ISMS Copilot
Juridisch

Verwerkersovereenkomst (VGA) - Bijgewerkt

Overzicht

Deze Verwerkersovereenkomst ("VGA") maakt deel uit van de servicevoorwaarden tussen u (de "Klant" of "Verwerkingsverantwoordelijke") en ISMS Copilot (de "Verwerker" of "Gegevensverwerker") voor het gebruik van het ISMS Copilot AI-complianceplatform. Deze VGA voldoet aan artikel 28 van de Algemene Verordening Gegevensbescherming (AVG) en regelt de verwerking van persoonsgegevens namens de Klant.

Ingangsdatum: november 2025. Deze VGA is automatisch van toepassing op alle klanten van ISMS Copilot die persoonsgegevens verwerken via het platform. Er is geen aparte handtekening vereist - uw gebruik van de dienst houdt acceptatie in.

Voor wie dit is

Deze Verwerkersovereenkomst is bedoeld voor:

  • Organisaties die ISMS Copilot gebruiken om persoonsgegevens te verwerken

  • Compliance-consultants die klantgegevens verwerken via het platform

  • Functionarissen voor Gegevensbescherming die leveranciersbeoordelingen uitvoeren

  • Juridische en inkoopteams die afspraken over gegevensverwerking beoordelen

  • Auditoren die de naleving van AVG-artikel 28 controleren

Definities

Kernbegrippen

  • "Klant" of "Verwerkingsverantwoordelijke": De organisatie of het individu dat zich abonneert op de diensten van ISMS Copilot en de doeleinden en middelen voor de verwerking van persoonsgegevens vaststelt.

  • "Verwerker" of "Gegevensverwerker": ISMS Copilot, die persoonsgegevens verwerkt namens de Klant.

  • "Persoonsgegevens van de Klant": Alle persoonsgegevens die door ISMS Copilot namens de Klant worden verwerkt, inclusief de inhoud van gesprekken, geüploade documenten en bijbehorende metadata.

  • "Subverwerker": Elke externe verwerker die door ISMS Copilot wordt ingeschakeld om persoonsgegevens van de Klant te verwerken.

  • "Betrokkene": De geïdentificeerde of identificeerbare natuurlijke persoon op wie de persoonsgegevens van de Klant betrekking hebben.

  • "Verwerking": Elke bewerking die op persoonsgegevens wordt uitgevoerd, inclusief het verzamelen, opslaan, gebruiken, verstrekken of verwijderen.

  • "Inbreuk in verband met persoonsgegevens": Een beveiligingsinbreuk die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of toegang tot persoonsgegevens van de Klant.

1. Reikwijdte en Toepasbaarheid

1.1 Toepassing van de VGA

Deze VGA is van toepassing op alle verwerkingen van persoonsgegevens van de Klant door ISMS Copilot in het kader van het leveren van de platformdiensten zoals beschreven in de Servicevoorwaarden.

1.2 Onderwerp van de Verwerking

ISMS Copilot verwerkt persoonsgegevens van de Klant om AI-gestuurde ondersteuning bij naleving te bieden, waaronder:

  • Het verwerken van gebruikersvragen en het genereren van AI-antwoorden

  • Het opslaan van de gespreksgeschiedenis en context

  • Het analyseren van geüploade compliance-documenten

  • Het onderhouden van workspace-configuraties en aangepaste instructies

1.3 Duur van de Verwerking

De verwerking duurt voort gedurende het actieve abonnement van de Klant en volgens de door de Klant geconfigureerde bewaarperiode (1 dag tot 7 jaar, of "voor altijd bewaren"). Bij beëindiging worden alle persoonsgegevens van de Klant binnen 30 dagen verwijderd, tenzij een langere bewaring wettelijk vereist is.

1.4 Aard en Doel van de Verwerking

  • Aard: Geautomatiseerde verwerking met behulp van AI-modellen, database-opslag en bestandsverwerking

  • Doel: Het bieden van compliance-begeleiding, documentanalyse, beleidsgeneratie en kennisbeheer volgens instructies van de Klant

1.5 Categorieën van Betrokkenen

  • Werknemers en geautoriseerde gebruikers van de Klant

  • Cliënten en eindgebruikers van de Klant (indien vermeld in geüploade documenten of vragen)

  • Individuen waarnaar verwezen wordt in compliance-documentatie

  • Betrokkenen bij beveiligingsincidenten

1.6 Categorieën Persoonsgegevens

  • Gebruikersaccountinformatie (e-mailadressen, inloggegevens)

