Verwerkersovereenkomst

• Verwerkingsverantwoordelijke: de Klant die SUUS opdracht geeft persoonsgegevens te verwerken.
• Verwerker: SUUS IQ B.V., gevestigd te Amsterdam, KvK 12345678.
• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon zoals bedoeld in artikel 4 AVG.
• Verwerking: elke bewerking op persoonsgegevens als omschreven in artikel 4(2) AVG.
• Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
• Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens.

SUUS verwerkt persoonsgegevens uitsluitend ten behoeve van de levering van het Field Sales Operating System zoals omschreven in de Algemene Voorwaarden. De verwerking omvat:

• Categorieën betrokkenen: klanten, prospects en zakelijke contacten van de Verwerkingsverantwoordelijke
• Categorieën persoonsgegevens: naam, functietitel, e-mailadres, telefoonnummer, bedrijfsnaam, bezoekhistorie, gespreksnotities, voice-transcripties
• Aard van de verwerking: opslaan, structureren, raadplegen, wijzigen, verwijderen
• Doel: het bijhouden van een CRM-systeem en het automatiseren van field sales workflows

De VOK loopt parallel aan de onderliggende dienstverleningsovereenkomst en eindigt automatisch bij beëindiging daarvan.

SUUS verbindt zich tot het volgende:

• Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting dit vereist.
• Waarborgen dat personen die bevoegd zijn persoonsgegevens te verwerken, zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen.
• Passende technische en organisatorische maatregelen treffen ter beveiliging van persoonsgegevens overeenkomstig artikel 32 AVG.
• Niet zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke een beroep doen op andere verwerkers (sub-verwerkers), met uitzondering van de sub-verwerkers vermeld in artikel 6.
• De Verwerkingsverantwoordelijke bijstaan bij het nakomen van diens verplichtingen ten aanzien van rechten van betrokkenen.
• Op verzoek alle informatie verstrekken die noodzakelijk is om de naleving van de verplichtingen uit de AVG aan te tonen.
• Na afloop van de dienstverlening, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens wissen of terugbezorgen en bestaande kopieën verwijderen, tenzij een wettelijke bewaarverplichting geldt.

SUUS implementeert passende technische en organisatorische maatregelen, waaronder:

• Encryptie van data in transit via TLS 1.2 of hoger
• Encryptie van data in rust (AES-256)
• Toegangscontrole op basis van het “need-to-know” principe en rolgebaseerde rechten
• Tweefactorauthenticatie voor systeem- en databasetoegang
• Regelmatige back-ups met geautomatiseerde hersteltest
• Pseudonimisering waar technisch en functioneel mogelijk
• Periodieke beveiligingsbeoordelingen en penetratietests

Bij een inbreuk in verband met persoonsgegevens informeert SUUS de Verwerkingsverantwoordelijke onverwijld en uiterlijk binnen 72 uur na ontdekking. De melding bevat minimaal:

• De aard van de inbreuk, inclusief categorieën en geschat aantal betrokkenen en persoonsgegevens
• De naam en contactgegevens van de functionaris voor gegevensbescherming of contactpersoon
• De waarschijnlijke gevolgen van de inbreuk
• De maatregelen die zijn of worden getroffen

SUUS verleent alle medewerking die nodig is voor melding bij de Autoriteit Persoonsgegevens.

De Verwerkingsverantwoordelijke verleent hierbij een algemene toestemming voor het inschakelen van de volgende sub-verwerkers:

• Supabase Inc. (VS) — databasehosting; Standard Contractual Clauses (SCC) van toepassing
• OpenAI, L.L.C. (VS) — AI-verwerking van voice-transcripties; SCC van toepassing; data processing agreement gesloten
• Stripe, Inc. (VS) — betalingsverwerking; SCC van toepassing
• Nylas Inc. (VS) — e-mail- en kalenderintegraties; SCC van toepassing
• Vercel Inc. (VS) — hosting en edge computing; SCC van toepassing

Bij wijzigingen in de lijst van sub-verwerkers informeert SUUS de Verwerkingsverantwoordelijke minimaal 14 dagen van tevoren. De Verwerkingsverantwoordelijke heeft het recht bezwaar te maken tegen een nieuwe sub-verwerker.

Persoonsgegevens kunnen worden doorgegeven aan landen buiten de Europese Economische Ruimte (EER). SUUS waarborgt dat dergelijke doorgifte plaatsvindt op basis van passende waarborgen zoals Standard Contractual Clauses (Uitvoeringsbesluit EU 2021/914) of een adequaatheidsbesluit van de Europese Commissie.

Bij een verzoek van een betrokkene (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid of bezwaar) informeert SUUS de Verwerkingsverantwoordelijke tijdig en verleent technische bijstand om aan het verzoek te voldoen. SUUS handelt niet zelfstandig op verzoeken van betrokkenen, tenzij wettelijk verplicht.

De Verwerkingsverantwoordelijke heeft het recht de naleving van deze VOK te controleren door middel van een audit, uitgevoerd door een onafhankelijke auditor onder geheimhoudingsplicht. Een dergelijke audit vindt niet vaker dan eenmaal per jaar plaats, na minimaal 30 dagen schriftelijke aankondiging, en op kosten van de Verwerkingsverantwoordelijke.

SUUS kan aan de auditverplichting voldoen door overlegging van geldige certificeringen (ISO 27001, SOC 2 of vergelijkbaar).

Iedere partij is aansprakelijk voor schade die de andere partij of betrokkenen lijden als gevolg van de niet-naleving van deze VOK. De aansprakelijkheid van SUUS als Verwerker is beperkt tot het bedrag dat de Klant in de twaalf maanden voorafgaand aan de schadeveroorzakende gebeurtenis heeft betaald.

Op deze VOK is Nederlands recht van toepassing. Geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechter te Amsterdam.

Deze VOK treedt automatisch in werking bij aanvaarding van de Algemene Voorwaarden van SUUS. Voor organisaties die een ondertekende versie vereisen, neem contact op via legal@suus.ai. Wij sturen dan een door beide partijen te ondertekenen exemplaar toe.