Deze Gegevensverwerkingsovereenkomst (“DPA”) maakt deel uit van de Algemene Voorwaarden en het Privacybeleid tussen DocuGenerate (“wij”, “ons” of “Verwerker”) en de klant (“Klant” of “Verwerkingsverantwoordelijke”) voor het gebruik van de documentgeneratiediensten van DocuGenerate (“Diensten”).
Deze DPA behandelt de vereisten van de Algemene Verordening Gegevensbescherming (AVG) van de EU en andere toepasselijke wetgeving inzake gegevensbescherming, voor zover DocuGenerate persoonsgegevens verwerkt namens de Klant.
1. Definities
Verwerkingsverantwoordelijke
De Klant die het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt.
Verwerker
DocuGenerate, die persoonsgegevens verwerkt namens en volgens de gedocumenteerde instructies van de Verwerkingsverantwoordelijke.
Betrokkene
Een geïdentificeerde of identificeerbare natuurlijke persoon van wie persoonsgegevens worden verwerkt.
Persoonsgegevens
Alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd onder de toepasselijke wetgeving inzake gegevensbescherming.
Verwerking
Elke bewerking die met persoonsgegevens wordt uitgevoerd, met inbegrip van verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, raadplegen, gebruiken, verstrekken door doorzending, verspreiden, beperken, wissen of vernietigen.
Subverwerker
Elke derde partij die door DocuGenerate wordt aangesteld om persoonsgegevens namens de Klant te verwerken.
2. Reikwijdte en Toepasselijkheid
2.1 Reikwijdte van de Verwerking
Deze DPA is van toepassing op de verwerking van persoonsgegevens door DocuGenerate bij het leveren van de Diensten, met inbegrip van:
- Het aanmaken en beheren van documentsjablonen
- Het genereren van documenten op basis van sjablonen met door de klant verstrekte data
- Opslag van gegenereerde documenten (indien van toepassing)
- Functies voor teamsamenwerking
- Beheer van klantaccounts
2.2 Instructies van de Verwerkingsverantwoordelijke
DocuGenerate verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Klant, met inbegrip van:
- Het gebruik van de Diensten door de Klant via de webapplicatie en de API
- Configuratie-instellingen gekozen door de Klant
- Data die door de Klant wordt verstrekt voor documentgeneratie
- Deze DPA en eventuele aanvullende schriftelijke instructies overeengekomen door beide partijen
3. Categorieën van Gegevens en Betrokkenen
3.1 Categorieën van Betrokkenen
De doorgegeven persoonsgegevens betreffen de volgende categorieën betrokkenen:
- Werknemers, contractanten en medewerkers van de Klant
- Klanten, cliënten en zakelijke contacten van de Klant
- Elke persoon van wie persoonsgegevens zijn opgenomen in documenten die met de Diensten zijn aangemaakt
3.2 Categorieën van Persoonsgegevens
De doorgegeven persoonsgegevens betreffen de volgende categorieën gegevens:
- Identiteitsgegevens (namen, functietitels, contactinformatie)
- Zakelijke contactinformatie (e-mailadressen, telefoonnummers, adressen)
- Financiële informatie (factuurgegevens, betalingsvoorwaarden)
- Arbeidsinformatie (arbeidsovereenkomsten, certificaten)
- Alle andere persoonsgegevens die zijn opgenomen in documentsjablonen of generatiedata
3.3 Bijzondere Categorieën van Persoonsgegevens
DocuGenerate verwerkt niet doelbewust bijzondere categorieën van persoonsgegevens. Mocht de Klant dergelijke gegevens verstrekken, dan is het de verantwoordelijkheid van de Klant om te zorgen voor een passende rechtsgrondslag en passende waarborgen.
