Hoe Piraja gegevens verwerkt namens klanten in overeenstemming met de AVG en wereldwijde privacyregels.
1. Inleiding
Deze Gegevensverwerkingsovereenkomst ("DPA") maakt deel uit van de Algemene Voorwaarden tussen Piraja CRM ("Verwerker", "wij", "ons") en de klant ("Verantwoordelijke", "jij") die gebruikmaakt van de diensten van Piraja CRM.
Deze DPA is van toepassing waar en voor zover wij Persoonsgegevens namens jou verwerken in het kader van het leveren van onze diensten. Deze DPA is ontworpen om te voldoen aan Artikel 28 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG") en gelijkwaardige bepalingen onder toepasselijke gegevensbeschermingswetten wereldwijd.
2. Definities
- Persoonsgegevens: Alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon zoals gedefinieerd in de toepasselijke gegevensbeschermingswet.
- Verwerking: Elke bewerking die op Persoonsgegevens wordt uitgevoerd, inclusief verzameling, registratie, organisatie, structurering, opslag, aanpassing, opvraging, raadpleging, gebruik, openbaarmaking, combinatie, beperking, verwijdering of vernietiging.
- Betrokkene: De geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
- Sub-verwerker: Elke derde partij die door de Verwerker is ingeschakeld om Persoonsgegevens namens de Verantwoordelijke te verwerken.
3. Toepassingsgebied en Doel van Verwerking
Wij verwerken Persoonsgegevens uitsluitend met het doel om Piraja CRM-diensten aan jou te leveren, inclusief:
- Klantenrelatiebeheer: Opslaan en beheren van contactinformatie, organisaties en individuen.
- Communicatie: Verwerken van e-mailgegevens voor de mailboxintegratiemodule (Gmail, Outlook).
- Facturering en facturatie: Verwerken van betalings- en facturatie-informatie via Stripe.
- Ondersteuning en ticketing: Beheren van ondersteuningsverzoeken en servicegevallen.
- Analytics: Geaggregeerde, geanonimiseerde gebruiksanalyses om de service te verbeteren.
4. Categorieën van Betrokkenen en Persoonsgegevens
Betrokkenen kunnen omvatten:
- Jouw werknemers en teamleden (gebruikersaccounts)
- Jouw klanten en contacten (CRM-gegevens)
- Jouw zakenpartners en leveranciers
Categorieën van Persoonsgegevens die worden verwerkt:
- Contactinformatie (naam, e-mail, telefoonnummer, adres)
- Professionele informatie (functie, bedrijf, afdeling)
- Communicatieregisters (e-mails, notities, activiteitslogboeken)
- Financiële gegevens (facturen, betalingsreferenties — kaartgegevens worden uitsluitend door Stripe verwerkt)
- Technische gegevens (IP-adressen, browserinformatie voor authenticatie)
5. Verplichtingen van de Verwerker
Wij zullen:
a) Persoonsgegevens alleen verwerken op jouw gedocumenteerde instructies, tenzij vereist door toepasselijke wetgeving.
b) Zorgen dat personen die bevoegd zijn om Persoonsgegevens te verwerken zich hebben verbonden tot vertrouwelijkheid of onder een passende wettelijke verplichting tot vertrouwelijkheid staan.
c) Passende technische en organisatorische maatregelen implementeren om een niveau van beveiliging te waarborgen dat passend is voor het risico, inclusief:
- Versleuteling van gegevens in transit (TLS/HTTPS) en in rust
- AES-256-GCM versleuteling voor OAuth-tokens
- Row Level Security (RLS) op databasetabellen
- Regelmatige beveiligingsbeoordelingen en audits
- Toegangscontroles en authenticatie via Supabase Auth
d) Geen andere verwerker inschakelen zonder jouw voorafgaande algemene schriftelijke toestemming. Wij houden een lijst bij van goedgekeurde sub-verwerkers (zie Sectie 8).
e) Jou helpen bij het reageren op verzoeken van Betrokkenen (toegang, rectificatie, verwijdering, overdraagbaarheid, beperking en bezwaar).
f) Jou helpen bij het waarborgen van de naleving van jouw verplichtingen met betrekking tot beveiliging, meldingen van datalekken, gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging.
g) Naar jouw keuze alle Persoonsgegevens verwijderen of retourneren na het einde van de dienstverlening, en bestaande kopieën verwijderen, tenzij de wetgeving opslag vereist.
h) Jou alle informatie beschikbaar stellen die nodig is om naleving van deze DPA aan te tonen en audits mogelijk te maken en eraan bij te dragen.
