Verwerkersovereenkomst

Artikel 1 - Definities

• 1.1 AVG: De Algemene Verordening Gegevensbescherming (EU) 2016/679.
• 1.2 Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
• 1.3 Verwerking: Elke bewerking met betrekking tot persoonsgegevens, zoals verzamelen, opslaan, wijzigen, raadplegen, verstrekken of vernietigen.
• 1.4 Betrokkene: De natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
• 1.5 Datalek: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Artikel 2 - Onderwerp en duur

• 2.1 Deze verwerkersovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens die OS49 B.V. uitvoert ten behoeve van de Opdrachtgever in het kader van de dienstverlening van Mission Control.
• 2.2 Deze overeenkomst treedt in werking op het moment dat de Opdrachtgever gebruik maakt van Mission Control en blijft van kracht zolang de hoofdovereenkomst van kracht is.
• 2.3 Bij beëindiging van de hoofdovereenkomst eindigt deze verwerkersovereenkomst automatisch.

Artikel 3 - Categorieën persoonsgegevens

OS49 B.V. verwerkt de volgende categorieën persoonsgegevens:

• Identificatiegegevens (naam, e-mailadres)
• Accountgegevens (inloggegevens, profielfoto)
• Financiële transactiegegevens (bedragen, omschrijvingen, categorieën)
• Gebruiksgegevens (metrics, doelstellingen, teamgegevens)
• Technische gegevens (IP-adres, browsergegevens, logs)

Artikel 4 - Categorieën betrokkenen

De verwerking heeft betrekking op de volgende categorieën betrokkenen:

• Gebruikers van Mission Control (de Opdrachtgever en diens teamleden)
• Personen wiens gegevens voorkomen in financiële transacties

Artikel 5 - Doeleinden van verwerking

OS49 B.V. verwerkt persoonsgegevens uitsluitend voor:

• Het leveren van de Mission Control dienst
• Het beheren van gebruikersaccounts
• Het verwerken en categoriseren van financiële transacties
• Het genereren van financiële inzichten en rapportages
• Het faciliteren van teamsamenwerking
• Technisch onderhoud en beveiliging

Artikel 6 - Verplichtingen van de Verwerker

OS49 B.V. verplicht zich tot het volgende:

• 6.1 Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Opdrachtgever, tenzij wettelijk anders vereist.
• 6.2 Te waarborgen dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan geheimhouding.
• 6.3 Passende technische en organisatorische maatregelen te nemen om een beveiligingsniveau te waarborgen dat past bij het risico.
• 6.4 Geen andere verwerker in te schakelen zonder voorafgaande schriftelijke toestemming van de Opdrachtgever.
• 6.5 De Opdrachtgever bij te staan bij het beantwoorden van verzoeken van betrokkenen.
• 6.6 De Opdrachtgever bij te staan bij het nakomen van diens verplichtingen met betrekking tot beveiliging, datalekken en gegevensbeschermingseffectbeoordelingen.
• 6.7 Na afloop van de verwerkingsdiensten alle persoonsgegevens te wissen of terug te bezorgen, en bestaande kopieën te verwijderen, tenzij opslag wettelijk verplicht is.
• 6.8 De Opdrachtgever alle informatie ter beschikking te stellen die nodig is om naleving van dit artikel aan te tonen, en audits mogelijk te maken.

Artikel 7 - Subverwerkers

• 7.1 De Opdrachtgever geeft hierbij algemene toestemming voor het inschakelen van subverwerkers.
• 7.2 OS49 B.V. maakt gebruik van de volgende subverwerkers:
  • Supabase Inc. - Database en authenticatie (EU/US)
  • Mollie B.V. - Betalingsverwerking (Nederland)
  • Vercel Inc. - Hosting (EU/US)
  • OpenAI LLC - AI-categorisatie (US)
  • Google LLC - OAuth authenticatie (US)
• 7.3 OS49 B.V. informeert de Opdrachtgever vooraf over wijzigingen in subverwerkers.
• 7.4 Met alle subverwerkers zijn passende verwerkersovereenkomsten gesloten.
• 7.5 Voor doorgifte naar de VS zijn Standard Contractual Clauses van toepassing.

