Huidig vanaf 16 feb 2023

Bijlage gegevensverwerking

Opdat u als gebruiker van de diensten en gegevensbeheerder (aangeduid als "Controller" of "u" of "Gebruiker") gebruik kunt maken of gebruik kunt blijven maken van onze diensten (de "Diensten") die door ons, ParticleByte BV handelend onder de naam MadBot.ai van Lange Voort 213, 2343CD Oegstgeest, Nederland en gegevensverwerker (aangeduid als "MadBot" of "Verwerker"), bent u overeengekomen dat deze voorwaarden voor gegevensverwerking ("Voorwaarden") van toepassing zijn (niettegenstaande eventuele andere voorwaarden die van toepassing zijn op de levering van de Diensten voor het tegendeel) om de nalevingsverplichtingen aan te pakken die zijn opgelegd aan MadBot en haar Gebruikers op grond van de toepasselijke wetgeving inzake gegevensbescherming en in het bijzonder de Nederlandse GDPR-implementatiewet ("UAVG") en de Algemene Verordening Gegevensbescherming ("GDPR").


Deze Voorwaarden vormen een afzonderlijke overeenkomst, of ze kunnen door middel van verwijzing worden opgenomen in de desbetreffende Services-overeenkomst, al naar gelang het geval.

Definities

In deze Overeenkomst hebben woorden met een hoofdletter de betekenis zoals hieronder beschreven of, indien van toepassing, elders in deze Overeenkomst:

  1. "Filiaal" betekent elke entiteit die van tijd tot tijd tijdens de Termijn direct of indirect zeggenschap heeft over een partij, onder zeggenschap staat van een partij of onder gemeenschappelijke zeggenschap staat met een partij.
  2. "Gegevensbeschermingswet" betekent de gegevensbeschermingswetgeving die van toepassing is op de verwerking in verband met de Diensten, met inbegrip van, indien van toepassing, de GDPR of soortgelijke wetgeving, of de toepasselijke gegevensbeschermingswetgeving van een ander relevant rechtsgebied.
  3. "Gebruiker" betekent elke Gebruiker van MadBot.
  4. "Contractbepalingen": de modelcontractbepalingen van de Europese Commissie voor de grensoverschrijdende doorgifte van persoonsgegevens, zoals van tijd tot tijd gewijzigd of vervangen, of een gelijkwaardige reeks contractbepalingen die is goedgekeurd voor gebruik onder de wetgeving inzake gegevensbescherming; en
  5. "Persoonsgegevens" betekent de persoonsgegevens die worden verwerkt door Verwerker in verband met de Diensten namens Gebruiker gedurende de Termijn en kan Persoonsgegevens omvatten, en Gegevens van Speciale Categorieën zoals specifiek vereist en overgedragen door Gebruiker. De verwerking kan activiteiten omvatten die ondersteunend zijn aan de diensten van MadBot, zoals administratieve en andere diensten. Hieronder vallen ook namen en andere informatie over betrokkenen in materialen van Gebruikers.
  6. De woorden "betrokkene", "persoonsgegevens", "verwerking" en variaties, "voor de verwerking verantwoordelijke" en "verwerker" hebben de betekenis die daaraan is toegekend in de Wet Bescherming Persoonsgegevens.

Afspraak

  1. MadBot is aangewezen door haar Gebruikers, Gebruiker Affiliates en Zakelijke Affiliates (gezamenlijk "Instructing Parties") om namens hen verschillende diensten te leveren en te beheren, waaronder de Services. Dienovereenkomstig kunnen Persoonsgegevens persoonsgegevens bevatten met betrekking tot welke Gebruiker en zijn Instructiegevers verantwoordelijken zijn. MadBot bevestigt dat het bevoegd is om instructies of andere vereisten namens Gebruiker aan Gebruiker te communiceren met betrekking tot de verwerking van Persoonsgegevens in verband met de Diensten.
  2. Verwerker is door Gebruiker aangewezen om namens Gebruiker en/of de Opdrachtgevers, al naar gelang het geval, Persoonsgegevens te verwerken zoals noodzakelijk is om de Diensten te leveren of zoals anderszins schriftelijk door partijen is overeengekomen.

