Deze verwerkersovereenkomst (Verwerkersovereenkomst) maakt deel uit van de overeenkomst tussen Klant en Ampthilly AB, Zweeds organisatienummer 559588-0724, gevestigd te Bjännberg 121, 905 72 Hörnefors, Zweden (Verwerker of AMPthilly), waarbij AMPthilly Persoonsgegevens verwerkt namens Klant in verband met de AMPthilly-diensten op https://ampthilly.com, https://app.ampthilly.com en gerelateerde subdomeinen.
Begrippen met een hoofdletter die hier niet zijn gedefinieerd, hebben de betekenis zoals uiteengezet in de Servicevoorwaarden of de hoofdovereenkomst tussen partijen (Overeenkomst). Bij conflicten tussen de Overeenkomst en deze Verwerkersovereenkomst in gegevensbeschermingsaangelegenheden prevaleert deze Verwerkersovereenkomst voor zover het conflict strekt.
Standaardklanten: Deze Verwerkersovereenkomst is door verwijzing opgenomen in de Voorwaarden; er is geen aparte handtekening vereist wanneer u de Diensten gebruikt onder de Voorwaarden.
Enterprise-klanten kunnen een tegenondertekende kopie aanvragen via hello@ampthilly.com.
1. Rollen en toepassingsgebied
Klant is verwerkingsverantwoordelijke (of verwerker die optreedt namens een andere verwerkingsverantwoordelijke) voor Persoonsgegevens die aan de Diensten worden verstrekt. AMPthilly verwerkt Persoonsgegevens als verwerker uitsluitend conform de gedocumenteerde instructies van Klant, inclusief via de Overeenkomst, deze Verwerkersovereenkomst, het gebruik van productfuncties door Klant en rechtmatige schriftelijke instructies.
AMPthilly kan beperkte Persoonsgegevens verwerken als onafhankelijke verwerkingsverantwoordelijke voor accountbeheer, facturering, beveiliging en compliance, zoals beschreven in het Privacybeleid.
2. Instructies
AMPthilly verwerkt Persoonsgegevens alleen conform instructies van Klant, tenzij EU-, EER-, VK- of Zweeds recht anders vereist - in welk geval AMPthilly Klant informeert over die vereiste tenzij dit verboden is. Klant instrueert AMPthilly Persoonsgegevens te verwerken om de Diensten te leveren, te onderhouden, te beveiligen en te ondersteunen, inclusief hosting, back-ups, logging, AI-functies en goedgekeurde subverwerkers.
3. AI-functies en modeltraining
AMPthilly levert AI-functies die worden aangedreven door Google (Gemini API), ingeschakeld als subverwerker. AMPthilly gebruikt Persoonsgegevens van Klant of AI-interacties niet om enig AI- of machinelearningmodel te trainen, te finetunen of te verbeteren, en vereist contractueel dat Google dit evenmin doet. Persoonsgegevens van Klant worden door AI-functies uitsluitend verwerkt om antwoorden te genereren en terug te geven aan geautoriseerde gebruikers van Klant.
4. Vertrouwelijkheid
AMPthilly zorgt ervoor dat personen die bevoegd zijn Persoonsgegevens te verwerken, gebonden zijn aan vertrouwelijkheidsverplichtingen (contractueel of wettelijk).
5. Beveiligingsmaatregelen
AMPthilly implementeert passende technische en organisatorische maatregelen, rekening houdend met de stand van de techniek, kosten en risico’s, waaronder:
| Gebied | Maatregelen (samenvatting) |
|---|---|
| Toegangscontrole | Rolgebaseerde toegang, least privilege, authenticatie voor productiesystemen |
| Versleuteling | Versleuteling tijdens transport (TLS); versleuteling at rest voor productiedatabases waar ondersteund door infrastructuur |
| Logging en monitoring | Auditlogs voor administratieve toegang; monitoring van beschikbaarheid en beveiligingsincidenten |
| Ontwikkeling | Veilige ontwikkelpraktijken, dependency review, scheiding van omgevingen |
| Leveranciersbeheer | Subverwerkers gebonden aan schriftelijke gegevensbeschermingsvoorwaarden |
| Bedrijfscontinuïteit | Back-ups en herstelprocedures passend bij de Diensten |
| Incidentrespons | Gedocumenteerd proces voor identificatie, containment en melding van inbreuken |
Verdere details zijn op verzoek beschikbaar voor enterprise-beveiligingsreviews via hello@ampthilly.com.
