via o.a. vastgestelde integraties worden verstrekt;
• Respondo.ai zal persoonlijke gegevens alleen verwerken (i) voor de doeleinden van het nakomen van zijn verplichtingen onder de Overeenkomst en (ii) in overeenstemming met de gedocumenteerde instructies beschreven in dit Addendum of zoals anderszins van tijd tot tijd door de Klant geïnstrueerd.
• Waar Respondo.ai redelijkerwijs van mening is dat een instructie van de Klant in strijd is met de bepalingen van de Overeenkomst of dit Addendum, of dat deze de AVG of andere toepasselijke gegevensbeschermingsbepalingen schendt, zal het de Klant hiervan zonder vertraging op de hoogte stellen. In beide gevallen is Respondo.ai bevoegd om de uitvoering van de relevante instructie uit te stellen totdat deze door de Klant is gewijzigd of door beide partijen is overeengekomen;
• De Klant is als enige verantwoordelijk voor het gebruik en beheer van persoonlijke gegevens die via de Diensten zijn ingediend of verzonden.

4. Beveiligingsmaatregelen

Respondo.ai streeft ernaar te voldoen aan de beveiligingsmaatregelen die vereist zijn op grond van de toepasselijke wetgeving inzake gegevensbescherming, met name artikel 32 AVG. In dit verband zal Respondo.ai gedurende de looptijd van de Overeenkomst technische en organisatorische beveiligingsmaatregelen implementeren en handhaven om de verwerkingsoperaties te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Respondo.ai garandeert niet dat de beveiliging onder alle omstandigheden effectief is.

De Klant is verantwoordelijk voor het waarborgen dat de in de onderstaande tabel vermelde beveiligingsmaatregelen voldoen aan zijn verplichtingen op grond van de toepasselijke wetgeving inzake gegevensbescherming (inclusief maar niet beperkt tot de AVG) met betrekking tot de verwerkte persoonlijke gegevens.

5. Vertrouwelijkheid

Alle verplichtingen voor Respondo.ai onder dit Addendum zijn evenzeer van toepassing op alle personen die onder toezicht van Respondo.ai de persoonlijke gegevens verwerken, inclusief maar niet beperkt tot werknemers in de breedste zin van het woord. Respondo.ai zorgt ervoor dat personen die bevoegd zijn om de persoonlijke gegevens te verwerken zich ertoe hebben verbonden vertrouwelijkheid te betrachten of onder een passende wettelijke geheimhoudingsplicht vallen.

Alle persoonlijke gegevens die Respondo.ai van de Klant ontvangt in het kader van de Overeenkomst zijn onderworpen aan een geheimhoudingsplicht jegens derden. Deze geheimhoudingsplicht is niet van toepassing indien de Klant (i) uitdrukkelijk toestemming heeft gegeven voor het verstrekken van dergelijke informatie aan derden, (ii) waar het verstrekken van de informatie aan derden redelijkerwijs noodzakelijk is rekening houdend met de aard van de instructies en de levering van de Diensten onder de Overeenkomst, of (iii) indien er een wettelijke verplichting bestaat om de informatie aan een derde partij te verstrekken.

6. Locatie van de gegevens

Respondo.ai kan de persoonlijke gegevens verwerken in landen binnen de Europese Economische Ruimte (EER). Bovendien geeft de Klant Respondo.ai toestemming om persoonlijke gegevens buiten de EER te verwerken, met inachtneming van de toepasselijke wet- en regelgeving, waarbij Respondo.ai en de Klant - indien van toepassing - overeenstemming zullen bereiken over de volgende document(en) en waarborgen die volledig zullen worden geïntegreerd in dit Addendum en de Overeenkomst, voor zover van toepassing, voor overdrachten van persoonlijke gegevens van de EU, EER en/of hun lidstaten, Zwitserland en het Verenigd Koninkrijk naar landen die geen passend beschermingsniveau bieden in de zin van o.a. de AVG van de bovengenoemde gebieden en om passende waarborgen te implementeren:

• De "Standaard Contractuele Clausules" voor de overdracht van persoonlijke gegevens aan (sub)verwerkers gevestigd in derde landen onder de AVG (de huidige versie zoals op de datum van dit Addendum is bijgevoegd bij het besluit van de Europese Commissie 2021/914 (EU) van 4 juni 2021), waarbij Module 2 (Verwerkingsverantwoordelijke-naar-Verwerker) van toepassing zal zijn waar Respondo.ai optreedt als gegevensverwerker en Module 3 (Verwerker-naar-Verwerker) van toepassing zal zijn waar Respondo.ai optreedt als sub-verwerker; en/of
• de "VK Addendum" (Internationale Gegevensoverdracht Addendum bij de EU Commissie Standaard Contractuele Clausules); en
• aanvullende waarborgen met betrekking tot beveiligingsmaatregelen inclusief gegevensversleuteling, gegevensaggregatie, scheiding van toegangscontroles en principes van gegevensminimalisatie.
• Op verzoek van de Klant zal Respondo.ai de Klant informeren over de landen buiten de EU/EER waar het de persoonlijke gegevens verwerkt.

7. Inschakelen van sub-verwerkers

De Klant stemt ermee in dat Respondo.ai al haar gelieerde ondernemingen als sub-verwerker kan inschakelen. De Klant verleent hierbij Respondo.ai en al haar gelieerde ondernemingen algemene toestemming om derden als sub-verwerkers in te schakelen binnen en buiten de EU/EER, binnen het kader van de Overeenkomst, waarbij de sub-verwerkers zoals opgenomen in Bijlage 1 bij dit Addendum vooraf zijn goedgekeurd door de Klant.

Voor het inschakelen van sub-verwerkers door Respondo.ai zal Respondo.ai voldoen aan de vereisten van artikel 28, lid 2 en 4 AVG. In het bijzonder zal Respondo.ai, op verzoek van de Klant, de Klant zonder onnodige vertraging informeren over de ingeschakelde sub-verwerkers. Respondo.ai en haar gelieerde ondernemingen (indien en wanneer van toepassing) zullen in ieder geval ervoor zorgen dat dergelijke derden schriftelijk verplicht zijn om vergelijkbare taken en niveau van gegevensbescherming te aanvaarden zoals overeengekomen door de Klant en Respondo.ai in dit Addendum. Indien een dergelijke sub-verwerker zijn verplichtingen onder een dergelijke overeenkomst niet nakomt, blijft Respondo.ai volledig aansprakelijk jegens de Klant voor de uitvoering van de Overeenkomst.

Respondo.ai zal de Klant informeren over eventuele voorgenomen wijzigingen met betrekking tot de inschakeling van nieuwe sub-verwerkers, door middel van een schriftelijke kennisgeving of een kennisgeving binnen de Dienst. De Klant heeft dan vijf (5) kalenderdagen om schriftelijk bezwaar te maken tegen de voorgenomen inschakeling door Respondo.ai. Indien de Klant bezwaar maakt, komen de partijen overeen in goed vertrouwen besprekingen te voeren om de kwestie op te lossen. Als de partijen geen overeenstemming bereiken, is Respondo.ai gerechtigd de betreffende sub-verwerker in te schakelen en heeft de Klant het recht om de Overeenkomst te beëindigen op de datum waarop de nieuwe sub-verwerker wordt ingeschakeld. Indien de Klant niet binnen de termijn van vijf dagen bezwaar maakt, wordt de Klant geacht akkoord te gaan met de inschakeling van de nieuwe sub-verwerker. De goedgekeurde sub-verwerkers bij aanvang van de Overeenkomst zijn opgenomen in de onderstaande tabel.

8. Assistentie

Respondo.ai zal, voor zover dit binnen zijn controle ligt, assistentie verlenen aan de Klant om bij te dragen aan de wettelijke verplichtingen van de Klant binnen het kader van de Dienst. Dit betreft de verlening van assistentie bij het voldoen aan de verplichtingen onder artikelen 32 tot 36 AVG, zoals de verlening van assistentie bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA). Respondo.ai kan redelijke kosten in rekening brengen voor het verlenen van deze assistentie aan de Klant.

9. Rechten van betrokkenen

In het geval een betrokkene een verzoek, klacht of vraag indient om zijn of haar wettelijke rechten uit te oefenen onder de artikelen 15 tot 22 AVG bij Respondo.ai, zal Respondo.ai een dergelijk verzoek, klacht of vraag binnen veertien (14) dagen na ontvangst doorsturen naar de Klant. Respondo.ai kan de betrokkene informeren over deze doorzending. De Klant zal vervolgens het verzoek, de klacht of vraag zelfstandig verder afhandelen.

