Verwerkersovereenkomst (DPA) - Bijgewerkt
Overzicht
Deze Verwerkersovereenkomst ("DPA") maakt deel uit van de servicevoorwaarden tussen u (de "Klant" of "Verwerkingsverantwoordelijke") en ISMS Copilot (de "Verwerker" of "Gegevensverwerker") voor het gebruik van het ISMS Copilot AI-complianceplatform. Deze DPA voldoet aan Artikel 28 van de Algemene Verordening Gegevensbescherming (AVG) en beheerst de verwerking van persoonsgegevens namens de Klant.
Ingangsdatum: november 2025. Deze DPA is automatisch van toepassing op alle Klanten van ISMS Copilot die persoonsgegevens verwerken via het platform. Er is geen afzonderlijke ondertekening vereist - uw gebruik van de dienst houdt acceptatie in.
Voor wie dit bedoeld is
Deze Verwerkersovereenkomst is bedoeld voor:
Organisaties die ISMS Copilot gebruiken om persoonsgegevens te verwerken
Compliance-consultants die klantgegevens beheren via het platform
Functionarissen voor Gegevensbescherming (FG's) die leveranciersbeoordelingen uitvoeren
Juridische en inkoopteams die afspraken over gegevensverwerking evalueren
Auditors die toezien op naleving van Artikel 28 AVG
Definities
Kernbegrippen
"Klant" of "Verwerkingsverantwoordelijke": De organisatie of persoon die geabonneerd is op de diensten van ISMS Copilot en de doeleinden en middelen van de verwerking van persoonsgegevens vaststelt.
"Verwerker" of "Gegevensverwerker": ISMS Copilot, die persoonsgegevens verwerkt namens de Klant.
"Persoonsgegevens van de Klant": Alle persoonsgegevens die door ISMS Copilot namens de Klant worden verwerkt, inclusief gespreksinhoud, geüploade documenten en bijbehorende metadata.
"Subverwerker": Elke externe verwerker die door ISMS Copilot is ingeschakeld om Persoonsgegevens van de Klant te verwerken.
"Betrokkene": De geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens van de Klant betrekking hebben.
"Verwerking": Elke bewerking die op persoonsgegevens wordt uitgevoerd, inclusief verzamelen, opslaan, gebruiken, verstrekken of verwijderen.
"Inbreuk in verband met persoonsgegevens": Een beveiligingsinbreuk die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot Persoonsgegevens van de Klant.
1. Reikwijdte en Toepasselijkheid
1.1 Toepassing van de DPA
Deze DPA is van toepassing op alle verwerkingen van Persoonsgegevens van de Klant door ISMS Copilot in het kader van het leveren van de platformdiensten zoals beschreven in de Servicevoorwaarden.
1.2 Onderwerp van Verwerking
ISMS Copilot verwerkt Persoonsgegevens van de Klant om AI-gestuurde compliance-ondersteuning te bieden, waaronder:
Verwerking van vragen van gebruikers en genereren van AI-antwoorden
Opslaan van gespreksgeschiedenis en context
Analyseren van geüploade compliance-documenten
Beheren van werkruimte-configuraties en aangepaste instructies
1.3 Duur van de Verwerking
De verwerking duurt voort gedurende de actieve abonnementsperiode van de Klant en volgens de door de Klant geconfigureerde bewaarperiode (1 dag tot 7 jaar, of "voor altijd bewaren"). Bij beëindiging worden alle Persoonsgegevens van de Klant binnen 30 dagen verwijderd, tenzij een langere bewaartermijn wettelijk vereist is.
