ISMS Copilot
Juridisch

Verwerkersovereenkomst (VGA) - Bijgewerkt

Overzicht

Deze Verwerkersovereenkomst ("VGA") maakt deel uit van de servicevoorwaarden tussen u (de "Klant" of "Verwerkingsverantwoordelijke") en ISMS Copilot (de "Verwerker") voor het gebruik van het ISMS Copilot AI-complianceplatform. Deze VGA voldoet aan artikel 28 van de Algemene Verordening Gegevensbescherming (AVG) en regelt de verwerking van persoonsgegevens namens de Klant.

Ingangsdatum: november 2025. Deze VGA is automatisch van toepassing op alle klanten van ISMS Copilot die persoonsgegevens verwerken via het platform. Er is geen afzonderlijke handtekening vereist - uw gebruik van de service houdt acceptatie in.

Voor wie is dit bedoeld

Deze Verwerkersovereenkomst is voor:

  • Organisaties die ISMS Copilot gebruiken om persoonsgegevens te verwerken

  • Compliance-consultants die klantgegevens via het platform beheren

  • Functionarissen voor gegevensbescherming die leveranciersbeoordelingen uitvoeren

  • Juridische en inkoopteams die afspraken over gegevensverwerking evalueren

  • Auditoren die de naleving van AVG Artikel 28 controleren

Definities

Kernbegrippen

  • "Klant" of "Verwerkingsverantwoordelijke": De organisatie of het individu dat zich abonneert op de diensten van ISMS Copilot en de doeleinden en middelen voor de verwerking van persoonsgegevens vaststelt.

  • "Verwerker": ISMS Copilot, die persoonsgegevens verwerkt namens de Klant.

  • "Persoonsgegevens van de Klant": Alle persoonsgegevens die door ISMS Copilot namens de Klant worden verwerkt, inclusief gespreksonderwerpen, geüploade documenten en bijbehorende metadata.

  • "Subverwerker": Elke externe verwerker die door ISMS Copilot wordt ingeschakeld om persoonsgegevens van de Klant te verwerken.

  • "Betrokkene": De geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens van de Klant betrekking hebben.

  • "Verwerking": Elke bewerking die op persoonsgegevens wordt uitgevoerd, inclusief verzamelen, opslaan, gebruiken, verstrekken of verwijderen.

  • "Inbreuk in verband met persoonsgegevens": Een beveiligingsinbreuk die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot Persoonsgegevens van de Klant.

1. Reikwijdte en toepasbaarheid

1.1 Toepassing van de VGA

Deze VGA is van toepassing op alle verwerkingen van Persoonsgegevens van de Klant door ISMS Copilot in het kader van het leveren van de platformdiensten zoals beschreven in de Servicevoorwaarden.

1.2 Onderwerp van de verwerking

ISMS Copilot verwerkt Persoonsgegevens van de Klant om AI-gestuurde compliance-ondersteuning te bieden, waaronder:

  • Verwerken van gebruikersvragen en genereren van AI-antwoorden

  • Opslaan van gespreksgeschiedenis en context

  • Analyseren van geüploade compliance-documenten

  • Onderhouden van workspace-configuraties en aangepaste instructies

1.3 Duur van de verwerking

De verwerking duurt voort voor de duur van het actieve abonnement van de Klant en volgens de door de Klant geconfigureerde bewaarperiode (1 dag tot 7 jaar, of "voor altijd bewaren"). Bij beëindiging worden alle Persoonsgegevens van de Klant binnen 30 dagen verwijderd, tenzij een langere bewaring wettelijk vereist is.

1.4 Aard en doel van de verwerking

  • Aard: Geautomatiseerde verwerking met behulp van AI-modellen, databaseopslag en bestandsverwerking

  • Doel: Het bieden van compliance-begeleiding, documentanalyse, beleidsgeneratie en kennisbeheer volgens instructies van de Klant

1.5 Categorieën betrokkenen

  • Werknemers en geautoriseerde gebruikers van de Klant

  • Cliënten en eindgebruikers van de Klant (indien vermeld in geüploade documenten of vragen)

  • Individuen waarnaar wordt verwezen in compliance-documentatie

  • Betrokkenen bij beveiligingsincidenten

1.6 Categorieën persoonsgegevens

  • Gebruikersaccountinformatie (e-mailadressen, inloggegevens)

  • Gespreksinhoud en AI-interacties

  • Inhoud van geüploade documenten (beleid, procedures, auditrapporten)

  • Workspace-configuraties en aangepaste instructies

  • Gebruiksmetadata en tijdstempels

  • Mogelijk bijzondere categorieën gegevens (Artikel 9 AVG) indien geüpload door de Klant

De Klant is verantwoordelijk voor het waarborgen van een passende rechtsgrondslag en beveiligingsmaatregelen voordat bijzondere categorieën gegevens (Artikel 9 AVG) worden geüpload, zoals rapporten over beveiligingsincidenten die gezondheidsgegevens, werknemersinformatie of andere gevoelige categorieën bevatten.

