Data verwerkings-overeenkomst

transAI | 2025

Zuletzt aktualisiert: 17/06/2024

Welkom bij de Gegevensverwerkingsovereenkomst (DPA) van transAI. Deze overeenkomst beschrijft hoe wij met de grootst mogelijke zorg en respect met uw gegevens omgaan. Zorg ervoor dat u een ondertekend exemplaar van deze DPA naar ons terugstuurt via samen@transai.com. Uw medewerking helpt ons onze toewijding aan gegevensbeveiliging en privacy te waarborgen.

Deze overeenkomst ("Overeenkomst") wordt gesloten tussen:

XIP Online Data B.V. (bekend onder handelsnaam "transAI"), hierna "Verwerker", en De Gebruiker. Gezien de diensten die door transAI worden geleverd en de diensten van derden die transAI gebruikt, beschrijft deze overeenkomst de verantwoordelijkheden en vereisten met betrekking tot de verwerking van persoonsgegevens.

1. Definities

In deze Verwerkersovereenkomst hebben de volgende termen de onderstaande betekenis:

AVG: Algemene Verordening Gegevensbescherming (EU) 2016/679
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
Subverwerker: een door Verwerker ingeschakelde derde partij
transAI Device: de door Verwerker ingezette hardwarecomponent, ontwikkeld door een derde partij (Factory Nebula), die wordt gebruikt voor de beveiligde overdracht van data tussen de systemen en/of productieomgeving van de Verwerkingsverantwoordelijke en het cloudplatform van Verwerker. Het TransAI Device kan op afstand worden beheerd voor onderhouds- en ondersteuningsdoeleinden, in welk kader de betreffende derde partij kan kwalificeren als Subverwerker.
Verwerker: de partij die persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke
Verwerking: elke bewerking met betrekking tot persoonsgegevens
Verwerkingsverantwoordelijke: de partij die het doel en de middelen bepaalt

2. Rollen van Partijen

2.1 De Gebruiker kwalificeert als Verwerkingsverantwoordelijke.
2.2 transAI kwalificeert als Verwerker, tenzij anders aangegeven.

Voor bepaalde platformfunctionaliteiten (zoals accountbeheer en facturatie) kan transAI zelfstandig als Verwerkingsverantwoordelijke optreden.

3. Doeleinden van Verwerking

Verwerker verwerkt Persoonsgegevens uitsluitend voor:

levering, onderhoud en verbetering van de diensten
authenticatie en toegangsbeheer
facturatie en administratie
technische monitoring en support

Verwerking vindt uitsluitend plaats op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij wettelijk anders vereist.

4. Categorieën Gegevens

4.1 Administratieve gegevens (platformdata)

Naam, e-mailadres
Accountgegevens en login credentials
Facturatiegegevens
Configuratie-instellingen

Doel: accountbeheer, authenticatie, facturatie en support.

4.2 Klantdata (operationele data)

Data afkomstig uit systemen van Verwerkingsverantwoordelijke
Gesynchroniseerd via het transAI device naar het platform

Deze data:

blijft eigendom van Verwerkingsverantwoordelijke
wordt uitsluitend verwerkt in opdracht
wordt niet gebruikt voor eigen doeleinden, modeltraining of productverbetering zonder expliciete schriftelijke toestemming

Verwerker is niet verantwoordelijk voor de inhoud, aard of rechtmatigheid van de door Verwerkingsverantwoordelijke aangeleverde klantdata. Het is de verantwoordelijkheid van Verwerkingsverantwoordelijke om te waarborgen dat geen persoonsgegevens of andere gevoelige gegevens worden gesynchroniseerd naar het platform indien en voor zover dit niet is toegestaan op grond van toepasselijke wet- en regelgeving of interne beleidsregels.

5. Verplichtingen Verwerker

Verwerker zal:

Persoonsgegevens uitsluitend verwerken volgens instructies
passende technische en organisatorische maatregelen treffen
vertrouwelijkheid waarborgen
personeel contractueel binden aan geheimhouding
Verwerkingsverantwoordelijke ondersteunen bij AVG-verzoeken (inzage, verwijdering, etc.) & DPIA’s en compliance

6. Subverwerkers

transAI maakt gebruik van de volgende Subverwerkers:

Amazon Web Services
Doel: hosting
Locatie: EU (Ierland)
Auth0
Doel: authenticatie, gebruikergegevens
Locatie: EU
Datadog
Doel: monitoring
Locatie: EU
Factory Nebula
Doel: remote management transAI device
Locatie: EU
OpenAI
Doel: AI
Locatie: USA
Sentry
Doel: monitoring
Locatie: VS
XIP Online Services
Doel: support
Locatie: NL (EU)

Verwerker:

sluit met alle subverwerkers een overeenkomst conform art. 28 AVG
blijft volledig aansprakelijk

6.1 transAI device

Verwerker maakt gebruik van een hardwarecomponent (“transAI device”) voor gegevensoverdracht tussen de on-premise locatie en het cloudplatform. Het device wordt ontwikkeld door een partner van Verwerker (zie 6. Subverwerkers). Het device bied mogelijkheden aan Verwerker tot remote management voor onderhoud en beheer. De communicatie verloopt via beveiligde verbindingen.

7. Beveiliging

Verwerker implementeert passende beveiligingsmaatregelen, waaronder:

encryptie (in transit en at rest)
toegangscontrole (least privilege)
logging en monitoring
incident response procedures

8. Datalekken

Verwerker meldt een datalek:

zonder onredelijke vertraging
uiterlijk binnen 72 uur

Inclusief:

aard van het incident
betrokken data
genomen maatregelen

9. Bewaartermijn

Gegevens worden bewaard:

zolang noodzakelijk voor dienstverlening
of zolang wettelijk vereist

Na beëindiging:

verwijdering binnen 60 dagen
of retour op verzoek

10. Rechten van Betrokkenen

Verwerker ondersteunt Verwerkingsverantwoordelijke bij:

inzage
correctie
verwijdering
dataportabiliteit

11. Beëindiging

Bij beëindiging van de relatie van de gebruiker met transAI worden persoonsgegevens op een veilige manier verwijderd, tenzij er een wettelijke verplichting bestaat om deze te bewaren.

12. Toepasselijk Recht

Deze Overeenkomst wordt beheerst door het recht van Nederland, en partijen komen overeen zich te onderwerpen aan de exclusieve jurisdictie van de rechtbanken te Almelo.