Indien nodig en op verzoek van de Klant, zal Respondo.ai de Klant assisteren bij de afhandeling van een verzoek voor zover mogelijk en redelijk, rekening houdend met de aard van de verwerking. Respondo.ai kan redelijke kosten in rekening brengen bij de Klant voor het verlenen van dergelijke assistentie.

10. Inbreuk in verband met persoonsgegevens

In het geval van een inbreuk in verband met persoonsgegevens, in de zin van artikel 33 AVG, zal Respondo.ai de Klant hiervan zonder onnodige vertraging op de hoogte stellen. Respondo.ai zal redelijke inspanningen leveren om ervoor te zorgen dat de verstrekte informatie volledig, correct en nauwkeurig is. Indien vereist door de toepasselijke wetgeving inzake gegevensbescherming, zal Respondo.ai meewerken aan het informeren van de relevante verwerkingsverantwoordelijke, betrokkenen en/of toezichthoudende autoriteiten. De Klant bepaalt of deze partijen moeten worden geïnformeerd en blijft verantwoordelijk voor eventuele wettelijke meldingsverplichtingen in dit verband.

Naast het feit dat er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, zal Respondo.ai op eerste verzoek van de Klant details verstrekken, indien beschikbaar, met betrekking tot: (a) de datum waarop de gegevensinbreuk heeft plaatsgevonden (indien de exacte datum niet bekend is: de periode waarin de gegevensinbreuk heeft plaatsgevonden), (b) de (vermoedelijke) oorzaak van de inbreuk, (c) het contactpunt waar meer informatie kan worden verkregen, (d) de categorieën van betrokken persoonsgegevens, (e) de categorieën van betrokkenen; (f) het geschatte aantal betrokkenen en aantal betrokken persoonsgegevens, (g) de (huidige bekende en/of verwachte) gevolgen ervan, (h) de (voorgestelde) oplossing, (i) de maatregelen die reeds door Respondo.ai zijn genomen.

11. Teruggave of vernietiging van persoonlijke gegevens

Zodra de Overeenkomst om welke reden dan ook is beëindigd, zal Respondo.ai alle persoonlijke gegevens in zijn bezit en eventuele kopieën daarvan binnen zes (6) maanden na beëindiging van de Overeenkomst verwijderen en/of vernietigen. In geval de Overeenkomst wordt beëindigd wegens negentig (90) dagen wanbetaling, zal Respondo.ai alle persoonlijke gegevens in zijn bezit en eventuele kopieën daarvan binnen drie (3) maanden na beëindiging van de Overeenkomst wegens wanbetaling verwijderen en/of vernietigen.

In het geval van beëindiging van functies en add-ons, zal Respondo.ai eerst een 'zachte' verwijdering van alle persoonlijke gegevens in zijn bezit en eventuele kopieën daarvan uitvoeren binnen drie (3) maanden na de aankondiging van de beëindiging van functies en add-ons. Drie (3) maanden daarna (zijnde zes (sic) maanden na de aankondiging van de beëindiging van functies en add-ons, zal Respondo.ai een 'harde' verwijdering uitvoeren en alle persoonlijke gegevens in zijn bezit en eventuele kopieën daarvan vernietigen.

De Klant is verantwoordelijk voor het ervoor zorgen dat hij tijdig kopieën of back-ups maakt van de persoonlijke gegevens die door Respondo.ai worden bewaard. Op verzoek en, waar passend, tegen redelijke betaling, kan Respondo.ai worden gevraagd hierbij te assisteren. Respondo.ai heeft recht op redelijke compensatie voor alle bovengenoemde werkzaamheden.

Bijlage 1 – Vooraf goedgekeurde sub-verwerkers

Respondo.ai Infrastructuur Sub-Verwerkers

• Amazon Web Services | Cloud Hosting | aws.amazon.com
• Bubble.io | Cloud Hosting | bubble.io
• n8n.io | Workflow Automation | n8n.io
• Postmarkapp.com | E-maillevering | postmarkapp.com

‍