1.4 Aard en Doel van de Verwerking
Aard: Geautomatiseerde verwerking met behulp van AI-modellen, database-opslag en bestandsverwerking
Doel: Het verstrekken van compliance-advies, documentanalyse, beleidsgeneratie en kennisbeheer volgens instructies van de Klant
1.5 Categorieën van Betrokkenen
Werknemers en geautoriseerde gebruikers van de Klant
Klanten en eindgebruikers van de Klant (wanneer genoemd in geüploade documenten of vragen)
Personen waarnaar wordt verwezen in compliance-documentatie
Betrokkenen bij beveiligingsincidenten
1.6 Categorieën van Persoonsgegevens
Gebruikersaccountinformatie (e-mailadressen, inloggegevens)
Gespreksinhoud en AI-interacties
Inhoud van geüploade documenten (beleid, procedures, auditrapporten)
Werkruimte-configuraties en aangepaste instructies
Gebruiksmetadata en tijdstempels
Potentieel bijzondere categorieën gegevens (Artikel 9 AVG) indien geüpload door de Klant
De Klant is verantwoordelijk voor het waarborgen van de juiste rechtsgrondslag en beveiligingsmaatregelen voordat bijzondere categorieën gegevens (Artikel 9 AVG) worden geüpload, zoals incidentrapporten met medische gegevens, werknemersinformatie of andere gevoelige categorieën.
2. Verplichtingen van de Verwerker (Artikel 28(3) AVG)
2.1 Instructies voor Verwerking
ISMS Copilot verwerkt Persoonsgegevens van de Klant uitsluitend op basis van gedocumenteerde instructies van de Klant, inclusief:
Instructies gegeven via de platforminterface (vragen, uploads, configuraties)
Bewaarinstellingen geconfigureerd door de Klant
Selectie van de Modus voor Geavanceerde Gegevensbescherming (alleen EU versus standaard AI-verwerking)
Verzoeken tot verwijdering via het platform of support
Verboden Verwerking: Het is ISMS Copilot en haar AI-subverwerkers (xAI, OpenAI, Mistral AI) contractueel verboden om Persoonsgegevens van de Klant te gebruiken voor het trainen, verbeteren of ontwikkelen van AI-modellen. Dit verbod is opgenomen in alle overeenkomsten met AI-subverwerkers.
Als ISMS Copilot van mening is dat een instructie in strijd is met de AVG of andere wetgeving inzake gegevensbescherming, zullen wij de Klant hiervan onmiddellijk op de hoogte stellen en hebben wij het recht de verwerking op te schorten totdat de instructie is bevestigd of gewijzigd. Als de Klant een instructie bevestigt waarvan ISMS Copilot redelijkerwijs aanneemt dat deze in strijd is met de wet, mag ISMS Copilot weigeren deze uit te voeren en, indien geen oplossing wordt gevonden, de betreffende verwerkingsactiviteiten beëindigen met een opzegtermijn van 30 dagen.
2.2 Vertrouwelijkheid van de Verwerking
ISMS Copilot waarborgt dat alle personen die geautoriseerd zijn om Persoonsgegevens van de Klant te verwerken:
Gebonden zijn aan vertrouwelijkheid (contractueel of wettelijk)
Passende training hebben ontvangen over gegevensbescherming
Alleen toegang hebben tot gegevens op basis van het 'need-to-know'-principe
Gedocumenteerde procedures voor gegevensverwerking volgen
2.3 Technische en Organisatorische Maatregelen (Artikel 32 AVG)
ISMS Copilot implementeert passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat past bij het risico, waaronder:
Maatregelen voor Toegangscontrole:
Row-level security in de database die toegang tot gegevens van andere gebruikers voorkomt
Gebruikersauthenticatie vereist voor alle beveiligde bronnen
Isolatie van werkruimtes om vermenging van klantgegevens te voorkomen
Ondersteuning voor Multi-factor Authenticatie (MFA)
Automatische time-out controles voor sessies
Versleutelingsmaatregelen:
TLS 1.3 versleuteling voor gegevens in beweging
Databaseversleuteling in rust (at rest)
Hashing van wachtwoorden met industriestandaard algoritmen (onomkeerbaar)
Versleutelde bestandsopslag in Supabase
Maatregelen voor Gegevensminimalisatie:
Alleen essentiële gegevens worden verzameld (e-mail, berichten, bestanden)
Geen onnodige demografische of contactgegevens verzameld
Analytics geconfigureerd met
sendDefaultPii: falseDoor de klant beheerde bewaartermijnen met automatische verwijdering
Beschikbaarheid en Weerbaarheid:
Geautomatiseerde databaseback-ups
Disaster recovery-procedures
24/7 monitoring en alarmering via Sentry
Real-time uptime-bewaking via BetterStack met directe Slack-meldingen
Publieke statuspagina voor transparantie (status.ismscopilot.com)
Progressieve incident-escalatie via e-mail en SMS
Testen en Evalueren:
Regelmatige beveiligingsbeoordelingen
Continue monitoring en logging van fouten
Geautomatiseerd testen van gegevensverwijdering
Verificatieprocedures voor toegangscontrole
Voor gedetailleerde technische en organisatorische maatregelen, raadpleeg ons Verwerkingsregister (RopA) of bezoek onze Security Collectie.