4. Technische en Organisatorische Maatregelen
4.1 Beveiligingsmaatregelen
DocuGenerate implementeert passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, met inbegrip van:
- Versleuteling van persoonsgegevens tijdens verzending en in rust
- Regelmatige beveiligingsbeoordelingen en updates
- Toegangscontroles en authenticatiemechanismen
- Logging en monitoring van gegevenstoegang
- Procedures voor incidentrespons
4.2 Principes van Gegevensverwerking
- Gegevensminimalisatie: Alleen de persoonsgegevens die noodzakelijk zijn voor documentgeneratie worden verwerkt
- Tijdelijke Verwerking: Data die wordt gebruikt voor documentgeneratie wordt niet permanent opgeslagen en wordt alleen verwerkt gedurende de tijd die nodig is om de gevraagde documenten te genereren
- Doelbinding: Persoonsgegevens worden alleen verwerkt voor de specifieke doeleinden die in deze DPA zijn beschreven
- Opslagbeperking: Gegenereerde documenten worden alleen bewaard zolang de Klant dit wenst en kunnen op elk moment worden verwijderd
5. Locatie en Doorgifte van Gegevens
5.1 Verwerkingslocaties
Persoonsgegevens kunnen worden verwerkt in de volgende regio’s, zoals geselecteerd door de Klant:
- Europese Unie (Frankfurt, Duitsland)
- Verenigde Staten (San Francisco, Californië)
- Verenigd Koninkrijk (Londen)
- Australië (Sydney)
5.2 Internationale Doorgiften
Wanneer persoonsgegevens worden doorgegeven aan landen buiten de Europese Economische Ruimte, zorgt DocuGenerate voor passende bescherming door middel van:
- Verwerking in regio’s met adequaatheidsbesluiten van de Europese Commissie, waar van toepassing
- Implementatie van passende waarborgen in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming
- Controle door de Klant over de keuze van de verwerkingsregio
6. Subverwerkers
6.1 Geautoriseerde Subverwerkers
DocuGenerate kan de volgende categorieën subverwerkers inschakelen:
- Cloudinfrastructuurleveranciers: Voor hosting- en infrastructuurdiensten
- Communicatiediensten: Voor klantenondersteuning en meldingen
- Betalingsverwerkers: Voor het verwerken van abonnementsbetalingen
6.2 Huidige Subverwerkers
DocuGenerate maakt momenteel gebruik van de volgende subverwerkers:
- Google Cloud Platform: Cloudinfrastructuur- en hostingdiensten
- Intercom: Klantcommunicatie- en ondersteuningsdiensten
- Stripe: Betalingsverwerkingsdiensten
6.3 Verplichtingen van Subverwerkers
DocuGenerate zorgt ervoor dat elke subverwerker:
- Gebonden is aan verplichtingen inzake gegevensbescherming die gelijkwaardig zijn aan die in deze DPA
- Voldoende garanties biedt met betrekking tot technische en organisatorische beveiligingsmaatregelen
- Het DocuGenerate mogelijk maakt zijn verplichtingen onder deze DPA na te komen
7. Rechten van Betrokkenen
7.1 Ondersteuning bij Verzoeken van Betrokkenen
DocuGenerate helpt de Klant bij het beantwoorden van verzoeken van betrokkenen, met inbegrip van:
- Recht op inzage
- Recht op rectificatie
- Recht op wissing
- Recht op beperking van de verwerking
- Recht op overdraagbaarheid van gegevens
- Recht van bezwaar
7.2 Proces voor Verzoeken van Betrokkenen
Wanneer DocuGenerate rechtstreeks een verzoek van een betrokkene ontvangt, zullen wij:
- De Klant onverwijld op de hoogte stellen
- De betrokkene doorverwijzen om rechtstreeks contact op te nemen met de Klant
- De Klant redelijke ondersteuning bieden bij het beantwoorden van het verzoek
8. Bewaring en Verwijdering van Gegevens
8.1 Gegevensbewaring
- Sjabloongegevens: Persoonsgegevens in sjablonen worden bewaard totdat de Klant het sjabloon verwijdert
- Gegenereerde Documenten: Persoonsgegevens in gegenereerde documenten worden bewaard totdat de Klant het document verwijdert
- Verwerkingsgegevens: Persoonsgegevens die worden gebruikt voor documentgeneratie worden niet permanent opgeslagen en bestaan alleen tijdens de verwerkingsperiode