2. Verplichtingen van de Verwerker (Artikel 28 lid 3 AVG)

2.1 Verwerkingsinstructies

ISMS Copilot verwerkt Persoonsgegevens van de Klant uitsluitlijk op basis van gedocumenteerde instructies van de Klant, waaronder:

  • Instructies gegeven via de platforminterface (vragen, documentuploads, workspace-configuraties)

  • Instellingen voor gegevensbewaring geconfigureerd door de Klant

  • Selectie van Advanced Data Protection Mode (alleen EU versus standaard AI-verwerking)

  • Verwijderingsverzoeken ingediend via het platform of support

Verboden verwerking: Het is ISMS Copilot en haar AI-subverwerkers (xAI, OpenAI, Mistral AI) contractueel verboden om Persoonsgegevens van de Klant te gebruiken om AI-modellen te trainen, te verbeteren of te ontwikkelen. Dit verbod is opgenomen in alle overeenkomsten met AI-subverwerkers.

Indien ISMS Copilot van mening is dat een instructie in strijd is met de AVG of andere wetgeving inzake gegevensbescherming, zullen wij de Klant hiervan onmiddellijk op de hoogte stellen en hebben wij het recht de verwerking op te schorten totdat de instructie is bevestigd of gewijzigd. Indien de Klant een instructie bevestigt waarvan ISMS Copilot redelijkerwijs aanneemt dat deze in strijd is met de toepasselijke wetgeving, kan ISMS Copilot weigeren de instructie uit te voeren en, indien het geschil niet kan worden opgelost, de betreffende verwerkingsactiviteiten beëindigen met een opzegtermijn van 30 dagen.

2.2 Vertrouwelijkheid van de verwerking

ISMS Copilot waarborgt dat alle personen die geautoriseerd zijn om Persoonsgegevens van de Klant te verwerken:

  • Gebonden zijn aan vertrouwelijkheidsverplichtingen (contractueel of wettelijk)

  • Passende training hebben ontvangen over gegevensbescherming

  • Alleen toegang hebben tot gegevens op basis van het 'need-to-know'-principe

  • Gedocumenteerde procedures voor gegevensverwerking volgen

2.3 Technische en organisatorische maatregelen (Artikel 32 AVG)

ISMS Copilot implementeert passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, waaronder:

Maatregelen voor toegangscontrole:

  • Beveiliging op rijniveau in de database die toegang tot gegevens tussen gebruikers voorkomt

  • Gebruikersauthenticatie vereist voor alle beveiligde bronnen

  • Workspace-isolatie die kruisbesmetting van klantgegevens voorkomt

  • Ondersteuning voor multifactorauthenticatie (MFA)

  • Automatische sessie-time-out controles

Versleutelingsmaatregelen:

  • TLS 1.3-versleuteling voor gegevens in beweging (in transit)

  • Databaseversleuteling in rust (at rest)

  • Wachtwoordhashing met behulp van standaardalgoritmen (onomkeerbaar)

  • Versleutelde bestandsopslag in Supabase

Gegevensminimalisatie:

  • Alleen essentiële gegevens worden verzameld (e-mail, berichten, bestanden)

  • Geen onnodige demografische of contactgegevens verzameld

  • Analytics geconfigureerd met sendDefaultPii: false

  • Door de klant beheerde bewaarperioden met geautomatiseerde verwijdering

Beschikbaarheid en veerkracht:

  • Geautomatiseerde databaseback-ups

  • Procedures voor noodherstel (disaster recovery)

  • 24/7 monitoring en waarschuwingen via Sentry

  • Real-time uptime-monitoring via BetterStack met directe Slack-waarschuwingen

  • Openbare statuspagina voor transparantie (status.ismscopilot.com)

  • Progressieve escalatie van incidenten via e-mail en sms

Testen en evalueren:

  • Regelmatige beveiligingsbeoordelingen

  • Continue monitoring van fouten en logging

  • Geautomatiseerde tests voor gegevensverwijdering

  • Procedures voor verificatie van toegangscontrole

Raadpleeg ons Register van Verwerkingsactiviteiten (RopA) of bezoek onze Security Collection voor gedetailleerde technische en organisatorische maatregelen.