2.4 Inschakelen van Subverwerkers
Algemene Machtiging: De Klant verleent ISMS Copilot een algemene machtiging om subverwerkers in te schakelen voor de verwerking van Persoonsgegevens van de Klant, onder de voorwaarden in dit onderdeel.
Huidige Subverwerkers: De volledige lijst van subverwerkers wordt bijgehouden in ons Verwerkingsregister en omvat:
Subverwerker | Doel | Locatie | DPA-status |
|---|---|---|---|
Supabase (PostgreSQL + Storage) | Database en bestandsopslag | EU (Frankfurt) | ✓ AVG-compliant |
xAI (Grok) + OpenAI * | AI-verwerking (Standaard-modus) | Verenigde Staten | ✓ Geen training op data |
Mistral AI * | AI-verwerking (Geavanceerde Gegevensbescherming) | Europese Unie | ✓ AVG-compliant |
Stripe | Betalingsverwerking | Wereldwijd (EU DPA) | ✓ AVG-compliant |
ConvertAPI | Documentconversie | EU-endpoint | ✓ AVG-compliant ✓ ISO 27001:2022 gecertificeerd ✓ DPA getekend met Better ISMS |
PostHog | Productanalyse | EU (Frankfurt) | ✓ AVG-compliant |
Sentry | Foutmonitoring | Duitsland | ✓ AVG-compliant |
Vercel | Hosting frontend | Wereldwijd CDN | ✓ AVG-compliant |
Fly.io | Hosting backend API | EU-implementatie | ✓ AVG-compliant |
SendGrid (Twilio) | E-mailcommunicatie | VS (SCC) | ✓ AVG + SCC |
Kit (ConvertKit) | E-mailcommunicatie | VS (SCC) | ✓ AVG + SCC |
* Door gebruiker instelbaar: Er is slechts ÉÉN AI-verwerker tegelijk actief, afhankelijk van de instelling Geavanceerde Gegevensbescherming.
Vereisten voor Subverwerkers: ISMS Copilot garandeert dat alle subverwerkers:
Voldoende garanties bieden voor AVG-naleving
Instemmen met voorwaarden die wezenlijk gelijkwaardig zijn aan deze DPA
Passende technische en organisatorische maatregelen implementeren
Onderworpen blijven aan toezicht en auditrechten van ISMS Copilot
Wijzigingen bij Subverwerkers:
ISMS Copilot stelt Klanten minimaal 30 dagen van tevoren op de hoogte bij het toevoegen of vervangen van subverwerkers
Kennisgevingen worden verzonden via e-mail en in-app aankondigingen
Klanten kunnen binnen 30 dagen bezwaar maken tegen nieuwe subverwerkers
Bij bezwaar zal ISMS Copilot de nieuwe subverwerker niet gebruiken of de Klant toestaan de dienst boetevrij te beëindigen
Abonneer u op meldingen over wijzigingen van subverwerkers via uw e-mailvoorkeuren in Instellingen. Actuele lijsten zijn altijd beschikbaar in het Verwerkingsregister.