- Accountgegevens: Informatie over klantaccounts wordt bewaard in overeenstemming met ons Privacybeleid
8.2 Verwijdering van Gegevens
Op verzoek van de Klant of bij beëindiging van het contract, zal DocuGenerate:
- Alle persoonsgegevens in ons bezit verwijderen of teruggeven
- Bestaande kopieën verwijderen, tenzij bewaring vereist is door toepasselijk recht
- Op verzoek schriftelijke bevestiging van verwijdering verstrekken
9. Melding van Datalekken
9.1 Incidentrespons
In geval van een inbreuk in verband met persoonsgegevens zal DocuGenerate:
- De Klant zonder onnodige vertraging en binnen 72 uur na het bekend worden van het datalek op de hoogte stellen
- Alle beschikbare informatie over het datalek verstrekken
- Onmiddellijk stappen ondernemen om het datalek in te dammen en te verhelpen
- Meewerken aan de verplichtingen van de Klant met betrekking tot het melden van datalekken
9.2 Informatie over het Datalek
Meldingen van datalekken bevatten:
- Een beschrijving van de aard van het datalek
- Categorieën en het geschatte aantal betrokken betrokkenen
- Categorieën en het geschatte aantal betrokken persoonsgegevens
- De waarschijnlijke gevolgen van het datalek
- De genomen of voorgestelde maatregelen om het datalek aan te pakken
10. Audits en Naleving
10.1 Auditrechten
De Klant kan informatie opvragen over de naleving door DocuGenerate van deze DPA. DocuGenerate zal:
- Redelijke informatie verstrekken over onze praktijken op het gebied van gegevensbescherming via documentatie en rapporten
- Auditrapporten of certificeringen van derden beschikbaar stellen indien beschikbaar
- Externe audits of vragenlijsten toestaan, niet vaker dan eenmaal per kalenderjaar
- Meewerken aan regelgevende audits en onderzoeken zoals wettelijk vereist
10.2 Nalevingsdocumentatie
DocuGenerate houdt registers bij van:
- Categorieën van verwerkingsactiviteiten
- Technische en organisatorische maatregelen
- Overeenkomsten met subverwerkers
- Gegevensbeschermingseffectbeoordelingen, waar van toepassing
11. Aansprakelijkheid en Vrijwaring
11.1 Beperking van Aansprakelijkheid
De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de bepalingen inzake beperking van aansprakelijkheid in de Algemene Voorwaarden.
11.2 Verantwoordelijkheden van de Klant
De Klant is verantwoordelijk voor:
- Het waarborgen van een rechtmatige grondslag voor verwerking onder de toepasselijke wetgeving inzake gegevensbescherming
- Het verstrekken van nauwkeurige en volledige instructies voor gegevensverwerking
- Het implementeren van passende technische en organisatorische maatregelen aan hun kant
- Het naleven van meldings- en toestemmingsvereisten voor betrokkenen, waar van toepassing
12. Looptijd en Beëindiging
12.1 Looptijd
Deze DPA treedt in werking vanaf de datum waarop de Klant de Algemene Voorwaarden aanvaardt en blijft van kracht zolang DocuGenerate persoonsgegevens namens de Klant verwerkt.
12.2 Voortbestaan
De bepalingen van deze DPA met betrekking tot gegevensbescherming, vertrouwelijkheid en teruggave of verwijdering van persoonsgegevens blijven ook na beëindiging van de Diensten van kracht.
13. Wijzigingen in deze DPA
DocuGenerate kan deze DPA bijwerken om wijzigingen in toepasselijke wetgeving of onze gegevensverwerkingspraktijken te weerspiegelen. Wij zullen Klanten ten minste 30 dagen van tevoren op de hoogte stellen van materiële wijzigingen.
14. Toepasselijk Recht en Rechtsmacht
Deze DPA wordt beheerst door hetzelfde recht en dezelfde rechtsmacht als bepaald in de Algemene Voorwaarden, met dien verstande dat eventuele strijdigheden met toepasselijke wetgeving inzake gegevensbescherming worden opgelost in het voordeel van die wetgeving inzake gegevensbescherming.
15. Contactinformatie
Voor vragen over gegevensbescherming of als u een ondertekende DPA nodig heeft, kunt u contact met ons opnemen via:
Contact voor Gegevensbescherming
E-mail: support@docugenerate.com