Verwerkersovereenkomst

Termen die in deze DPA worden gebruikt hebben de betekenis zoals vastgelegd in de AVG (Verordening (EU) 2016/679). Specifiek:

• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
• Verwerkingsverantwoordelijke: de klant die de doeleinden en middelen van de verwerking bepaalt.
• Verwerker: HummingDeck, die Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.
• Subverwerker: elke derde partij die door HummingDeck wordt ingeschakeld om Persoonsgegevens te verwerken, vermeld op hummingdeck.com/sub-processors.
• Betrokkene: de natuurlijke persoon op wie de Persoonsgegevens betrekking hebben, met inbegrip van werknemers en contacten van de Verwerkingsverantwoordelijke en de ontvangers die documenten bekijken die via HummingDeck zijn gedeeld ("Documentkijkers").

HummingDeck handelt als Verwerker namens de Verwerkingsverantwoordelijke voor alle Persoonsgegevens die in verband met de dienst worden verwerkt, waaronder:

• Accounthouders en teamleden die de Verwerkingsverantwoordelijke aan een werkruimte toevoegt.
• Contacten en leads die de Verwerkingsverantwoordelijke importeert of aanmaakt.
• Documentkijkers die links openen die door de Verwerkingsverantwoordelijke zijn gedeeld.
• Betrokkenheidsgebeurtenissen gegenereerd door Documentkijkers (paginaweergaves, tijd op pagina, terugkerende bezoeken, locatie op landniveau, signalen afgeleid van het IP-adres).

De Verwerkingsverantwoordelijke blijft verantwoordelijk voor de rechtmatigheid van de verwerking, de keuze van de rechtsgrond onder Artikel 6 AVG en de rechten van Betrokkenen.

De Verwerkingsverantwoordelijke verklaart en garandeert dat:

• Hij beschikt over een geldige rechtsgrond onder AVG Artikel 6 voor de verwerking waartoe hij HummingDeck opdracht geeft.
• Hij alle vereiste informatie heeft verstrekt aan Betrokkenen op grond van AVG Artikelen 13 en 14, met inbegrip van het informeren van Documentkijkers over de tracking van betrokkenheid die plaatsvindt via HummingDeck-links. De Verwerkingsverantwoordelijke is als enige verantwoordelijk voor deze informatieverstrekking, hetzij via zijn eigen privacybeleid, het e-mailbericht of de boodschap die de deellink vergezelt, hetzij via een ander passend kanaal.
• Hij HummingDeck geen opdracht zal geven om Persoonsgegevens te verwerken in strijd met het toepasselijke gegevensbeschermingsrecht.

Om de Verwerkingsverantwoordelijke te ondersteunen bij het nakomen van zijn informatieplicht stelt HummingDeck het volgende beschikbaar:

• Een openbaar privacybeleid op hummingdeck.com/privacy waarin wordt beschreven welke gegevens van Documentkijkers worden verzameld en op welke grondslag.
• Voorbeeldteksten die de Verwerkingsverantwoordelijke kan overnemen of aanpassen voor zijn eigen privacybeleid, op verzoek beschikbaar.
• Een openbare lijst van subverwerkers op hummingdeck.com/sub-processors.

Als Verwerker zal HummingDeck:

• Persoonsgegevens uitsluitend verwerken op gedocumenteerde instructies van de Verwerkingsverantwoordelijke, met inbegrip van de instructies die via het gebruik van de dienst zelf worden gegeven.
• Ervoor zorgen dat personen die geautoriseerd zijn om Persoonsgegevens te verwerken gebonden zijn door geheimhoudingsverplichtingen.
• Passende technische en organisatorische beveiligingsmaatregelen treffen (Sectie 5).
• Subverwerkers uitsluitend inschakelen op basis van schriftelijke contracten die gelijkwaardige verplichtingen inzake gegevensbescherming opleggen, en de Verwerkingsverantwoordelijke informeren over voorgenomen wijzigingen volgens Sectie 6.
• De Verwerkingsverantwoordelijke bijstaan, rekening houdend met de aard van de verwerking, bij het vervullen van zijn verplichtingen om te reageren op verzoeken van Betrokkenen onder Hoofdstuk III van de AVG.
• De Verwerkingsverantwoordelijke bijstaan met betrekking tot beveiliging, melding van inbreuken, gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging onder AVG Artikelen 32 tot en met 36.
• De Verwerkingsverantwoordelijke zonder onnodige vertraging (en waar haalbaar binnen 72 uur) op de hoogte stellen na kennisname van een Inbreuk in verband met Persoonsgegevens die de gegevens van de Verwerkingsverantwoordelijke betreft.
• Naar keuze van de Verwerkingsverantwoordelijke alle Persoonsgegevens verwijderen of retourneren na het einde van de dienst, en bestaande kopieën verwijderen tenzij bewaring wettelijk verplicht is.
• Alle informatie ter beschikking stellen aan de Verwerkingsverantwoordelijke die nodig is om de naleving van deze DPA aan te tonen, en audits of inspecties toestaan door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke aangewezen auditor (onverminderd Sectie 7).