6. Verplichtingen van de Verantwoordelijke
Jij zult:
a) Zorgen dat jouw gebruik van onze diensten en jouw instructies aan ons voldoen aan de toepasselijke gegevensbeschermingswetten.
b) Alle noodzakelijke toestemmingen en juridische gronden hebben verkregen voor de verwerking van Persoonsgegevens die met ons zijn gedeeld.
c) Ons onmiddellijk op de hoogte stellen van verzoeken van Betrokkenen die onze hulp vereisen.
7. Meldingsplicht bij Datalekken
Wij zullen jou zonder onredelijke vertraging (en in ieder geval binnen 72 uur) op de hoogte stellen nadat wij op de hoogte zijn geraakt van een datalek met Persoonsgegevens. De melding zal omvatten:
- Een beschrijving van de aard van het lek
- De categorieën en het geschatte aantal Betrokkenen en Persoonsgegevens die zijn getroffen
- De waarschijnlijke gevolgen van het lek
- De genomen of voorgestelde maatregelen om het lek aan te pakken
8. Sub-verwerkers
Wij gebruiken de volgende sub-verwerkers om onze diensten te leveren:
| Sub-verwerker | Doel | Locatie |
|---|---|---|
| Supabase (Supabase Inc.) | Databasehosting, authenticatie, bestandsopslag | Verenigde Staten (AWS) |
| Stripe (Stripe Inc.) | Betalingsverwerking, facturering, facturatie | Verenigde Staten |
| Vercel (Vercel Inc.) | Applicatiehosting, edge-netwerk, serverloze functies | Wereldwijd (edge-netwerk) |
| Resend (Resend Inc.) | Transactionele e-maillevering | Verenigde Staten |
| OpenAI (OpenAI LLC) | AI-gestuurde functies (Aiden-assistent) | Verenigde Staten |
| Google (Google LLC) | Gmail-integratie, Google Agenda, Analytics | Verenigde Staten |
| Microsoft (Microsoft Corp.) | Outlook/Microsoft 365-integratie | Verenigde Staten |
Wij zullen jou informeren over eventuele voorgenomen wijzigingen in sub-verwerkers, zodat je redelijke gelegenheid hebt om bezwaar te maken.
9. Internationale Gegevensoverdrachten
Waar Persoonsgegevens buiten de Europese Economische Ruimte (EER) worden overgedragen, zorgen wij ervoor dat passende waarborgen zijn getroffen, waaronder:
- Standaardcontractbepalingen (SCC's) zoals goedgekeurd door de Europese Commissie
- Adequaatheidsbesluiten waar van toepassing
- Aanvullende maatregelen zoals vereist
Onze primaire sub-verwerkers onderhouden hun eigen mechanismen en certificeringen voor gegevensoverdracht.
10. Gegevensbewaring en Verwijdering
- Wij bewaren Persoonsgegevens alleen zolang als nodig is om onze diensten te leveren.
- Jij kunt de bewaartermijnen voor gegevens configureren binnen de applicatie-instellingen.
- Geautomatiseerde gegevensverwijdering vindt plaats volgens configureerbare schema's.
- Bij beëindiging van de diensten zullen wij jouw gegevens binnen 30 dagen verwijderen, tenzij de wetgeving vereist dat wij deze bewaren.
- Jij kunt op elk moment een gegevensexport aanvragen via de applicatie.
11. Auditrechten
Jij hebt het recht om onze naleving van deze DPA te auditen. Audits zullen:
- Worden uitgevoerd met redelijke voorafgaande kennisgeving (minimaal 30 dagen)
- Beperkt zijn tot één keer per jaar, tenzij er een datalek heeft plaatsgevonden
- Worden uitgevoerd tijdens normale kantooruren
- Voor rekening van de Verantwoordelijke zijn
Wij kunnen auditverzoeken voldoen door relevante certificeringen, auditrapporten of andere documentatie te verstrekken.
12. Aansprakelijkheid
De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de beperkingen en uitsluitingen die zijn uiteengezet in de Algemene Voorwaarden.
13. Duur en Beëindiging
Deze DPA blijft van kracht zolang wij Persoonsgegevens namens jou verwerken. Het eindigt automatisch wanneer wij geen Persoonsgegevens meer voor jou verwerken.
Bepalingen die van nature de beëindiging zouden overleven (inclusief verplichtingen tot gegevensverwijdering, vertrouwelijkheid en aansprakelijkheid) zullen overleven.
14. Toepasselijk Recht
Deze DPA wordt beheerst door dezelfde wet die de Algemene Voorwaarden beheerst, onverminderd de verplichte gegevensbeschermingswetten die van toepassing kunnen zijn.
15. Contact
Voor vragen over deze DPA of om jouw rechten uit te oefenen, neem contact met ons op:
E-mail: support@piraja.io