  • Gespreksinhoud en AI-interacties

  • Inhoud van geüploade documenten (beleid, procedures, auditrapporten)

  • Workspace-configuraties en aangepaste instructies

  • Gebruiksmetadata en tijdstempels

  • Mogelijk bijzondere categorieën gegevens (Artikel 9 AVG) indien geüpload door de Klant

De Klant is verantwoordelijk voor het waarborgen van een passende rechtsgrondslag en beveiligingsmaatregelen voordat bijzondere categorieën gegevens (Artikel 9 AVG) worden geüpload, zoals rapporten over beveiligingsincidenten die gezondheidsgegevens, werknemersinformatie of andere gevoelige categorieën bevatten.

2. Verplichtingen van de Verwerker (Artikel 28, lid 3 AVG)

2.1 Instructies voor Verwerking

ISMS Copilot verwerkt persoonsgegevens van de Klant uitsluitend op basis van gedocumenteerde instructies van de Klant, waaronder:

  • Instructies gegeven via de platforminterface (vragen, uploads, workspace-configuraties)

  • Instellingen voor gegevensbewaring geconfigureerd door de Klant

  • Selectie van de Modus voor Geavanceerde Gegevensbescherming (alleen EU versus standaard AI-verwerking)

  • Verzoeken tot verwijdering ingediend via het platform of support

Verboden Verwerking: Het is ISMS Copilot en haar AI-subverwerkers (xAI, OpenAI, Mistral AI) contractueel verboden om persoonsgegevens van de Klant te gebruiken om AI-modellen te trainen, te verbeteren of te ontwikkelen. Dit verbod is opgenomen in alle overeenkomsten met AI-subverwerkers.

Indien ISMS Copilot van mening is dat een instructie in strijd is met de AVG of andere wetgeving inzake gegevensbescherming, zullen wij de Klant hiervan onmiddellijk op de hoogte stellen en hebben wij het recht de verwerking op te schorten totdat de instructie is bevestigd of gewijzigd. Indien de Klant een instructie bevestigt waarvan ISMS Copilot redelijkerwijs vermoedt dat deze in strijd is met de toepasselijke wetgeving, kan ISMS Copilot weigeren de instructie uit te voeren en, indien het meningsverschil niet kan worden opgelost, de betreffende verwerkingsactiviteiten beëindigen met een opzegtermijn van 30 dagen.

2.2 Vertrouwelijkheid van de Verwerking

ISMS Copilot ziet erop toe dat alle personen die geautoriseerd zijn om persoonsgegevens van de Klant te verwerken:

  • Gebonden zijn aan vertrouwelijkheidsverplichtingen (contractueel of wettelijk)

  • Passende training hebben ontvangen over gegevensbescherming

  • Alleen toegang hebben tot gegevens op basis van het 'need-to-know'-principe

  • Gedocumenteerde procedures voor gegevensverwerking volgen

2.3 Technische en Organisatorische Maatregelen (Artikel 32 AVG)

ISMS Copilot implementeert passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, waaronder:

Toegangscontrolemaatregelen:

  • Beveiliging op rij-niveau in de database die toegang tot gegevens van andere gebruikers voorkomt

  • Gebruikersauthenticatie vereist voor alle beveiligde bronnen

  • Workspace-isolatie die kruisbesmetting van klantgegevens voorkomt

  • Ondersteuning voor multifactorauthenticatie (MFA)

  • Automatische time-outcontroles voor sessies

Versleutelingsmaatregelen:

  • TLS 1.3-versleuteling voor gegevens tijdens verzending

  • Database-versleuteling in rust (at rest)

  • Hashing van wachtwoorden met industriestandaard algoritmen (onomkeerbaar)

  • Versleutelde bestandsopslag in Supabase

Maatregelen voor Dataminimalisatie:

  • Alleen essentiële gegevens worden verzameld (e-mail, berichten, bestanden)

  • Geen onnodige demografische of contactgegevens verzameld

  • Analytics geconfigureerd met sendDefaultPii: false

  • Door de klant beheerde bewaarperioden met geautomatiseerde verwijdering

Beschikbaarheid en Veerkracht:

  • Geautomatiseerde databaseback-ups

  • Procedures voor noodherstel (disaster recovery)

  • 24/7 monitoring en alarmering via Sentry

  • Real-time uptime-meting via BetterStack met directe Slack-meldingen

  • Publieke statuspagina voor transparantie (status.ismscopilot.com)

  • Progressieve escalatie bij incidenten via e-mail en SMS

Testen en Evalueren:

  • Regelmatige beveiligingsbeoordelingen

  • Continue monitoring en logboekregistratie van fouten

  • Geautomatiseerd testen van gegevensverwijdering

  • Verificatieprocedures voor toegangscontrole

Raadpleeg voor gedetailleerde technische en organisatorische maatregelen ons Register van Verwerkingsactiviteiten (RVA) of bezoek onze Security-collectie.

