Verwerkersovereenkomst (DPA)

Deze Verwerkersovereenkomst ("DPA") maakt onderdeel uit van de overeenkomst tussen Crul.Dev, handelend als BuiltSign, ingeschreven bij de Kamer van Koophandel onder nummer 97533114 ("Verwerker"), en de klant die gebruik maakt van het BuiltSign-platform ("Verwerkingsverantwoordelijke").

Deze DPA regelt de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke in het kader van het verlenen van de documentondertekeningsdienst, conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG / GDPR).

In het kader van de dienstverlening verwerkt de Verwerker de volgende categorieën persoonsgegevens:

• Identificatiegegevens van ondertekenaars: namen, e-mailadressen en telefoonnummers.
• Handtekeninggegevens: elektronische handtekeningen, parafen en bijbehorende tijdstempels.
• Technische gegevens: IP-adressen, apparaatinformatie en browsergegevens van ondertekenaars.
• Documentinhoud: de inhoud van door de Verwerkingsverantwoordelijke geüploade documenten, voor zover deze persoonsgegevens bevatten.

De verwerking vindt uitsluitend plaats voor de volgende doeleinden: het faciliteren van elektronisch ondertekenen, het aanmaken en bewaren van audittrails, en het bieden van verificatiemogelijkheden conform eIDAS.

De Verwerker verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructie van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist.

• Vertrouwelijkheid: alle medewerkers met toegang tot persoonsgegevens zijn gebonden aan een geheimhoudingsplicht.
• Doelbinding: persoonsgegevens worden niet verwerkt voor eigen doeleinden of ter beschikking gesteld aan derden, tenzij uitdrukkelijk overeengekomen.
• Instructiegebondenheid: de Verwerker volgt uitsluitend de schriftelijke instructies van de Verwerkingsverantwoordelijke.

De Verwerker treft passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico:

• Encryptie in rust (AES-256) en in doorvoer (TLS 1.3) voor alle persoonsgegevens.
• Toegangscontrole op basis van het need-to-know principe; toegang tot productiedata is beperkt.
• Continue monitoring van systemen op beveiligingsincidenten en ongeautoriseerde toegang.
• Regelmatige, geëncrypteerde back-ups bewaard binnen de Europese Economische Ruimte.

De Verwerkingsverantwoordelijke verleent de Verwerker algemene toestemming voor het inschakelen van sub-verwerkers, mits de Verwerker: (a) een bijgewerkte lijst van sub-verwerkers bijhoudt en publiceert, en (b) de Verwerkingsverantwoordelijke minimaal 30 dagen van tevoren informeert over voorgenomen wijzigingen.

De actuele lijst van sub-verwerkers, inclusief hun datalocaties, is beschikbaar op builtsign.com/legal/subprocessors.

→ /legal/subprocessors

De Verwerkingsverantwoordelijke kan binnen 30 dagen na kennisgeving gemotiveerd bezwaar maken. Indien geen overeenstemming wordt bereikt, kan de overeenkomst schriftelijk worden beëindigd zonder opzegtermijn.

De Verwerker assisteert de Verwerkingsverantwoordelijke bij het nakomen van verzoeken van betrokkenen tot uitoefening van hun rechten onder de AVG (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar).

Verzoeken van betrokkenen die de Verwerker rechtstreeks ontvangt, worden binnen 5 werkdagen doorgestuurd naar de Verwerkingsverantwoordelijke.

Bij een (vermoedelijk) inbreuk op de beveiliging van persoonsgegevens stelt de Verwerker de Verwerkingsverantwoordelijke hiervan in kennis binnen 48 uur na ontdekking.

De melding bevat ten minste: een beschrijving van de aard van de inbreuk, de betrokken categorieën en het geschatte aantal persoonsgegevens en betrokkenen, de waarschijnlijke gevolgen, en de genomen of voorgestelde maatregelen.

Na beëindiging van de overeenkomst verwijdert de Verwerker alle persoonsgegevens of geeft deze terug aan de Verwerkingsverantwoordelijke, naar diens keuze, binnen 30 dagen, tenzij wettelijke bewaarplichten anders vereisen.

Op verzoek verstrekt de Verwerker schriftelijke bevestiging van de verwijdering.

De Verwerker stelt aan de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen uit hoofde van artikel 28 AVG aan te tonen.

De Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren, mits minimaal 30 dagen vooraf schriftelijk aangekondigd, maximaal éénmaal per jaar, op werkdagen binnen kantoortijden.

Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.

Bij strijdigheid tussen deze DPA en andere overeenkomsten prevaleert deze DPA voor zover het de verwerking van persoonsgegevens betreft.

Waar verwerking een overdracht van persoonsgegevens naar een land buiten de Europese Economische Ruimte (EER) inhoudt, is die overdracht gebaseerd op: (a) Standaard Contractuele Clausules conform uitvoeringsbesluit (EU) 2021/914; (b) een adequaatheidsbesluit van de Europese Commissie; of (c) een andere passende waarborg als bedoeld in artikel 46 AVG.

Een actueel overzicht van sub-verwerkers en de toepasselijke doorgifte-mechanismen is gepubliceerd op builtsign.com/legal/subprocessors.

Zoals vereist door artikel 28 lid 3 AVG

• Onderwerp: Diensten voor elektronisch documentondertekenen en audittrails geleverd door BuiltSign.
• Duur: Voor de looptijd van de overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker, aangevuld met eventuele wettelijke bewaartermijnen.
• Aard van de verwerking: Verzameling, opslag, weergave, verzending en verwijdering van persoonsgegevens die nodig zijn voor het faciliteren van elektronisch ondertekenen en het aanmaken van juridisch toelaatbare audittrails.
• Doel: Het leveren van de BuiltSign-documentondertekeningsdienst, inclusief identiteitsverificatie, audittrailgeneratie en eIDAS-conforme bewijsvorming.
• Soorten persoonsgegevens: Namen, e-mailadressen, telefoonnummers (optioneel), IP-adressen, apparaat- en browsergegevens, elektronische handtekeningafbeeldingen, documentinhoud (voor zover persoonsgegevens bevattend) en tijdstempels; en, waar identiteitsverificatie is ingeschakeld, identiteitsverificatieresultaten inclusief documenttype en geverifieerde naam (biometrische afbeeldingen worden niet opgeslagen door BuiltSign).
• Categorieën betrokkenen: Werknemers, opdrachtnemers, cliënten of andere natuurlijke personen die door de Verwerkingsverantwoordelijke zijn aangewezen als ondertekenaar of ontvanger in een documentondertekeningsworkflow.