Alle voorwaarden

Verwerkersovereenkomst

Van kracht sinds 1 maart 2026

Deze Verwerkersovereenkomst ("Verwerkersovereenkomst") maakt onderdeel uit van de Algemene Voorwaarden ("Overeenkomst") tussen Subduxion B.V. ("Subduxion", "Verwerker"), een besloten vennootschap met beperkte aansprakelijkheid opgericht naar Nederlands recht (KVK 94892083), met statutaire zetel te High Tech Campus 5, 5656 AE Eindhoven, Nederland, en de entiteit die akkoord gaat met deze voorwaarden ("Klant", "Verwerkingsverantwoordelijke").

Deze Verwerkersovereenkomst beschrijft de voorwaarden waaronder Subduxion Persoonsgegevens verwerkt namens de Klant in verband met het Blake-platform (de "Diensten"), in overeenstemming met Verordening (EU) 2016/679 (de "AVG"), de Nederlandse Uitvoeringswet Algemene Verordening Gegevensbescherming ("UAVG"), en alle overige toepasselijke wetgeving inzake gegevensbescherming (gezamenlijk "Gegevensbeschermingswetgeving").

1. Reikwijdte en rollen

1.1 Verwerkingsverantwoordelijke en Verwerker

De Klant treedt op als Verwerkingsverantwoordelijke in de zin van artikel 4(7) AVG met betrekking tot Klantgegevens die via de Diensten worden verwerkt. Subduxion treedt op als Verwerker in de zin van artikel 4(8) AVG en verwerkt Klantgegevens namens de Klant in overeenstemming met de gedocumenteerde instructies van de Klant.

1.2 Subduxion als Verwerkingsverantwoordelijke

Subduxion treedt tevens op als zelfstandig Verwerkingsverantwoordelijke voor bepaalde verwerkingsactiviteiten die noodzakelijk zijn voor de exploitatie en verbetering van de Diensten, waaronder: (a) fraudepreventie en beveiligingsmonitoring; (b) naleving van wettelijke verplichtingen (waaronder anti-witwas- en sanctiescreening); (c) facturering en accountbeheer; (d) productanalyse op basis van geaggregeerde en geanonimiseerde gegevens; en (e) dienstverbetering op basis van geanonimiseerde en geaggregeerde gegevens. De verwerking door Subduxion als Verwerkingsverantwoordelijke wordt beheerst door het Privacybeleid.

1.3 Voorrang

In geval van strijdigheid tussen de Overeenkomst en deze Verwerkersovereenkomst met betrekking tot gegevensbescherming, prevaleert deze Verwerkersovereenkomst. In geval van strijdigheid tussen deze Verwerkersovereenkomst en de Standaard Contractbepalingen (indien van toepassing), prevaleren de Standaard Contractbepalingen.

2. Verwerkingsdetails

2.1 Onderwerp en doel

Subduxion verwerkt Klantgegevens ten behoeve van het leveren van de Diensten, waaronder AI-gestuurde leadprospecting, CRM-dataverrijking, het genereren van outreach, pipeline-analyses en gerelateerde salesontwikkelingsfunctionaliteit, zoals beschreven in de Overeenkomst en de toepasselijke dienstdocumentatie.

2.2 Categorieën Betrokkenen

Klantgegevens kunnen Persoonsgegevens bevatten met betrekking tot de volgende categorieën Betrokkenen:

  • Werknemers, opdrachtnemers en andere geautoriseerde gebruikers van de Diensten van de Klant.
  • Prospects, leads, contacten en zakenrelaties van de Klant.
  • Vertegenwoordigers van klanten, leveranciers en partners van de Klant.
  • Alle overige natuurlijke personen van wie Persoonsgegevens door de Klant via de Diensten worden aangeleverd.

2.3 Soorten Persoonsgegevens

De verwerkte Persoonsgegevens kunnen, afhankelijk van het gebruik van de Diensten door de Klant, het volgende omvatten:

  • Identificatiegegevens: namen, functietitels, professionele rollen, bedrijfsnamen, foto's.
  • Contactgegevens: e-mailadressen, telefoonnummers, zakelijke adressen, LinkedIn-profiel-URL's.
  • Professionele gegevens: arbeidsverleden, bedrijfssector, bedrijfsomvang, senioriteitsniveau.
  • Communicatiegegevens: e-mailinhoud, gesprekstranscripties, notities, interactiegeschiedenissen.
  • Gedragsgegevens: e-mailopeningen, linkklikken, responspatronen, engagementscores.
  • CRM-gegevens: dealfases, pipelinewaarden, leadscores, tags, aangepaste velden.
  • Technische gegevens: IP-adressen, apparaat-identificatoren, browserinformatie (beperkt tot Dienstfunctionaliteit).