2.4 Inschakelen van Subverwerkers

Algemene Machtiging: De Klant verleent ISMS Copilot een algemene machtiging om subverwerkers in te schakelen voor de verwerking van persoonsgegevens van de Klant, onder de voorwaarden in dit onderdeel.

Huidige Subverwerkers: De volledige lijst van subverwerkers wordt bijgehouden in ons Register van Verwerkingsactiviteiten en bevat onder andere:

Subverwerker

Doel

Locatie

VGA-status

Supabase (PostgreSQL + Storage)

Database en bestandsopslag

EU (Frankfurt)

✓ AVG-conform

Anthropic (Claude), xAI (Grok), OpenAI (GPT) *

AI-verwerking (Standaardmodus)

Verenigde Staten

✓ Geen training op gegevens

Mistral AI *

AI-verwerking (Geavanceerde Gegevensbescherming)

Europese Unie

✓ AVG-conform

Stripe

Betalingsverwerking

Wereldwijd (EU VGA)

✓ AVG-conform

ConvertAPI

Documentconversie

EU-endpoint

✓ AVG-conform

✓ ISO 27001:2022 gecertificeerd

✓ Getekende VGA met Better ISMS

PostHog

Productanalyse

EU (Frankfurt)

✓ AVG-conform

Sentry

Foutmonitoring

Duitsland

✓ AVG-conform

Vercel

Frontend-hosting

Wereldwijd CDN

✓ AVG-conform

Fly.io

Backend API-hosting

EU-implementatie

✓ AVG-conform

SendGrid (Twilio)

E-mailcommunicatie

VS (SCC)

✓ AVG + SCC

Kit (ConvertKit)

E-mailcommunicatie

VS (SCC)

✓ AVG + SCC

* Configureerbaar door gebruiker: Slechts ÉÉN AI-verwerker is tegelijkertijd actief, afhankelijk van de instelling van de 'Geavanceerde Gegevensbescherming' van de Klant.

Vereisten voor Subverwerkers: ISMS Copilot garandeert dat alle subverwerkers:

  • Voldoende garanties bieden voor naleving van de AVG

  • Instemmen met voorwaarden voor gegevensverwerking die substantieel gelijkwaardig zijn aan deze VGA

  • Passende technische en organisatorische maatregelen implementeren

  • Onderworpen blijven aan toezicht en auditrechten van ISMS Copilot

Wijzigingen van Subverwerkers:

  • ISMS Copilot zal Klanten ten minste 30 dagen vantevoren op de hoogte stellen van het toevoegen of vervangen van subverwerkers

  • Meldingen worden verzonden via e-mail en via aankondigingen in de app

  • Klanten kunnen binnen 30 dagen bezwaar maken tegen nieuwe subverwerkers

  • Indien de Klant bezwaar maakt, zal ISMS Copilot de nieuwe subverwerker niet gebruiken of de Klant toestaan de dienst zonder boete te beëindigen

Abonneer u op meldingen over wijzigingen van subverwerkers door uw e-mailvoorkeuren in Instellingen te controleren. Bijgewerkte lijsten van subverwerkers zijn altijd beschikbaar in het Register van Verwerkingsactiviteiten.

2.5 Ondersteuning bij Rechten van Betrokkenen

ISMS Copilot zal de Klant ondersteunen bij het reageren op verzoeken van betrokkenen, waaronder:

ISMS Copilot zal reageren op verzoeken van de Klant om assistentie bij de rechten van betrokkenen binnen de hieronder gespecificeerde termijnen. De Klant blijft verantwoordelijk voor het halen van de reactietermijn van één maand van de AVG jegens betrokkenen (Artikel 12, lid 3).