2.5 Ondersteuning bij Rechten van Betrokkenen
ISMS Copilot zal de Klant ondersteunen bij het inwilligen van verzoeken van betrokkenen, waaronder:
ISMS Copilot reageert op verzoeken om assistentie binnen de hieronder gespecificeerde termijnen. De Klant blijft verantwoordelijk voor het halen van de wettelijke AVG-termijn van één maand jegens betrokkenen (Artikel 12(3)).
Recht op Inzage (Artikel 15):
Zelfservice toegang tot alle gesprekken en bestanden via het platform
Volledige gegevensexport in JSON-formaat beschikbaar op aanvraag (binnen 72 uur)
Recht op Rectificatie (Artikel 16):
Zelfservice aanpassingen in accountinstellingen
E-mailwijzigingen via support (binnen 30 dagen)
Recht op Wissen (Artikel 17):
Verzoeken tot accountverwijdering via support
Volledige verwijdering van gegevens binnen 30 dagen
Bevestiging aan de Klant na voltooiing
Recht op Overdraagbaarheid van Gegevens (Artikel 20):
Machineleesbaar JSON-exportbestand met alle Persoonsgegevens van de Klant
Geleverd binnen 72 uur (maximaal 5 dagen voor zeer grote accounts)
Recht op Beperking (Artikel 18) en Recht van Bezwaar (Artikel 21):
Afgehandeld via support op casusbasis
Reactie binnen 30 dagen
De Klant is verantwoordelijk voor het verifiëren van de identiteit van de betrokkene voordat inzage of export wordt aangevraagd. ISMS Copilot biedt de tools, maar de Klant behoudt de primaire verantwoordelijkheid.
2.6 Melding van een Datalek
In het geval van een Inbreuk in verband met persoonsgegevens die Persoonsgegevens van de Klant treft, zal ISMS Copilot:
Detectie en Beoordeling:
Continu monitoren op beveiligingsincidenten via Sentry en automatisering
Beoordeling van beveiligingsincidenten uitvoeren binnen 24 uur na detectie
Risico en potentiële impact op Persoonsgegevens van de Klant inschatten
Melding aan de Klant:
De Klant binnen 48 uur informeren nadat is bevestigd dat een inbreuk de gegevens treft
Bij vermoedelijke inbreuken die worden onderzocht, een voorlopige melding doen binnen 24 uur
Een beschrijving geven van de inbreuk, inclusief categorieën en aantallen betrokkenen
De waarschijnlijke gevolgen van de inbreuk beschrijven
De genomen of voorgestelde maatregelen beschrijven om de inbreuk aan te pakken en de gevolgen te beperken
Een contactpunt opgeven voor meer informatie
Medewerking:
Meewerken aan onderzoek en herstel door de Klant
Redelijke ondersteuning bieden bij de meldingsplicht van de Klant aan toezichthouders en betrokkenen
Alle inbreuken en herstelmaatregelen documenteren
De Klant blijft verantwoordelijk voor het bepalen of melding aan de toezichthouder (binnen 72 uur conform Artikel 33) en betrokkenen (Artikel 34) vereist is. ISMS Copilot levert informatie ter ondersteuning.
