Verwerkersovereenkomst (DPA)
Laatst bijgewerkt: 30 december 2024
1. Inleiding
Deze Verwerkersovereenkomst ("DPA") is van toepassing wanneer Ruimzo B.V. ("Verwerker") persoonsgegevens verwerkt namens de Klant ("Verwerkingsverantwoordelijke") in het kader van de AI virtual staging dienst.
Deze DPA is een aanvulling op de Algemene Voorwaarden en vormt samen daarmee de overeenkomst tussen partijen.
2. Definities
- AVG: Algemene Verordening Gegevensbescherming (EU) 2016/679
- Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
- Verwerking: Elke bewerking van persoonsgegevens
- Betrokkene: De natuurlijke persoon op wie de persoonsgegevens betrekking hebben
- Sub-verwerker: Een derde partij die namens de Verwerker persoonsgegevens verwerkt
3. Rolverdeling
De Klant is Verwerkingsverantwoordelijke voor de persoonsgegevens die via de Dienst worden verwerkt, met name:
- Foto's van eigendommen (indien deze personen bevatten)
- Metadata van foto's (locatie, camera-informatie indien aanwezig)
Ruimzo is Verwerker en verwerkt deze gegevens uitsluitend volgens de instructies van de Klant en ten behoeve van de dienstverlening.
4. Verplichtingen van de Verwerker
Ruimzo zal:
- Persoonsgegevens alleen verwerken volgens gedocumenteerde instructies van de Klant
- Passende technische en organisatorische maatregelen treffen
- Medewerkers verplichten tot geheimhouding
- De Klant bijstaan bij het uitoefenen van rechten van Betrokkenen
- Datalekken binnen 48 uur melden aan de Klant
- Na beëindiging alle persoonsgegevens verwijderen of retourneren
5. Technische en Organisatorische Maatregelen
Ruimzo heeft de volgende maatregelen geïmplementeerd:
- Versleuteling van data in transit (TLS 1.3) en at rest (AES-256)
- Toegangscontrole op basis van rollen
- Regelmatige security assessments
- Automatische verwijdering van foto's na 60 dagen
- Logging en monitoring van toegang
- Beveiligde hosting bij ISO 27001 gecertificeerde providers
6. Sub-verwerkers
De Klant geeft algemene toestemming voor het inschakelen van sub-verwerkers. Wij maken gebruik van de volgende categorieën sub-verwerkers:
| Categorie | Doel | Locatie |
|---|---|---|
| Cloud Hosting Provider | Hosting, CDN, beeldopslag | EU/VS (SCCs) |
| Database Provider | Database hosting | EU |
| AI Service Provider | AI model verwerking | VS (SCCs) |
| Betalingsprovider | Betalingsverwerking | Nederland |
| Email Service Provider | Email verzending | VS (SCCs) |
| Monitoring Provider | Error tracking, analytics | EU/VS (SCCs) |
Zakelijke klanten kunnen de volledige sub-verwerker lijst met bedrijfsnamen opvragen via de PDF download (beschikbaar na inloggen met zakelijk account) of door contact op te nemen met privacy@ruimzo.nl.
Wijzigingen in sub-verwerkers worden 30 dagen vooraf gemeld aan zakelijke klanten. Bij bezwaar kan de Klant de overeenkomst beëindigen.
7. Internationale Doorgifte
Bij doorgifte buiten de EER worden passende waarborgen toegepast:
- EU-VS Data Privacy Framework (waar van toepassing)
- Standard Contractual Clauses (SCCs)
- Aanvullende technische maatregelen
8. Rechten van Betrokkenen
Ruimzo zal de Klant bijstaan bij verzoeken van Betrokkenen. De Klant blijft verantwoordelijk voor de afhandeling.
Bij directe verzoeken aan Ruimzo zullen wij de Betrokkene doorverwijzen naar de Klant, tenzij wettelijk anders vereist.
9. Datalekken
Bij een (vermoedelijk) datalek dat persoonsgegevens van de Klant betreft, zal Ruimzo:
- De Klant binnen 48 uur informeren
- Alle relevante informatie verstrekken (aard, gevolgen, maatregelen)
- Redelijke medewerking verlenen aan herstel
10. Audits en Controlerechten
De Klant heeft het recht om de naleving van deze DPA te controleren conform artikel 28 lid 3 sub h AVG. Ruimzo zal:
- Jaarlijks relevante certificeringen en auditrapporten beschikbaar stellen op schriftelijk verzoek
- Schriftelijke vragen over beveiligingsmaatregelen binnen 15 werkdagen beantwoorden
- Op verzoek en tegen kostprijs een on-site audit faciliteren met minimaal 30 dagen vooraankondiging
- Documentatie verstrekken over technische en organisatorische maatregelen
Audit Procedure
Auditverzoeken kunnen worden ingediend via privacy@ruimzo.nl. Vermeld in uw verzoek:
- Bedrijfsnaam en contactgegevens
- Doel en scope van de audit
- Gewenste periode
Beschikbare Documentatie
- Security assessment samenvattingen
- Toegangslogboeken (op verzoek, beperkt tot eigen gegevens)
- Sub-verwerker overeenkomsten (samenvatting)
- Datalek procedure documentatie
- Privacy Impact Assessment (indien van toepassing)
11. Duur en Beëindiging
Deze DPA is van kracht zolang Ruimzo persoonsgegevens verwerkt namens de Klant.
Na beëindiging worden alle persoonsgegevens binnen 30 dagen verwijderd, tenzij wettelijke bewaarplicht van toepassing is.
12. Aansprakelijkheid
Aansprakelijkheid onder deze DPA is onderworpen aan de beperkingen in de Algemene Voorwaarden.
De Klant vrijwaart Ruimzo voor claims van Betrokkenen indien deze voortkomen uit handelen of nalaten van de Klant.
13. Toepasselijk Recht
Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.
14. Contact
Voor vragen over deze DPA:
- Email: privacy@ruimzo.nl
- Website: ruimzo.nl