Verwerkersovereenkomst
Artikel 1 — Partijen en rolverdeling
Verwerkingsverantwoordelijke: De gebruiker van Klantmoment die persoonsgegevens van zijn of haar klanten uploadt. De gebruiker bepaalt het doel en de middelen van de verwerking.
Verwerker: Klantmoment, gevestigd in Nederland, die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Klantmoment treedt uitsluitend op als verwerker en verwerkt de persoonsgegevens alleen conform de instructies van de verwerkingsverantwoordelijke.
Artikel 2 — Onderwerp en duur van de verwerking
Onderwerp: Het analyseren van klantenbestanden van de verwerkingsverantwoordelijke ten behoeve van het genereren van verkoopactielijsten.
Duur: De verwerking vindt uitsluitend plaats gedurende de sessie waarbinnen het bestand is geüpload. Na het genereren van de actielijst worden alle geüploade persoonsgegevens onmiddellijk verwijderd.
Artikel 3 — Aard en doel van de verwerking
De verwerking omvat het analyseren van klantgegevens en orderhistorie met behulp van kunstmatige intelligentie, teneinde een prioriteitslijst te genereren van klanten die de verwerkingsverantwoordelijke dient te contacteren.
Klantmoment verwerkt de persoonsgegevens uitsluitend voor dit doel en niet voor eigen commerciële doeleinden.
Artikel 4 — Soort persoonsgegevens
De volgende categorieën persoonsgegevens kunnen worden verwerkt:
- Naam en contactgegevens van klanten (naam, bedrijfsnaam, e-mailadres, telefoonnummer)
- Orderhistorie en aankoopgedrag (datum, bedrag, producten)
- Overige klantinformatie die de verwerkingsverantwoordelijke in het uploadbestand heeft opgenomen
Klantmoment verwerkt geen bijzondere categorieën van persoonsgegevens (zoals gezondheidsgegevens of biometrische gegevens). De verwerkingsverantwoordelijke dient dergelijke gegevens niet op te nemen in geüploade bestanden.
Artikel 5 — Verplichtingen van Klantmoment als verwerker
Klantmoment verplicht zich tot:
- Verwerking van persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke
- Onmiddellijke verwijdering van geüploade persoonsgegevens na het genereren van de actielijst
- Treffen van passende technische en organisatorische beveiligingsmaatregelen conform artikel 32 AVG
- Het niet doorgeven van persoonsgegevens aan derden, tenzij noodzakelijk voor de dienstverlening en met inachtneming van artikel 6 van deze VWO
- Het informeren van de verwerkingsverantwoordelijke over datalekken conform artikel 7
- Het ondersteunen van de verwerkingsverantwoordelijke bij het nakomen van verzoeken van betrokkenen
Artikel 6 — Geheimhouding
Klantmoment verplicht alle medewerkers en subverwerkers die toegang hebben tot de persoonsgegevens tot geheimhouding, tenzij een wettelijke verplichting tot openbaarmaking bestaat.
Artikel 7 — Subverwerkers
Klantmoment maakt voor de uitvoering van de dienst gebruik van de volgende subverwerkers:
- Anthropic, Inc. (VS) — AI-verwerking van de klantendata. Doorgifte geschiedt op basis van Standard Contractual Clauses (SCC's). Anthropic bewaart ingediende data niet langer dan noodzakelijk voor de verwerking.
- Resend, Inc. — Verzending van e-mails met actielijsten. Uitsluitend e-mailadressen worden gedeeld voor bezorgdoeleinden.
Klantmoment informeert de verwerkingsverantwoordelijke over wijzigingen in subverwerkers via de website of per e-mail, zodat de verwerkingsverantwoordelijke bezwaar kan maken.
Artikel 8 — Beveiligingsmaatregelen
Klantmoment heeft de volgende beveiligingsmaatregelen getroffen:
- Versleutelde verbindingen (HTTPS/TLS 1.2+) voor alle datatransmissie
- Bcrypt-hashing van alle wachtwoorden
- CSRF-bescherming op alle formulieren
- Rate limiting ter voorkoming van brute force aanvallen
- Sessie-cookies met HttpOnly en SameSite-attributen
- Directe verwijdering van persoonsgegevens na verwerking
- Toegangsbeperking tot productieomgeving
Artikel 9 — Rechten van betrokkenen
Klantmoment ondersteunt de verwerkingsverantwoordelijke bij het nakomen van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, dataportabiliteit). De verwerkingsverantwoordelijke dient dergelijke verzoeken door te sturen naar privacy@klantmoment.nl.
Omdat klantdata na de analyse direct wordt verwijderd, is inzage of correctie van die specifieke verwerkte data doorgaans niet meer mogelijk.
Artikel 10 — Datalekken en meldplicht
Klantmoment informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging — en waar mogelijk binnen 72 uur na ontdekking — over een inbreuk in verband met persoonsgegevens die onder deze VWO vallen. De melding bevat ten minste:
- De aard van de inbreuk
- De categorieën en het aantal betrokkenen
- De categorieën en het geschatte aantal persoonsgegevensrecords
- De contactgegevens van de functionaris gegevensbescherming of contactpunt
- De waarschijnlijke gevolgen van de inbreuk
- De maatregelen die zijn genomen of voorgesteld
Artikel 11 — Teruggave en verwijdering van data
Klantmoment verwijdert alle geüploade persoonsgegevens onmiddellijk na de verwerking. Er is geen teruggaveverplichting omdat de data nooit permanent wordt opgeslagen.
Bij beëindiging van het abonnement of verwijdering van het account verwijdert Klantmoment alle aan de verwerkingsverantwoordelijke gekoppelde gegevens, waaronder de gegenereerde actielijsten en accountgegevens.
Artikel 12 — Audit en controle
De verwerkingsverantwoordelijke heeft het recht Klantmoment te controleren op naleving van deze VWO, dan wel een door hen aangewezen auditor in te schakelen, na schriftelijke aankondiging met een termijn van minimaal 30 werkdagen. De kosten van een dergelijke audit komen voor rekening van de verwerkingsverantwoordelijke.
Artikel 13 — Toepasselijk recht
Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.
Vragen?
Neem contact op via privacy@klantmoment.nl of via ons contactformulier.