2.4 Gevoelige gegevens

De Diensten zijn niet ontworpen voor de verwerking van bijzondere categorieën Persoonsgegevens zoals gedefinieerd in artikel 9 AVG. De Klant dient geen gevoelige gegevens aan te leveren via de Diensten, tenzij uitdrukkelijk schriftelijk overeengekomen met Subduxion, inclusief passende aanvullende waarborgen.

2.5 Duur

De verwerking zal voortduren gedurende de looptijd van de Overeenkomst. Bij beëindiging zal de verwerking worden gestaakt, onder voorbehoud van de bepalingen inzake gegevensretournering en -verwijdering in Sectie 7.

3. Verplichtingen van de Verwerker

3.1 Instructies

Subduxion zal Klantgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Klant, tenzij verwerking vereist is op grond van Unierechtelijk of lidstaatrechtelijk recht waaraan Subduxion is onderworpen (artikel 28(3)(a) AVG). In dat geval zal Subduxion de Klant informeren over die wettelijke verplichting vóór de verwerking, tenzij dat recht een dergelijke kennisgeving verbiedt op zwaarwegende gronden van openbaar belang.

Indien Subduxion redelijkerwijs van mening is dat een instructie van de Klant in strijd is met de Gegevensbeschermingswetgeving, zal Subduxion de Klant hiervan onverwijld op de hoogte stellen en is Subduxion gerechtigd de betreffende verwerking op te schorten totdat de Klant de instructie wijzigt of bevestigt.

3.2 Vertrouwelijkheid

Subduxion zal waarborgen dat personen die gemachtigd zijn om Klantgegevens te verwerken, zich hebben verbonden tot geheimhouding of onder een passende wettelijke geheimhoudingsplicht vallen (artikel 28(3)(b) AVG). Toegang tot Klantgegevens wordt beperkt tot personeel dat dergelijke toegang nodig heeft voor de uitvoering van de Diensten op basis van need-to-know.

3.3 Beveiligingsmaatregelen

Subduxion zal passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en het doel van de verwerking, alsmede de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen (artikel 32 AVG). Dergelijke maatregelen omvatten, maar zijn niet beperkt tot:

  • Versleuteling: TLS 1.2 of hoger voor gegevens in transit; AES-256 voor gegevens in rust.
  • Toegangscontrole: rolgebaseerde toegangscontroles met het principle of least privilege, multifactorauthenticatie voor beheerderstoegang.
  • Netwerkbeveiliging: netwerksegmentatie, inbraakdetectie, firewallbeveiliging, DDoS-mitigatie.
  • Applicatiebeveiliging: beveiligde ontwikkelcyclus, code reviews, afhankelijkheidsscanning, regelmatige penetratietests.
  • Monitoring: gecentraliseerde logging, anomaliedetectie, real-time beveiligingsgebeurtenismonitoring.
  • Gegevensscheiding: logische scheiding van Klantgegevens tussen klanten.
  • Back-up en herstel: geautomatiseerde back-ups, point-in-time recovery, geo-redundante opslag.
  • Personeelsbeveiliging: antecedentenonderzoek voor medewerkers met toegang tot productiesystemen, verplichte jaarlijkse beveiligingsbewustzijnstraining.
  • Fysieke beveiliging: Diensten worden gehost in SOC 2 Type II-gecertificeerde datacenterlocaties met 24/7 monitoring, biometrische toegangscontroles en omgevingsbeveiligingssystemen.

3.4 Verzoeken van Betrokkenen

Rekening houdend met de aard van de verwerking, zal Subduxion de Klant bijstaan door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bij de nakoming van de verplichting van de Klant om te reageren op verzoeken tot uitoefening van de rechten van Betrokkenen op grond van Hoofdstuk III AVG (artikelen 15-22).