6. Subverwerkers
Klant machtigt AMPthilly subverwerkers in te schakelen, die gebonden moeten zijn aan schriftelijke voorwaarden die gegevensbeschermingsverplichtingen opleggen die in wezen vergelijkbaar zijn met deze Verwerkersovereenkomst.
Huidige subverwerkers
| Subverwerker | Activiteit | Locatie |
|---|---|---|
| Vercel | Applicatie- en websitehosting, CDN | EU/US met waarborgen |
| Supabase | Database, authenticatie, opslag, back-ups | EU/EER |
| Cloudflare | CDN, beveiliging, edge-bescherming | Wereldwijd (met SCC’s indien nodig) |
| Stripe | Abonnementsfacturering | EU/US met waarborgen |
| Google (Gemini API) | Aansturen van AI-functies | Wereldwijd; EU/US met waarborgen |
| Resend | Transactionele en product-e-mail | EU/US met waarborgen |
AMPthilly informeert Klant over beoogde toevoegingen of vervangingen van subverwerkers, met minimaal 30 dagen kennisgeving waar praktisch. Klant kan binnen 14 dagen na kennisgeving bezwaar maken op redelijke gegevensbeschermingsgronden. Als partijen het bezwaar niet kunnen oplossen, kan Klant de betrokken Diensten beëindigen als enige remedie.
7. Internationale doorgiften
Waar Persoonsgegevens buiten de EER/VK worden doorgestuurd, implementeert AMPthilly passende waarborgen, waaronder:
- EU Standard Contractual Clauses (2021/914) Module Two (verwerkingsverantwoordelijke naar verwerker) of Module Three (verwerker naar verwerker), opgenomen door verwijzing;
- het UK International Data Transfer Addendum waar UK GDPR van toepassing is; en/of
- doorgiften naar landen met een adequaatheidsbesluit.
Klant kan kopieën van toepasselijke doorgifte-mechanismen opvragen via hello@ampthilly.com.
8. Assistentie aan Klant
Rekening houdend met de aard van de verwerking, assisteert AMPthilly Klant bij het reageren op verzoeken van betrokkenen; bij de beveiliging van de verwerking en meldingen van inbreuken op persoonsgegevens; en bij gegevensbeschermingseffectbeoordelingen en voorafgaand overleg met toezichthoudende autoriteiten waar wettelijk vereist. Redelijke kosten kunnen van toepassing zijn voor assistentie buiten standaard support indien toegestaan door de Overeenkomst.
9. Inbreuk op persoonsgegevens
AMPthilly informeert Klant zonder onredelijke vertraging nadat AMPthilly op de hoogte is geraakt van een inbreuk op Persoonsgegevens die Persoonsgegevens van Klant betreft, en verstrekt redelijk beschikbare informatie om Klant te helpen zijn verplichtingen als verwerkingsverantwoordelijke na te komen.
10. Retournering en verwijdering
Bij beëindiging van de Diensten of op schriftelijk verzoek van Klant verwijdert of retourneert AMPthilly Persoonsgegevens binnen 90 dagen, behalve waar bewaring wettelijk vereist is of waar versleutelde back-ups worden opgeschoond volgens hun normale cyclus (doorgaans binnen 90 dagen). Klant is verantwoordelijk voor het exporteren van Content vóór beëindiging waar exportfuncties beschikbaar zijn.
11. Audits en informatie
AMPthilly stelt de informatie beschikbaar die redelijkerwijs nodig is om naleving van deze Verwerkersovereenkomst aan te tonen, inclusief beveiligingssamenvattingen en subverwerkerslijsten. Klant mag maximaal eens per jaar een audit uitvoeren, met 30 dagen schriftelijke kennisgeving, tijdens kantooruren en zonder de bedrijfsvoering onredelijk te verstoren, met inachtneming van vertrouwelijkheids- en veiligheidsvereisten. Klant draagt zijn eigen auditkosten, tenzij een audit materiële non-compliance aantoont die aan AMPthilly is toe te rekenen. AMPthilly kan waar overeengekomen certificeringen of rapporten van derden leveren in plaats van audits ter plaatse.