2.4 Inschakelen van subverwerkers

Algemene toestemming: De Klant geeft algemene toestemming aan ISMS Copilot om subverwerkers in te schakelen voor de verwerking van Persoonsgegevens van de Klant, onder de voorwaarden in deze sectie.

Huidige subverwerkers: De volledige lijst met subverwerkers wordt bijgehouden in ons Register van Verwerkingsactiviteiten en omvat:

Subverwerker

Doel

Locatie

VGA-status

Supabase (PostgreSQL + Storage)

Database- en bestandsopslag

EU (Frankfurt)

✓ AVG-compliant

Anthropic (Claude), xAI (Grok-3), OpenAI (GPT) *

AI-verwerking (Standaardmodus)

Verenigde Staten

✓ Geen training op data

Mistral AI *

AI-verwerking (Advanced Data Protection)

Europese Unie

✓ AVG-compliant

Stripe

Betalingsverwerking

Wereldwijd (EU VGA)

✓ AVG-compliant

ConvertAPI

Bestandsconversie

EU-endpoint

✓ AVG-compliant

✓ ISO 27001:2022 gecertificeerd

✓ Ondertekende VGA met Better ISMS

PostHog

Productanalyse

EU (Frankfurt)

✓ AVG-compliant

Sentry

Foutmonitoring

Duitsland

✓ AVG-compliant

Vercel

Frontend hosting

Wereldwijd CDN

✓ AVG-compliant

Fly.io

Backend API hosting

EU-implementatie

✓ AVG-compliant

SendGrid (Twilio)

E-mailcommunicatie

VS (SCC)

✓ AVG + SCC

Kit (ConvertKit)

E-mailmarketing/communicatie

VS (SCC)

✓ AVG + SCC

* Door gebruiker configureerbaar: Er is slechts ÉÉN AI-verwerker tegelijk actief, afhankelijk van de Advanced Data Protection Mode-instelling van de Klant.

Eisen aan subverwerkers: ISMS Copilot waarborgt dat alle subverwerkers:

  • Voldoende garanties bieden voor naleving van de AVG

  • Instemmen met voorwaarden voor gegevensverwerking die substantieel gelijkwaardig zijn aan deze VGA

  • Passende technische en organisatorische maatregelen implementeren

  • Onderworpen blijven aan het toezicht en de auditrechten van ISMS Copilot

Wijzigingen in subverwerkers:

  • ISMS Copilot zal Klanten ten minste 30 dagen van tevoren op de hoogte stellen voordat subverwerkers worden toegevoegd of vervangen

  • Meldingen worden verzonden via e-mail en in-app aankondigingen

  • Klanten kunnen binnen 30 dagen bezwaar maken tegen nieuwe subverwerkers

  • Indien de Klant bezwaar maakt, zal ISMS Copilot de nieuwe subverwerker niet gebruiken of de Klant toestaan de service zonder boete te beëindigen

Abonneer u op meldingen over wijzigingen van subverwerkers door uw e-mailvoorkeuren in de Instellingen te controleren. Bijgewerkte lijsten met subverwerkers zijn altijd beschikbaar in het Register van Verwerkingsactiviteiten.

2.5 Bijstand bij rechten van betrokkenen

ISMS Copilot zal de Klant ondersteunen bij het inwilligen van verzoeken om rechten van betrokkenen, waaronder:

ISMS Copilot zal reageren op verzoeken van de Klant om bijstand bij rechten van betrokkenen binnen de hieronder gespecificeerde termijnen. De Klant blijft verantwoordelijk voor het halen van de AVG-reactietermijn van één maand naar betrokkenen (Artikel 12 lid 3).