Recht op Inzage (Artikel 15):

  • Zelfbedieningstoegang tot alle gesprekken en bestanden via het platform

  • Volledige gegevensexport in JSON-formaat beschikbaar op aanvraag bij support (binnen 72 uur)

Recht op Rectificatie (Artikel 16):

  • Zelfbedieningsupdates voor accountinstellingen

  • Via support ondersteunde wijzigingen van e-mailadressen (binnen 30 dagen)

Recht op Gegevenswissing (Artikel 17):

  • Verzoeken voor het verwijderen van accounts verwerkt via support

  • Volledige gegevensverwijdering binnen 30 dagen

  • Bevestiging aan de Klant na voltooiing

Recht op Overdraagbaarheid van Gegevens (Artikel 20):

  • Machineleesbare JSON-export inclusief alle persoonsgegevens van de Klant

  • Geleverd binnen 72 uur (maximaal 5 dagen voor grote accounts)

Recht op Beperking van de Verwerking (Artikel 18) en Recht van Bezwaar (Artikel 21):

  • Verwerkt via support op individuele basis

  • Reactie binnen 30 dagen

De Klant is verantwoordelijk voor het verifiëren van de identiteit van de betrokkene alvorens inzage of export van gegevens aan te vragen. ISMS Copilot biedt de tools en processen, maar de Klant behoudt de primaire verantwoordelijkheid voor het reageren op verzoeken van betrokkenen.

2.6 Melding van een Inbreuk in verband met Persoonsgegevens

In het geval van een inbreuk in verband met persoonsgegevens die de gegevens van de Klant treft, zal ISMS Copilot:

Detectie en Beoordeling:

  • Continu monitoren op beveiligingsincidenten via Sentry en geautomatiseerde alarmering

  • Binnen 24 uur na detectie een beoordeling van het beveiligingsincident uitvoeren

  • Het risico en de potentiële impact op de persoonsgegevens van de Klant beoordelen

Melding aan de Klant:

  • De Klant binnen 48 uur na bevestiging dat een inbreuk de persoonsgegevens van de Klant treft, informeren

  • Bij vermoedelijke inbreuken die nog worden onderzocht, een voorlopige melding binnen 24 uur verstrekken, met updates zodra informatie beschikbaar komt

  • Een beschrijving geven van de inbreuk, inclusief categorieën en geschatte aantallen getroffen betrokkenen

  • De waarschijnlijke gevolgen van de inbreuk beschrijven

  • De genomen of voorgestelde maatregelen uiteenzetten om de inbreuk aan te pakken en de effecten ervan te verzachten

  • Een contactpunt verstrekken voor verdere informatie

Medewerking:

  • Meewerken aan het onderzoek van de Klant en de inspanningen voor herstel

  • Redelijke bijstand verlenen aan de Klant bij de melding aan toezichthoudende autoriteiten en betrokkenen

  • Alle inbreuken en herstelmaatregelen documenteren

De Klant blijft verantwoordelijk voor het bepalen of melding aan toezichthoudende autoriteiten (binnen 72 uur conform Artikel 33) en betrokkenen (Artikel 34) vereist is. ISMS Copilot verstrekt informatie ter ondersteuning van de besluitvorming en verplichtingen van de Klant.

2.7 Ondersteuning bij Gegevensbeschermingseffectbeoordelingen (GEB/DPIA)

ISMS Copilot zal redelijke hulp bieden wanneer de Klant een gegevensbeschermingseffectbeoordeling uitvoert of een voorafgaande raadpleging bij een toezichthoudende autoriteit doet, waaronder:

  • Het ter referentie verstrekken van het Register van Verwerkingsactiviteiten

  • Het beschrijven van de geïmplementeerde technische en organisatorische maatregelen

  • Het verduidelijken van gegevensstromen en subverwerkersovereenkomsten

  • Het beantwoorden van specifieke vragen over verwerkingsactiviteiten

2.8 Verwijdering en Teruggave van Gegevens

Bij beëindiging van de diensten of op verzoek van de Klant zal ISMS Copilot:

Standaard Verwijdering (Standaard):

  • Alle persoonsgegevens van de Klant binnen 30 dagen na beëindiging verwijderen

  • Back-upgegevens overschrijven binnen 90 dagen

  • Op verzoek een schriftelijke bevestiging van verwijdering verstrekken

Gegevens-export vóór Verwijdering:

  • De Klant kan vóór beëindiging een volledige gegevensexport aanvragen

  • Export geleverd in JSON-formaat binnen 72 uur

  • De verwijdering vindt plaats na bevestiging van ontvangst van de export

Uitzonderingen voor Wettelijke Bewaring:

  • Geanonimiseerde factuurgegevens worden gedurende 7 jaar bewaard (fiscale en boekhoudkundige naleving)