Duur

De Voorwaarden gaan in op de Ingangsdatum en blijven volledig van kracht tot het moment dat alle Diensten zijn beëindigd en alle Persoonsgegevens in het bezit of onder redelijke controle van de Verwerker zijn geretourneerd of vernietigd (de "Termijn").

Naleving gegevensbescherming

Met betrekking tot de verwerking van Persoonsgegevens gaat MadBot ermee akkoord om, tenzij anders vereist door de wet:

  1. Persoonsgegevens alleen verwerken zoals vereist in verband met de Diensten en in overeenstemming met de van tijd tot tijd door Gebruiker en zijn Opdrachtgevers gedocumenteerde rechtmatige instructies;
  2. Gebruiker en zijn Opdrachtgevers informeren indien een instructie naar de mening van MadBot in strijd is met de Wet Bescherming Persoonsgegevens;
  3. ervoor te zorgen dat al het personeel dat door MadBot is geautoriseerd om Persoonsgegevens te verwerken, zich heeft verplicht tot geheimhouding of onder een passende wettelijke geheimhoudingsplicht valt;
  4. het implementeren van passende technische en organisatorische maatregelen om Persoonsgegevens afdoende te beveiligen, rekening houdend met de aard van de persoonsgegevens die moeten worden beschermd en het risico van schade die kan voortvloeien uit een inbreuk op de beveiliging (zoals hieronder gedefinieerd), ten minste de maatregelen die in de Bijlage worden beschreven;
  5. Gebruiker en zijn Instructiegevers onmiddellijk op de hoogte stellen van verzoeken van betrokkenen op grond van de Wet Bescherming Persoonsgegevens of verzoeken van regelgevende of rechtshandhavende instanties met betrekking tot Persoonsgegevens. MadBot zal het verzoek niet erkennen of er anderszins op reageren, tenzij met voorafgaande schriftelijke toestemming van Gebruiker en zijn Instructiegevers, die niet op onredelijke gronden zal worden onthouden;
  6. het verlenen van de assistentie die Gebruiker en zijn Instruerende Partijen redelijkerwijs nodig kunnen hebben om MadBot's naleving van de Wet Bescherming Persoonsgegevens te waarborgen met betrekking tot gegevensbeveiliging, meldingen van datalekken, effectbeoordelingen voor gegevensbescherming en voorafgaand overleg met een bevoegde autoriteit;
  7. naar keuze van Gebruiker en zijn Instructiegevers alle Persoonsgegevens onverwijld verwijderen of retourneren aan Gebruiker en zijn Instructiegevers, en bestaande kopieën verwijderen van alle Persoonsgegevens die in het bezit zijn van de Verwerker of waarover hij redelijkerwijs de controle heeft (met inbegrip van die welke in het bezit zijn van een Subverwerker); en
  8. informatie die redelijkerwijs noodzakelijk is om de naleving van deze Voorwaarden door MadBot aan te tonen, beschikbaar stellen aan Gebruiker en zijn Instructerende Partijen en audits en inspecties door Gebruiker en zijn Instructerende Partijen toestaan en eraan meewerken.‍

Subverwerkers

  1. Verwerker zal verplichtingen uit hoofde van deze Voorwaarden uitbesteden, uitbesteden, toewijzen, noveren of anderszins overdragen of onderaannemers inschakelen die betrokken zijn bij de verwerking van Persoonsgegevens (elk een "Subverwerker"), uitsluitend met voorafgaande schriftelijke toestemming van Gebruiker en met inachtneming van subclausule 5.2.
  2. Bij het inschakelen van een Subverwerker zal Verwerker:

    a) redelijke due diligence uitvoeren;

    b) een contract aangaan onder voorwaarden die, voor zover praktisch uitvoerbaar, gelijk zijn aan de voorwaarden in deze Voorwaarden en die Contractuele Clausules kunnen bevatten om adequate waarborgen te bieden met betrekking tot de verwerking van Persoonsgegevens; en

    c) Gebruiker van tijd tot tijd op de hoogte stellen van voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van een Subverwerker. Indien Gebruiker op redelijke gronden bezwaar maakt tegen een dergelijke wijziging, zullen de partijen te goeder trouw samenwerken om dit bezwaar op te lossen.
  3. Onze huidige Subverwerker zijn:

    a) OrangeKlik.com, Orange Klik Bedrijf

    b) Stripe Payments Europe Limited

    c) Sentry,  Functionele Software, Inc.

