Verwerkersovereenkomst

1. Inleiding

Deze Verwerkersovereenkomst ("VO") wordt aangegaan tussen Quickfix AI ("Verwerker", "wij" of "ons") en jou ("Verwerkingsverantwoordelijke" of "Klant") en maakt deel uit van de Algemene Voorwaarden die het gebruik van onze Dienst regelen.

Deze VO weerspiegelt de overeenkomst van de partijen met betrekking tot de verwerking van Persoonsgegevens in overeenstemming met de vereisten van toepasselijke gegevensbeschermingswetten, waaronder de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG"), de UK AVG en de California Consumer Privacy Act ("CCPA").

2. Definities

Voor de doeleinden van deze VO:

• "Persoonsgegevens" betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon die door Quickfix AI namens de Klant wordt verwerkt.
• "Verwerkingsverantwoordelijke" betekent de entiteit die de doeleinden en middelen van de verwerking van Persoonsgegevens bepaalt.
• "Verwerker" betekent de entiteit die Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.
• "Betrokkene" betekent de persoon op wie de Persoonsgegevens betrekking hebben.
• "Sub-verwerker" betekent een derde partij die door de Verwerker is ingeschakeld om Persoonsgegevens te verwerken.
• "Verwerking" betekent elke bewerking die wordt uitgevoerd op Persoonsgegevens, zoals verzameling, opslag, gebruik of openbaarmaking.

3. Reikwijdte en rollen

3.1 Rol van de Verwerker

Quickfix AI treedt op als Verwerker met betrekking tot Persoonsgegevens die aan de Dienst worden verstrekt. Jij, als Klant, treedt op als Verwerkingsverantwoordelijke en bent verantwoordelijk om ervoor te zorgen dat je een rechtmatige grondslag hebt voor de verwerking van Persoonsgegevens.

3.2 Verwerkingsactiviteiten

Wij verwerken Persoonsgegevens alleen voor zover nodig om de Dienst te leveren, waaronder:

• Verwerking van systeemdiagnostische gegevens om rapporten te genereren
• Leveren van AI-gestuurde analyses en aanbevelingen
• Tijdelijke opslag van diagnostische rapporten (24 uur)
• Detectie en preventie van fraude of misbruik

4. Gegevensverwerkingsprincipes

Wij verwerken Persoonsgegevens in overeenstemming met de volgende principes:

• Rechtmatigheid, behoorlijkheid en transparantie: Wij verwerken gegevens rechtmatig, behoorlijk en transparant.
• Doelbinding: Wij verwerken gegevens alleen voor de gespecificeerde, expliciete en legitieme doeleinden uiteengezet in deze VO en ons Privacybeleid.
• Gegevensminimalisatie: Wij verzamelen en verwerken alleen de gegevens die nodig zijn om de Dienst te leveren.
• Juistheid: Wij nemen redelijke stappen om ervoor te zorgen dat Persoonsgegevens juist en actueel zijn.
• Opslagbeperking: Wij bewaren Persoonsgegevens alleen zo lang als nodig (24 uur voor diagnostische rapporten).
• Integriteit en vertrouwelijkheid: Wij implementeren passende beveiligingsmaatregelen om Persoonsgegevens te beschermen.

5. Klantverantwoordelijkheden

Als Verwerkingsverantwoordelijke ben je verantwoordelijk voor:

• Zorgen dat je een rechtmatige grondslag hebt om Persoonsgegevens te verwerken en met ons te delen
• Naleving van alle toepasselijke gegevensbeschermingswetten
• Verstrekken van vereiste kennisgevingen aan Betrokkenen
• Zorgen voor de juistheid van Persoonsgegevens die aan de Dienst worden verstrekt
• Geen gevoelige persoonsgegevens verstrekken tenzij expliciet toegestaan

6. Verplichtingen van de Verwerker

Als Verwerker verplichten wij ons om:

• Persoonsgegevens alleen te verwerken op basis van jouw gedocumenteerde instructies
• Ervoor te zorgen dat personen die gemachtigd zijn om Persoonsgegevens te verwerken gebonden zijn aan vertrouwelijkheid
• Passende technische en organisatorische beveiligingsmaatregelen te implementeren
• Alleen Sub-verwerkers in te schakelen met passende waarborgen
• Je te helpen bij het reageren op verzoeken van Betrokkenen
• Persoonsgegevens te verwijderen bij beëindiging van diensten (automatisch na 24 uur)
• Informatie beschikbaar te stellen die nodig is om naleving aan te tonen