Recht op inzage (Artikel 15):

  • Self-service toegang tot alle gesprekken en bestanden via het platform

  • Volledige gegevensexport in JSON-formaat beschikbaar op verzoek aan support (binnen 72 uur)

Recht op rectificatie (Artikel 16):

  • Self-service updates van accountinstellingen

  • Door support ondersteunde wijzigingen van e-mailadressen (binnen 30 dagen)

Recht op gegevenswissing (Artikel 17):

  • Verzoeken om accountverwijdering verwerkt via support

  • Volledige gegevensverwijdering binnen 30 dagen

  • Bevestiging verstrekt aan de Klant na voltooiing

Recht op overdraagbaarheid van gegevens (Artikel 20):

  • Machineleesbare JSON-export inclusief alle Persoonsgegevens van de Klant

  • Geleverd binnen 72 uur (tot 5 dagen voor grote accounts)

Recht op beperking van de verwerking (Artikel 18) en Recht van bezwaar (Artikel 21):

  • Verwerkt via support op casusbasis

  • Reactie binnen 30 dagen

De Klant is verantwoordelijk voor het verifiëren van de identiteit van de betrokkene voordat inzage of export wordt gevraagd. ISMS Copilot biedt de tools en processen, maar de Klant behoudt de primaire verantwoordelijkheid voor het reageren op verzoeken van betrokkenen.

2.6 Melding van een gegevenslek

In het geval van een Inbreuk in verband met persoonsgegevens die Persoonsgegevens van de Klant treft, zal ISMS Copilot:

Detectie en beoordeling:

  • Continu monitoren op beveiligingsincidenten via Sentry en geautomatiseerde waarschuwingen

  • Review van het beveiligingsincident uitvoeren binnen 24 uur na detectie

  • Risico en potentiële impact op Persoonsgegevens van de Klant beoordelen

Melding aan de Klant:

  • De Klant binnen 48 uur op de hoogte stellen nadat is bevestigd dat een inbreuk de Persoonsgegevens van de Klant treft

  • Voor vermoedelijke inbreuken die worden onderzocht, een voorlopige melding doen binnen 24 uur met updates zodra informatie beschikbaar komt

  • Een beschrijving geven van de inbreuk, inclusief categorieën en aantallen betrokkenen bij benadering

  • De waarschijnlijke gevolgen van de inbreuk beschrijven

  • De genomen of voorgestelde maatregelen uiteenzetten om de inbreuk aan te pakken en de gevolgen ervan te beperken

  • Een contactpunt opgeven voor verdere informatie

Samenwerking:

  • Samenwerken met de Klant bij onderzoek en herstelwerkzaamheden

  • Redelijke bijstand verlenen aan de melding van de Klant aan toezichthoudende autoriteiten en betrokkenen

  • Alle inbreuken en herstelmaatregelen documenteren

De Klant blijft verantwoordelijk voor het bepalen of een melding aan toezichthoudende autoriteiten (binnen 72 uur volgens Artikel 33) en betrokkenen (Artikel 34) vereist is. ISMS Copilot verstrekt informatie ter ondersteuning van de beslissing en verplichtingen van de Klant.

2.7 Ondersteuning bij gegevensbeschermingseffectbeoordeling (GEB/DPIA)

ISMS Copilot zal redelijke bijstand verlenen wanneer de Klant een gegevensbeschermingseffectbeoordeling of een voorafgaande raadpleging van een toezichthoudende autoriteit uitvoert, waaronder:

  • Het ter beschikking stellen van het Register van Verwerkingsactiviteiten ter referentie

  • Het beschrijven van de geïmplementeerde technische en organisatorische maatregelen

  • Het verduidelijken van gegevensstromen en subverwerkersovereenkomsten

  • Het beantwoorden van specifieke vragen over verwerkingsactiviteiten

2.8 Verwijdering en teruggave van gegevens

Bij beëindiging van de diensten of op verzoek van de Klant zal ISMS Copilot:

Standaard verwijdering (standaard):

  • Alle Persoonsgegevens van de Klant verwijderen binnen 30 dagen na beëindiging

  • Backup-gegevens overschrijven binnen 90 dagen

  • Op verzoek een schriftelijke bevestiging van verwijdering verstrekken

Gegevensexport voor verwijdering:

  • De Klant kan voor beëindiging een volledige gegevensexport aanvragen

  • Export geleverd in JSON-formaat binnen 72 uur

  • Verwijdering vindt plaats na bevestiging van ontvangst van de export

Wettelijke uitzonderingen voor bewaring:

  • Geanonimiseerde factuurgegevens worden 7 jaar bewaard (naleving van fiscale en boekhoudkundige wetgeving)