2.7 Ondersteuning bij Gegevensbeschermingseffectbeoordeling (DPIA)
ISMS Copilot zal redelijke medewerking verlenen wanneer de Klant een DPIA uitvoert of voorafgaande raadpleging voert met een toezichthouder, door:
Het Verwerkingsregister ter referentie aan te bieden
De geïmplementeerde technische en organisatorische maatregelen te beschrijven
Gegevensstromen en subverwerkersrelaties te verduidelijken
Specifieke vragen over verwerkingsactiviteiten te beantwoorden
2.8 Verwijdering en Teruggave van Gegevens
Bij beëindiging van de diensten of op verzoek van de Klant, zal ISMS Copilot:
Standaard Verwijdering (Standaard):
Alle Persoonsgegevens van de Klant binnen 30 dagen na beëindiging verwijderen
Back-upgegevens binnen 90 dagen overschrijven
Schriftelijke bevestiging van verwijdering verstrekken op verzoek
Gegevensexport vóór Verwijdering:
Klant kan een volledige export aanvragen vóór beëindiging
Export geleverd in JSON-formaat binnen 72 uur
Verwijdering vindt plaats na bevestiging van ontvangst van de export
Uitzonderingen voor Wettelijke Bewaring:
Geanonimiseerde factuurgegevens worden 7 jaar bewaard (belastingwetgeving)
Geanonimiseerde analyticsgegevens kunnen bewaard blijven
Inhoud die door gemodereerde systemen is gemarkeerd, wordt tot 1 jaar bewaard voor platformveiligheid (zie Privacybeleid, sectie Contentmoderatie)
Gegevens die wettelijk bewaard moeten blijven, worden geïsoleerd en beveiligd tot het einde van de wettelijke termijn
2.9 Auditrechten
De Klant heeft het recht de naleving van deze DPA door ISMS Copilot te auditen, onder voorbehoud van redelijke beperkingen:
Documentatiebeoordeling:
De Klant kan publieke documentatie raadplegen in onze Security Collectie
Extra documentatie opvragen via support (bijv. overeenkomsten met subverwerkers, beveiligingsbeleid)
Het Verwerkingsregister op elk moment inzien
Audits op Locatie:
De Klant kan een on-site audit uitvoeren met een opzegtermijn van 60 dagen
Maximaal één audit per jaar, tenzij noodzakelijk door een datalek
Audits moeten tijdens kantooruren plaatsvinden en bedrijfsvoering niet hinderen
Klant is verantwoordelijk voor auditkosten, tenzij de audit aantoont dat er sprake is van een niet-naleving die: (a) een datalek vormt, (b) een systematisch falen van beveiligingsmaatregelen betreft, of (c) leidt tot handhaving door een toezichthouder. In die gevallen draagt ISMS Copilot de redelijke kosten.
Resultaten blijven vertrouwelijk en mogen niet gedeeld worden, tenzij wettelijk verplicht
Certificeringen van Derden:
ISMS Copilot streeft naar relevante beveiligingscertificeringen (ISO 27001 is in behandeling)
Rapporten kunnen worden gedeeld onder een NDA
Klanten mogen vertrouwen op certificeringen in plaats van eigen audits
3. Internationale Doorgifte van Gegevens
3.1 Mechanismen voor Gegevensoverdracht
ISMS Copilot verwerkt Persoonsgegevens van de Klant in overeenstemming met Hoofdstuk V van de AVG:
Primaire Opslag (Altijd EU):
Alle database-opslag vindt plaats in Frankfurt, Duitsland (AWS EU-Central-1)
Gespreksgeschiedenis, bestanden en accountgegevens blijven binnen de EU
Geen adequaatheidsbesluit vereist voor primaire opslag
AI-verwerking (Door Klant te configureren):
Met Geavanceerde Gegevensbescherming AAN: AI-verwerking vindt plaats in de EU via Mistral AI zonder gegevensbewaring. Geen internationale doorgifte voor AI.
Met Geavanceerde Gegevensbescherming UIT (standaard): Gespreksinhoud wordt naar de VS gestuurd voor verwerking via xAI/OpenAI met een bewaring van 30 dagen. Standaard Contractuele Bepalingen (SCC's) zijn van toepassing.