    d) Google LLC

Beveiligingsincidenten

  1. "Inbreuk op de beveiliging" betekent een inbreuk op de beveiliging die leidt tot de onopzettelijke of onwettige vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of toegang tot Persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt.
  2. Verwerker zal de inbreuk op de beveiliging onderzoeken en redelijke maatregelen nemen om de gevolgen van de inbreuk op de beveiliging te identificeren, te voorkomen en te beperken. Verwerker zal dergelijke verdere actie ondernemen als Gebruiker redelijkerwijs kan verzoeken om te voldoen aan de Wet Bescherming Persoonsgegevens.
  3. MadBot zal Gebruiker zonder onnodige vertraging op de hoogte stellen indien MadBot zich bewust wordt van een inbreuk op de beveiliging binnen 24 uur na het ontdekken van een dergelijke inbreuk en Gebruiker voorzien van:

    a) een gedetailleerde beschrijving van het Beveiligingsincident;

    b) het type gegevens dat het onderwerp was van het Beveiligingsincident;

    c) de identiteit van iedere getroffen persoon, en

    d) de stappen die MadBot onderneemt om een dergelijk Beveiligingsincident te beperken en te herstellen, in elk geval zodra dergelijke informatie kan worden verzameld of anderszins beschikbaar komt.
  4. MadBot zal zich naar beste vermogen inspannen om een Beveiligingsincident onmiddellijk te beperken en te verhelpen en verdere Beveiligingsincidenten op eigen kosten te voorkomen.
  5. MadBot stemt ermee in dat Gebruiker het exclusieve recht heeft om te bepalen (i) of kennisgeving van het beveiligingsincident moet worden gedaan aan personen, toezichthouders, wetshandhavingsinstanties, bureaus voor consumentenrapportage of anderen zoals vereist door wet- of regelgeving, of anderszins naar eigen goeddunken van Gebruiker, (ii) de inhoud van een dergelijke kennisgeving, en (iii) of enige vorm van herstel kan worden aangeboden aan getroffen personen, evenals de aard en omvang van een dergelijke herstel.
  6. In het geval van een beveiligingsincident waarbij Persoonsgegevens in het bezit van MadBot zijn betrokken of dat anderszins is veroorzaakt door of verband houdt met het handelen of nalaten van MadBot, en zonder de overige rechten en rechtsmiddelen van Gebruiker te beperken, zal MadBot alle kosten en uitgaven betalen van (i) alle bekendmakingen en kennisgevingen die vereist zijn op grond van de toepasselijke wetgeving of die anderszins naar het redelijke oordeel van Gebruiker passend worden geacht, (ii) bewaking van en rapportage over de kredietgegevens van de getroffen personen of entiteiten indien naar het redelijke oordeel van de Gebruiker bepaald als redelijk om dergelijke personen te beschermen, en (iii) alle overige kosten die door Gebruiker worden gemaakt om te reageren op, schade te herstellen en te beperken als gevolg van een dergelijk beveiligingsincident.
  7. MadBot zal de inbreuk op de beveiliging onderzoeken en redelijke maatregelen nemen om de gevolgen van de inbreuk op de beveiliging te identificeren, te voorkomen en te beperken. MadBot zal de verdere maatregelen nemen die Gebruiker redelijkerwijs kan verzoeken om te voldoen aan de Wet Bescherming Persoonsgegevens.
  8. MadBot mag geen deponeringen, mededelingen, kennisgevingen, persberichten of rapporten over inbreuken op de beveiliging ("Kennisgevingen") vrijgeven of publiceren zonder voorafgaande schriftelijke toestemming van de Gebruiker; deze toestemming zal niet op onredelijke gronden worden onthouden.