  • Geanonimiseerde analysegegevens kunnen worden bewaard

  • Inhoud die is gemarkeerd door geautomatiseerde moderatiesystemen wordt maximaal 1 jaar bewaard voor wettelijke naleving en veiligheidscontrole van het platform (zie Privacybeleid, sectie Contentmoderatie)

  • Gegevens die krachtens toepasselijke wetgeving moeten worden bewaard, worden geïsoleerd en beveiligd totdat de wettelijke bewaartermijn is verstreken

2.9 Auditrechten

De Klant heeft het recht om de naleving van deze VGA door ISMS Copilot te controleren, met inachtneming van redelijke beperkingen:

Beoordeling van Documentatie:

  • De Klant kan publiekelijk beschikbare compliancedocumentatie inlezen in onze Security-collectie

  • Aanvullende documentatie opvragen via support (bijv. subverwerkersovereenkomsten, beveiligingsbeleid)

  • Op elk gewenst moment het Register van Verwerkingsactiviteiten inzien

Audits op Locatie:

  • De Klant kan audits op locatie uitvoeren met een schriftelijke kennisgeving van 60 dagen vantevoren

  • Maximaal één audit per jaar, tenzij noodzakelijk door een datalek

  • Audits moeten tijdens kantooruren worden uitgevoerd en mogen de bedrijfsvoering niet hinderen

  • De Klant is verantwoordelijk voor de auditkosten, tenzij de audit niet-naleving aantoont die: (a) een inbreuk in verband met persoonsgegevens vormt, of (b) een systematische tekortkoming inhoudt bij het implementeren van gedocumenteerde beveiligingsmaatregelen, of (c) resulteert in handhaving door toezichthouders. In dergelijke gevallen zal ISMS Copilot de redelijke auditkosten dragen die zijn gemaakt nadat de niet-naleving werd vastgesteld.

  • Resultaten blijven vertrouwelijk en mogen niet worden gedeeld, behalve als de wet dit vereist

Certificeringen door Derden:

  • ISMS Copilot zal relevante beveiligingscertificeringen behalen en onderhouden (ISO 27001 in voorbereiding)

  • Certificeringsrapporten kunnen op aanvraag gedeeld worden onder een NDA

  • Klanten mogen vertrouwen op certificeringen door derden in plaats van het uitvoeren van eigen audits

3. Internationale Doorgifte van Gegevens

3.1 Mechanismen voor Gegevensoverdracht

ISMS Copilot verwerkt persoonsgegevens van de Klant in overeenstemming met Hoofdstuk V van de AVG:

Primaire Opslag (Altijd in de EU):

  • Alle database-opslag vindt plaats in Frankfurt, Duitsland (AWS EU-Central-1)

  • Gespreksgeschiedenis, geüploade bestanden en accountgegevens blijven in de EU

  • Geen adequaatheidsbesluit vereist voor primaire opslag

AI-verwerking (Configureerbaar door Klant):

Wanneer de Modus voor Geavanceerde Gegevensbescherming AAN staat: AI-verwerking vindt plaats binnen de EU via Mistral AI met nul gegevensbewaring. Er vindt geen internationale gegevensoverdracht plaats voor AI-verwerking.

Wanneer de Modus voor Geavanceerde Gegevensbescherming UIT staat (standaard): de inhoud van gesprekken wordt naar de Verenigde Staten gezonden voor AI-verwerking via xAI/OpenAI met een bewaring van 30 dagen. Standard Contractual Clauses (SCC's) zijn van toepassing op deze overdrachten.

E-mailcommunicatie (gevestigd in de VS):

  • E-mailadressen worden doorgegeven aan SendGrid en Kit (Verenigde Staten)

  • Beschermd door de door de Europese Commissie goedgekeurde Standard Contractual Clauses

  • Klanten kunnen overdrachten minimaliseren door zich af te melden voor niet-essentiële e-mails

3.2 Standard Contractual Clauses (SCC's)

Voor doorgiften naar de Verenigde Staten vertrouwt ISMS Copilot op de Standard Contractual Clauses (Uitvoeringsbesluit (EU) 2021/914 van de Commissie):

  • Klant naar ISMS Copilot: Module Two (Verantwoordelijke naar Verwerker) is van toepassing wanneer de Klant optreedt als verwerkingsverantwoordelijke

  • ISMS Copilot naar Amerikaanse subverwerkers: Module Three (Verwerker naar Verwerker) is van toepassing

  • Toepasselijk recht voor SCC's: Frans recht (Clausule 17, Optie 1)

  • Bevoegde toezichthoudende autoriteit: CNIL, Frankrijk (Clausule 13)

