Verwerkersovereenkomst

Laatst bijgewerkt: januari 2025

Partijen

Deze Verwerkersovereenkomst ("Overeenkomst") is aangegaan tussen:

  • Verwerkingsverantwoordelijke: De organisatie die een account heeft aangemaakt bij AmiPhished ("Klant")
  • Verwerker: Amisecure B.V., gevestigd te Nederland, KvK-nummer: [in te vullen] ("AmiPhished")

1. Definities

  • AVG: Algemene Verordening Gegevensbescherming (EU) 2016/679
  • Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
  • Verwerking: Elke bewerking met betrekking tot persoonsgegevens
  • Subverwerker: Een derde partij die door AmiPhished wordt ingeschakeld voor de verwerking
  • Datalek: Een inbreuk op de beveiliging die leidt tot ongeoorloofde toegang tot persoonsgegevens

2. Onderwerp en Duur

2.1 Onderwerp

Deze Overeenkomst regelt de verwerking van persoonsgegevens door AmiPhished ten behoeve van de Klant in het kader van het leveren van de GRC SaaS-dienst.

2.2 Duur

Deze Overeenkomst is van kracht gedurende de looptijd van de hoofdovereenkomst (het abonnement op AmiPhished) en eindigt automatisch bij beëindiging daarvan.

3. Categorieën Persoonsgegevens

De volgende categorieën persoonsgegevens worden verwerkt:

  • Naam en contactgegevens van medewerkers
  • E-mailadressen
  • Functietitels en afdelingen
  • Inloggegevens (gehashte wachtwoorden)
  • Activiteitenlogboeken en audit trails
  • IP-adressen voor beveiligingsdoeleinden

4. Categorieën Betrokkenen

De persoonsgegevens hebben betrekking op:

  • Medewerkers van de Klant
  • Gebruikers die toegang hebben tot het AmiPhished-platform
  • Contactpersonen bij leveranciers (indien ingevoerd door de Klant)

5. Verwerkingsdoeleinden

AmiPhished verwerkt persoonsgegevens uitsluitend voor:

  • Het leveren van de GRC SaaS-dienst
  • Gebruikersbeheer en authenticatie
  • Het genereren van compliance-rapporten
  • Het bijhouden van audit trails
  • Technische ondersteuning
  • Beveiliging en fraudepreventie

6. Verplichtingen van AmiPhished

6.1 Verwerking volgens instructies

AmiPhished verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Klant, tenzij wettelijk anders vereist.

6.2 Geheimhouding

Alle medewerkers van AmiPhished die toegang hebben tot persoonsgegevens zijn gebonden aan geheimhoudingsverplichtingen.

6.3 Beveiligingsmaatregelen

AmiPhished implementeert passende technische en organisatorische maatregelen, waaronder:

  • Encryptie van data in transit (TLS 1.3) en at rest (AES-256)
  • Toegangscontrole op basis van rollen
  • Multi-factor authenticatie
  • Regelmatige beveiligingsaudits
  • Automatische back-ups
  • Incidentresponseprocedures

7. Subverwerkers

7.1 Goedkeuring

De Klant geeft algemene toestemming voor het inschakelen van subverwerkers, mits AmiPhished de Klant informeert over wijzigingen.

7.2 Huidige Subverwerkers

  • Hetzner Online GmbH - Hosting (Duitsland/EU)
  • Cloudflare Inc. - CDN en DDoS-bescherming (EU-regio)
  • Stripe Inc. - Betalingsverwerking (EU)
  • Resend Inc. - E-mailbezorging (EU)

7.3 Verplichtingen Subverwerkers

AmiPhished zorgt ervoor dat alle subverwerkers dezelfde verplichtingen nakomen als in deze Overeenkomst.

8. Rechten van Betrokkenen

AmiPhished ondersteunt de Klant bij het nakomen van verzoeken van betrokkenen met betrekking tot:

  • Recht op inzage
  • Recht op rectificatie
  • Recht op verwijdering
  • Recht op beperking van verwerking
  • Recht op dataportabiliteit
  • Recht van bezwaar

Verzoeken worden binnen 5 werkdagen behandeld.

9. Datalekken

9.1 Melding

AmiPhished meldt een datalek aan de Klant binnen 24 uur na ontdekking.

9.2 Inhoud Melding

De melding bevat minimaal:

  • Aard van het datalek
  • Categorieën en aantallen betrokkenen
  • Waarschijnlijke gevolgen
  • Getroffen maatregelen

9.3 Ondersteuning

AmiPhished ondersteunt de Klant bij het nakomen van meldplichten aan de Autoriteit Persoonsgegevens.

10. Audits

De Klant heeft het recht om audits uit te (laten) voeren om naleving van deze Overeenkomst te verifiëren.

  • Audits worden minimaal 30 dagen van tevoren aangekondigd
  • Kosten zijn voor rekening van de Klant
  • AmiPhished verstrekt op verzoek relevante certificeringen en rapporten

11. Internationale Doorgifte

Persoonsgegevens worden primair verwerkt binnen de EU/EER. Bij doorgifte naar derde landen worden passende waarborgen getroffen conform Artikel 46 AVG.

12. Beëindiging en Teruggave

12.1 Bij Beëindiging

Na beëindiging van de hoofdovereenkomst zal AmiPhished:

  • Alle persoonsgegevens retourneren aan de Klant (op verzoek)
  • Alle persoonsgegevens verwijderen binnen 30 dagen
  • Schriftelijke bevestiging van verwijdering verstrekken

12.2 Uitzondering

Gegevens die wettelijk bewaard moeten worden, blijven behouden voor de wettelijke termijn.

13. Aansprakelijkheid

De aansprakelijkheid van AmiPhished onder deze Overeenkomst is beperkt conform de voorwaarden in de Algemene Voorwaarden.

14. Contact

Voor vragen over deze Verwerkersovereenkomst:

  • Amisecure B.V.
  • E-mail: privacy@amiphished.io
  • Website: www.amiphished.io

Door gebruik te maken van AmiPhished accepteert de Klant deze Verwerkersovereenkomst als onderdeel van de dienstverlening. Deze Overeenkomst voldoet aan de vereisten van Artikel 28 AVG.