Data verwerkings-overeenkomst

transAI | 2025

Last update: 17/06/2024

Welcome to transAI’s Data Processing Agreement (DPA). This agreement outlines how we handle your data with the utmost care and respect. Please ensure you send a signed copy of this DPA back to us at samen@transai.com. Your cooperation helps us maintain our commitment to data security and privacy.

This agreement ("Agreement") is entered into between:

XIP Online Data (the "Controller"), hereafter "Verwerker", and The User (the "Processor"). Given the services provided by transAI and the third-party services used by transAI, this agreement outlines the responsibilities and requirements associated with the processing of personal data.

1. Definitions

In deze Verwerkersovereenkomst hebben de volgende termen de onderstaande betekenis:

AVG: Algemene Verordening Gegevensbescherming (EU) 2016/679
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
Subverwerker: een door Verwerker ingeschakelde derde partij
transAI Device: de door Verwerker ingezette hardwarecomponent, ontwikkeld door een derde partij (Factory Nebula), die wordt gebruikt voor de beveiligde overdracht van data tussen de systemen en/of productieomgeving van de Verwerkingsverantwoordelijke en het cloudplatform van Verwerker. Het TransAI Device kan op afstand worden beheerd voor onderhouds- en ondersteuningsdoeleinden, in welk kader de betreffende derde partij kan kwalificeren als Subverwerker.
Verwerker: de partij die persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke
Verwerking: elke bewerking met betrekking tot persoonsgegevens
Verwerkingsverantwoordelijke: de partij die het doel en de middelen bepaalt

2. Purpose of Processing

2.1 De Gebruiker kwalificeert als Verwerkingsverantwoordelijke.
2.2 transAI kwalificeert als Verwerker, tenzij anders aangegeven.

Voor bepaalde platformfunctionaliteiten (zoals accountbeheer en facturatie) kan transAI zelfstandig als Verwerkingsverantwoordelijke optreden.

3. Doeleinden van Verwerking

Verwerker verwerkt Persoonsgegevens uitsluitend voor:

levering, onderhoud en verbetering van de diensten
authenticatie en toegangsbeheer
facturatie en administratie
technische monitoring en support

Verwerking vindt uitsluitend plaats op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij wettelijk anders vereist.

3. Data Processed

4.1 Administratieve gegevens (platformdata)

Names
Email addresses
Billing information
Login credentials

Doel: accountbeheer, authenticatie, facturatie en support.

4.2 Klantdata (operationele data)

Data afkomstig uit systemen van Verwerkingsverantwoordelijke
Gesynchroniseerd via het transAI device naar het platform

Deze data:

blijft eigendom van Verwerkingsverantwoordelijke
wordt uitsluitend verwerkt in opdracht
wordt niet gebruikt voor eigen doeleinden, modeltraining of productverbetering zonder expliciete schriftelijke toestemming

Verwerker is niet verantwoordelijk voor de inhoud, aard of rechtmatigheid van de door Verwerkingsverantwoordelijke aangeleverde klantdata. Het is de verantwoordelijkheid van Verwerkingsverantwoordelijke om te waarborgen dat geen persoonsgegevens of andere gevoelige gegevens worden gesynchroniseerd naar het platform indien en voor zover dit niet is toegestaan op grond van toepasselijke wet- en regelgeving of interne beleidsregels.

5. Responsibilities of the Processor

Comply with all terms of this Agreement. Report any suspected or actual data breaches to transAI without undue delay. Use transAI services in a manner that complies with all applicable laws and regulations.

Persoonsgegevens uitsluitend verwerken volgens instructies
passende technische en organisatorische maatregelen treffen
vertrouwelijkheid waarborgen
personeel contractueel binden aan geheimhouding
Verwerkingsverantwoordelijke ondersteunen bij AVG-verzoeken (inzage, verwijdering, etc.) & DPIA’s en compliance

6. Sub-processors

TransAI uses the following sub-processors:

Amazon Web Services for hosting: Amazon Web Services' data protection policies and procedures are adhered to.
Doel: hosting
Locatie: EU (Ierland)
Auth0 for authentication: Auth0's data protection policies and procedures are adhered to.
Doel: authenticatie, gebruikergegevens
Locatie: EU
Datadog for monitoring: Datadog's data protection policies and procedures are adhered to.
Doel: monitoring
Locatie: EU
Factory Nebula
Doel: remote management transAI device
Locatie: EU
OpenAI
Doel: AI
Locatie: USA
Sentry for monitoring: Sentry's data protection policies and procedures are adhered to.
Doel: monitoring
Locatie: VS
XIP Online Services for support: XIP Online Services' data protection policies and procedures are adhered to.
Doel: support
Locatie: NL (EU)

Verwerker:

sluit met alle subverwerkers een overeenkomst conform art. 28 AVG
blijft volledig aansprakelijk

6.1 transAI device

Verwerker maakt gebruik van een hardwarecomponent (“transAI device”) voor gegevensoverdracht tussen de on-premise locatie en het cloudplatform. Het device wordt ontwikkeld door een partner van Verwerker (zie 6. Subverwerkers). Het device bied mogelijkheden aan Verwerker tot remote management voor onderhoud en beheer. De communicatie verloopt via beveiligde verbindingen.

7. Data Retention

Personal data will be retained for as long as necessary to provide the services or as required by law. Once data is no longer required, it will be securely deleted.

encryptie (in transit en at rest)
toegangscontrole (least privilege)
logging en monitoring
incident response procedures

8. Datalekken

Verwerker meldt een datalek:

zonder onredelijke vertraging
uiterlijk binnen 72 uur

Inclusief:

aard van het incident
betrokken data
genomen maatregelen

9. Bewaartermijn

Gegevens worden bewaard:

zolang noodzakelijk voor dienstverlening
of zolang wettelijk vereist

Na beëindiging:

verwijdering binnen 60 dagen
of retour op verzoek

8. Rights of Data Subjects

Users have the right to access, modify, and delete their personal data. Requests for data access, modification, or deletion should be submitted to transAI.

inzage
correctie
verwijdering
dataportabiliteit

9. Termination

Upon termination of the user's relationship with transAI, personal data will be securely deleted unless there is a legal requirement to retain it.

10. Governing Law

This Agreement will be governed by the laws of The Netherlands, and the parties agree to submit to the exclusive jurisdiction of the courts of Almelo.