  • Kopieën van getekende SCC's met subverwerkers zijn op aanvraag beschikbaar via support

3.3 Aanvullende Maatregelen

ISMS Copilot implementeert aanvullende maatregelen om gegevens die buiten de EU worden doorgegeven te beschermen:

  • End-to-end versleuteling (TLS 1.3) voor alle gegevens tijdens verzending

  • Contractueel verbod op AI-training met gebruik van klantgegevens

  • Beperkte bewaring door AI-leveranciers (30 dagen voor xAI/OpenAI, nul voor Mistral AI)

  • Mogelijkheid voor de klant om de bestemming van de overdracht te bepalen via de Modus voor Geavanceerde Gegevensbescherming

  • Continue monitoring van juridische ontwikkelingen met betrekking tot internationale doorgiften

3.4 Transfer Impact Assessment (TIA)

ISMS Copilot heeft een Transfer Impact Assessment uitgevoerd voor in de VS gevestigde subverwerkers en heeft vastgesteld dat:

  • Standard Contractual Clauses passende waarborgen bieden onder Hoofdstuk V van de AVG

  • Aanvullende technische maatregelen (versleuteling, beperkte bewaring, gebruikerscontroles) de bescherming verbeteren

  • Klanten de optie hebben om overdrachten voor AI-verwerking naar de VS volledig te vermijden door de Modus voor Geavanceerde Gegevensbescherming in te schakelen (alleen EU-verwerking met nul bewaring)

  • E-mailoverdrachten naar Amerikaanse providers (SendGrid, Kit) blijven bestaan ongeacht de instelling, maar zijn beschermd door SCC's en versleuteling

  • Er is geen bewijs dat subverwerkers verzoeken van overheden tot inzage in klantgegevens hebben ontvangen

De volledige Transfer Impact Assessment, inclusief risicobeoordelingsmethodologie en analyse van de Amerikaanse surveillancewetgeving, is beschikbaar onder Transfer Impact Assessment.

Organisaties met strikte eisen voor EU-dataroaming wordt aangeraden de Modus voor Geavanceerde Gegevensbescherming in te schakelen om AI-verwerkingsoverdrachten te elimineren en TIA-verplichtingen te vereenvoudigen. E-mailoverdrachten naar VS-providers blijven bestaan, maar kunnen worden geminimaliseerd door afmelding voor niet-essentiële communicatie. Zie onze Transfer Impact Assessment voor details.

4. Verplichtingen van de Klant als Verwerkingsverantwoordelijke

4.1 Rechtmatigheid van de Instructies voor Verwerking

De Klant garandeert dat:

  • Alle instructies voor verwerking voldoen aan de AVG en toepasselijke wetgeving inzake gegevensbescherming

  • De Klant een rechtmatige grondslag heeft voor de verwerking van alle naar het platform geüploade persoonsgegevens

  • De Klant de betrokkenen heeft geïnformeerd over de verwerking en hun rechten

  • De Klant passende registers van verwerkingsactiviteiten bijhoudt (Artikel 30 AVG)

4.2 Bijzondere Categorieën Gegevens

Indien de Klant bijzondere categorieën gegevens uploadt (Artikel 9 AVG), bevestigt de Klant dat:

  • Aan de toepasselijke voorwaarden van Artikel 9 is voldaan (bijv. uitdrukkelijke toestemming, rechtsvorderingen, zwaarwegend algemeen belang)

  • Extra waarborgen zijn getroffen zoals vereist door de wet

  • De Klant een gegevensbeschermingseffectbeoordeling (GEB) heeft uitgevoerd indien vereist

4.3 Beheer van Rechten van Betrokkenen

De Klant is verantwoordelijk voor:

  • Het ontvangen van en reageren op verzoeken over de rechten van betrokkenen

  • Het verifiëren van de identiteit van de betrokkene voordat gegevens worden opgevraagd bij ISMS Copilot

  • Het bepalen of toezichthoudende autoriteiten en betrokkenen moeten worden geïnformeerd in geval van inbreuken

  • Het waarborgen dat betrokkenen worden geïnformeerd over de rol van ISMS Copilot als verwerker

4.4 Configuratie van Gegevensbewaring

De Klant moet:

  • Passende bewaarperioden voor gegevens configureren die overeenkomen met hun gegevensbeschermingsbeleid

  • De bewaarinstellingen periodiek controleren om naleving te waarborgen

  • Verzoeken om verwijdering indienen wanneer gegevens niet langer noodzakelijk zijn voor het oorspronkelijke doel