Indien Subduxion rechtstreeks een verzoek ontvangt van een Betrokkene met betrekking tot Klantgegevens, zal Subduxion de Klant hiervan onverwijld op de hoogte stellen en niet rechtstreeks reageren op de Betrokkene, tenzij daartoe geïnstrueerd door de Klant of vereist op grond van toepasselijk recht.

3.5 Gegevensbeschermingseffectbeoordelingen

Rekening houdend met de aard van de verwerking en de informatie waarover Subduxion beschikt, zal Subduxion de Klant redelijke bijstand verlenen bij het nakomen van de verplichtingen van de Klant op grond van de artikelen 35 en 36 AVG (gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging van toezichthoudende autoriteiten). Subduxion kan hiervoor een redelijke vergoeding in rekening brengen voor zover deze bijstand de standaard ondersteuning overschrijdt.

3.6 Melding van datalekken

Subduxion zal de Klant zonder onredelijke vertraging, en in elk geval binnen 48 uur, informeren nadat Subduxion kennis heeft genomen van een inbreuk op de beveiliging van Persoonsgegevens (zoals gedefinieerd in artikel 4(12) AVG) die Klantgegevens betreft (een "Datalek-incident"). Een dergelijke melding bevat, voor zover beschikbaar:

  • Een beschrijving van de aard van het Datalek-incident, met inbegrip van de categorieën en het geschatte aantal Betrokkenen en gegevensrecords.
  • De naam en contactgegevens van het contactpunt bij Subduxion.
  • Een beschrijving van de waarschijnlijke gevolgen van het Datalek-incident.
  • Een beschrijving van de genomen of voorgestelde maatregelen om het Datalek-incident aan te pakken, met inbegrip van maatregelen om de mogelijke nadelige gevolgen te beperken.

Subduxion zal samenwerken met de Klant en redelijke commerciële stappen ondernemen zoals door de Klant aangewezen om te assisteren bij het onderzoek, de beperking en het herstel van het Datalek-incident. De verplichting van Subduxion om een Datalek-incident te melden of erop te reageren, mag niet worden opgevat als erkenning van schuld of aansprakelijkheid.

4. Sub-verwerkers

4.1 Algemene autorisatie

De Klant verleent algemene schriftelijke toestemming aan Subduxion om Sub-verwerkers in te schakelen voor de verwerking van Klantgegevens, onder de voorwaarden van deze Sectie 4. Een actuele lijst van Sub-verwerkers is op verzoek beschikbaar via privacy@subduxion.com en wordt bijgehouden op een URL die aan de Klant wordt medegedeeld.

4.2 Verplichtingen van Sub-verwerkers

Subduxion zal: (a) met elke Sub-verwerker een schriftelijke overeenkomst aangaan die gegevensbeschermingsverplichtingen oplegt die niet minder beschermend zijn dan die welke in deze Verwerkersovereenkomst zijn opgenomen; en (b) volledig aansprakelijk blijven jegens de Klant voor de nakoming van de verplichtingen van elke Sub-verwerker (artikel 28(4) AVG).

4.3 Wijzigingen in Sub-verwerkers

Subduxion zal de Klant ten minste 30 dagen van tevoren informeren alvorens een nieuwe Sub-verwerker in te schakelen of een bestaande Sub-verwerker te vervangen. De Klant kan bezwaar maken tegen een nieuwe Sub-verwerker op redelijke gronden met betrekking tot gegevensbescherming door Subduxion hiervan schriftelijk op de hoogte te stellen binnen 14 dagen na ontvangst van een dergelijk bericht. Indien de Klant bezwaar maakt en Subduxion het bezwaar redelijkerwijs niet kan accommoderen, kan elk der partijen de betreffende Diensten beëindigen met 30 dagen schriftelijke opzegging.

4.4 Huidige Sub-verwerkers

De volgende categorieën Sub-verwerkers zijn ingeschakeld op de ingangsdatum van deze Verwerkersovereenkomst:

CategorieDoelLocatie
CloudinfrastructuurHosting, rekenkracht en opslagEU / US
DatabasedienstenGegevensopslag en -ophalingEU / US
AI-modelleveranciersNatuurlijke taalverwerking, embeddingsEU / US
E-mailbezorgingTransactionele en outreach e-mailbezorgingEU / US
BetalingsverwerkingAbonnementsfacturering en facturatieEU / US
AnalyseProductgebruiksanalyse (geanonimiseerd)EU / US

5. Internationale gegevensoverdrachten

5.1 Gegevenslocatie

Alle Klantgegevens worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER). De primaire database, bestandsopslag en applicatieservers van Subduxion bevinden zich in datacenters binnen de EU. Subduxion draagt geen Klantgegevens over naar landen buiten de EER voor opslag- of verwerkingsdoeleinden.

