Deze Verwerkersovereenkomst ("VO") maakt integraal deel uit van de overeenkomst tussen de Klant ("Verwerkingsverantwoordelijke") en 1Company, handelend onder de naam MailBelly ("Verwerker"), conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG/GDPR).
1. Definities
- Persoonsgegevens: alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon, verwerkt in het kader van de Dienst.
- Verwerking: elke bewerking van Persoonsgegevens, inclusief opslag, raadpleging, doorgifte en verwijdering.
- Sub-verwerker: een derde partij die door de Verwerker wordt ingeschakeld voor (een deel van) de Verwerking.
2. Onderwerp en duur
De Verwerker verwerkt Persoonsgegevens uitsluitend ten behoeve van het leveren van de MailBelly-dienst aan de Verwerkingsverantwoordelijke. De duur van deze VO loopt gelijk met de duur van het abonnement.
3. Aard en doel van de verwerking
| Categorie | Details |
|---|---|
| Type gegevens | E-mailberichten (inhoud, bijlagen, metadata), contactgegevens afzenders/ontvangers |
| Betrokkenen | Personen die e-mail sturen naar of ontvangen van de domeinen van de Klant |
| Doel | Ontvangst, opslag, weergave en (optioneel) AI-verwerking van e-mailberichten |
| Verwerking | Opslag in database, weergave in dashboard, AI-analyse voor conceptantwoorden, verzending van antwoorden |
4. Verplichtingen van de Verwerker
De Verwerker:
- Verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist.
- Zorgt ervoor dat personen die toegang hebben tot de Persoonsgegevens gebonden zijn aan geheimhouding.
- Treft passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat past bij het risico, waaronder:
- Versleuteling van gegevens in transit (TLS) en at rest
- Toegangsbeperking en authenticatie
- Regelmatige beveiligingsaudits
- Firewallbescherming en intrusion detection
- Schakelt geen andere Verwerker in zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke (zie artikel 6).
- Staat de Verwerkingsverantwoordelijke bij met verzoeken van betrokkenen (inzage, rectificatie, verwijdering, etc.).
- Verwijdert of retourneert alle Persoonsgegevens na beëindiging van de dienstverlening, naar keuze van de Verwerkingsverantwoordelijke, binnen 30 dagen.
- Stelt alle informatie beschikbaar die nodig is om de nakoming van deze VO aan te tonen en maakt audits mogelijk.
5. Meldplicht datalekken
De Verwerker informeert de Verwerkingsverantwoordelijke zonder onredelijke vertraging (en in ieder geval binnen 48 uur) na kennisname van een inbreuk in verband met Persoonsgegevens. De melding bevat ten minste:
- De aard van de inbreuk
- De categorieën en het geschatte aantal betrokkenen
- De waarschijnlijke gevolgen
- De genomen of voorgestelde maatregelen
6. Sub-verwerkers
De Verwerkingsverantwoordelijke geeft hierbij algemene toestemming voor het inschakelen van sub-verwerkers. De huidige sub-verwerkers zijn:
| Sub-verwerker | Dienst | Locatie | Waarborgen |
|---|---|---|---|
| Neon Tech Inc. | Database hosting | EU (Frankfurt) | SCC's, SOC 2 |
| Vercel Inc. | Applicatie hosting | EU/VS | SCC's, SOC 2 |
| SMTP2GO (Gated Inc.) | Uitgaande e-mail | Nieuw-Zeeland | SCC's |
| OpenAI LLC | AI-verwerking | VS | SCC's, DPA |
| Stripe Inc. | Betalingsverwerking | VS | SCC's, SOC 2, PCI DSS |
| Contabo GmbH | Mailserver hosting | EU (Duitsland) | AVG-compliant |
Bij wijziging van sub-verwerkers wordt de Verwerkingsverantwoordelijke minimaal 14 dagen van tevoren geïnformeerd. Bij bezwaar kan de Verwerkingsverantwoordelijke de overeenkomst opzeggen.
7. Doorgifte buiten de EU/EER
Doorgifte van Persoonsgegevens naar landen buiten de EU/EER vindt uitsluitend plaats op basis van:
- Een adequaatheidsbesluit van de Europese Commissie, of
- Standard Contractual Clauses (SCC's) conform het besluit van de Europese Commissie
8. Rechten van betrokkenen
De Verwerker staat de Verwerkingsverantwoordelijke bij in het nakomen van verzoeken van betrokkenen op grond van de AVG (artikelen 15-22). De Verwerker stuurt dergelijke verzoeken onverwijld door naar de Verwerkingsverantwoordelijke.
9. Audits
De Verwerkingsverantwoordelijke heeft het recht om audits (laten) uitvoeren om de naleving van deze VO te verifiëren. De Verwerker werkt hieraan mee, met inachtneming van redelijke termijnen en kosten.
10. Aansprakelijkheid
De aansprakelijkheid van de Verwerker onder deze VO is beperkt overeenkomstig de Algemene Voorwaarden.
11. Contactgegevens
Verwerker:
1Company
KvK: 30228720
BTW: NL001919324B14
E-mail: privacy@mailbelly.com