4.5 Workspace-isolatie

De Klant dient:

  • Aparte workspaces te creëren voor verschillende cliënten of gegevenscategorieën

  • Het mixen van persoonsgegevens van verschillende betrokkenen in één workspace te vermijden

  • Workspaces te verwijderen wanneer projecten zijn voltooid en gegevens niet langer nodig zijn

5. Aansprakelijkheid en Vrijwaring

5.1 Toerekening van Aansprakelijkheid

Onder Artikel 82 AVG:

  • De Klant en ISMS Copilot zijn elk aansprakelijk voor schade veroorzaakt door hun eigen schendingen van de AVG

  • ISMS Copilot is vrijgesteld van aansprakelijkheid indien zij bewijst op geen enkele wijze verantwoordelijk te zijn voor het schadebrengende feit

  • ISMS Copilot is niet aansprakelijk voor schade die voortvloeit uit onrechtmatige verwerkingsinstructies van de Klant

5.2 Vrijwaring

De Klant zal ISMS Copilot vrijwaren tegen alle claims, boetes of schade voortvloeiend uit:

  • Schending van de AVG of andere gegevensbeschermingswetten door de Klant

  • Onrechtmatige verwerkingsinstructies van de Klant

  • Het nalaten door de Klant om noodzakelijke toestemmingen of een rechtsgrondslag voor verwerking te verkrijgen

  • Het uploaden door de Klant van bijzondere categorieën gegevens zonder passende waarborgen

6. Duur en Beëindiging

6.1 Duur

Deze VGA treedt in werking op de datum waarop de Klant voor het eerst gebruikmaakt van de diensten van ISMS Copilot en duurt voort zolang ISMS Copilot persoonsgegevens van de Klant verwerkt.

6.2 Beëindiging

Deze VGA eindigt automatisch bij:

  • Beëindiging van de Servicevoorwaarden

  • Voltooiing van alle verwerkingsactiviteiten en verwijdering van persoonsgegevens van de Klant

6.3 Gevolgen van Beëindiging

Bij beëindiging:

  • Zal ISMS Copilot alle persoonsgegevens van de Klant verwijderen of retourneren zoals beschreven in Sectie 2.8

  • Blijven verplichtingen met betrekking tot vertrouwelijkheid, gegevensbeveiliging en wettelijke bewaring van kracht na beëindiging

  • Blijft het auditrecht van de Klant gedurende 12 maanden na beëindiging van kracht

7. Wijzigingen en Updates

7.1 Updates van de VGA

ISMS Copilot kan deze VGA bijwerken om de volgende zaken te weerspiegelen:

  • Wijzigingen in wetgeving inzake gegevensbescherming of richtlijnen van toezichthouders

  • Wijzigingen aan verwerkingsactiviteiten of subverwerkers

  • Verbeteringen van beveiligingsmaatregelen of praktijken voor gegevensbescherming

7.2 Kennisgeving van Wijzigingen

  • Materiële wijzigingen worden ten minste 30 dagen vantevoren gemeld via e-mail en notificaties in de app

  • De bijgewerkte VGA wordt op deze URL geplaatst met een nieuwe "Ingangsdatum"

  • Voortgezet gebruik van de diensten na de ingangsdatum houdt acceptatie van de bijgewerkte VGA in

7.3 Recht op Bezwaar

  • De Klant kan binnen 30 dagen na kennisgeving bezwaar maken tegen materiële wijzigingen

  • Indien de Klant bezwaar maakt, kan deze de dienst zonder boete beëindigen

8. Toepasselijk Recht en Jurisdictie

8.1 Toepasselijk Recht

Op deze VGA is het volgende van toepassing:

  • De Algemene Verordening Gegevensbescherming (EU) 2016/679

  • De Franse wet op de gegevensbescherming (Loi Informatique et Libertés nr. 78-17 van 6 januari 1978)

  • De wetten van Frankrijk voor contractuele interpretatie

8.2 Jurisdictie

Alle geschillen die voortvloeien uit deze VGA zijn onderworpen aan de bevoegdheid van de Franse rechtbanken, waarbij de toezichthoudende autoriteit de Commission Nationale de l'Informatique et des Libertés (CNIL) is.

