Verwerkersovereenkomst

1. Onderwerp en duur

Het onderwerp van de verwerking is het leveren van het digitale WaiverKit-vrijwaringsplatform aan de Verwerkingsverantwoordelijke. De verwerking duurt zolang de Verwerkingsverantwoordelijke een actief account heeft, en gedurende een eventuele bewaartermijn na beëindiging zoals beschreven in Sectie 11.

2. Aard en doel van de verwerking

De Verwerker verwerkt persoonsgegevens uitsluitend om de WaiverKit-dienst te hosten, te leveren, te beveiligen en te ondersteunen: het verzamelen en opslaan van ondertekende vrijwaringen, het genereren van PDF-dossiers, het versturen van transactionele e-mails, het authenticeren van gebruikers, het verwerken van betalingen en het produceren van analyses namens de Verwerkingsverantwoordelijke.

3. Soorten persoonsgegevens en categorieën betrokkenen

De verwerkte persoonsgegevens kunnen omvatten:

• Identiteitsgegevens van ondertekenaars (naam, geboortedatum, adres, e-mail, telefoon)
• Handtekeningafbeeldingen en getypte handtekeningen
• Gegevens van wettelijke vertegenwoordigers bij minderjarige ondertekenaars
• Accountgegevens van zakelijke gebruikers (naam, e-mail, authenticatie-identificatoren, IP-adres)

Categorieën betrokkenen omvatten: deelnemers die vrijwaringen ondertekenen, wettelijke vertegenwoordigers van minderjarige deelnemers en werknemers of geautoriseerde gebruikers van de Verwerkingsverantwoordelijke.

4. Verplichtingen en rechten van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatigheid van het verzamelen en verwerken van persoonsgegevens, voor het verkrijgen van de benodigde toestemmingen van betrokkenen, voor de juistheid van de aan de Verwerker gegeven instructies en voor het waarborgen dat de door hem geconfigureerde vrijwaringssjablonen en werkstromen voldoen aan het toepasselijke recht. De Verwerkingsverantwoordelijke behoudt alle rechten op de persoonsgegevens en kan op elk moment gedocumenteerde instructies geven aan de Verwerker.

5. Subverwerkers

De Verwerkingsverantwoordelijke machtigt de Verwerker om de volgende subverwerkers in te zetten voor het leveren van de dienst:

• Clerk (authenticatie, sessiebeheer en gebruikersregister).
• Stripe (betalingsverwerking en abonnementsfacturering).
• Resend (bezorging van transactionele e-mail).
• Cloudflare R2 (objectopslag voor handtekeningafbeeldingen en PDF-artefacten).
• Vercel (applicatiehosting, edge-netwerk en request-routering).
• Neon (Postgres) (beheerde Postgres-databasehosting voor gestructureerde gegevens).

De Verwerker informeert de Verwerkingsverantwoordelijke over elke voorgenomen toevoeging of vervanging van subverwerkers, met een redelijke mogelijkheid om op legitieme gronden bezwaar te maken.

6. Beveiligingsmaatregelen

De Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen, waaronder:

• Versleuteling tijdens overdracht (TLS 1.2+) en in rust voor database en objectopslag
• Rolgebaseerde toegangscontroles en IAM volgens het least-privilege-principe in de hele infrastructuur
• Tenantisolatie afgedwongen op applicatie- en queryniveau
• Auditlogging van administratieve handelingen en toegang tot persoonsgegevens
• Regelmatige back-ups, geautomatiseerde scanning van afhankelijkheden en incidentresponsprocedures

7. Rechten van betrokkenen

Rekening houdend met de aard van de verwerking, ondersteunt de Verwerker de Verwerkingsverantwoordelijke door passende technische en organisatorische maatregelen bij het nakomen van de verplichting om te reageren op verzoeken van betrokkenen die hun rechten op inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar uitoefenen op grond van de artikelen 15 tot en met 22 AVG.

8. Melding van datalekken

De Verwerker informeert de Verwerkingsverantwoordelijke zonder onredelijke vertraging en in elk geval binnen 72 uur nadat hij kennis heeft gekregen van een inbreuk op de bescherming van persoonsgegevens die gevolgen heeft voor de gegevens van de Verwerkingsverantwoordelijke. De melding beschrijft de aard van de inbreuk, de waarschijnlijke gevolgen, de getroffen of voorgestelde maatregelen en een contactpunt voor nadere informatie.

9. Internationale doorgiften

Wanneer persoonsgegevens buiten de Europese Economische Ruimte, het Verenigd Koninkrijk of Zwitserland worden doorgegeven naar een land zonder adequaatheidsbesluit, worden dergelijke doorgiften beheerst door de Modelcontractbepalingen (SCC's) van de Europese Commissie en, waar van toepassing, het UK International Data Transfer Addendum en het Zwitserse addendum, samen met eventuele aanvullende maatregelen die voortvloeien uit de transfer impact assessment.

10. Auditrechten

De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die redelijkerwijs noodzakelijk is om naleving van deze DPA aan te tonen en staat audits toe en draagt eraan bij, waaronder inspecties uitgevoerd door de Verwerkingsverantwoordelijke of een door hem aangewezen auditor, behoudens redelijke geheimhoudingsverplichtingen en niet vaker dan eenmaal per kalenderjaar, behalve bij een gedocumenteerd beveiligingsincident of toezichthoudend verzoek.

11. Beëindiging, teruggave en verwijdering

Na beëindiging van de overeenkomst zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle namens de Verwerkingsverantwoordelijke verwerkte persoonsgegevens verwijderen of teruggeven en bestaande kopieën verwijderen, tenzij de toepasselijke wet voortzetting van de opslag vereist. Back-ups met persoonsgegevens worden verwijderd in het normale verloop van de back-upbewaarcyclus.