E-mailcommunicatie (VS-gebaseerd):
E-mailadressen worden doorgegeven aan SendGrid en Kit (Verenigde Staten)
Beveiligd door Standaard Contractuele Bepalingen zoals goedgekeurd door de Europese Commissie
Klanten kunnen doorgifte minimaliseren door zich af te melden voor niet-essentiële e-mails
3.2 Standaard Contractuele Bepalingen (SCC's)
Voor doorgifte naar de VS vertrouwt ISMS Copilot op de SCC's (Uitvoeringsbesluit (EU) 2021/914):
Klant naar ISMS Copilot: Module Twee (Verantwoordelijke naar Verwerker) indien de Klant verwerkingsverantwoordelijke is
ISMS Copilot naar Amerikaanse subverwerkers: Module Drie (Verwerker naar Verwerker) is van toepassing
Toepasselijk recht voor SCC's: Frans recht (Clausule 17, Optie 1)
Bevoegde toezichthouder: CNIL, Frankrijk (Clausule 13)
Kopieën van de getekende SCC's met subverwerkers zijn op aanvraag beschikbaar
3.3 Aanvullende Maatregelen
ISMS Copilot implementeert aanvullende maatregelen voor gegevens buiten de EU:
End-to-end versleuteling (TLS 1.3) voor alle data in transit
Contractueel verbod op AI-training met klantgegevens
Beperkte bewaring door AI-leveranciers (30 dagen voor xAI/OpenAI, nul voor Mistral AI)
Mogelijkheid voor Klant om bestemming te bepalen via Geavanceerde Gegevensbescherming
Continu toezicht op juridische ontwikkelingen rond internationale doorgifte
3.4 Transfer Impact Assessment (TIA)
ISMS Copilot heeft een TIA uitgevoerd voor Amerikaanse subverwerkers en vastgesteld dat:
SCC's passende waarborgen bieden onder Hoofdstuk V AVG
Samen met aanvullende technische maatregelen een hoog beschermingsniveau wordt geboden
Klanten de optie hebben om doorgifte naar de VS te vermijden via de Modus voor Geavanceerde Gegevensbescherming (verwerking alleen in de EU zonder dataopslag)
E-mailverkeer naar de VS blijft bestaan, maar is beveiligd door SCC's en encryptie
Er geen bewijs is dat subverwerkers verzoeken om toegang van overheidswege hebben ontvangen voor klantgegevens
De volledige TIA, inclusief methodologie en analyse van Amerikaanse surveillance-wetgeving, is beschikbaar op: Transfer Impact Assessment.
Organisaties met strikte eisen voor datalocatie in de EU moeten de Modus voor Geavanceerde Gegevensbescherming inschakelen om AI-doorgifte te elimineren. Zie onze Transfer Impact Assessment voor details.
4. Verplichtingen van de Klant als Verwerkingsverantwoordelijke
4.1 Rechtmatigheid van Instructies
De Klant garandeert dat:
Alle verwerkingsinstructies voldoen aan de AVG en relevante wetgeving
De Klant een wettelijke grondslag heeft voor alle geüploade persoonsgegevens
De Klant betrokkenen heeft geïnformeerd over de verwerking en hun rechten
De Klant het vereiste verwerkingsregister bijhoudt (Artikel 30 AVG)
4.2 Bijzondere Categorieën Gegevens
Indien de Klant bijzondere categorieën gegevens (Artikel 9 AVG) uploadt, bevestigt deze dat:
Voldaan is aan Artikel 9-voorwaarden (bijv. uitdrukkelijke toestemming of rechtsvorderingen)
Extra waarborgen zijn getroffen zoals wettelijk vereist
De Klant een DPIA heeft uitgevoerd indien vereist
4.3 Beheer van Rechten van Betrokkenen
De Klant is verantwoordelijk voor:
Het ontvangen en afhandelen van verzoeken van betrokkenen
Het verifiëren van de identiteit van betrokkenen vóór dataverzoeken aan ISMS Copilot