9. Contactinformatie

9.1 Contactpersonen Gegevensbescherming

Voor vragen of verzoeken met betrekking tot de VGA:

  • Neem contact op met support via het Helpcenter (toegankelijk via het gebruikersmenu)

  • E-mail vanaf uw geregistreerde e-mailadres

  • Vermeld "DPA Request" of "Verwerkersovereenkomst" in de onderwerpregel

9.2 Contactpersoon Gegevensbescherming

ISMS Copilot heeft geen Functionaris voor Gegevensbescherming aangesteld, aangezien wij niet voldoen aan de criteria voor verplichte aanstelling onder AVG Artikel 37. Voor vragen over gegevensbescherming met betrekking tot deze VGA kunt u contact met ons opnemen via [email protected] of via het Helpcenter.

9.3 Toezichthoudende Autoriteit

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Website: https://www.cnil.fr/en

  • Adres: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankrijk

  • Telefoon: +33 1 53 73 22 22

10. Aanvullende Bronnen

Ondersteunende Documentatie

  • Register van Verwerkingsactiviteiten (RVA) - Gedetailleerde verwerkingsactiviteiten en subverwerkers

  • Transfer Impact Assessment (TIA) - Risicobeoordeling en waarborgen voor internationale gegevensoverdracht

  • Privacybeleid - Privacyverklaring voor consumenten

  • Gegevensprivacy & AVG-naleving - Gids voor gebruikersrechten en AVG-implementatie

  • Security-collectie - Uitgebreide documentatie over beveiliging en naleving

  • Statuspagina - Real-time systeembeschikbaarheid en incidentmeldingen

Configuratiegidsen

  • Modus voor Geavanceerde Gegevensbescherming - Activeer AI-verwerking uitsluitend in de EU

  • Gids voor Workspace-setup - Isoleer klantgegevens op de juiste manier

  • Gids voor Accountbeveiliging - Implementeer sterke authenticatie

Bijlage A: Samenvatting van Verwerkingsgegevens

Onderwerp

Verstrekking van een AI-gestuurd online platform voor ondersteuning bij naleving, inclusief gespreksverwerking, documentanalyse en kennisbeheer.

Duur

Gedurende de looptijd van het actieve abonnement van de Klant plus de door de Klant geconfigureerde bewaartermijn (1 dag tot 7 jaar), gevolgd door een periode voor verwijdering van 30 dagen.

Aard en Doel

  • Aard: Geautomatiseerde AI-verwerking, database-opslag, bestandsconversie en -analyse

  • Doel: Compliance-professionals in staat stellen AI-begeleiding te ontvangen, documenten te analyseren, beleid te genereren en compliance-kennis te beheren

Categorieën van Betrokkenen

  • Werknemers van de Klant en geautoriseerde platformgebruikers

  • Cliënten van de Klant (indien vermeld in documenten of vragen)

  • Individuen genoemd in compliance-documentatie

  • Betrokkenen bij beveiligingsincidenten

Categorieën Persoonsgegevens

  • Contactgegevens (e-mailadressen)

  • Inloggegevens (gehashte wachtwoorden)

  • Gespreksinhoud en AI-interacties

  • Geüploade compliance-documenten

  • Gebruiksmetadata en tijdstempels

  • Mogelijk bijzondere categorieën gegevens (Artikel 9) indien geüpload door de Klant

Bijlage B: Wijzigingslogboek Subverwerkers

In deze bijlage worden alle toevoegingen, verwijderingen en wijzigingen van subverwerkers bijgehouden sinds de ingangsdatum van de VGA. Klanten worden 30 dagen voordat wijzigingen van kracht worden op de hoogte gesteld.

Actueel per november 2025

Initiële lijst van subverwerkers vastgesteld. Zie Sectie 2.4 en het Register van Verwerkingsactiviteiten voor de volledige actuele lijst.

Toekomstige Wijzigingen

Alle wijzigingen aan subverwerkers worden hier gedocumenteerd met:

  • Ingangsdatum van de wijziging

  • Naam en locatie van de subverwerker

  • Aard van de wijziging (toevoeging, verwijdering, vervanging)

  • Doel van de verwerking

  • Datum kennisgeving aan de Klant

Hulp Krijgen

Voor vragen over deze Verwerkersovereenkomst:

  • Raadpleeg het Register van Verwerkingsactiviteiten voor technische details over de verwerking

  • Neem contact op met support via het Helpcenter voor verduidelijking

  • Vraag via support aanvullende documentatie aan (bijv. SCC's, beveiligingsbeleid)

  • Bezoek onze Security-collectie voor uitgebreide compliance-bronnen

  • Vermeld "DPA Request" in uw onderwerpregel voor een snelle afhandeling

Was dit nuttig?