Deze Verwerkersovereenkomst ("DPA") maakt deel uit van de Algemene Voorwaarden tussen u ("Verwerkingsverantwoordelijke") en VantarGroup LLC ("Verwerker") en regelt de verwerking van persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).

1. Partijen en reikwijdte

Deze DPA is van toepassing wanneer de Verwerkingsverantwoordelijke Matproof-diensten gebruikt om persoonsgegevens te verwerken. De Verwerker stemt ermee in persoonsgegevens uitsluitend te verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke.

2. Onderwerp en duur

Het onderwerp van de gegevensverwerking is de levering van het Matproof compliance-automatiseringsplatform. De duur komt overeen met de looptijd van de dienstverleningsovereenkomst.

3. Aard en categorieën van gegevens

Soorten persoonsgegevens die worden verwerkt:

Werknemersgegevens (namen, e-mailadressen, functietitels)
Gebruikersaccountgegevens
Compliance- en auditdocumentatie
Communicatiegegevens

Categorieën van betrokkenen: werknemers, opdrachtnemers en geautoriseerde gebruikers van de Verwerkingsverantwoordelijke.

4. Verplichtingen van de Verwerker (Art. 28 AVG)

De Verwerker zal:

Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke
Ervoor zorgen dat personen die bevoegd zijn om gegevens te verwerken gebonden zijn aan geheimhouding
Passende technische en organisatorische beveiligingsmaatregelen implementeren
Subverwerkers alleen inschakelen met voorafgaande schriftelijke toestemming
De Verwerkingsverantwoordelijke bijstaan bij het vervullen van verzoeken van betrokkenen
Bijstaan bij meldingen van beveiligingsinbreuken en effectbeoordelingen
Persoonsgegevens verwijderen of retourneren bij beëindiging van de diensten
Alle informatie beschikbaar stellen die nodig is om naleving aan te tonen

5. Technische en organisatorische maatregelen

De Verwerker implementeert de volgende beveiligingsmaatregelen:

Versleuteling van gegevens in rust en tijdens overdracht (AES-256, TLS 1.3)
Toegangscontroles en authenticatie (MFA, RBAC)
Regelmatige beveiligingsbeoordelingen en penetratietesten
Incidentrespons en bedrijfscontinuïteitsprocedures
EU-gegevensresidentie (alle gegevens opgeslagen in Duitse datacenters)
ISO 27001-conforme beveiligingscontroles en jaarlijkse penetratietests

6. Subverwerkers

De Verwerkingsverantwoordelijke machtigt de Verwerker om de volgende subverwerkers in te schakelen:

Neon (PostgreSQL-hosting - EU)
Upstash (Redis-caching - EU)
AWS (Bestandsopslag - EU-regio)
Resend (E-mailbezorging - EU)

De Verwerker zal de Verwerkingsverantwoordelijke informeren over eventuele wijzigingen in subverwerkers met ten minste 30 dagen voorafgaande kennisgeving. De Verwerkingsverantwoordelijke kan bezwaar maken tegen nieuwe subverwerkers.

7. Rechten van betrokkenen

De Verwerker zal de Verwerkingsverantwoordelijke bijstaan bij het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar) binnen 72 uur na ontvangst van dergelijke verzoeken.

8. Melding van inbreuk op persoonsgegevens

De Verwerker zal de Verwerkingsverantwoordelijke onverwijld (binnen 24 uur) op de hoogte stellen nadat hij kennis heeft gekregen van een inbreuk op persoonsgegevens die van invloed is op de gegevens van de Verwerkingsverantwoordelijke.

9. Auditrechten

De Verwerkingsverantwoordelijke mag de naleving van deze DPA door de Verwerker eenmaal per jaar auditen na redelijke kennisgeving. Het SOC 2 Type II-rapport van de Verwerker kan aan deze vereiste voldoen.

10. Verwijdering of retournering van gegevens

Bij beëindiging van de diensten zal de Verwerker alle persoonsgegevens verwijderen of retourneren aan de Verwerkingsverantwoordelijke binnen 30 dagen, tenzij EU-wetgeving verdere opslag vereist.

Vragen of DPA-verzoeken

Voor verzoeken om ondertekening van de DPA of vragen kunt u contact opnemen via:

E-mail: legal@matproof.com

Verwerkersovereenkomst (DPA)