  • Geanonimiseerde analysegegevens kunnen worden bewaard

  • Inhoud die is gemarkeerd door geautomatiseerde moderatiesystemen wordt maximaal 1 jaar bewaard voor wettelijke naleving en veiligheidscontrole van het platform (zie Privacybeleid, sectie Contentmoderatie)

  • Gegevens die op grond van de toepasselijke wetgeving bewaard moeten blijven, worden geïsoleerd en beschermd totdat de wettelijke bewaartermijn is verstreken

2.9 Auditrechten

De Klant heeft het recht om de naleving van deze VGA door ISMS Copilot te auditen, met inachtneming van redelijke beperkingen:

Documentatiebeoordeling:

  • De Klant kan openbaar beschikbare compliance-documentatie in onze Security Collection bekijken

  • Aanvullende documentatie aanvragen via support (bijv. overeenkomsten met subverwerkers, beveiligingsbeleid)

  • Op elk moment het Register van Verwerkingsactiviteiten inzien

Audits op locatie:

  • De Klant kan audits op locatie uitvoeren met een schriftelijke kennisgeving van 60 dagen vooraf

  • Maximaal één audit per jaar, tenzij noodzakelijk door een gegevenslek

  • Audits moeten worden uitgevoerd tijdens kantooruren en mogen de bedrijfsvoering niet verstoren

  • De Klant is verantwoordelijk voor de auditkosten, tenzij de audit niet-naleving aantoont die: (a) een inbreuk in verband met persoonsgegevens vormt, of (b) een systematisch gebrek aan implementatie van gedocumenteerde beveiligingsmaatregelen inhoudt, of (c) resulteert in handhaving door een toezichthouder. In dergelijke gevallen draagt ISMS Copilot de redelijke auditkosten die zijn gemaakt nadat de niet-naleving is vastgesteld.

  • Resultaten blijven vertrouwelijk en mogen niet worden gedeeld, behalve indien wettelijk vereist

Certificeringen door derden:

  • ISMS Copilot zal relevante beveiligingscertificeringen behalen en behouden (ISO 27001 in aanvraag)

  • Certificeringsrapporten kunnen op verzoek worden gedeeld onder een geheimhoudingsovereenkomst (NDA)

  • Klanten kunnen vertrouwen op certificeringen door derden in plaats van eigen audits uit te voeren

3. Internationale doorgifte van gegevens

3.1 Mechanismen voor gegevensdoorgifte

ISMS Copilot verwerkt Persoonsgegevens van de Klant in overeenstemming met Hoofdstuk V van de AVG:

Primaire opslag (altijd EU):

  • Alle databaseopslag vindt plaats in Frankfurt, Duitsland (AWS EU-Central-1)

  • Gespreksgeschiedenis, geüploade bestanden en accountgegevens blijven in de EU

  • Geen adequaatheidsbesluit vereist voor primaire opslag

AI-verwerking (door klant te configureren):

Wanneer Advanced Data Protection Mode AAN staat: AI-verwerking vindt plaats binnen de EU via Mistral AI met nul-bewaring van gegevens. Er vindt geen internationale gegevensoverdracht plaats voor AI-verwerking.

Wanneer Advanced Data Protection UIT staat (standaard): Gespreksinhoud wordt naar de Verenigde Staten verzonden voor AI-verwerking via xAI/OpenAI met een bewaartermijn van 30 dagen. Standard Contractual Clauses (SCC's) zijn van toepassing op deze overdrachten.

E-mailcommunicatie (gevestigd in de VS):

  • E-mailadressen overgedragen aan SendGrid en Kit (Verenigde Staten)

  • Beschermd door Standard Contractual Clauses goedgekeurd door de Europese Commissie

  • Klanten kunnen de doorgifte minimaliseren door zich af te melden voor niet-essentiële e-mails

3.2 Standard Contractual Clauses (SCC's)

Voor overdrachten naar de Verenigde Staten vertrouwt ISMS Copilot op Standard Contractual Clauses (Uitvoeringsbesluit (EU) 2021/914 van de Commissie):

  • Klant naar ISMS Copilot: Module Twee (Verantwoordelijke naar Verwerker) is van toepassing wanneer de Klant optreedt als verwerkingsverantwoordelijke

  • ISMS Copilot naar VS-subverwerkers: Module Drie (Verwerker naar Verwerker) is van toepassing

  • Toepasselijk recht voor SCC's: Frans recht (Clausule 17, Optie 1)

  • Bevoegde toezichthoudende autoriteit: CNIL, Frankrijk (Clausule 13)