Het besluit om toezichthouders of betrokkenen te informeren bij inbreuken
Het informeren van betrokkenen over de rol van ISMS Copilot als verwerker
4.4 Configuratie van Gegevensbewaring
De Klant dient:
Passende bewaartermijnen in te stellen die passen bij hun interne beleid
Bewaarinstellingen periodiek te controleren op naleving
Verwijdering aan te vragen zodra gegevens niet langer nodig zijn
4.5 Isolatie van Werkruimtes
De Klant wordt geadviseerd om:
Afzonderlijke werkruimtes te maken voor verschillende cliënten of datacategorieën
Het mengen van persoonsgegevens van verschillende betrokkenen in één werkruimte te vermijden
Werkruimtes te verwijderen zodra projecten zijn voltooid
5. Aansprakelijkheid en Vrijwaring
5.1 Verdeling van Aansprakelijkheid
Krachtens Artikel 82 AVG:
Klant en ISMS Copilot zijn elk aansprakelijk voor schade veroorzaakt door hun eigen AVG-overtredingen
ISMS Copilot is vrijgesteld van aansprakelijkheid als zij bewijst niet verantwoordelijk te zijn voor de gebeurtenis
ISMS Copilot is niet aansprakelijk voor schade door onrechtmatige instructies van de Klant
5.2 Vrijwaring
De Klant vrijwaart ISMS Copilot voor claims, boetes of schade voortvloeiend uit:
Overtreding door de Klant van de AVG of andere privacywetgeving
Onrechtmatige verwerkingsinstructies van de Klant
Het ontbreken van noodzakelijke toestemmingen of rechtsgrondslagen
Het uploaden van bijzondere categorieën gegevens door de Klant zonder passende waarborgen
6. Looptijd en Beëindiging
6.1 Looptijd
Deze DPA gaat in op de datum waarop de Klant voor het eerst gebruikmaakt van de diensten en blijft van kracht zolang ISMS Copilot gegevens verwerkt.
6.2 Beëindiging
Deze DPA eindigt automatisch bij:
Beëindiging van de Servicevoorwaarden
Voltooiing van alle verwerkingen en verwijdering van alle gegevens
6.3 Gevolgen van Beëindiging
Bij beëindiging:
Verwijdert of retourneert ISMS Copilot alle gegevens zoals beschreven in Sectie 2.8
Blijven verplichtingen rond vertrouwelijkheid, beveiliging en wettelijke bewaring van kracht
Blijft het auditrecht van de Klant nog 12 maanden na beëindiging bestaan
7. Wijzigingen en Updates
7.1 Updates van de DPA
ISMS Copilot kan deze DPA bijwerken naar aanleiding van:
Wijzigingen in wetgeving of richtlijnen van toezichthouders
Wijzigingen in verwerkingsactiviteiten of subverwerkers
Verbeteringen in beveiligingsmaatregelen of privacypraktijken
7.2 Kennisgeving van Wijzigingen
Wezenlijke wijzigingen worden minimaal 30 dagen vooraf gemeld via e-mail en in-app meldingen
De bijgewerkte DPA wordt op deze URL geplaatst met een nieuwe "Ingangsdatum"
Voortgezet gebruik na de ingangsdatum houdt acceptatie van de nieuwe DPA in
7.3 Recht van Bezwaar
Klant kan binnen 30 dagen na melding bezwaar maken tegen wezenlijke wijzigingen
Bij bezwaar mag de Klant de dienst boetevrij beëindigen
8. Toepasselijk Recht en Jurisdictie
8.1 Toepasselijk Recht
Deze DPA wordt beheerst door:
De Algemene Verordening Gegevensbescherming (EU) 2016/679
De Franse privacywetgeving (Loi Informatique et Libertés)
Het Franse recht voor contractuele interpretatie
8.2 Jurisdictie
Geschillen voortvloeiend uit deze DPA zijn onderworpen aan de bevoegdheid van de Franse rechtbanken, met de CNIL als leidende toezichthouder.