7. Beveiligingsmaatregelen

7.1 Technische maatregelen

Wij implementeren industriestandaard technische beveiligingsmaatregelen, waaronder:

• Encryptie van alle gegevens tijdens verzending met TLS
• Encryptie van gegevens in rust
• Veilige back-up- en noodherstelprocedures
• Toegangscontroles die toegang tot Persoonsgegevens beperken tot geautoriseerd personeel

7.2 Organisatorische maatregelen

Wij implementeren organisatorische beveiligingsmaatregelen, waaronder:

• Vertrouwelijkheidsovereenkomsten met medewerkers
• Incidentrespons- en datalekmelding procedures
• Beveiligingsbeoordelingen van leveranciers voor Sub-verwerkers

8. Sub-verwerkers

Je machtigt ons om de volgende categorieën Sub-verwerkers in te schakelen:

• Cloud-infrastructuurproviders: Voor hosting en opslag van gegevens
• AI-serviceproviders: Voor verwerking van diagnostische gegevens en genereren van aanbevelingen
• Analyseproviders: Voor geanonimiseerde gebruiksanalyses

Wij zorgen ervoor dat alle Sub-verwerkers gebonden zijn door schriftelijke overeenkomsten die gegevensbeschermingsverplichtingen opleggen die gelijkwaardig zijn aan die in deze VO.

9. Rechten van Betrokkenen

Wij helpen je bij het nakomen van je verplichtingen om te reageren op verzoeken van Betrokkenen, waaronder:

• Recht op inzage: Verstrekken van kopieën van Persoonsgegevens aan Betrokkenen
• Recht op rectificatie: Corrigeren van onjuiste Persoonsgegevens
• Recht op gegevenswissing: Verwijderen van Persoonsgegevens ("recht om vergeten te worden")
• Recht op beperking: Beperken van verwerking van Persoonsgegevens
• Recht op gegevensoverdraagbaarheid: Verstrekken van Persoonsgegevens in een gestructureerd, machineleesbaar formaat
• Recht van bezwaar: Bezwaar maken tegen bepaalde soorten verwerking

10. Melding van datalekken

In het geval van een datalek met betrekking tot Persoonsgegevens zullen wij:

• Je zonder onnodige vertraging informeren, en in ieder geval binnen 72 uur na kennisneming van het lek
• Je voldoende informatie verstrekken om je in staat te stellen aan eventuele meldingsplichten te voldoen
• Met je samenwerken en redelijke stappen nemen om het lek te verhelpen

11. Gegevensoverdrachten

Persoonsgegevens kunnen worden overgedragen naar en verwerkt in landen buiten de Europese Economische Ruimte (EER) of je land van verblijf. Wij zorgen ervoor dat dergelijke overdrachten voldoen aan toepasselijke gegevensbeschermingswetten.

Voor overdrachten van Persoonsgegevens vanuit de EER of het VK naar landen zonder adequaatheidsbesluit vertrouwen wij op passende waarborgen, waaronder:

• Standaard Contractuele Bepalingen (SCCs) goedgekeurd door de Europese Commissie
• Andere wettelijk goedgekeurde mechanismen

12. Gegevensbewaring en -verwijdering

Wij bewaren Persoonsgegevens zoals uiteengezet in ons Privacybeleid:

• Diagnostische rapporten: Automatisch verwijderd na 24 uur
• Geanonimiseerde benchmarkgegevens: Kunnen voor onbepaalde tijd worden bewaard (kunnen personen niet identificeren)

Op jouw verzoek zullen wij Persoonsgegevens onmiddellijk verwijderen. Je kunt verwijdering aanvragen door contact met ons op te nemen.

13. Duur en beëindiging

Deze VO blijft van kracht zolang wij Persoonsgegevens namens jou verwerken. Na beëindiging van de Dienst blijven de voorwaarden van deze VO van toepassing totdat alle Persoonsgegevens zijn verwijderd (automatisch na 24 uur).

14. Contactinformatie

Voor vragen over deze Verwerkersovereenkomst of om je rechten uit te oefenen, kun je contact met ons opnemen.