Artikel 1 — Partijen en rollen
Deze verwerkersovereenkomst wordt gesloten tussen:
- De klant, die als verwerkingsverantwoordelijke optreedt en bepaalt voor welke doeleinden en met welke middelen persoonsgegevens worden verwerkt; en
- UMW —
[statutaire naam], gevestigd te[straat en huisnummer], [postcode] [plaats], Nederland, KvK[KvK-nummer]— die als verwerker persoonsgegevens uitsluitend in opdracht van de klant verwerkt.
De begrippen uit deze DPA hebben de betekenis die de Algemene verordening gegevensbescherming (AVG) eraan geeft.
Artikel 2 — Onderwerp en duur
Deze DPA beschrijft de rechten en plichten van partijen bij de verwerking van persoonsgegevens die voortvloeit uit het gebruik van het UMW-platform. De DPA gaat in zodra de klant het platform in gebruik neemt en geldt zolang de onderliggende overeenkomst loopt. Bepalingen die naar hun aard bedoeld zijn om na het einde voort te duren — zoals vertrouwelijkheid en teruggave of verwijdering — blijven daarna van kracht.
Artikel 3 — Aard en doel van de verwerking
UMW verwerkt persoonsgegevens uitsluitend om de dienst te kunnen leveren: het beschikbaar stellen van de AI-risicoscan, het AI-register, documentgeneratie, e-learning, de vraagbaak, het compliance-dashboard en de bijbehorende account-, support- en beveiligingsfuncties. UMW verwerkt de gegevens niet voor eigen doeleinden.
Artikel 4 — Categorieën betrokkenen en persoonsgegevens
Welke gegevens precies worden verwerkt, hangt af van hoe de klant het platform gebruikt. In de regel gaat het om:
- Betrokkenen: medewerkers, beheerders en cursisten van de klant en eventuele contactpersonen.
- Persoonsgegevens: naam, zakelijk e-mailadres, rol en organisatie, inlog- en accountgegevens, e-learningvoortgang en resultaten, supportcommunicatie en technische gegevens zoals IP-adres en gebruiksgegevens.
UMW verwerkt geen bijzondere categorieën persoonsgegevens, tenzij de klant die zelf in het platform invoert. De klant is er dan voor verantwoordelijk dat hij daarvoor een grondslag heeft.
Artikel 5 — Instructies van de klant
UMW verwerkt persoonsgegevens uitsluitend op basis van de gedocumenteerde instructies van de klant, waaronder deze DPA en het gebruik van de standaardfunctionaliteit van het platform. UMW stelt de klant op de hoogte als een instructie naar haar oordeel in strijd is met de AVG of andere toepasselijke wetgeving, tenzij die kennisgeving wettelijk verboden is.
Artikel 6 — Vertrouwelijkheid
UMW houdt de persoonsgegevens vertrouwelijk. Personen die onder het gezag van UMW de gegevens verwerken, zijn tot geheimhouding verplicht en hebben alleen toegang voor zover dat voor hun taak nodig is.
Artikel 7 — Beveiligingsmaatregelen
UMW treft passende technische en organisatorische maatregelen om de persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking. Daarbij horen onder meer:
- versleuteling van verbindingen (TLS) en versleutelde opslag van wachtwoorden;
- toegangsbeheer op basis van rollen en het principe van minimale toegang;
- data-isolatie per organisatie via toegangsbeperking op rijniveau (multi-tenant met row level security);
- logging en monitoring voor het detecteren van misbruik;
- periodieke evaluatie en, waar nodig, bijstelling van de maatregelen.
Artikel 8 — Sub-verwerkers
De klant geeft UMW een algemene toestemming om bij de uitvoering van de dienst sub-verwerkers in te schakelen. UMW sluit met elke sub-verwerker een overeenkomst met ten minste dezelfde verplichtingen als in deze DPA. De actuele lijst van sub-verwerkers staat op de pagina sub-verwerkers. Bij vervanging of toevoeging van een sub-verwerker informeren we de klant vooraf, zodat hij desgewenst bezwaar kan maken op grond van gegevensbescherming.