9. Contactinformatie
9.1 Contact voor Gegevensbescherming
Voor vragen over de DPA:
Neem contact op via het Helpcenter (bereikbaar via het gebruikersmenu)
E-mail vanaf uw geregistreerde account-e-mailadres
Vermeld "DPA Verzoek" of "Verwerkersovereenkomst" in de onderwerpregel
9.2 Functionaris voor Gegevensbescherming
ISMS Copilot heeft geen FG aangesteld omdat we niet voldoen aan de criteria van Artikel 37 AVG. Voor privacyvragen kunt u contact opnemen via [email protected].
9.3 Toezichthoudende Autoriteit
Commission Nationale de l'Informatique et des Libertés (CNIL)
Website: https://www.cnil.fr/en
Adres: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankrijk
Telefoon: +33 1 53 73 22 22
10. Aanvullende Bronnen
Ondersteunende Documentatie
Verwerkingsregister (RopA) - Details over verwerkingen en subverwerkers
Transfer Impact Assessment (TIA) - Risicobeoordeling internationale doorgifte
Privacybeleid - Privacyverklaring voor gebruikers
Gegevensprivacy & AVG-naleving - Gids voor gebruikersrechten en AVG-implementatie
Security Collectie - Uitgebreide beveiligings- en compliance-documentatie
Statuspagina - Live beschikbaarheid en incidentmeldingen
Configuratiegidsen
Modus Geavanceerde Gegevensbescherming - Activeer AI-verwerking alleen in de EU
Gids Werkruimte-inrichting - Clientgegevens correct isoleren
Gids Accountbeveiliging - Implementeer sterke authenticatie
Bijlage A: Samenvatting Verwerkingsdetails
Onderwerp
Het leveren van een AI-gestuurd platform voor compliance-ondersteuning, inclusief verwerking van gesprekken, documentanalyse en kennisbeheer.
Duur
Gedurende de actieve abonnementstermijn plus de door de klant gekozen bewaartermijn (1 dag tot 7 jaar), gevolgd door een periode van 30 dagen voor definitieve verwijdering.
Aard en Doel
Aard: Geautomatiseerde AI-verwerking, database-opslag, bestandsconversie en -analyse
Doel: Compliance-professionals in staat stellen AI-gestuurd advies te ontvangen, documenten te analyseren en beleid te beheren
Categorieën van Betrokkenen
Werknemers en geautoriseerde gebruikers van de Klant
Cliënten van de Klant (indien genoemd in documenten of vragen)
Personen genoemd in compliance-documentatie
Betrokkenen bij beveiligingsincidenten
Categorieën van Persoonsgegevens
Contactgegevens (e-mailadressen)
Inloggegevens (gehashte wachtwoorden)
Gespreksinhoud en AI-interacties
Geüploade compliance-documenten
Gebruiksmetadata en tijdstempels
Potentieel bijzondere categorieën (Artikel 9) indien geüpload door de Klant
Bijlage B: Wijzigingslogboek Subverwerkers
Deze bijlage houdt wijzigingen bij in subverwerkers sinds de ingangsdatum. Klanten worden 30 dagen vooraf geïnformeerd.
Actueel per november 2025
Initiële lijst vastgesteld. Zie Sectie 2.4 en het Verwerkingsregister voor de volledige huidige lijst.
Toekomstige Wijzigingen
Alle wijzigingen worden hier gedocumenteerd met:
Ingangsdatum van de wijziging
Naam en locatie van de subverwerker
Aard van de wijziging (toevoeging, verwijdering, vervanging)
Doel van de verwerking
Datum van kennisgeving aan Klant
Hulp krijgen
Voor vragen over deze Verwerkersovereenkomst:
Bekijk het Verwerkingsregister voor technische details
Neem contact op met support voor verduidelijking
Vraag extra documentatie (zoals SCC's) op via support
Bezoek de Security Collectie voor bronnen
Gebruik "DPA Verzoek" in uw onderwerpregel voor prioriteitsafhandeling