1. Partijen en Toepassingsgebied
Deze Data Processing Agreement (“DPA”) maakt integraal deel uit van de overeenkomst tussen:
- BVR AI Ventures BV, handelend als verwerker van persoonsgegevens in het kader van de levering van de Incasso Sniper software-as-a-service (“Verwerker”);
- de Klant, zoals gespecificeerd in de hoofdovereenkomst of bestelbon (“Verwerkingsverantwoordelijke”).
Deze DPA regelt de verwerking van persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke in overeenstemming met artikel 28 GDPR.
2. Onderwerp van de Verwerking
Verwerker verwerkt persoonsgegevens in opdracht van Verwerkingsverantwoordelijke in het kader van:
- het aanbieden van de Incasso Sniper SaaS-dienst;
- het scannen, verwerken en structureren van debiteuren- en factuurdata;
- het genereren van conceptaanmaningen en herinneringscommunicatie.
De aard van de verwerkingen omvat onder meer verzameling, opslag, structurering, raadpleging, analyse en beperkte pseudonimisering.
3. Duur
Deze DPA is van kracht zolang Verwerker persoonsgegevens verwerkt in opdracht van Verwerkingsverantwoordelijke in het kader van de hoofdovereenkomst. Bij beëindiging van de hoofdovereenkomst eindigt deze DPA automatisch, met inachtneming van de bepalingen inzake verwijdering en teruggave van gegevens.
4. Verplichtingen van de Verwerker
Verwerker verbindt zich ertoe persoonsgegevens uitsluitend te verwerken op basis van gedocumenteerde instructies van Verwerkingsverantwoordelijke, waaronder de instructies die voortvloeien uit het normale gebruik van Incasso Sniper.
Verwerker zorgt voor passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, inclusief maar niet beperkt tot toegangsbeheer, encryptie in transit, logging en monitoring.
Verwerker waarborgt dat personen die onder zijn gezag handelen en toegang hebben tot persoonsgegevens, vertrouwelijk met deze gegevens omgaan en een passende geheimhoudingsverplichting hebben ondertekend.
5. Subverwerkers
Verwerker mag bij de uitvoering van de Dienst gebruikmaken van subverwerkers, zoals hosting- en infrastructuurproviders (waaronder Supabase) en leveranciers van AI-modellen, mits:
- met deze subverwerkers schriftelijke verwerkersovereenkomsten zijn gesloten;
- deze subverwerkers ten minste hetzelfde beveiligingsniveau garanderen;
- Verwerkingsverantwoordelijke op verzoek informatie ontvangt over de actuele lijst van subverwerkers.
6. Locatie van Verwerking
Verwerker verwerkt persoonsgegevens in principe uitsluitend binnen de Europese Economische Ruimte (EER). Productiegegevens van Incasso Sniper worden opgeslagen in datacenters in Frankfurt, Duitsland (Supabase Europe).
Indien gegevensverwerking buiten de EER noodzakelijk wordt, zal Verwerker uitsluitend gebruikmaken van mechanismen die door de GDPR zijn toegestaan (zoals Standard Contractual Clauses), en Verwerkingsverantwoordelijke hierover tijdig informeren.
7. Assistentie aan Verwerkingsverantwoordelijke
Verwerker zal, voor zover redelijk en binnen de grenzen van de Dienst, Verwerkingsverantwoordelijke bijstaan bij:
- het beantwoorden van verzoeken van betrokkenen;
- het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA);
- het melden en documenteren van inbreuken in verband met persoonsgegevens (data breaches).
8. Datalekken
Verwerker zal Verwerkingsverantwoordelijke zonder onredelijke vertraging informeren zodra hij kennis neemt van een inbreuk in verband met persoonsgegevens die betrekking heeft op Incasso Sniper. De melding zal voor zover mogelijk informatie bevatten over de aard van de inbreuk, de (mogelijke) gevolgen en de getroffen of voorgestelde maatregelen.
9. Teruggave en Verwijdering van Gegevens
Bij beëindiging van de hoofdovereenkomst zal Verwerker, op schriftelijk verzoek van Verwerkingsverantwoordelijke en binnen een redelijke termijn:
- een export van de relevante gegevens beschikbaar stellen; en/of
- persoonsgegevens wissen of anonimiseren, behoudens voor zover bewaring wettelijk verplicht is of noodzakelijk is voor het aantonen van nakoming van verplichtingen van Verwerker.
10. Audits
Verwerkingsverantwoordelijke heeft het recht, maximaal éénmaal per jaar en bij een gegronde verdenking van een beveiligingsincident, een audit of inspectie uit te laten voeren bij Verwerker, gericht op naleving van deze DPA. Audits vinden plaats tijdens kantooruren, na redelijke voorafgaande kennisgeving en met minimale verstoring van de bedrijfsvoering.
11. Toepasselijk Recht
Op deze DPA is, net als op de hoofdovereenkomst, uitsluitend Belgisch recht van toepassing. Geschillen met betrekking tot deze DPA worden beslecht door de bevoegde rechtbanken, zoals bepaald in de Algemene Voorwaarden van BVR AI Ventures.