5.2 Beperkte infrastructuurverwerking

Bepaalde sub-verwerkers kunnen technische metadata (zoals IP-adressen, foutopsporingsgegevens en routeringsinformatie) verwerken buiten de EER voor edge-routering, foutmonitoring en prestatieoptimalisatie. Deze sub-verwerkers zijn gecertificeerd onder het EU-VS Data Privacy Framework (DPF) overeenkomstig Uitvoeringsbesluit (EU) 2023/1795 van de Commissie. Er worden geen Klantgegevens, persoonlijke inhoud of zakelijke gegevens via deze diensten verwerkt.

5.3 Waarborgen

Voor zover een sub-verwerker technische metadata verwerkt buiten de EER, waarborgt Subduxion dat dergelijke verwerking is onderworpen aan passende waarborgen, waaronder: (a) Standaard Contractbepalingen (SCC's) vastgesteld bij Uitvoeringsbesluit (EU) 2021/914 van de Commissie; en (b) aanvullende technische, contractuele en organisatorische maatregelen in overeenstemming met EDPB-aanbevelingen 01/2020, waaronder versleuteling tijdens transport, minimalisering van gegevens en toegangscontroles.

6. Auditrechten

6.1 Audit

Subduxion zal de Klant alle informatie ter beschikking stellen die nodig is om de naleving van artikel 28 AVG aan te tonen en zal audits, inclusief inspecties, door de Klant of een door de Klant aangewezen auditor mogelijk maken en daaraan bijdragen (artikel 28(3)(h) AVG), onder de volgende voorwaarden:

  • Audits worden niet vaker dan eenmaal per periode van 12 maanden uitgevoerd, tenzij een Datalek-incident heeft plaatsgevonden of een toezichthoudende autoriteit een aanvullende audit vereist.
  • De Klant stelt Subduxion ten minste 30 dagen van tevoren schriftelijk in kennis van een audit.
  • Audits worden uitgevoerd tijdens normale kantooruren en mogen de bedrijfsvoering van Subduxion niet onredelijk verstoren.
  • De auditor van de Klant dient gebonden te zijn aan geheimhoudingsverplichtingen die niet minder beschermend zijn dan die in de Overeenkomst.
  • Subduxion kan aan auditverzoeken voldoen door het verstrekken van relevante certificeringen, auditrapporten (bijv. SOC 2 Type II) of ingevulde branchestandaard-vragenlijsten (bijv. SIG, CAIQ), voor zover deze de auditdoelstellingen van de Klant adequaat adresseren.

6.2 Kosten

Elke partij draagt haar eigen kosten in verband met audits. Indien een audit echter een materiële schending van deze Verwerkersovereenkomst aan het licht brengt, komen de redelijke kosten van de audit voor rekening van Subduxion.

7. Gegevensretournering en -verwijdering

7.1 Retournering

Bij beëindiging of afloop van de Overeenkomst zal Subduxion, naar keuze van de Klant, alle Klantgegevens retourneren in een gestructureerd, gangbaar en machineleesbaar formaat, of alle kopieën van Klantgegevens in haar bezit of onder haar controle, inclusief back-upsystemen, veilig verwijderen binnen 90 dagen na beëindiging. De Klant kan gedurende de periode van 30 dagen na beëindiging op elk moment een gegevensexport aanvragen.

7.2 Uitzonderingen op bewaring

Subduxion mag Klantgegevens bewaren voor zover en voor de periode die vereist is op grond van toepasselijk recht (waaronder Nederlandse fiscale bewaarverplichtingen), regelgeving of rechterlijk bevel. In dergelijke gevallen zal Subduxion: (a) de verwerking beperken tot de doeleinden die wettelijk vereist zijn; (b) de vertrouwelijkheid en beveiliging van de bewaarde gegevens handhaven; en (c) de gegevens verwijderen na afloop van de toepasselijke bewaartermijn.

