Verwerkersovereenkomst (DPA)

1. Inleiding

Deze Verwerkersovereenkomst ("DPA") is van toepassing wanneer Ruimzo B.V. ("Verwerker") persoonsgegevens verwerkt namens de Klant ("Verwerkingsverantwoordelijke") in het kader van de AI virtual staging dienst.

Deze DPA is een aanvulling op de Algemene Voorwaarden en vormt samen daarmee de overeenkomst tussen partijen.

2. Definities

• AVG: Algemene Verordening Gegevensbescherming (EU) 2016/679
• Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
• Verwerking: Elke bewerking van persoonsgegevens
• Betrokkene: De natuurlijke persoon op wie de persoonsgegevens betrekking hebben
• Sub-verwerker: Een derde partij die namens de Verwerker persoonsgegevens verwerkt

3. Rolverdeling

De Klant is Verwerkingsverantwoordelijke voor de persoonsgegevens die via de Dienst worden verwerkt, met name:

• Foto's van eigendommen (indien deze personen bevatten)
• Metadata van foto's (locatie, camera-informatie indien aanwezig)

Ruimzo is Verwerker en verwerkt deze gegevens uitsluitend volgens de instructies van de Klant en ten behoeve van de dienstverlening.

4. Verplichtingen van de Verwerker

Ruimzo zal:

• Persoonsgegevens alleen verwerken volgens gedocumenteerde instructies van de Klant
• Passende technische en organisatorische maatregelen treffen
• Medewerkers verplichten tot geheimhouding
• De Klant bijstaan bij het uitoefenen van rechten van Betrokkenen
• Datalekken binnen 48 uur melden aan de Klant
• Na beëindiging alle persoonsgegevens verwijderen of retourneren

5. Technische en Organisatorische Maatregelen

Ruimzo heeft de volgende maatregelen geïmplementeerd:

• Versleuteling van data in transit (TLS 1.3) en at rest (AES-256)
• Toegangscontrole op basis van rollen
• Regelmatige security assessments
• Automatische verwijdering van foto's na 7/60 dagen
• Logging en monitoring van toegang
• Beveiligde hosting bij ISO 27001 gecertificeerde providers

6. Sub-verwerkers

De Klant geeft algemene toestemming voor het inschakelen van sub-verwerkers. Huidige sub-verwerkers:

Wijzigingen in sub-verwerkers worden 30 dagen vooraf gemeld. Bij bezwaar kan de Klant de overeenkomst beëindigen.

7. Internationale Doorgifte

Bij doorgifte buiten de EER worden passende waarborgen toegepast:

• EU-VS Data Privacy Framework (waar van toepassing)
• Standard Contractual Clauses (SCCs)
• Aanvullende technische maatregelen

8. Rechten van Betrokkenen

Ruimzo zal de Klant bijstaan bij verzoeken van Betrokkenen. De Klant blijft verantwoordelijk voor de afhandeling.

Bij directe verzoeken aan Ruimzo zullen wij de Betrokkene doorverwijzen naar de Klant, tenzij wettelijk anders vereist.

9. Datalekken

Bij een (vermoedelijk) datalek dat persoonsgegevens van de Klant betreft, zal Ruimzo:

• De Klant binnen 48 uur informeren
• Alle relevante informatie verstrekken (aard, gevolgen, maatregelen)
• Redelijke medewerking verlenen aan herstel

10. Audits

De Klant kan jaarlijks verzoeken om audit-informatie. Ruimzo zal:

• Relevante certificeringen en auditrapporten beschikbaar stellen
• Schriftelijke vragen beantwoorden
• Op verzoek en tegen betaling een on-site audit faciliteren

11. Duur en Beëindiging

Deze DPA is van kracht zolang Ruimzo persoonsgegevens verwerkt namens de Klant.

Na beëindiging worden alle persoonsgegevens binnen 30 dagen verwijderd, tenzij wettelijke bewaarplicht van toepassing is.

12. Aansprakelijkheid

Aansprakelijkheid onder deze DPA is onderworpen aan de beperkingen in de Algemene Voorwaarden.

De Klant vrijwaart Ruimzo voor claims van Betrokkenen indien deze voortkomen uit handelen of nalaten van de Klant.

13. Toepasselijk Recht

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.

14. Contact

Voor vragen over deze DPA:

• Email: privacy@ruimzo.nl
• Website: ruimzo.nl