Verwerkersovereenkomst
Deze Verwerkersovereenkomst (“Overeenkomst”) vormt een integraal onderdeel van het gebruik van de diensten van FitJourney.ai BV (“Verwerker”) en beschrijft de rechten en verplichtingen met betrekking tot de verwerking van persoonsgegevens door de Verwerker namens haar klanten (“Verwerkingsverantwoordelijke”). Door gebruik te maken van de diensten van FitJourney.ai BV, stemt de Verwerkingsverantwoordelijke in met deze Overeenkomst.
Overwegingen
(A) De Verwerkingsverantwoordelijke treedt op als de verwerkingsverantwoordelijke en bepaalt de doeleinden en middelen van de verwerking van persoonsgegevens.
(B) De Verwerkingsverantwoordelijke wenst de Verwerker in te schakelen voor het leveren van bepaalde diensten, die de verwerking van persoonsgegevens omvatten zoals beschreven in de Hoofdovereenkomst.
(C) De Verwerker stemt ermee in om persoonsgegevens namens de Verwerkingsverantwoordelijke te verwerken in overeenstemming met de voorwaarden van deze Overeenkomst en de toepasselijke wetgeving inzake gegevensbescherming, waaronder Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming of AVG).
(D) De Partijen wensen hun respectieve rechten en verplichtingen met betrekking tot deze gegevensverwerking vast te leggen.
1. Definities en Interpretatie
1.1 Tenzij anders gedefinieerd, hebben de termen en uitdrukkingen in deze Overeenkomst de volgende betekenis:
- "Overeenkomst": Deze Verwerkersovereenkomst en alle bijlagen.
- "Persoonsgegevens van de Verwerkingsverantwoordelijke": Alle persoonsgegevens die door de Verwerker worden verwerkt namens de Verwerkingsverantwoordelijke in het kader van de Hoofdovereenkomst.
- "Wetgeving Gegevensbescherming": EU-wetgeving inzake gegevensbescherming en, voor zover van toepassing, de gegevensbeschermings- of privacywetgeving van andere landen.
- "AVG": Algemene Verordening Gegevensbescherming (EU) 2016/679.
- "Datalek": Een inbreuk op de beveiliging die leidt tot de onbedoelde of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens die zijn doorgegeven, opgeslagen of anderszins verwerkt.
- "Diensten": De diensten die door de Verwerker worden geleverd zoals beschreven in de Hoofdovereenkomst.
2. Onderwerp en Omvang van de Verwerking
2.1 De Verwerker zal:
- Persoonsgegevens uitsluitend verwerken op gedocumenteerde instructies van de Verwerkingsverantwoordelijke, inclusief met betrekking tot doorgiften van persoonsgegevens naar een derde land of een internationale organisatie, tenzij wettelijk vereist. In dat geval zal de Verwerker de Verwerkingsverantwoordelijke vooraf op de hoogte stellen, tenzij dat wettelijk verboden is.
- Zorgen dat personen die bevoegd zijn om persoonsgegevens te verwerken, zich hebben verplicht tot vertrouwelijkheid of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht.
2.2 De Verwerkingsverantwoordelijke instrueert de Verwerker om persoonsgegevens te verwerken voor de doeleinden zoals uiteengezet in de Hoofdovereenkomst.
3. Beveiliging
3.1 De Verwerker zal passende technische en organisatorische maatregelen treffen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, waaronder, indien van toepassing:
- Pseudonimisering en versleuteling van persoonsgegevens.
- Het waarborgen van de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten.
- Het tijdig herstellen van beschikbaarheid en toegang tot persoonsgegevens bij een fysiek of technisch incident.
- Regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen.
3.2 Twee-factor-authenticatie (2FA):
De Verwerker biedt klanten de mogelijkheid om tweefactorauthenticatie (2FA) in te stellen om ongeautoriseerde toegang tot persoonsgegevens te voorkomen. Deze optie kan door de Verwerkingsverantwoordelijke worden geconfigureerd via de instellingen van de geleverde diensten.
4. Subverwerkers
4.1 De Verwerker zal geen andere verwerkers (Subverwerkers) inschakelen zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.
4.2 De Verwerkingsverantwoordelijke geeft toestemming voor de volgende Subverwerkers:
| Naam | Land | Dienst |
|---|---|---|
| Amazon Web Services | Duitsland | Opslag van gebruikersgegevens |
| Render | Duitsland | Serverinfrastructuur en database |
| Datadog | EU | Applicatiemonitoring en logbeheer |
| OpenAI | EU | AI-verwerking via Enterprise API |
| RubyRoid Labs | Polen | Softwareontwikkeling en engineering |
4.3 De Verwerker zal ervoor zorgen dat elke Subverwerker onderworpen is aan gelijkwaardige verplichtingen inzake gegevensbescherming als uiteengezet in deze Overeenkomst.
4.4 De Verwerkingsverantwoordelijke heeft het recht om nieuwe Subverwerkers binnen 30 dagen na kennisgeving te weigeren.
5. Rechten van Betrokkenen
5.1 De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen bij het voldoen aan verplichtingen om verzoeken van betrokkenen in te willigen, zoals inzage, correctie of verwijdering van persoonsgegevens.
5.2 De Verwerker zal de Verwerkingsverantwoordelijke onverwijld op de hoogte stellen indien een verzoek van een betrokkene wordt ontvangen.
5.3 De Verwerker stelt tools en middelen beschikbaar om verzoeken van betrokkenen efficiënt af te handelen.
6. Datalekken
6.1 De Verwerker zal de Verwerkingsverantwoordelijke onverwijld op de hoogte stellen van een datalek dat persoonsgegevens betreft.
6.2 De melding zal ten minste bevatten:
- De aard van het datalek, inclusief de categorieën en het geschatte aantal betrokkenen en gegevens.
- Contactgegevens van de functionaris gegevensbescherming of een ander relevant aanspreekpunt.
- De waarschijnlijke gevolgen van het datalek.
- De genomen of voorgestelde maatregelen om de gevolgen te beperken.
6.3 De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen bij het melden van het datalek aan de toezichthoudende autoriteiten en betrokkenen, indien vereist.
7. Teruggave of Verwijdering van Gegevens
7.1 Bij beëindiging of afloop van de Hoofdovereenkomst zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens teruggeven of verwijderen, tenzij wetgeving vereist dat de gegevens worden bewaard.
7.2 De Verwerker zal schriftelijke bevestiging van deze verwijdering verstrekken op verzoek van de Verwerkingsverantwoordelijke.
7.3 De Verwerkingsverantwoordelijke heeft het recht om een audit uit te voeren om te bevestigen dat gegevens correct zijn verwijderd.
8. Toepasselijk recht en Bevoegde Rechtbank
8.1 Deze Overeenkomst wordt beheerst door Nederlands recht.
8.2 Geschillen in verband met deze Overeenkomst zullen exclusief worden voorgelegd aan de rechtbanken van Amsterdam, Nederland.
9. Acceptatie van de Overeenkomst
Door gebruik te maken van de diensten van FitJourney.ai BV, gaat de Verwerkingsverantwoordelijke akkoord met de voorwaarden van deze Verwerkersovereenkomst, inclusief de verantwoordelijkheden, verplichtingen en verwerkingspraktijken zoals beschreven.