# Verwerkersovereenkomst **ForgeWise Recall** | | | | -------------------------------- | ------------------------------------ | | **Documenttype** | Verwerkersovereenkomst (Art. 28 AVG) | | **Verwerker** | ForgeWise B.V., Brielle, Nederland | | **Verwerkingsverantwoordelijke** | [Klantnaam], [Adres] | | **Datum** | [Datum] | --- ## 1. Begrippen In deze verwerkersovereenkomst wordt verstaan onder: - **AVG**: de Algemene Verordening Gegevensbescherming (EU) 2016/679 - **Verwerkingsverantwoordelijke** (hierna: Verantwoordelijke): de Klant die het doel en de middelen van de verwerking bepaalt - **Verwerker**: ForgeWise B.V., die persoonsgegevens verwerkt ten behoeve van de Verantwoordelijke - **Betrokkene**: de natuurlijke persoon op wie persoonsgegevens betrekking hebben - **Persoonsgegevens**: alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon - **Datalek**: een inbreuk in verband met persoonsgegevens als bedoeld in Art. 4 lid 12 AVG ## 2. Doel en reikwijdte 2.1 Deze verwerkersovereenkomst is een aanvulling op de tussen partijen gesloten overeenkomst voor het gebruik van ForgeWise Recall (hierna: de Hoofdovereenkomst). 2.2 De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de Verantwoordelijke en uitsluitend in het kader van het leveren van de Dienst zoals beschreven in de Hoofdovereenkomst. 2.3 De Verwerker verwerkt persoonsgegevens niet voor eigen doeleinden. ## 3. Categorieën persoonsgegevens De Verwerker verwerkt de volgende categorieën persoonsgegevens namens de Verantwoordelijke: | Categorie | Voorbeelden | | ----------------- | ------------------------------------------------ | | Audio-opnames | Gespreksopnames van meetings | | Transcripties | Automatisch gegenereerde tekst van opnames | | Analyses | Samenvattingen, actiepunten, beslissingen | | Sprekergegevens | Stemkenmerken of -profielen (indien geactiveerd) | | Deelnemergegevens | Namen en e-mailadressen van meetingdeelnemers | | Gebruiksgegevens | Inlogmomenten, sessiegegevens, auditlogs | ## 4. Categorieën betrokkenen - Medewerkers van de Verantwoordelijke die de Dienst gebruiken - Deelnemers aan meetings die via de Dienst worden opgenomen - Personen wiens persoonsgegevens in de meetinginhoud voorkomen ## 5. Verplichtingen van de Verwerker De Verwerker: 5.1 verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verantwoordelijke, waaronder deze verwerkersovereenkomst, tenzij een wettelijke verplichting anders voorschrijft; 5.2 waarborgt dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan vertrouwelijkheid; 5.3 treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder: - versleuteling van persoonsgegevens tijdens transport (TLS) en bij opslag (AES-256-GCM) - het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te garanderen - het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot persoonsgegevens tijdig te herstellen - een procedure voor het regelmatig testen en beoordelen van de doeltreffendheid van beveiligingsmaatregelen 5.4 voldoet aan de voorwaarden voor het inschakelen van sub-verwerkers (Art. 6); 5.5 verleent bijstand aan de Verantwoordelijke bij het vervullen van diens verplichtingen met betrekking tot verzoeken van betrokkenen (Art. 15-22 AVG); 5.6 verleent bijstand aan de Verantwoordelijke bij het nakomen van verplichtingen ten aanzien van beveiliging, melding van datalekken, gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging (Art. 32-36 AVG); 5.7 wist of retourneert, naar keuze van de Verantwoordelijke, na afloop van de verwerkingsdiensten alle persoonsgegevens, tenzij opslag wettelijk verplicht is; 5.8 stelt alle informatie ter beschikking die nodig is om de nakoming van deze verwerkersovereenkomst aan te tonen en maakt audits mogelijk. ## 6. Sub-verwerkers 6.1 De Verantwoordelijke geeft de Verwerker algemene schriftelijke toestemming voor het inschakelen van sub-verwerkers. 6.2 De Verwerker informeert de Verantwoordelijke vooraf over voorgenomen wijzigingen in sub-verwerkers en biedt de Verantwoordelijke de mogelijkheid om daartegen bezwaar te maken. 6.3 De Verwerker legt aan sub-verwerkers dezelfde verplichtingen op als in deze verwerkersovereenkomst. 6.4 Actuele sub-verwerkers: | Sub-verwerker | Dienst | Locatie | | -------------------------- | ------------------------ | ---------------------------- | | Hosting provider | Dedicated server hosting | Duitsland (EU) | | AI-dienstverlener | Meeting analyse | Frankfurt, Duitsland (EU) | | E-mailprovider (optioneel) | E-mail notificaties | Afhankelijk van configuratie | 6.5 De Verwerker blijft aansprakelijk voor de verwerking door sub-verwerkers. ## 7. Doorgifte buiten de EER 7.1 De Verwerker verwerkt persoonsgegevens in beginsel uitsluitend binnen de Europese Economische Ruimte (EER). 7.2 Doorgifte naar landen buiten de EER vindt niet plaats, tenzij daarvoor een passend beschermingsniveau is gewaarborgd conform Art. 44-49 AVG en de Verantwoordelijke hierover vooraf is geïnformeerd. ## 8. Datalekken 8.1 De Verwerker meldt een datalek aan de Verantwoordelijke zonder onredelijke vertraging en uiterlijk binnen 48 uur na ontdekking. 8.2 De melding bevat ten minste: - de aard van het datalek - de categorieën en het geschatte aantal betrokkenen - de waarschijnlijke gevolgen - de maatregelen die zijn genomen of worden voorgesteld 8.3 De Verwerker verleent bijstand aan de Verantwoordelijke bij het nakomen van de meldplicht aan de toezichthouder (Art. 33 AVG) en aan betrokkenen (Art. 34 AVG). ## 9. Geheimhouding 9.1 De Verwerker behandelt alle persoonsgegevens strikt vertrouwelijk. 9.2 De Verwerker waarborgt dat medewerkers die toegang hebben tot persoonsgegevens gebonden zijn aan een passende geheimhoudingsplicht. ## 10. Audit 10.1 De Verantwoordelijke heeft het recht om de naleving van deze verwerkersovereenkomst te (laten) controleren door middel van een audit. 10.2 De Verwerker verleent medewerking aan een audit en stelt relevante informatie beschikbaar. 10.3 De kosten van een audit komen voor rekening van de Verantwoordelijke, tenzij de audit een tekortkoming aan de zijde van de Verwerker aan het licht brengt. 10.4 Een audit wordt, tenzij sprake is van een dringend vermoeden van een datalek of tekortkoming, ten minste 14 dagen vooraf aangekondigd en vindt plaats op een wijze die de bedrijfsvoering zo min mogelijk verstoort. ## 11. Aansprakelijkheid 11.1 De aansprakelijkheid van de Verwerker onder deze verwerkersovereenkomst is beperkt overeenkomstig de bepalingen van de Hoofdovereenkomst. 11.2 De Verantwoordelijke vrijwaart de Verwerker tegen aanspraken van derden die voortvloeien uit instructies van de Verantwoordelijke die in strijd zijn met toepasselijke wet- of regelgeving. ## 12. Duur en beëindiging 12.1 Deze verwerkersovereenkomst treedt in werking bij ondertekening en duurt voort zolang de Hoofdovereenkomst van kracht is. 12.2 Na beëindiging van de Hoofdovereenkomst wist de Verwerker alle persoonsgegevens binnen 30 dagen, tenzij de Verantwoordelijke verzoekt om teruggave of een wettelijke bewaarplicht anders voorschrijft. ## 13. Toepasselijk recht 13.1 Op deze verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing. 13.2 Geschillen worden voorgelegd aan de bevoegde rechter te Rotterdam. --- **Ondertekening** | | Verantwoordelijke | Verwerker | | --------------------- | -------------------------- | -------------------------- | | **Naam** | **\*\*\*\***\_**\*\*\*\*** | ForgeWise B.V. | | **Vertegenwoordiger** | **\*\*\*\***\_**\*\*\*\*** | **\*\*\*\***\_**\*\*\*\*** | | **Functie** | **\*\*\*\***\_**\*\*\*\*** | Directeur | | **Datum** | **\*\*\*\***\_**\*\*\*\*** | **\*\*\*\***\_**\*\*\*\*** | | **Handtekening** | **\*\*\*\***\_**\*\*\*\*** | **\*\*\*\***\_**\*\*\*\*** |