  • Kopieën van de ondertekende SCC's met subverwerkers zijn op verzoek verkrijgbaar via support

3.3 Aanvullende maatregelen

ISMS Copilot implementeert aanvullende maatregelen om gegevens die buiten de EU worden doorgegeven te beschermen:

  • End-to-end versleuteling (TLS 1.3) voor alle gegevens in beweging

  • Contractueel verbod op AI-training met gebruik van klantgegevens

  • Beperkte bewaring door AI-providers (30 dagen voor xAI/OpenAI, nul voor Mistral AI)

  • Mogelijkheid voor de klant om de bestemming van de doorgifte te beheren via Advanced Data Protection Mode

  • Continue monitoring van juridische ontwikkelingen met betrekking tot internationale overdrachten

3.4 Transfer Impact Assessment (TIA)

ISMS Copilot heeft een Transfer Impact Assessment (TIA) uitgevoerd voor in de VS gevestigde subverwerkers en vastgesteld dat:

  • Standard Contractual Clauses passende waarborgen bieden onder Hoofdstuk V van de AVG

  • Aanvullende technische maatregelen (versleuteling, beperkte bewaring, gebruikerscontroles) de bescherming versterken

  • Klanten de optie hebben om overdrachten voor AI-verwerking naar de VS volledig te vermijden door de Advanced Data Protection Mode in te schakelen (alleen verwerking in de EU met nul-bewaring)

  • E-mailoverdrachten naar Amerikaanse providers (SendGrid, Kit) blijven bestaan, ongeacht de Advanced Data Protection Mode, maar worden beschermd door SCC's en versleuteling

  • Er is geen bewijs dat subverwerkers verzoeken van de overheid hebben ontvangen voor toegang tot klantgegevens

De volledige Transfer Impact Assessment, inclusief de methodologie voor risicobeoordeling en analyse van Amerikaanse surveillancewetgeving, is beschikbaar via Transfer Impact Assessment.

Organisaties met strikte vereisten voor gegevensresidentie in de EU moeten de Advanced Data Protection Mode inschakelen om overdrachten voor AI-verwerking te elimineren en TIA-verplichtingen te vereenvoudigen. E-mailoverdrachten naar Amerikaanse providers blijven bestaan, maar kunnen worden geminimaliseerd door u af te melden voor niet-essentiële communicatie. Zie onze Transfer Impact Assessment voor details.

4. Verplichtingen van de Klant als Verwerkingsverantwoordelijke

4.1 Rechtmatigheid van verwerkingsinstructies

De Klant garandeert dat:

  • Alle verwerkingsinstructies voldoen aan de AVG en toepasselijke wetgeving inzake gegevensbescherming

  • De Klant een rechtmatige grondslag heeft voor de verwerking van alle persoonsgegevens die naar het platform worden geüpload

  • De Klant de betrokkenen heeft geïnformeerd over de verwerking en hun rechten

  • De Klant een register van verwerkingsactiviteiten bijhoudt (Artikel 30 AVG)

4.2 Bijzondere categorieën gegevens

Indien de Klant bijzondere categorieën gegevens uploadt (Artikel 9 AVG), bevestigt de Klant dat:

  • Aan de toepasselijke voorwaarden van Artikel 9 is voldaan (bijv. uitdrukkelijke toestemming, rechtsvorderingen, zwaarwegend algemeen belang)

  • Aanvullende waarborgen zijn getroffen zoals wettelijk vereist

  • De Klant een gegevensbeschermingseffectbeoordeling heeft uitgevoerd indien vereist

4.3 Beheer van rechten van betrokkenen

De Klant is verantwoordelijk voor:

  • Het ontvangen en beantwoorden van verzoeken om rechten van betrokkenen

  • Het verifiëren van de identiteit van de betrokkene voordat gegevens bij ISMS Copilot worden opgevraagd

  • Het bepalen of toezichthoudende autoriteiten en betrokkenen moeten worden geïnformeerd in het geval van inbreuken

  • Het waarborgen dat betrokkenen worden geïnformeerd over de rol van ISMS Copilot als verwerker

4.4 Configuratie van gegevensbewaring

De Klant moet:

  • Passende bewaarperioden configureren die overeenkomen met hun eigen gegevensbeschermingsbeleid

  • Bewaarinstellingen periodiek controleren om naleving te waarborgen

  • Verwijdering aanvragen wanneer gegevens niet langer nodig zijn voor het oorspronkelijke doel