HummingDeck implementeert en handhaaft passende technische en organisatorische maatregelen, waaronder:

• Versleuteling van Persoonsgegevens tijdens overdracht (TLS 1.2+) en in rust (standaardversleuteling van Google Cloud Storage).
• Toegangscontroles op basis van het beginsel van minimale rechten, met logging van administratieve toegang.
• Authenticatie via Google Firebase met beveiligde sessieafhandeling.
• Bot- en misbruikdetectiesystemen om geautomatiseerd verkeer uit betrokkenheidsanalytics te filteren.
• Procedures voor back-up en herstel na calamiteiten.
• Regelmatige evaluatie van beveiligingspraktijken.

HummingDeck is op dit moment niet SOC 2-gecertificeerd. Klanten die formele certificering vereisen kunnen contact opnemen met hello@hummingdeck.com voor de actuele beveiligingsvragenlijst en planning.

De Verwerkingsverantwoordelijke geeft HummingDeck toestemming om de subverwerkers in te schakelen die zijn vermeld op hummingdeck.com/sub-processors. HummingDeck zal de Verwerkingsverantwoordelijke ten minste 30 dagen vooraf op de hoogte stellen voordat een subverwerker die Persoonsgegevens van de Verwerkingsverantwoordelijke verwerkt wordt toegevoegd of vervangen, door:

• De openbare lijst van subverwerkers bij te werken, en
• De werkruimte-eigenaar per e-mail op de hoogte te stellen indien de wijziging materiële gevolgen heeft voor de verwerking.

Indien de Verwerkingsverantwoordelijke binnen 30 dagen na kennisgeving te goeder trouw bezwaar maakt tegen een nieuwe subverwerker op gegevensbeschermingsgronden, zullen partijen te goeder trouw samenwerken om de zorg weg te nemen. Indien geen oplossing wordt bereikt, kan de Verwerkingsverantwoordelijke het betrokken deel van de dienst beëindigen voor zijn gemak.

HummingDeck zal het volgende beschikbaar stellen, op redelijke termijn en niet vaker dan eenmaal per periode van 12 maanden (of vaker indien vereist door een toezichthouder):

• Zijn actuele Register van Verwerkingsactiviteiten (documentatie op grond van Artikel 30).
• Informatie over zijn beveiligingsmaatregelen en eventuele beoordelingen door derden.
• De gelegenheid voor een externe audit (op basis van een vragenlijst of via videoconferentie) op kosten van de Verwerkingsverantwoordelijke.

Inspecties ter plaatse zijn alleen toegestaan wanneer dat vereist is door toepasselijk recht of door een bindende beslissing van een toezichthouder, op redelijke termijn en op kosten van de Verwerkingsverantwoordelijke.

De Verwerkingsverantwoordelijke erkent dat sommige subverwerkers buiten de Europese Economische Ruimte zijn gevestigd, voornamelijk in de Verenigde Staten. Voor dergelijke doorgiften baseert HummingDeck zich op de Modelcontractbepalingen van de Europese Commissie (Module Twee, Verwerkingsverantwoordelijke-naar-Verwerker) die zijn opgenomen in zijn overeenkomsten met de relevante subverwerkers, aangevuld met de technische en organisatorische maatregelen beschreven in Sectie 5.

Bij beëindiging van de dienst kan de Verwerkingsverantwoordelijke binnen 30 dagen een gestructureerde export van zijn gegevens aanvragen via de applicatie of via support. Na 30 dagen zal HummingDeck alle Persoonsgegevens van de Verwerkingsverantwoordelijke binnen nogmaals 30 dagen uit productiesystemen verwijderen, behalve waar bewaring wettelijk verplicht is (bijv. factureringsgegevens). Back-upkopieën worden bewaard volgens standaard back-uprotatieschema's en worden in de loop van de tijd overschreven.

De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de aansprakelijkheidsbeperkingen die zijn vastgelegd in de onderliggende overeenkomst tussen partijen.

In geval van strijdigheid tussen deze DPA en de onderliggende overeenkomst (waaronder de algemene voorwaarden van HummingDeck) prevaleert deze DPA voor zover de strijdigheid reikt en uitsluitend met betrekking tot de verwerking van Persoonsgegevens.

HummingDeck kan deze DPA van tijd tot tijd bijwerken om wijzigingen in toepasselijk recht of in onze verwerkingspraktijken te weerspiegelen. Materiële wijzigingen worden ten minste 30 dagen voordat zij van kracht worden per e-mail meegedeeld aan de werkruimte-eigenaar. Voortgezet gebruik van de dienst na de ingangsdatum geldt als aanvaarding.

Vragen over deze DPA, verzoeken om een ondertekend exemplaar of formele verzoeken van Betrokkenen kunnen worden gericht aan hello@hummingdeck.com.