Artikel 9 — Doorgifte buiten de EU
UMW verwerkt persoonsgegevens bij voorkeur binnen de Europese Unie. Voor de AI-functies maakt UMW gebruik van Anthropic, dat (deels) buiten de EU verwerkt. Voor die doorgifte hanteert UMW passende waarborgen, in het bijzonder de door de Europese Commissie vastgestelde modelcontractbepalingen (Standard Contractual Clauses, SCC’s), aangevuld met technische en organisatorische maatregelen. Zoals beschreven in de privacyverklaring worden er geen cursist- of medewerkergegevens naar het taalmodel gestuurd.
Artikel 10 — Bijstand bij rechten van betrokkenen
UMW helpt de klant, voor zover redelijkerwijs mogelijk en passend bij de aard van de verwerking, om te voldoen aan verzoeken van betrokkenen die hun rechten uitoefenen (inzage, correctie, verwijdering, beperking, bezwaar en dataportabiliteit). Krijgt UMW rechtstreeks zo’n verzoek, dan verwijst UMW de betrokkene naar de klant en behandelt het verzoek niet zelf, tenzij de klant daarom vraagt.
Artikel 11 — Datalekken
Wordt UMW bekend met een inbreuk in verband met persoonsgegevens (een datalek), dan informeert UMW de klant zonder onredelijke vertraging nadat zij daarvan kennis heeft genomen. UMW verstrekt de informatie die de klant nodig heeft om aan zijn eigen meldplicht jegens de toezichthouder en betrokkenen te voldoen, en ondersteunt waar redelijk bij het beperken van de gevolgen.
Artikel 12 — Bijstand bij verplichtingen van de klant
Rekening houdend met de aard van de verwerking en de UMW ter beschikking staande informatie, helpt UMW de klant bij het nakomen van zijn verplichtingen op het gebied van beveiliging, gegevensbeschermingseffectbeoordelingen (DPIA’s) en voorafgaande raadpleging van de toezichthouder.
Artikel 13 — Audits
UMW stelt de klant op verzoek de informatie ter beschikking die nodig is om de naleving van deze DPA aan te tonen, en werkt mee aan audits of inspecties. Een audit vindt plaats op redelijke voorwaarden, niet vaker dan eenmaal per jaar (behoudens een concrete aanleiding), na tijdige aankondiging en zonder de dienstverlening en de gegevens van andere klanten onnodig te verstoren. Waar mogelijk voldoet UMW aan een verzoek door het aanleveren van bestaande rapportages of verklaringen.
Artikel 14 — Teruggave en verwijdering van gegevens
De klant kan zijn gegevens tijdens de looptijd via het platform exporteren. Na beëindiging van de overeenkomst verwijdert of anonimiseert UMW de namens de klant verwerkte persoonsgegevens binnen 30 dagen, tenzij UMW wettelijk verplicht is de gegevens langer te bewaren. Op verzoek bevestigt UMW de verwijdering.
Artikel 15 — Aansprakelijkheid
Op de aansprakelijkheid onder deze DPA zijn de aansprakelijkheidsbepalingen uit de algemene voorwaarden van toepassing, voor zover de wet dat toestaat. Niets in deze DPA beperkt de rechten die betrokkenen op grond van de AVG hebben.
Artikel 16 — Slotbepalingen
Bij strijdigheid tussen deze DPA en de algemene voorwaarden gaat, voor zover het de verwerking van persoonsgegevens betreft, deze DPA voor. Op deze DPA is Nederlands recht van toepassing.
Er komt een ondertekenbare PDF-versie van deze verwerkersovereenkomst beschikbaar, zodat partijen de DPA desgewenst afzonderlijk kunnen ondertekenen. Tot die tijd geldt deze concepttekst als de van toepassing zijnde DPA.
Contact
Vragen over deze verwerkersovereenkomst? Neem contact met ons op via info@upgrademyworkflow.com of via onze contactpagina.