Deze Verwerkersovereenkomst ("DPA") maakt deel uit van de Algemene Voorwaarden tussen u ("Verwerkingsverantwoordelijke") en VantarGroup LLC ("Verwerker") en regelt de verwerking van persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).

1. Partijen en reikwijdte

Deze DPA is van toepassing wanneer de Verwerkingsverantwoordelijke Matproof-diensten gebruikt om persoonsgegevens te verwerken. De Verwerker stemt ermee in persoonsgegevens uitsluitend te verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke.

2. Onderwerp en duur

Het onderwerp van de gegevensverwerking is de levering van het Matproof compliance-automatiseringsplatform. De duur komt overeen met de looptijd van de dienstverleningsovereenkomst.

3. Aard en categorieën van gegevens

Soorten persoonsgegevens die worden verwerkt:

Werknemersgegevens (namen, e-mailadressen, functietitels)
Gebruikersaccountgegevens
Compliance- en auditdocumentatie
Communicatiegegevens

Categorieën van betrokkenen: werknemers, opdrachtnemers en geautoriseerde gebruikers van de Verwerkingsverantwoordelijke.

4. Verplichtingen van de Verwerker (Art. 28 AVG)

De Verwerker zal:

Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke
Ervoor zorgen dat personen die bevoegd zijn om gegevens te verwerken gebonden zijn aan geheimhouding
Passende technische en organisatorische beveiligingsmaatregelen implementeren
Subverwerkers alleen inschakelen met voorafgaande schriftelijke toestemming
De Verwerkingsverantwoordelijke bijstaan bij het vervullen van verzoeken van betrokkenen
Bijstaan bij meldingen van beveiligingsinbreuken en effectbeoordelingen
Persoonsgegevens verwijderen of retourneren bij beëindiging van de diensten
Alle informatie beschikbaar stellen die nodig is om naleving aan te tonen

5. Technische en organisatorische maatregelen

De Verwerker implementeert de volgende beveiligingsmaatregelen:

Versleuteling van gegevens in rust en tijdens overdracht (AES-256, TLS 1.3)
Toegangscontroles en authenticatie (MFA, RBAC)
Regelmatige beveiligingsbeoordelingen en penetratietesten
Incidentrespons en bedrijfscontinuïteitsprocedures
EU-gegevensresidentie (alle gegevens opgeslagen in Duitse datacenters)
ISO 27001-conforme beveiligingscontroles en jaarlijkse penetratietests

6. Subverwerkers

De Verwerkingsverantwoordelijke machtigt de Verwerker om de volgende subverwerkers in te schakelen:

Neon (PostgreSQL-hosting - EU)
Upstash (Redis-caching - EU)
AWS (Bestandsopslag - EU-regio)
Resend (E-mailbezorging - EU)

De Verwerker zal de Verwerkingsverantwoordelijke informeren over eventuele wijzigingen in subverwerkers met ten minste 30 dagen voorafgaande kennisgeving. De Verwerkingsverantwoordelijke kan bezwaar maken tegen nieuwe subverwerkers.

7. Rechten van betrokkenen

De Verwerker zal de Verwerkingsverantwoordelijke bijstaan bij het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar) binnen 72 uur na ontvangst van dergelijke verzoeken.

8. Melding van inbreuk op persoonsgegevens

De Verwerker zal de Verwerkingsverantwoordelijke onverwijld (binnen 24 uur) op de hoogte stellen nadat hij kennis heeft gekregen van een inbreuk op persoonsgegevens die van invloed is op de gegevens van de Verwerkingsverantwoordelijke.

9. Auditrechten

De Verwerkingsverantwoordelijke mag de naleving van deze DPA door de Verwerker eenmaal per jaar auditen na redelijke kennisgeving. Het SOC 2 Type II-rapport van de Verwerker kan aan deze vereiste voldoen.

10. Verwijdering of retournering van gegevens

Bij beëindiging van de diensten zal de Verwerker alle persoonsgegevens binnen 30 dagen verwijderen of aan de Verwerkingsverantwoordelijke retourneren, tenzij Unierecht of nationaal recht van een lidstaat verdere opslag vereist. Het formaat van de retournering (bijv. JSON-export, CSV) wordt door de Verwerkingsverantwoordelijke in zijn verzoek vermeld; bij gebreke daarvan geldt het door de Verwerker aangeboden standaardformaat. Back-upkopieën worden in het kader van de reguliere back-upcyclus overschreven (uiterlijk na 90 dagen).

11. Internationale doorgiften (doorgiften naar derde landen)

Voor zover de Verwerker subverwerkers inzet die gevestigd zijn of gegevens verwerken buiten de EU/EER (in het bijzonder VS, Verenigd Koninkrijk en EU-dochters van Amerikaanse moederconcerns), baseert hij de doorgifte op de volgende waarborgen op grond van Art. 44 e.v. AVG: (a) voor het Verenigd Koninkrijk op het adequaatheidsbesluit van de EU van 28 juni 2021; (b) voor de VS en andere derde landen op de Standaardcontractbepalingen van de EU (Uitvoeringsbesluit 2021/914, Module 2 respectievelijk 3, afhankelijk van de situatie); (c) aanvullend op aanvullende technische en organisatorische maatregelen, waaronder versleuteling tijdens verzending en opslag, pseudonimisering waar mogelijk, zero-data-retention-afspraken met AI-aanbieders alsmede contractuele doelbinding. De Verwerker voert voor elke subverwerker in een derde land een Transfer Impact Assessment (TIA) uit, die op verzoek in passend samengevatte vorm ter beschikking wordt gesteld.

12. Aansprakelijkheid

De aansprakelijkheid van de partijen uit hoofde van of in verband met deze verwerkersovereenkomst wordt beheerst door de bepalingen van de hoofdovereenkomst tussen de Verwerkingsverantwoordelijke en de Verwerker. Aanvullend geldt: schadeclaims tussen de partijen wegens schendingen van deze verwerkersovereenkomst blijven door een eventuele aansprakelijkheidsbeperking in de hoofdovereenkomst slechts onverlet voor zover dit op grond van Art. 82 AVG en overig dwingend recht is toegestaan. In de externe verhouding tegenover betrokkenen is elke partij zelfstandig aansprakelijk op grond van Art. 82 AVG; in de interne verhouding dragen de partijen elk het aandeel dat overeenstemt met hun mate van schuld.

Vragen of DPA-verzoeken

Voor verzoeken om ondertekening van de DPA of vragen kunt u contact opnemen via:

E-mail: legal@matproof.com

Verwerkersovereenkomst (DPA)