4.5 Isolatie van de workspace

De Klant dient:

  • Afzonderlijke workspaces aan te maken voor verschillende cliënten of gegevenscategorieën

  • Te voorkomen dat persoonsgegevens van verschillende betrokkenen in één workspace worden gemengd

  • Workspaces te verwijderen wanneer projecten zijn voltooid en gegevens niet langer nodig zijn

5. Aansprakelijkheid en vrijwaring

5.1 Toewijzing van aansprakelijkheid

Onder Artikel 82 AVG:

  • Klant en ISMS Copilot zijn elk aansprakelijk voor schade veroorzaakt door hun eigen AVG-schendingen

  • ISMS Copilot is vrijgesteld van aansprakelijkheid indien zij bewijst dat zij niet verantwoordelijk was voor het feit dat de schade heeft veroorzaakt

  • ISMS Copilot is niet aansprakelijk voor schade die voortvloeit uit onrechtmatige verwerkingsinstructies van de Klant

5.2 Vrijwaring

De Klant zal ISMS Copilot vrijwaren tegen alle claims, boetes of schade voortvloeiend uit:

  • Schending van de AVG of andere wetgeving inzake gegevensbescherming door de Klant

  • Onrechtmatige verwerkingsinstructies van de Klant

  • Het nalaten van de Klant om noodzakelijke toestemmingen of een rechtsgrondslag voor verwerking te verkrijgen

  • Het uploaden door de Klant van bijzondere categorieën gegevens zonder passende waarborgen

6. Duur en beëindiging

6.1 Duur

Deze VGA treedt in werking op de datum waarop de Klant voor het eerst gebruikmaakt van de diensten van ISMS Copilot en duurt voort zolang ISMS Copilot Persoonsgegevens van de Klant verwerkt.

6.2 Beëindiging

Deze VGA eindigt automatisch bij:

  • Beëindiging van de Servicevoorwaarden

  • Voltooiing van alle verwerkingsactiviteiten en verwijdering van Persoonsgegevens van de Klant

6.3 Gevolgen van beëindiging

Bij beëindiging:

  • Zal ISMS Copilot alle Persoonsgegevens van de Klant verwijderen of retourneren zoals beschreven in Sectie 2.8

  • Blijven verplichtingen met betrekking tot vertrouwelijkheid, gegevensbeveiliging en wettelijke bewaring van kracht na beëindiging

  • Het recht van de Klant op audit blijft gedurende 12 maanden na beëindiging van kracht

7. Wijzigingen en updates

7.1 Updates van de VGA

ISMS Copilot kan deze VGA bijwerken om het volgende te weerspiegelen:

  • Wijzigingen in wetgeving inzake gegevensbescherming of richtlijnen van toezichthouders

  • Wijzigingen in verwerkingsactiviteiten of subverwerkers

  • Verbeteringen in beveiligingsmaatregelen of praktijken voor gegevensbescherming

7.2 Kennisgeving van wijzigingen

  • Materiële wijzigingen worden ten minste 30 dagen van tevoren gemeld via e-mail en in-app melding

  • De bijgewerkte VGA wordt op deze URL geplaatst met een nieuwe "Ingangsdatum"

  • Voortgezet gebruik van de diensten na de ingangsdatum houdt acceptatie van de bijgewerkte VGA in

7.3 Recht op bezwaar

  • De Klant kan binnen 30 dagen na kennisgeving bezwaar maken tegen materiële wijzigingen

  • Indien de Klant bezwaar maakt, kan deze de service zonder boete beëindigen

8. Toepasselijk recht en jurisdictie

8.1 Toepasselijk recht

Deze VGA wordt beheerst door:

  • De Algemene Verordening Gegevensbescherming (EU) 2016/679

  • De Franse wet op de gegevensbescherming (Wet 78-17 van 6 januari 1978)

  • Het recht van Frankrijk voor contractuele interpretatie

8.2 Jurisdictie

Alle geschillen die voortvloeien uit deze VGA vallen onder de jurisdictie van de Franse rechtbanken, waarbij de toezichthoudende autoriteit de Commission Nationale de l'Informatique et des Libertés (CNIL) is.