12. Verplichtingen van Klant
Klant zal:
- Een rechtmatige grondslag hebben onder toepasselijke gegevensbeschermingswetgeving voor alle Persoonsgegevens en instructies;
- AMPthilly niet instrueren onwettige gegevens of voor onwettige doeleinden te verwerken;
- Rollen en toegang passend configureren binnen het product;
- Betrokkenen informeren en privacyverklaringen verstrekken zoals vereist;
- Ervoor zorgen dat bijzondere categorieën gegevens alleen worden ingevoerd waar dat rechtmatig en noodzakelijk is, met passende waarborgen;
- Reageren op verzoeken van betrokkenen waar Klant verwerkingsverantwoordelijke is.
Klant vrijwaart AMPthilly voor claims voortvloeiend uit onwettige instructies van Klant of gebrek aan rechtmatige grondslag, voor zover toegestaan door de Overeenkomst.
13. Aansprakelijkheid
Aansprakelijkheid onder deze Verwerkersovereenkomst is onderworpen aan de beperkingen en uitsluitingen in de Overeenkomst, behalve waar verboden door toepasselijke gegevensbeschermingswetgeving.
14. Rangorde
Deze Verwerkersovereenkomst vult de Overeenkomst aan. Bij conflict in gegevensbeschermingsaangelegenheden prevaleert deze Verwerkersovereenkomst.
Bijlage A - Beschrijving van de verwerking
| Veld | Details |
|---|---|
| Onderwerp | Levering van de AMPthilly-SaaS voor assetmanagement |
| Duur | Looptijd van de Overeenkomst plus de verwijderingsperiode in sectie 10 |
| Aard en doel | Hosting, opslag, ophalen, organiseren, weergeven, verzenden, back-up, support, beveiliging en AI-ondersteund bevragen van Content van Klant met Persoonsgegevens |
| Categorieën betrokkenen | Medewerkers, contractanten en andere geautoriseerde gebruikers van Klant; personen geïdentificeerd in assetrecords (toegewezen personen, goedkeurders, contacten) |
| Soorten Persoonsgegevens | Namen, zakelijke e-mails, rollen, identificatoren, toewijzings- en auditmetadata, AI-vragen, supportcommunicatie, geschatte locatie (stad/land) afgeleid van IP bij inloggen waar ingeschakeld, en andere velden die Klant ervoor kiest op te slaan |
| Bijzondere categorieën | Niet beoogd; Klant mag geen bijzondere categorieën invoeren tenzij schriftelijk overeengekomen |
| Frequentie | Continu tijdens gebruik van de Diensten |
| Bewaring | Zoals beschreven in sectie 10 en het Privacybeleid |
Bijlage B - Technische en organisatorische maatregelen
Zie sectie 5. Klant is verantwoordelijk voor het configureren van rollen, toegang en integraties binnen het product volgens zijn beleid.
Bijlage C - Subverwerkers
Zie sectie 6. Bijgewerkte lijsten beschikbaar op verzoek via hello@ampthilly.com.
Bijlage D - Standard Contractual Clauses
Waar vereist voor doorgiften uit de EER, komen partijen overeen dat de Standard Contractual Clauses van de EU-Commissie (2021/914) door verwijzing zijn opgenomen, met:
- Module Two (verwerkingsverantwoordelijke naar verwerker) voor doorgiften van Klant naar AMPthilly;
- Module Three (verwerker naar verwerker) voor verdere doorgiften naar subverwerkers waar van toepassing;
- Klant als data-exporteur en AMPthilly als data-importeur;
- optionele clausules en bijlagen ingevuld met de details in bijlagen A-C;
- toepasselijk recht en jurisdictie zoals gespecificeerd in de Overeenkomst (Zweden), zonder de rechten van betrokkenen onder de AVG te beperken.
Voor VK-doorgiften is het UK Addendum bij de EU SCC’s van toepassing zoals uitgegeven door het ICO.
Contact
Vragen over de verwerkersovereenkomst, subverwerkers of beveiligingsdocumentatie: hello@ampthilly.com.