Juridisch

Verwerkers­overeenkomst.

Afspraken over de verwerking van persoonsgegevens, conform artikel 28 AVG. Geldt als integraal onderdeel van iedere Hoofdovereenkomst met BDM.

Versie 1.0 Datum [in te vullen] KvK 99821915
Inhoud
  1. ·Partijen & overwegingen
  2. i.Definities
  3. ii.Onderwerp en duur
  4. iii.Verplichtingen BDM
  5. iv.Beveiligingsmaatregelen
  6. v.AI & geautomatiseerde verwerking
  7. vi.Sub-verwerkers
  8. vii.Datalekken
  9. viii.Audit
  10. ix.Einde verwerking
  11. x.Aansprakelijkheid
  12. xi.Slotbepalingen
  13. ·Bijlagen A & B

Partijen & overwegingen

Verwerkingsverantwoordelijke: de Opdrachtgever zoals gedefinieerd in de Hoofdovereenkomst, hierna: Verantwoordelijke.

Verwerker: Bright Digital Minds B.V., gevestigd te Bouwerij 81, 1185 XW Amstelveen, ingeschreven in het Handelsregister onder nummer 99821915, hierna: BDM.

Hierna gezamenlijk: 'Partijen'.

A. Partijen hebben een hoofdovereenkomst gesloten op grond waarvan BDM in opdracht van Verantwoordelijke AI-aangedreven klantenservice levert, waaronder telefonie-agents, e-mailagents en bijbehorende infrastructuur (de 'Hoofdovereenkomst');

B. Bij de uitvoering van de Hoofdovereenkomst verwerkt BDM Persoonsgegevens namens Verantwoordelijke;

C. Op grond van artikel 28 AVG dienen Partijen de afspraken omtrent deze verwerking schriftelijk vast te leggen in een verwerkersovereenkomst.

i.Definities

De begrippen in deze Verwerkersovereenkomst hebben dezelfde betekenis als in de AVG (Verordening (EU) 2016/679). Aanvullend geldt:

  • AVG: de Algemene Verordening Gegevensbescherming.
  • Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging, of ongeoorloofde verstrekking van of toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
  • Sub-verwerker: een door BDM ingeschakelde derde partij die in opdracht van BDM Persoonsgegevens verwerkt.

ii.Onderwerp en duur

2.1BDM verwerkt Persoonsgegevens uitsluitend in opdracht van en volgens schriftelijke instructies van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

2.2De aard, het doel, de categorieën van betrokkenen en de soorten Persoonsgegevens worden per Hoofdovereenkomst gespecificeerd in Bijlage A.

2.3Deze Verwerkersovereenkomst geldt voor de duur van de Hoofdovereenkomst en eindigt automatisch op het moment dat de Hoofdovereenkomst eindigt, onverminderd de bepalingen die naar hun aard van toepassing blijven (zoals geheimhouding en de afhandeling van Datalekken).

iii.Verplichtingen van BDM

3.1BDM verwerkt Persoonsgegevens uitsluitend voor de in Bijlage A omschreven doeleinden.

3.2BDM zorgt ervoor dat personen die onder haar gezag Persoonsgegevens verwerken een geheimhoudingsverplichting hebben, hetzij wettelijk hetzij contractueel.

3.3BDM verleent Verantwoordelijke alle redelijke medewerking bij:

  • Het beantwoorden van verzoeken van betrokkenen tot uitoefening van hun rechten (inzage, rectificatie, verwijdering, beperking, dataportabiliteit, bezwaar);
  • Het uitvoeren van een Data Protection Impact Assessment (DPIA);
  • Voorafgaande raadpleging van de Autoriteit Persoonsgegevens indien nodig;
  • Het naleven van de meldplicht bij Datalekken.

iv.Beveiligingsmaatregelen

4.1BDM treft passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking, conform artikel 32 AVG.

4.2Deze maatregelen omvatten in elk geval:

  • Versleuteling van Persoonsgegevens tijdens transport (TLS 1.2 of hoger) en in rust (AES-256 of gelijkwaardig);
  • Toegangsbeheer op basis van het need-to-know principe, met sterke wachtwoorden en waar beschikbaar multifactor-authenticatie voor administratieve toegang;
  • Logging en monitoring van toegang tot productieomgevingen;
  • Periodieke beveiligings- en herstelprocedures, waaronder back-upbeleid;
  • Gescheiden ontwikkel-, test- en productieomgevingen;
  • Beleid en procedures voor incidentafhandeling en business continuity;
  • Een vastgelegd beleid voor het minimaal verzamelen en bewaren van data.

4.3BDM kan haar beveiligingsmaatregelen aanpassen indien dit gelet op de stand van de techniek noodzakelijk is, zonder dat het beveiligingsniveau wordt verlaagd.

v.AI en geautomatiseerde verwerking

5.1Verantwoordelijke erkent dat BDM bij de uitvoering van de Hoofdovereenkomst gebruik maakt van large language models (LLM) en aanverwante AI-technologieën, zoals geleverd door derden.

5.2BDM zorgt ervoor dat:

  • De ingeschakelde LLM-providers contractueel garanderen dat Persoonsgegevens niet worden gebruikt voor het trainen of verbeteren van hun modellen;
  • Voor zover gegevensoverdracht naar landen buiten de EER plaatsvindt, dit gebeurt op basis van een geldig overdrachtsmechanisme (zoals het EU-US Data Privacy Framework, Standard Contractual Clauses of een adequaatheidsbesluit);
  • Persoonsgegevens waar mogelijk worden geredacteerd of gepseudonimiseerd voordat ze aan een LLM worden voorgelegd, met name persoonlijke identificatoren in audio-opnames en transcripten.