Artikel 8 - Beveiligingsmaatregelen

OS49 B.V. heeft de volgende beveiligingsmaatregelen getroffen:

Technische maatregelen:

• TLS/SSL-encryptie voor alle dataverkeer
• Versleutelde database opslag (AES-256)
• Veilige wachtwoordopslag (hashing met bcrypt)
• Row Level Security (RLS) op databaseniveau
• Regelmatige security updates en patches
• Toegangscontrole en authenticatie (MFA beschikbaar)
• Logging en monitoring van toegang

Organisatorische maatregelen:

• Toegangsbeperking op need-to-know basis
• Geheimhoudingsverplichtingen voor alle medewerkers
• Privacy by design en privacy by default
• Regelmatige security awareness training

Artikel 9 - Datalekken

• 9.1 OS49 B.V. informeert de Opdrachtgever zonder onredelijke vertraging (en in ieder geval binnen 48 uur) na kennisneming van een datalek.
• 9.2 De melding bevat ten minste:
  • De aard van het datalek
  • De categorieën en het aantal betrokkenen
  • De waarschijnlijke gevolgen
  • De genomen of voorgestelde maatregelen
  • Contactgegevens voor meer informatie
• 9.3 OS49 B.V. verleent alle redelijke medewerking aan de Opdrachtgever bij het onderzoeken en afhandelen van het datalek.

Artikel 10 - Rechten van betrokkenen

• 10.1 OS49 B.V. verleent medewerking aan verzoeken van betrokkenen met betrekking tot hun rechten onder de AVG.
• 10.2 Indien OS49 B.V. een verzoek rechtstreeks van een betrokkene ontvangt, wordt dit onverwijld doorgestuurd naar de Opdrachtgever.
• 10.3 De Opdrachtgever kan via de applicatie of per e-mail verzoeken indienen voor inzage, rectificatie of verwijdering van gegevens.

Artikel 11 - Doorgifte buiten de EER

• 11.1 Persoonsgegevens kunnen worden doorgegeven naar landen buiten de Europese Economische Ruimte, met name de Verenigde Staten.
• 11.2 Voor dergelijke doorgiften zijn passende waarborgen getroffen middels Standard Contractual Clauses (SCC) goedgekeurd door de Europese Commissie.
• 11.3 Een overzicht van de landen en waarborgen is beschikbaar op verzoek.

Artikel 12 - Audit

• 12.1 De Opdrachtgever heeft het recht om audits uit te voeren ter controle van de naleving van deze overeenkomst.
• 12.2 Audits worden aangekondigd met een redelijke termijn van minimaal 14 dagen.
• 12.3 De kosten van een audit komen voor rekening van de Opdrachtgever, tenzij de audit tekortkomingen aan het licht brengt.
• 12.4 OS49 B.V. kan ook aantonen dat aan de verplichtingen wordt voldaan door middel van certificeringen of rapporten van onafhankelijke auditors.

Artikel 13 - Bewaartermijnen en verwijdering

• 13.1 Na beëindiging van de overeenkomst worden persoonsgegevens binnen 30 dagen verwijderd, tenzij wettelijke bewaarplichten anders vereisen.
• 13.2 De Opdrachtgever kan voorafgaand aan verwijdering een export van de gegevens aanvragen.
• 13.3 Betalingsgegevens worden 7 jaar bewaard conform fiscale verplichtingen.

Artikel 14 - Aansprakelijkheid

• 14.1 De aansprakelijkheid van OS49 B.V. is beperkt conform de bepalingen in de algemene voorwaarden.
• 14.2 Partijen zijn ieder verantwoordelijk voor hun eigen verplichtingen onder de AVG.
• 14.3 Indien OS49 B.V. aansprakelijk wordt gesteld voor overtredingen die zijn veroorzaakt door de Opdrachtgever, vrijwaart de Opdrachtgever OS49 B.V. voor alle schade.

Artikel 15 - Slotbepalingen

• 15.1 Deze verwerkersovereenkomst kan uitsluitend schriftelijk worden gewijzigd.
• 15.2 Op deze overeenkomst is Nederlands recht van toepassing.
• 15.3 Geschillen worden voorgelegd aan de bevoegde rechter in Amsterdam.
• 15.4 Indien een bepaling nietig of vernietigbaar blijkt, laat dit de geldigheid van de overige bepalingen onverlet.