Dit addendum inzake gegevensverwerking (“DPA”) maakt deel uit van de servicevoorwaarden van FrameScaleAI (de “overeenkomst”) tussen FrameScaleAI (‘verwerker’) en de klantentiteit of persoon die FrameScaleAI inschakelt voor diensten (“klant”).
Deze DPA regelt de rechten en plichten van elke partij met betrekking tot de verwerking van persoonsgegevens in verband met de diensten, in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) van de EU en de toepasselijke wetgeving inzake gegevensbescherming.
FrameScaleAI houdt een actuele lijst bij van geautoriseerde subverwerkers, die op schriftelijk verzoek kan worden opgevraagd bij info@framescale-ai.com.
1. Definities
Voor de doeleinden van deze DPA:
• “Geassocieerde” betekent een entiteit die controleert, gecontroleerd wordt door, of onder gemeenschappelijke controle staat met een Partij.
• “Verantwoordelijke,” “Processor,” “Betrokkene,” “Verwerking” en “Persoonlijke Gegevens” hebben de betekenissen die zijn gegeven in Artikel 4 van de GDPR.
• “Wetgeving inzake gegevensbescherming” betekent alle gegevensbeschermings- en privacywetten die van toepassing zijn op de Partijen, inclusief de GDPR.
• “Beveiligingsincident” betekent de onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of toegang tot Persoonlijke Gegevens die door FrameScaleAI worden verwerkt.
• “Sub-processor” betekent elke derde partij die door FrameScaleAI is ingeschakeld om Persoonlijke Gegevens namens de Klant te verwerken.
2. Rollen en Reikwijdte
2.1 Rollen van de Partijen.
Klant fungeert als de Verantwoordelijke (of in sommige gevallen als een Verwerker voor zijn eigen klanten), en FrameScaleAI fungeert als een Verwerker namens de Klant.
2.2 Onderwerp en Duur.
FrameScaleAI verwerkt Persoonlijke Gegevens uitsluitend om de overeengekomen automatisering, analyses en AI-gerelateerde Diensten uit te voeren onder de Overeenkomst. De verwerking gaat door voor de duur van de Overeenkomst, tenzij anders vereist door de wet.
2.3 Natuur en Doel van Verwerking.
De verwerking omvat gegevensverzameling, organisatie, analyse, automatisering, rapportage en dashboardweergave voor het interne zakelijke gebruik van de Klant.
2.4 Soorten Persoonlijke Gegevens.
Persoonlijke Gegevens kunnen omvatten:
• Contactinformatie (naam, e-mail, rol, bedrijfsnaam)
• Technische en gebruiksgegevens (IP-adressen, gebeurtenislogs, CRM- of analysetoevoegen)
• Bedrijfsgegevens gesynchroniseerd vanuit de interne systemen van de Klant
FrameScaleAI verwerkt geen gevoelige of speciale categorieën van persoonlijke gegevens.
2.5 Categorieën van Gegevenssubjecten.
Werknemers, vertegenwoordigers of cliënten van de Klant wiens gegevens worden verwerkt via de systemen van de Klant die zijn verbonden met FrameScaleAI.
3. Verwerkingsverplichtingen
3.1 Verwerking volgens instructies.
FrameScaleAI zal Persoonsgegevens alleen verwerken:
• Op gedocumenteerde instructies van de Klant,
• Om Diensten te verrichten onder de Overeenkomst,
• Om te voldoen aan toepasselijke wetgeving.
Als FrameScaleAI gelooft dat een instructie de Wet bescherming persoonsgegevens schendt, zal het de Klant daarvan onverwijld op de hoogte stellen.
3.2 Geheimhouding.
Alle personeel van FrameScaleAI dat gemachtigd is om Persoonsgegevens te verwerken, is gebonden aan geheimhoudingsverplichtingen en ontvangt training over gegevensbescherming.
3.3 Verzoeken van de betrokkene.
Waar mogelijk, zal FrameScaleAI de Klant helpen bij het reageren op verzoeken van de betrokkene (bijv. toegang, correctie, verwijdering) zoals vereist door de GDPR-artikelen 15–22.
FrameScaleAI zal niet direct op dergelijke verzoeken reageren tenzij gemachtigd door de Klant.
3.4 Impactbeoordelingen.
FrameScaleAI zal de Klant redelijkerwijs helpen met impactbeoordelingen van gegevensbescherming of voorafgaand overleg met autoriteiten, waar wettelijk vereist.