9. Contactinformatie

9.1 Contactpersonen voor gegevensbescherming

Voor vragen of verzoeken met betrekking tot de VGA:

  • Neem contact op met support via het Helpcenter (bereikbaar via het gebruikersmenu)

  • E-mail vanaf uw geregistreerde account-e-mailadres

  • Vermeld "VGA-verzoek" of "Verwerkersovereenkomst" in de onderwerpregel

9.2 Contactpersoon gegevensbescherming

ISMS Copilot heeft geen Functionaris voor Gegevensbescherming (FG) aangewezen, aangezien wij niet voldoen aan de criteria voor verplichte aanwijzing onder AVG Artikel 37. Voor vragen over gegevensbescherming in verband met deze VGA kunt u contact met ons opnemen via [email protected] of via het Helpcenter.

9.3 Toezichthoudende autoriteit

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Website: https://www.cnil.fr/en

  • Adres: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankrijk

  • Telefoon: +33 1 53 73 22 22

10. Aanvullende bronnen

Ondersteunende documentatie

  • Register van Verwerkingsactiviteiten (RopA) - Gedetailleerde verwerkingsactiviteiten en subverwerkers

  • Transfer Impact Assessment (TIA) - Risicobeoordeling en waarborgen voor internationale gegevensoverdracht

  • Privacybeleid - Privacyverklaring voor consumenten

  • Gegevensprivacy & AVG-naleving - Gids voor gebruikersrechten en AVG-implementatie

  • Security Collection - Uitgebreide documentatie over beveiliging en compliance

  • Statuspagina - Real-time systeembeschikbaarheid en incidentmeldingen

Configuratiegidsen

  • Advanced Data Protection Mode - Schakel AI-verwerking alleen in de EU in

  • Workspace Setup-gids - Isoleer klantgegevens op de juiste manier

  • Accountbeveiligingsgids - Implementeer sterke authenticatie

Bijlage A: Samenvatting verwerkingsgegevens

Onderwerp

Het aanbieden van een AI-gestuurd platform voor compliance-ondersteuning, inclusief gespreksverwerking, documentanalyse en kennisbeheer.

Duur

Gedurende de looptijd van het actieve abonnement van de Klant plus de door de Klant geconfigureerde bewaartermijn (1 dag tot 7 jaar), gevolgd door een verwijderingsvenster van 30 dagen.

Aard en doel

  • Aard: Geautomatiseerde AI-verwerking, databaseopslag, bestandsconversie en -analyse

  • Doel: Compliance-professionals in staat stellen AI-begeleiding te ontvangen, documenten te analyseren, beleid te genereren en compliance-kennis te beheren

Categorieën betrokkenen

  • Werknemers van de Klant en geautoriseerde platformgebruikers

  • Cliënten van de Klant (indien vermeld in documenten of vragen)

  • Personen vermeld in compliance-documentatie

  • Betrokkenen bij beveiligingsincidenten

Categorieën persoonsgegevens

  • Contactgegevens (e-mailadressen)

  • Authenticatiegegevens (gehashte wachtwoorden)

  • Gespreksinhoud en AI-interacties

  • Geüploade compliance-documenten

  • Gebruiksmetadata en tijdstempels

  • Mogelijk bijzondere categorieën gegevens (Artikel 9) indien geüpload door de Klant

Bijlage B: Logboek wijzigingen subverwerkers

In deze bijlage worden alle toevoegingen, verwijderingen en wijzigingen van subverwerkers sinds de ingangsdatum van de VGA bijgehouden. Klanten worden 30 dagen voordat wijzigingen van kracht worden op de hoogte gesteld.

Actueel per november 2025

Eerste lijst met subverwerkers vastgesteld. Zie Sectie 2.4 en het Register van Verwerkingsactiviteiten voor de volledige huidige lijst.

Toekomstige wijzigingen

Alle wijzigingen in subverwerkers worden hier gedocumenteerd met:

  • Ingangsdatum van de wijziging

  • Naam en locatie van de subverwerker

  • Aard van de wijziging (toevoeging, verwijdering, vervanging)

  • Doel van de verwerking

  • Datum van kennisgeving aan de Klant

Hulp krijgen

Voor vragen over deze Verwerkersovereenkomst:

  • Bekijk het Register van Verwerkingsactiviteiten voor technische verwerkingsdetails

  • Neem contact op met support via het Helpcenter voor verduidelijking

  • Vraag aanvullende documentatie aan (bijv. SCC's, beveiligingsbeleid) via support

  • Bezoek onze Security Collection voor uitgebreide compliance-bronnen

  • Vermeld "VGA-verzoek" in uw onderwerpregel voor prioriteitsafhandeling

Was dit nuttig?