Verwerkersovereenkomst

Deze verwerkersovereenkomst (hierna: DPA) wordt gesloten tussen:

• Verwerker: Coderize, handelend onder de naam GetSam, KvK 93633596, Laan van Avant-Garde 79, 3059 RA Rotterdam (GetSam); en
• Verwerkingsverantwoordelijke: de onderneming die een GetSam-abonnement afsluit (Klant).

Door het aangaan van een abonnement aanvaardt de Klant deze DPA. De DPA maakt integraal deel uit van de algemene voorwaarden.

• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (AVG Art. 4 lid 1).
• Verwerking: elke bewerking op persoonsgegevens, waaronder opslaan, raadplegen, doorsturen en verwijderen.
• Eindklant: de consument die via WhatsApp, e-mail of telefoon contact opneemt met de Klant via de GetSam-dienst.
• Dienst:de GetSam SaaS — AI-assistent, dashboard, agenda-integraties en bijbehorende API's.

GetSam verwerkt persoonsgegevens van Eindklanten uitsluitend ten behoeve van het leveren van de Dienst aan de Klant. GetSam verwerkt geen persoonsgegevens voor eigen doeleinden, tenzij een wettelijke verplichting dit vereist.

GetSam handelt uitsluitend op gedocumenteerde instructies van de Klant, zoals vastgelegd in de door de Klant geconfigureerde prompts, instructies en instellingen binnen de Dienst.

• Categorieën: naam, telefoonnummer, e-mailadres, berichtinhoud, afspraakgegevens.
• Betrokkenen: Eindklanten van de Klant die contact opnemen via WhatsApp, e-mail of telefoon.
• Bijzondere categorieën: GetSam verwerkt in beginsel geen bijzondere categorieën (gezondheid, religie, etc.). De Klant is verantwoordelijk voor het vermijden van dergelijke gegevens in de instructies en gesprekken.

• GetSam verwerkt persoonsgegevens uitsluitend voor de in Art. 3 omschreven doeleinden en op basis van de instructies van de Klant.
• GetSam zorgt dat personen die persoonsgegevens verwerken gehouden zijn aan vertrouwelijkheid.
• GetSam treft passende technische en organisatorische maatregelen conform AVG Art. 32 (zie beveiligingspagina).
• GetSam werkt mee aan verzoeken van betrokkenen (inzage, correctie, verwijdering) voor zover dit technisch mogelijk is en de Klant hierom verzoekt.
• GetSam verwijdert of retourneert alle persoonsgegevens na afloop van de overeenkomst, conform de keuze van de Klant, uiterlijk binnen 30 dagen na beëindiging.

De Klant verleent GetSam toestemming om de volgende sub-verwerkers in te schakelen. GetSam sluit met iedere sub-verwerker een verwerkersovereenkomst die minimaal de verplichtingen van deze DPA weerspiegelt.

• Contabo GmbH (Duitsland) — hostinginfrastructuur, gegevensopslag
• Google LLC — Gemini API (AI-conversaties), Google Calendar (agenda-integratie); doorgifte op basis van EU Standard Contractual Clauses
• Stripe Payments Europe (Ierland) — betalingsverwerking
• Twilio Inc. (VS) — telefonieplatform; doorgifte op basis van EU Standard Contractual Clauses

GetSam informeert de Klant minimaal 14 dagen vooraf bij wijzigingen in de sub-verwerkers. De Klant kan hiertegen bezwaar maken.

GetSam treft passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens, waaronder:

• Versleuteling in transit (TLS 1.2+) en at rest (AES-256)
• Toegangscontrole op basis van rollen (RBAC)
• Per-tenant data-isolatie in de database
• Tweefactorauthenticatie (TOTP) voor dashboard-toegang
• Regelmatige backups met off-site opslag

Een volledig overzicht is beschikbaar op de beveiligingspagina.

GetSam meldt een inbreuk op de beveiliging van persoonsgegevens zo snel mogelijk — en uiterlijk binnen 48 uur na ontdekking — aan de Klant via het e-mailadres dat bij het account is geregistreerd. De melding bevat minimaal de aard van het incident, de betrokkenen-categorieën en de getroffen maatregelen.

De Klant is zelf verantwoordelijk voor het tijdig melden aan de Autoriteit Persoonsgegevens (binnen 72 uur conform AVG Art. 33), voor zover van toepassing.

Wanneer een Eindklant een AVG-recht uitoefent (inzage, rectificatie, verwijdering, etc.) ten aanzien van via GetSam verwerkte gegevens, ondersteunt GetSam de Klant bij het afhandelen hiervan. Verzoeken kunnen worden ingediend via getsam.nl/privacy-verzoek of via info@getsam.nl.

Doorgifte buiten de EER vindt uitsluitend plaats op basis van een geldig overdrachtsmechanisme conform AVG Hoofdstuk V, waaronder de EU Standard Contractual Clauses (SCCs). GetSam past aanvullende technische maatregelen toe (pseudonimisering, versleuteling in transit).

GetSam hanteert de volgende bewaartermijnen voor Eindklant-persoonsgegevens:

• Berichten en gesprekken: 12 maanden na ontvangst
• Afspraken: 24 maanden na afspraakdatum
• Auditlogs (beveiligingsgebeurtenissen): 12 maanden
• Na beëindiging abonnement: verwijdering binnen 30 dagen

Gegevens waarvoor een wettelijke bewaarplicht geldt (o.a. facturatiegegevens, 7 jaar fiscaal) worden hiervan uitgezonderd.

De Klant heeft het recht om maximaal één keer per jaar, na minimaal 14 dagen schriftelijke aankondiging en op eigen kosten, een audit uit te voeren of te laten uitvoeren ter verificatie van de naleving van deze DPA. GetSam kan een dergelijke audit beperken tot informatie die relevant is voor de verwerking van persoonsgegevens van de Klant.

Als alternatief accepteert GetSam door de Klant opgevraagde, recente ISO 27001-auditrapporten of gelijkwaardige certificeringen als bewijs van naleving.

Deze DPA loopt parallel aan het abonnement van de Klant. Bij beëindiging van het abonnement eindigt ook de DPA. GetSam verwijdert alle Eindklant-persoonsgegevens binnen 30 dagen na beëindiging, tenzij de Klant een export verzoekt of een wettelijke bewaarplicht van toepassing is.

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Rotterdam, tenzij dwingend recht anders bepaalt.

Vragen over deze verwerkersovereenkomst: info@getsam.nl
Coderize (h.o.d.n. GetSam) · KvK 93633596 · Laan van Avant-Garde 79, 3059 RA Rotterdam