5.3BDM zorgt voor een passende balans tussen geautomatiseerde verwerking en menselijke escalatie. Geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare significante effecten in de zin van artikel 22 AVG vindt niet plaats zonder uitdrukkelijke instructie van Verantwoordelijke en zonder dat een menselijke escalatieroute beschikbaar is.

5.4Telefoongesprekken worden bij aanvang transparant gemeld aan de betrokkene als geautomatiseerd. Verantwoordelijke is en blijft verantwoordelijk voor de juiste informatie aan betrokkenen conform artikel 13/14 AVG.

vi.Sub-verwerkers

6.1Verantwoordelijke verleent BDM een algemene toestemming om gebruik te maken van Sub-verwerkers, mits:

  • BDM Verantwoordelijke informeert over voorgenomen wijzigingen in de Sub-verwerkers en daarbij een redelijke termijn (minimaal 30 dagen) in acht neemt waarbinnen Verantwoordelijke bezwaar kan maken;
  • BDM met elke Sub-verwerker een schriftelijke overeenkomst sluit waarin tenminste dezelfde verplichtingen worden opgelegd als in deze Verwerkersovereenkomst aan BDM zijn opgelegd;
  • BDM volledig aansprakelijk blijft jegens Verantwoordelijke voor het handelen of nalaten van haar Sub-verwerkers.

6.2De voor de Hoofdovereenkomst ingezette Sub-verwerkers worden bij aanvang van de Overeenkomst aan Verantwoordelijke verstrekt en opgenomen in Bijlage B. Een actuele lijst is op verzoek opvraagbaar via info@brightdigitalminds.com.

6.3Indien Verantwoordelijke gerechtvaardigd bezwaar maakt tegen een nieuwe Sub-verwerker, treden Partijen in overleg. Indien Partijen geen overeenstemming bereiken, kan Verantwoordelijke de Hoofdovereenkomst opzeggen.

vii.Datalekken

7.1BDM meldt een Datalek onverwijld nadat zij daarvan kennis heeft genomen, en uiterlijk binnen tweeënzeventig (72) uur na constatering, aan Verantwoordelijke. De melding bevat tenminste:

  • De aard van het Datalek, inclusief de categorieën en geschatte aantallen betrokkenen en records;
  • De waarschijnlijke gevolgen van het Datalek;
  • De getroffen of voorgestelde maatregelen om de gevolgen te beperken;
  • De naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt.

7.2BDM ondersteunt Verantwoordelijke bij het beoordelen of een melding aan de Autoriteit Persoonsgegevens en/of betrokkenen vereist is. De uiteindelijke melding aan de toezichthouder en/of betrokkenen geschiedt door Verantwoordelijke.

viii.Audit

8.1Verantwoordelijke is gerechtigd om maximaal eenmaal per kalenderjaar een audit te (doen) verrichten op de naleving van deze Verwerkersovereenkomst, op eigen kosten, met een redelijke aankondigingstermijn van minimaal vier (4) weken.

8.2BDM werkt mee aan deze audit voor zover redelijk en zonder dat de bedrijfsvoering of de vertrouwelijkheid jegens andere klanten in gevaar komt.

8.3In plaats van een eigen audit kan Verantwoordelijke genoegen nemen met een door een onafhankelijke partij opgesteld auditrapport (bijvoorbeeld ISO 27001, SOC 2 of een vergelijkbaar rapport).

ix.Einde verwerking

9.1Na beëindiging van de Hoofdovereenkomst zal BDM, naar keuze van Verantwoordelijke, alle Persoonsgegevens vernietigen of teruggeven aan Verantwoordelijke, behoudens enige wettelijke bewaarplicht.

9.2BDM bevestigt schriftelijk dat zij aan de verplichtingen onder dit artikel heeft voldaan.

9.3In het kader van de Transfer-fase als bedoeld in de algemene voorwaarden van BDM kan Verantwoordelijke ervoor kiezen dat de Persoonsgegevens worden overgedragen aan een opvolgende verwerker. BDM werkt daaraan mee.

x.Aansprakelijkheid

10.1De aansprakelijkheid van Partijen onder deze Verwerkersovereenkomst is geregeld in de Hoofdovereenkomst en de daarbij behorende algemene voorwaarden, onverminderd dwingendrechtelijke bepalingen uit de AVG.

xi.Slotbepalingen

11.1Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

11.2In geval van strijdigheid tussen deze Verwerkersovereenkomst en de Hoofdovereenkomst, prevaleert deze Verwerkersovereenkomst voor zover het de verwerking van Persoonsgegevens betreft.

11.3Wijzigingen in deze Verwerkersovereenkomst zijn slechts geldig indien schriftelijk overeengekomen door beide Partijen.

Bijlagen A & B

Bijlage A (specificatie van de verwerkingen) en Bijlage B (sub-verwerkers) worden per Hoofdovereenkomst opgesteld op basis van de daadwerkelijk overeengekomen scope, ingezette tools en aangeleverde data.

Bijlage A — Specificatie verwerkingen

Wordt per Hoofdovereenkomst ingevuld. Bevat onder andere het doel van de verwerking, de categorieën betrokkenen, de soorten persoonsgegevens, de bewaartermijnen en de locatie van verwerking.

Bijlage B — Sub-verwerkers

De voor de Hoofdovereenkomst ingezette Sub-verwerkers worden per opdracht aan Verantwoordelijke verstrekt, met vermelding van doel, locatie en overdrachtsmechanisme.

Een actuele lijst is op verzoek opvraagbaar via info@brightdigitalminds.com. Wijzigingen worden minimaal 30 dagen vooraf aan Verantwoordelijke gemeld.