Verwerkersovereenkomst

1. Definities

• „Persoonsgegevens” betekent alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon („Betrokkene”), zoals gedefinieerd in artikel 4(1) van de GDPR.
• „Verwerking” betekent elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, waaronder verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, wissen of vernietigen.
• „Subverwerker” betekent elke derde partij die door de Verwerker wordt ingeschakeld om Persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke.
• „Betrokkene” betekent de geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
• „GDPR” betekent de Algemene verordening gegevensbescherming (EU) 2016/679 van het Europees Parlement en de Raad.
• „Standaard contractuele bepalingen” (SCC's) betekenen de door de Europese Commissie goedgekeurde contractuele bepalingen voor de overdracht van Persoonsgegevens naar derde landen.

2. Reikwijdte en doel

De Verwerker verwerkt Persoonsgegevens namens de Verwerkingsverantwoordelijke uitsluitend voor de volgende doeleinden:

• Het leveren van de INCI API-dienst, inclusief ingrediëntanalyse, productzoekopdrachten, veiligheidsscores, allergeendetectie en huidcompatibiliteitsanalyse
• Accountbeheer, authenticatie en autorisatie
• Gebruikstracking, rate limiting en facturering
• Serviceverbetering, prestatiebewaking en analyse
• Klantenondersteuning en communicatie

De Verwerker verwerkt geen Persoonsgegevens voor andere doeleinden dan die in deze DPA zijn gespecificeerd of schriftelijk door de Verwerkingsverantwoordelijke zijn gedocumenteerd.

3. Soorten verwerkte persoonsgegevens

• Accountgegevens: naam, e-mailadres, gehasht wachtwoord
• API-gebruiksgegevens: aanvraaglogs, tijdstempels, IP-adressen, geraadpleegde endpoints, antwoordcodes, identifiers van API-sleutels
• Factureringsgegevens: abonnementsniveau, metadata van betaalmethode (volledige betalingsgegevens worden uitsluitend door Stripe verwerkt en nooit op onze servers opgeslagen)
• Technische gegevens: browsertype, apparaatinformatie, besturingssysteem, verwijzende URL's (verzameld via analyse voor serviceverbetering)

De Verwerker verwerkt geen bijzondere categorieën van Persoonsgegevens (artikel 9 GDPR) of Persoonsgegevens betreffende strafrechtelijke veroordelingen (artikel 10 GDPR).

4. Categorieën betrokkenen

De op grond van deze DPA verwerkte Persoonsgegevens hebben betrekking op de volgende categorieën Betrokkenen:

• Werknemers en opdrachtnemers van de Klant die toegang hebben tot en gebruikmaken van INCI API
• Eindgebruikers van applicaties van de Klant die zijn geïntegreerd met INCI API (voor zover hun gegevens via API-aanvragen worden verzonden)

5. Verplichtingen van de Verwerker

De Verwerker zal:

1. Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, ook wat betreft doorgiften van Persoonsgegevens naar een derde land, tenzij dit op grond van het Unierecht of het recht van een lidstaat verplicht is
2. Ervoor zorgen dat personen die gemachtigd zijn om Persoonsgegevens te verwerken zich tot vertrouwelijkheid hebben verbonden of door een passende wettelijke geheimhoudingsplicht zijn gebonden
3. Passende technische en organisatorische beveiligingsmaatregelen treffen overeenkomstig artikel 32 van de GDPR om een op het risico afgestemd beveiligingsniveau te waarborgen
4. Geen andere verwerker (subverwerker) inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke. Bij algemene schriftelijke toestemming licht de Verwerker de Verwerkingsverantwoordelijke in over voorgenomen veranderingen inzake de toevoeging of vervanging van subverwerkers, zodat de Verwerkingsverantwoordelijke bezwaar kan maken
5. Rekening houdend met de aard van de verwerking, de Verwerkingsverantwoordelijke ondersteunen door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bij het vervullen van zijn plicht om verzoeken om uitoefening van rechten van Betrokkenen te beantwoorden
6. De Verwerkingsverantwoordelijke bijstaan bij de naleving van de verplichtingen ingevolge de artikelen 32 tot en met 36 van de GDPR, rekening houdend met de aard van de verwerking en de aan de Verwerker beschikbare informatie
7. Naar keuze van de Verwerkingsverantwoordelijke alle Persoonsgegevens na afloop van de dienstverlening wissen of aan de Verwerkingsverantwoordelijke retourneren, en bestaande kopieën verwijderen, tenzij Unierecht of het recht van een lidstaat opslag van de Persoonsgegevens vereist
8. De Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om aan te tonen dat de in artikel 28 GDPR vastgestelde verplichtingen worden nagekomen, en audits, met inbegrip van inspecties, mogelijk maken en hieraan bijdragen, uitgevoerd door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur

6. Beveiligingsmaatregelen

De Verwerker implementeert de volgende technische en organisatorische maatregelen om Persoonsgegevens te beschermen overeenkomstig artikel 32 van de GDPR:

• Versleuteling tijdens transport: Alle gegevens tussen clients en servers worden versleuteld met TLS 1.2 of hoger (HTTPS)
• Versleuteling in rust: De databaseopslag gebruikt MongoDB-versleuteling in rust voor alle opgeslagen Persoonsgegevens
• Toegangscontroles: Authenticatie via JWT-tokens en API-sleutels; rolgebaseerde toegangscontrole; principe van least privilege
• Wachtwoordbeveiliging: Gebruikerswachtwoorden worden opgeslagen met bcrypt-hashing met passende cost factors; API-sleutels worden opgeslagen als veilige hashes
• Infrastructuurbeveiliging: Door firewall beschermde infrastructuur (UFW met beperkte poorten), regelmatige beveiligingsupdates en patches
• Serverlocatie: DigitalOcean-infrastructuur (momenteel in de VS; migratie naar een EU/EER-datacenter is gepland)
• Betalingsgegevens: Geen opslag van betalingskaartgegevens op onze servers. Alle betalingsverwerking wordt afgehandeld door Stripe, dat PCI DSS Level 1-compliance handhaaft
• Monitoring: Geautomatiseerde monitoring, logging en waarschuwingen voor beveiligingsincidenten en anomalieën

7. Subverwerkers

De Verwerkingsverantwoordelijke verleent de Verwerker algemene toestemming om de volgende subverwerkers in te schakelen. De Verwerker stelt de Verwerkingsverantwoordelijke ten minste 30 dagen schriftelijk vooraf op de hoogte van voorgenomen veranderingen in de toevoeging of vervanging van subverwerkers, zodat de Verwerkingsverantwoordelijke de gelegenheid heeft tegen dergelijke wijzigingen bezwaar te maken.

Indien de Verwerkingsverantwoordelijke om redelijke gegevensbeschermingsgronden bezwaar maakt tegen een nieuwe subverwerker, bespreken de partijen de kwestie te goeder trouw. Wordt binnen 30 dagen geen oplossing bereikt, dan kan de Verwerkingsverantwoordelijke de getroffen diensten zonder boete beëindigen.

8. Gegevensoverdracht

Persoonsgegevens kunnen worden overgedragen aan en verwerkt in landen buiten de Europese Unie en de Europese Economische Ruimte. Bij dergelijke overdrachten zorgt de Verwerker ervoor dat passende waarborgen aanwezig zijn overeenkomstig hoofdstuk V van de GDPR, waaronder:

• Standaard contractuele bepalingen (SCC's) goedgekeurd door de Europese Commissie (Uitvoeringsbesluit (EU) 2021/914)
• Adequaatheidsbesluiten van de Europese Commissie waar van toepassing
• Aanvullende technische en organisatorische maatregelen ter aanvulling van overdrachtsmechanismen waar nodig, in overeenstemming met het Schrems II-arrest (zaak C-311/18)

9. Melding van datalekken

De Verwerker stelt de Verwerkingsverantwoordelijke zonder onnodige vertraging en in elk geval binnen 72 uur na kennisname van een inbreuk op Persoonsgegevens zoals gedefinieerd in artikel 4(12) GDPR op de hoogte. De melding bevat:

• Een beschrijving van de aard van de inbreuk, met inbegrip van de categorieën en het geschatte aantal Betrokkenen en getroffen records
• De naam en contactgegevens van het aanspreekpunt voor gegevensbescherming bij wie meer informatie kan worden verkregen
• Een beschrijving van de waarschijnlijke gevolgen van de inbreuk
• Een beschrijving van de genomen of voorgestelde maatregelen om de inbreuk aan te pakken, inclusief maatregelen om de eventuele nadelige gevolgen te beperken

De Verwerker werkt samen met de Verwerkingsverantwoordelijke en neemt redelijke commerciële stappen om bij te dragen aan onderzoek, beperking en herstel van elk dergelijk incident.

10. Rechten van betrokkenen

De Verwerker assisteert de Verwerkingsverantwoordelijke bij het nakomen van zijn verplichtingen om verzoeken van Betrokkenen die hun rechten op grond van hoofdstuk III van de GDPR uitoefenen te beantwoorden, waaronder:

• Recht op inzage (artikel 15)
• Recht op rectificatie (artikel 16)
• Recht op wissing / recht om vergeten te worden (artikel 17)
• Recht op beperking van de verwerking (artikel 18)
• Recht op overdraagbaarheid van gegevens (artikel 20)
• Recht van bezwaar (artikel 21)

Indien de Verwerker rechtstreeks van een Betrokkene een verzoek ontvangt, stelt hij de Verwerkingsverantwoordelijke daar onverwijld van op de hoogte en beantwoordt hij het verzoek niet zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, tenzij hij hiertoe wettelijk verplicht is.

11. Auditrechten

De Verwerkingsverantwoordelijke kan toezicht houden op de naleving door de Verwerker van deze DPA. Audits zijn onderworpen aan de volgende voorwaarden:

• De Verwerkingsverantwoordelijke geeft ten minste 30 dagen schriftelijk vooraankondiging
• Audits worden ten hoogste eenmaal per kalenderjaar uitgevoerd, tenzij vereist door een toezichthoudende autoriteit of na een inbreuk op Persoonsgegevens
• Audits worden uitgevoerd tijdens normale kantooruren en mogen de bedrijfsvoering van de Verwerker niet onredelijk verstoren
• De Verwerkingsverantwoordelijke draagt de kosten van de audit, behalve wanneer uit de audit een wezenlijke niet-naleving door de Verwerker blijkt
• De Verwerkingsverantwoordelijke kan een gekwalificeerde, onafhankelijke externe auditor inschakelen, onder voorbehoud van redelijke geheimhoudingsverplichtingen

12. Looptijd en beëindiging

Deze DPA blijft van kracht voor de duur van de dienstenovereenkomst tussen de partijen. Na beëindiging van de dienstenovereenkomst:

• Verwijdert of retourneert de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens binnen 30 dagen na de beëindigingsdatum
• Verwijdert de Verwerker bestaande kopieën van Persoonsgegevens, tenzij Unierecht of het recht van een lidstaat opslag vereist (bijv. fiscale en financiële administratie volgens Spaans recht)
• Verstrekt de Verwerker op verzoek van de Verwerkingsverantwoordelijke schriftelijk bewijs van verwijdering

13. Toepasselijk recht

Deze DPA wordt beheerst door en uitgelegd in overeenstemming met de wetten van het Koninkrijk Spanje, zonder rekening te houden met haar bepalingen inzake conflict van wetten. De GDPR is van toepassing op alle aangelegenheden in verband met de verwerking van Persoonsgegevens. Geschillen die uit deze DPA voortvloeien zijn onderworpen aan de exclusieve jurisdictie van de rechtbanken van de Canarische Eilanden, Spanje (Santa Cruz de Tenerife).

14. Contact

Voor vragen, zorgen of verzoeken met betrekking tot deze Verwerkersovereenkomst kunt u contact met ons opnemen: