Gegevensverwerkingsovereenkomst
Deze DPA maakt deel uit van de Servicevoorwaarden en weerspiegelt onze toewijding aan AVG- en CCPA-compliance.
Versie 1.0 | Laatst bijgewerkt: december 2024
1. Partijen
Gegevensbeheerder
U, de klant
Gegevensverwerker
ClientFlow
1.1 Verwerkingsomvang
Deze GVO is van toepassing op de verwerking van persoonsgegevens waarbij:
- ClientFlow persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke als onderdeel van de dienstverlening
- De verwerking betrekking heeft op het beheer van klantrelaties van de Verwerkingsverantwoordelijke
- De betrokkenen klanten en zakelijke contacten van de Verwerkingsverantwoordelijke zijn
Verwerkingsactiviteiten
- Opslag en organisatie van klantcontactgegevens
- Registratie en tracking van betalingstransacties
- Verzending van geautoriseerde communicatie (herinneringen, meldingen)
- Generatie van analyses en rapporten op basis van geaggregeerde gegevens
2. Gegevenscategorieën
| Categorie | Voorbeelden | Doel |
|---|---|---|
| Accountgegevens | E-mail, naam, profielfoto | Servicetoegang |
| Klantgegevens | Klantnamen, telefoons, e-mails | CRM-functionaliteit |
| Betalingsgegevens | Bedragen, datums, statussen | Betalingstracking |
| Gebruiksgegevens | Inlogtijden, functiegebruik | Beveiliging, verbetering |
3. Verplichtingen van de verwerker
Wij zullen:
- Gegevens alleen verwerken volgens uw gedocumenteerde instructies
- Ervoor zorgen dat personeel gebonden is aan vertrouwelijkheid
- Passende beveiligingsmaatregelen implementeren
- Helpen bij verzoeken van betrokkenen
- U binnen 72 uur op de hoogte stellen van datalekken
- Gegevens verwijderen na beëindiging (na bewaartermijn)
4. Beveiligingsmaatregelen
Technisch
- TLS 1.3 (transport)
- AES-256 (in rust)
- OAuth 2.0-authenticatie
- Op rollen gebaseerde toegangscontrole
- Real-time monitoring
Organisatorisch
- Schriftelijke beveiligings- en gegevensverwerkingsrichtlijnen
- Incidentresponsprocedure
- Beoordelingen van leveranciers en subverwerkers
- Geheimhoudingsplicht voor iedereen met toegang tot gegevens
- Wijzigingsbeheer voor productiesystemen
5. Sub-verwerkers
We gebruiken de volgende geautoriseerde sub-verwerkers:
| Aanbieder | Dienst | Locatie | DPF |
|---|---|---|---|
| Google Cloud | Authenticatie | VS | Ja |
| iyzico | Betalingen | Turkije | SCC's |
| Meta (WhatsApp) | Berichten | VS | Ja |
| Opnieuw verzenden | VS | SCC's | |
| Supabase | Database | EU/VS | SCC's |
| Cloudflare | Caching | EU | SCC's |
DPF = EU-VS Data Privacy Framework gecertificeerd
Wijzigingsmeldingen Sub-verwerkers
Wij zullen u op de hoogte stellen van voorgenomen wijzigingen in subverwerkers:
- Minstens 14 dagen van tevoren voordat subverwerkers worden toegevoegd of vervangen
- Melding via e-mail naar het e-mailadres van uw geregistreerde account
- U kunt binnen 14 dagen bezwaar maken tegen wijzigingen door contact met ons op te nemen
- Als uw bezwaar niet kan worden opgelost, kunt u de betreffende services beëindigen
7. Auditrechten
U heeft het recht om audits uit te voeren of een onafhankelijke auditor te benoemen om onze naleving van deze GVO te verifiëren.
- Auditverzoeken moeten schriftelijk worden ingediend bij contact@clientflow.center
- Wij verstrekken relevante documentatie, certificeringen en auditrapporten
- Audits ter plaatse kunnen maximaal één keer per jaar worden uitgevoerd, op uw kosten
- Alle audits moeten tijdens normale kantooruren worden uitgevoerd
- De auditor moet een geheimhoudingsovereenkomst ondertekenen
Auditomvang
- Beveiligingsmaatregelen en technische waarborgen
- Naleving door subverwerkers
- Procedures voor gegevensverwerking
- Mogelijkheden voor incidentrespons
De kosten voor audits komen voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit materiële niet-naleving aan het licht brengt.
6. Gegevensbewaring en verwijdering
We bewaren persoonsgegevens alleen zolang dat nodig is voor de beschreven doeleinden, of zolang dit wettelijk vereist is (bijvoorbeeld de Turkse belastingwet en het Turkse Wetboek van Koophandel, die verplichten boekhoudkundige en commerciële gegevens tot 10 jaar te bewaren).
| Tijdlijn | Actie |
|---|---|
| Op verzoek tot accountverwijdering | Actieve klantgegevens worden binnen 30 dagen verwijderd of geanonimiseerd |
| Tot 10 jaar | Betalings- en facturatiegegevens worden bewaard waar dit wettelijk vereist is door belasting- en handelsrecht |
| Bij beëindiging | Persoonsgegevens worden binnen 30 dagen geretourneerd of verwijderd, tenzij wettelijke bewaartermijnen van toepassing zijn |
7. CCPA-bepalingen
Onder de CCPA treden we op als een "Dienstverlener" en:
- Verwerken gegevens alleen voor gespecificeerde zakelijke doeleinden
- Verkopen geen persoonlijke informatie
- Helpen bij verzoeken van consumentenrechten
- Implementeren redelijke beveiligingsmaatregelen
8. Procedure bij datalekken
Bij een datalek volgen we de GDPR-meldingsvereisten.
Meldingstijdlijn
- Binnen 24 uur: Eerste melding per e-mail
- Binnen 72 uur: Gedetailleerde beoordeling van het lek
- Doorlopend: Regelmatige updates over onderzoeksactiviteiten
Meldingsinhoud
- Aard van het datalek, inclusief categorieën en geschat aantal betrokkenen
- Contactgegevens van het privacycontact voor vervolgvragen
- Beschrijving van de waarschijnlijke gevolgen van het datalek
- Genomen of voorgestelde maatregelen om het datalek aan te pakken
- Maatregelen om mogelijke nadelige gevolgen te beperken
Wij werken met u samen bij eventuele onderzoeken of herstelmaatregelen.
9. Internationale gegevensoverdrachten
Wanneer persoonsgegevens buiten de Europese Economische Ruimte (EER) worden overgedragen, zorgen wij voor passende waarborgen:
Overdrachtmechanismen
Data Privacy Framework
Voor subverwerkers in de VS gecertificeerd onder het DPF
Standaard Contractbepalingen
EU SCC's (Module 2: Verantwoordelijke naar Verwerker)
Adequaatheidsbesluiten
Voor landen erkend door de Europese Commissie
Wij passen aanvullende technische en organisatorische beveiligingsmaatregelen toe voor alle overdrachten.
U kunt een kopie van de overdrachtswaarborgen opvragen door contact met ons op te nemen.
10. Aansprakelijkheid en Vrijwaring
Aansprakelijkheid Verwerker
ClientFlow is alleen aansprakelijk voor schade veroorzaakt door verwerking wanneer wij niet voldoen aan verplichtingen specifiek gericht aan verwerkers.
Aansprakelijkheid Verantwoordelijke
De Verantwoordelijke is aansprakelijk voor schade veroorzaakt door instructies en naleving van GDPR-verplichtingen.
Aansprakelijkheidsbeperkingen
- Aansprakelijkheid is onderworpen aan de beperkingen in de Servicevoorwaarden
- Geen van beide partijen is aansprakelijk voor indirecte of gevolgschade
- Totale aansprakelijkheid is beperkt tot de vergoedingen betaald in de voorgaande 12 maanden
Elke partij stemt ermee in de andere partij te vrijwaren tegen claims die voortvloeien uit schending van deze GVO.
11. Beëindiging en Gegevensretournering
GVO Duur
Deze GVO blijft van kracht gedurende de looptijd van de Servicevoorwaarden en totdat alle persoonsgegevens zijn verwijderd.
Bij beëindiging
- Exporteer al uw gegevens binnen 30 dagen na beëindiging
- Reactiveer uw account op elk moment—alle gegevens worden voor onbepaalde tijd bewaard
- Vraag permanente verwijdering van gegevens aan (duurt maximaal 30 dagen)
- Gegevens kunnen worden bewaard waar dit door toepasselijk recht is vereist
Bepalingen over vertrouwelijkheid en gegevensbescherming blijven van kracht na beëindiging.