Controle

  1. Gebruiker (of zijn aangewezen vertegenwoordigers) kan, op kosten van Gebruiker, jaarlijks of vaker zoals redelijkerwijs door Gebruiker verzocht, een audit uitvoeren om te controleren of MadBot werkt in overeenstemming met deze DPA. Dergelijke audit(s) kunnen een beoordeling van alle aspecten van de prestaties van MadBot omvatten, met inbegrip van, maar niet beperkt tot, de algemene controles en beveiligingspraktijken en -procedures van MadBot. MadBot zal met Gebruiker samenwerken bij het uitvoeren van een dergelijke audit en zal Gebruiker redelijke toegang verlenen, tijdens normale kantooruren en na redelijke kennisgeving, tot alle relevante administratie, documentatie, computersystemen, gegevens, personeel en gebieden die worden gebruikt voor het verwerken van de Gebruikersgegevens, zoals Gebruiker redelijkerwijs verzoekt om een dergelijke audit uit te voeren. Gebruiker zal redelijke stappen ondernemen om te voorkomen dat de audit de activiteiten van MadBot wezenlijk beïnvloedt.
  2. MadBot corrigeert afwijkingen van Best Practices voor beveiliging die in een beveiligingsaudit worden vastgesteld zo snel als praktisch uitvoerbaar is, maar in geen geval langer dan vijf dagen na ontvangst van een kennisgeving van Gebruiker waarin de afwijkingen worden uiteengezet (op voorwaarde echter dat indien vijf dagen geen uitvoerbare herstelperiode is, MadBot in plaats daarvan binnen een dergelijke periode van vijf dagen een herstelplan aan Gebruiker kan voorleggen waarin een haalbaar en redelijk tijdsbestek wordt uiteengezet, en MadBot moet daarna zorgvuldig te werk gaan om afwijkingen in overeenstemming met een dergelijk plan te corrigeren).

Internationale gegevensoverdracht

MadBot zal ervoor zorgen dat er geen Persoonsgegevens worden overgedragen:

  1. de door de gebruiker goedgekeurde gegevensomgeving; of
  2. elk grondgebied waar beperkingen gelden voor de grensoverschrijdende overdracht van Persoonsgegevens onder de wetgeving inzake gegevensbescherming,
  3. zonder voorafgaande schriftelijke toestemming van Gebruiker.
  4. MadBot zal ervoor zorgen dat contractuele bepalingen of andere toepasselijke overdrachtsmechanismen van kracht zijn om een adequaat niveau van gegevensbescherming te waarborgen.

Schadeloosstelling

Niettegenstaande eventuele andersluidende bepalingen van de relevante Services-overeenkomst, zal Processor en stemt er hierbij mee in om Gebruiker en Instructing Parties en hun functionarissen, werknemers, agenten en onderaannemers (elk een "Gevrijwaarde Partij") te vrijwaren van en tegen alle claims, verliezen, eisen, acties, aansprakelijkheden, boetes, straffen, redelijke uitgaven, schade en schikkingsbedragen (inclusief redelijke juridische kosten en vergoedingen) die door een Gevrijwaarde Partij zijn opgelopen als gevolg van grove nalatigheid of opzettelijke schending door Processor van deze Voorwaarden.

Diverse

  1. Clausules en andere kopjes in deze Voorwaarden dienen uitsluitend voor het gemak en zijn niet van invloed op de betekenis of interpretatie van deze Voorwaarden.
  2. In geval van tegenstrijdigheid prevaleren deze Voorwaarden boven een Services-overeenkomst of andere overeenkomst.
  3. Niets in deze Voorwaarden zal de aansprakelijkheid van een van de partijen uitsluiten of beperken die niet kan worden beperkt of uitgesloten door de toepasselijke wetgeving. Onder voorbehoud van de voorgaande zin, (i) vormen deze Voorwaarden, met inbegrip van eventuele bijlagen, de volledige overeenkomst tussen de partijen met betrekking tot het onderwerp daarvan en vervangen zij alle eerdere overeenkomsten, afspraken, onderhandelingen en discussies van de partijen met betrekking tot het onderwerp daarvan; en (ii) met betrekking tot het onderwerp van deze Voorwaarden heeft geen van de partijen vertrouwd op, en heeft geen van de partijen enig recht of rechtsmiddel gebaseerd op, enige verklaring, vertegenwoordiging of garantie, ongeacht of deze onzorgvuldig of onschuldig is gedaan, behalve die welke uitdrukkelijk in deze Voorwaarden zijn uiteengezet.
  4. Gebruiker zal instemmen met eventuele wijzigingen in deze voorwaarden die van tijd tot tijd nodig zijn voor ons en Instanting partijen om te voldoen aan alle gewijzigde wetgeving inzake gegevensbescherming.
  5. Alle kennisgevingen van beëindiging of schending moeten in het Engels, schriftelijk en gericht aan de primaire contactpersoon of juridische afdeling van de andere partij zijn. Kennisgevingen worden geacht te zijn gedaan bij ontvangst, zoals geverifieerd door een geldig ontvangstbewijs of elektronisch logboek. Kennisgevingen per post worden geacht te zijn ontvangen 48 uur na de datum van verzending per aangetekende post.
  6. De bepalingen van deze Voorwaarden zijn scheidbaar. Als een zin, clausule of bepaling geheel of gedeeltelijk ongeldig of niet-afdwingbaar is, heeft deze ongeldigheid of niet-afdwingbaarheid alleen invloed op deze zin, clausule of bepaling en blijft de rest van deze Voorwaarden volledig van kracht.
  7. Op deze Voorwaarden is Nederlands recht van toepassing en de partijen onderwerpen zich aan de exclusieve jurisdictie van de rechtbanken van Oegstgeest met betrekking tot elk geschil (contractueel of niet-contractueel) over deze Voorwaarden, met dien verstande dat elke partij een rechter kan verzoeken om een gerechtelijk bevel of een andere voorziening ter bescherming van haar eigendom of vertrouwelijke informatie.

SCHEMA

  1. Beveiligingsmaatregelen

    a)
    MadBot verklaart, garandeert en verbindt zich ertoe dat het een doorlopend programma van beveiligingsbeleid, beveiligingsprocedures en technische beveiligingscontroles heeft vastgesteld en, zolang MadBot Persoonsgegevens verwerkt, te allen tijde zal handhaven, dat redelijkerwijs de levering van op verzoek beschikbaar gestelde beste praktijken op het gebied van beveiliging garandeert.
  2. Grensoverschrijdende mechanismen voor gegevensoverdracht

    In het geval dat de Diensten onder meer dan één Doorgiftemechanisme vallen, zal de doorgifte van persoonsgegevens onderworpen zijn aan één enkel Doorgiftemechanisme in overeenstemming met de volgende rangorde:

    a) de bindende bedrijfsregels van MadBot zoals uiteengezet in deze Bijlage

    b) de toepasselijke Standaard Contractuele Clausules zoals uiteengezet in deze Bijlage

    c) andere toepasselijke mechanismen voor gegevensoverdracht die zijn toegestaan onder de toepasselijke wetgeving inzake gegevensbescherming.

Bindende bedrijfsregels

  1. De partijen komen overeen dat MadBot persoonlijke gegevens binnen de MadBot Services zal verwerken in overeenstemming met het gegevensbeschermingsbeleid dat is goedgekeurd door Europese gegevensbeschermingsautoriteiten na uitvoerig overleg met die autoriteiten, en dat multinationale bedrijven, zoals MadBot, in staat stelt intra-organisatorische overdrachten van persoonlijke gegevens over de grenzen heen uit te voeren in overeenstemming met de EU-wetgeving inzake gegevensbescherming.
  2. De partijen komen verder overeen dat, met betrekking tot de MadBot Services, de Bindende Bedrijfsregels het rechtmatige Overdrachtsmechanisme zijn van Gebruikersaccountgegevens, Gebruikersinhoud en Gebruiksgegevens van de EER, Zwitserland of het Verenigd Koninkrijk naar MadBot in [Voeg Staat In].

Standaard contractbepalingen

  1. De partijen komen overeen dat de 2021 Standaard contractuele clausules voor internationale overdrachten zoals gepubliceerd en beschikbaar op https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en van toepassing zijn op persoonsgegevens die via de Diensten worden doorgegeven vanuit het Verenigd Koninkrijk, de Europese Economische Ruimte of Zwitserland, rechtstreeks of via verdere doorgifte, naar een land of ontvanger buiten het Verenigd Koninkrijk, de Europese Economische Ruimte of Zwitserland dat:

    a) niet door de Europese Commissie (of, in het geval van doorgifte vanuit Zwitserland, de bevoegde autoriteit voor Zwitserland) wordt erkend als een land dat een passend beschermingsniveau biedt voor persoonsgegevens en

    b) niet onder de bovengenoemde bindende bedrijfsvoorschriften valt. Voor gegevensdoorgiften vanuit de Europese Economische Ruimte die onderworpen zijn aan de 2021 modelcontractbepalingen, worden de 2021 modelcontractbepalingen geacht als volgt te zijn aangegaan (en door middel van deze verwijzing in dit Addendum te zijn opgenomen) en ingevuld: I) Module één (Controller to Controller) van de 2021 Standaard Contractuele Clausules is van toepassing wanneer MadBot Gebruikersaccountgegevens verwerkt en
    II) Gebruiker een controller is van Gebruikersgegevens en MadBot Gebruikersgegevens verwerkt.
    III) Module twee (Controller to Processor) van de 2021 Standaard Contractuele Bepalingen is van toepassing wanneer Gebruiker een controller is van Gebruikerscontent en MadBot Gebruikerscontent verwerkt.
    IV) Module drie (Verwerker naar Verwerker) van de 2021 Standaard Contractuele Bepalingen is van toepassing wanneer Gebruiker een verwerker is van Gebruikerscontent en MadBot Gebruikerscontent verwerkt.
    V) Module vier (Verwerker naar Controller) van de 2021 Standaard Contractuele Bepalingen is van toepassing wanneer Gebruiker een verwerker is van Gebruikersgegevens en MadBot Gebruikersgegevens verwerkt.

    c) Voor elke module, indien van toepassing:

    I) Gegevensuitvoerder: Gebruiker.
    II) Contactgegevens: Het (de) e-mailadres(sen) dat (die) door Gebruiker is (zijn) aangewezen in het account van Gebruiker via zijn meldingsvoorkeuren.
    III) Rol gegevensexporteur: De rol van de Gegevensexporteur wordt in deze Overeenkomst uiteengezet.
    IV) Handtekening en Datum: Door het aangaan van de Overeenkomst wordt de Data-Uporteur geacht deze hierin opgenomen Standaard Contractuele Bepalingen te hebben ondertekend vanaf de Ingangsdatum van de Overeenkomst.
    V) Gegevensimporteur: MadBot.
    VI) Contactgegevens: MadBot Support Team - hi@madbot.ai.
    VII) Rol Gegevensimporteur: De rol van de Gegevensimporteur wordt uiteengezet in deze Overeenkomst.
    VIII) Handtekening en Datum: Door het aangaan van de Overeenkomst wordt de Data-importeur geacht deze hierin opgenomen Standaard Contractuele Bepalingen, met inbegrip van hun Bijlagen, te hebben ondertekend vanaf de Ingangsdatum van de Overeenkomst.
  2. De categorieën van betrokkenen worden beschreven in deze Overeenkomst.
  3. De Gevoelige Gegevens die worden overgedragen, worden beschreven in deze Overeenkomst.
  4. De frequentie van de overdracht is een continue basis voor de duur van de Overeenkomst.
  5. De aard van de verwerking wordt beschreven in deze Overeenkomst.
  6. Het doel van de verwerking wordt beschreven in deze Overeenkomst.
  7. De periode waarin de persoonsgegevens worden bewaard is deze Overeenkomst.
  8. De Toezichthoudende Autoriteit is de Autoriteit Persoonsgegevens.
  9. Voor overdrachten aan subverwerkers worden het onderwerp, de aard en de duur van de verwerking hieronder uiteengezet.
  10. Het Schema Beveiligingsmaatregelen van deze Overeenkomst dient als bijlage bij de Standaard Contractuele Clausules.
  11. Voor zover er sprake is van strijdigheid tussen de modelcontractbepalingen en andere bepalingen in deze Overeenkomst of het Privacybeleid, prevaleren de bepalingen van de modelcontractbepalingen.

Vragen?

Als u vragen hebt over de verwerking van uw Persoonsgegevens, kunt u contact met ons opnemen via hi@madbot.ai of schrijf ons naar bovenstaand adres.

Deze Gegevensverwerkingsovereenkomst is voor het laatst bijgewerkt op donderdag 16 februari 2023.