7.3 Certificering

Op verzoek van de Klant zal Subduxion een schriftelijke verklaring afgeven dat zij heeft voldaan aan de verwijderingsverplichtingen van deze Sectie 7.

8. CCPA-naleving

Voor zover Subduxion Klantgegevens verwerkt die onderworpen zijn aan de California Consumer Privacy Act van 2018, zoals gewijzigd door de California Privacy Rights Act van 2020 (gezamenlijk "CCPA"), verklaart Subduxion dat zij:

  • Klantgegevens niet zal verkopen of delen (zoals deze termen zijn gedefinieerd in de CCPA).
  • Klantgegevens niet zal bewaren, gebruiken of openbaar maken voor enig ander doel dan de zakelijke doeleinden die in deze Verwerkersovereenkomst en de Overeenkomst zijn gespecificeerd.
  • Klantgegevens niet zal bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie met de Klant.
  • Klantgegevens die van de Klant zijn ontvangen niet zal combineren met Persoonsgegevens die van andere bronnen zijn ontvangen, behalve voor zover toegestaan door de CCPA voor de zakelijke doeleinden beschreven in deze Verwerkersovereenkomst.

9. Aansprakelijkheid

De aansprakelijkheid van elke partij op grond van deze Verwerkersovereenkomst is onderworpen aan de beperkingen en uitsluitingen van aansprakelijkheid zoals uiteengezet in de Overeenkomst, met dien verstande dat deze Verwerkersovereenkomst de aansprakelijkheid van geen van beide partijen voor schendingen van de Gegevensbeschermingswetgeving beperkt voor zover een dergelijke beperking door dwingend recht verboden zou zijn. Niets in deze Verwerkersovereenkomst beperkt de rechten van een Betrokkene op grond van de Gegevensbeschermingswetgeving, met inbegrip van het recht op schadevergoeding op grond van artikel 82 AVG.

10. Definities

Termen met een hoofdletter die niet in deze Verwerkersovereenkomst zijn gedefinieerd, hebben de betekenis die eraan is gegeven in de Overeenkomst. Daarnaast geldt:

  • "Klantgegevens" betekent Persoonsgegevens die de Klant uploadt, indient of anderszins beschikbaar stelt via de Diensten.
  • "Datalek-incident" betekent een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, het verlies, de wijziging, de onbevoegde verstrekking van of de onbevoegde toegang tot Klantgegevens.
  • "Gegevensbeschermingswetgeving" betekent alle toepasselijke wet- en regelgeving inzake gegevensbescherming en privacy, waaronder de AVG, UAVG, UK GDPR, ePrivacy-richtlijn, CCPA, en alle toepasselijke nationale implementatiewetgeving.
  • "EER" betekent de Europese Economische Ruimte (EU-lidstaten plus IJsland, Liechtenstein en Noorwegen).
  • "Standaard Contractbepalingen" of "SCC's" betekent de standaard contractbepalingen voor de doorgifte van Persoonsgegevens naar derde landen, vastgesteld door de Europese Commissie op grond van Uitvoeringsbesluit (EU) 2021/914 van de Commissie.
  • "Sub-verwerker" betekent elke derde partij die door Subduxion wordt ingeschakeld om Klantgegevens namens de Klant te verwerken.
  • "Toezichthoudende autoriteit" betekent de onafhankelijke overheidsinstantie die verantwoordelijk is voor het toezicht op de toepassing van de Gegevensbeschermingswetgeving, met inbegrip van de Autoriteit Persoonsgegevens.
  • "UK GDPR" betekent de AVG zoals behouden in het recht van het Verenigd Koninkrijk op grond van Section 3 van de European Union (Withdrawal) Act 2018 en zoals gewijzigd door de Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019.

11. Contact

Voor vragen of verzoeken met betrekking tot deze Verwerkersovereenkomst kunt u contact opnemen met:

Subduxion B.V.
T.a.v.: Gegevensbescherming
High Tech Campus 5
5656 AE Eindhoven
Nederland
E-mail: privacy@subduxion.com

Blake

Sales is geen afdeling. Het is de zuurstof van je bedrijf.

Zonder sales heb je geen bedrijf. Je hebt een hobby. En hobby's betalen geen salarissen.