4. Subverwerkers
4.1 Geautoriseerde Subverwerkers.
De klant autoriseert FrameScaleAI om Subverwerkers in te schakelen die nodig zijn voor het verlenen van de Diensten, inclusief infrastructuur- en integratieproviders zoals:
• Supabase (gegevenshosting – EU)
• n8n (workflowautomatisering – EU-servers waar van toepassing)
• OpenAI (AI-modelverwerking – gegevens geminimaliseerd en geanonimiseerd waar mogelijk)
4.2 Verplichtingen van Subverwerkers.
FrameScaleAI zal ervoor zorgen dat alle Subverwerkers gebonden zijn aan schriftelijke overeenkomsten die gegevensbeschermingstermen opleggen die gelijkwaardig zijn aan deze DPA.
4.3 Wijzigingen in Subverwerkers.
FrameScaleAI zal de klant informeren over enige voorgenomen wijzigingen in Subverwerkers. De klant kan bezwaar maken tegen een nieuwe Subverwerker op redelijke gronden van gegevensbescherming; beide partijen zullen te goeder trouw samenwerken om een oplossing te vinden.
4.4 Aansprakelijkheid voor Subverwerkers.
FrameScaleAI blijft volledig aansprakelijk tegenover de klant voor de uitvoering van de verplichtingen van een Subverwerker.
5. Beveiliging en Audits
5.1 Beveiligingsmaatregelen.
FrameScaleAI implementeert passende technische en organisatorische maatregelen om een niveau van beveiliging te waarborgen dat geschikt is voor het risico, inclusief:
• Gegevensversleuteling (in transit en in rust)
• Veilige authenticatie en toegangscontrole
• Regelmatige kwetsbaarheidsmonitoring
• Loggen en auditen van systeemtoegang
• Gegevensminimalisatie en scheiding van omgevingen
5.2 Auditrechten.
Op redelijke schriftelijke aanvraag zal FrameScaleAI de informatie verstrekken die nodig is om de naleving van deze DPA aan te tonen.
Audits kunnen worden uitgevoerd door de Klant of een onafhankelijke auditor (geen concurrent), beperkt tot één keer per jaar, onder geheimhoudingsverplichtingen, en op kosten van de Klant.
5.3 Beveiligingsincidenten.
In het geval van een Beveiligingsincident, zal FrameScaleAI de Klant binnen 72 uur na bekendwording op de hoogte stellen, met beschrijving van:
• De aard en reikwijdte van het incident,
• De getroffen gegevens en waarschijnlijke gevolgen, en
• De genomen maatregelen om het probleem te verhelpen.
5.4 Interne Documentatie
FrameScaleAI houdt interne documentatie voor gegevensbescherming bij, inclusief een Register voor Gegevensverwerking en een Beleid voor Reactie op Gegevensinbreuken, zoals vereist onder artikelen 30 en 33 van de GDPR. Deze documenten zijn beschikbaar voor de Nederlandse Autoriteit Persoonsgegevens op aanvraag.
6. Gegevensverwijdering en Teruggave
Bij beëindiging of afloop van de Overeenkomst:
• FrameScaleAI zal alle Persoonsgegevens verwijderen of teruggeven, naar keuze van de Klant, behalve waar bewaring wettelijk vereist is.
• Back-ups met Persoonsgegevens zullen veilig worden geïsoleerd en verwijderd in overeenstemming met het gegevensbewaringsbeleid van FrameScaleAI (typisch binnen 90 dagen).
• Een schriftelijke bevestiging van verwijdering zal op verzoek worden verstrekt.
7. Grensoverschrijdende Gegevensoverdrachten
7.1 EU Gegevensresidentie.
FrameScaleAI slaat gegevens op en verwerkt deze uitsluitend binnen de Europese Unie (voornamelijk Supabase EU-servers).
7.2 Standaardcontractbepalingen (SCC's).
Indien Persoonsgegevens buiten de EER worden overgedragen, mag die overdracht alleen plaatsvinden op basis van de Standaardcontractbepalingen van de Europese Commissie of gelijkwaardige wettelijke waarborgen.
7.3 Niet-EU Overdrachten.
FrameScaleAI vermijdt niet-EU-overdrachten waar mogelijk en zorgt ervoor dat elke noodzakelijke overdracht voldoet aan de adequaatheid en beschermingsnormen van de GDPR.
8. Aansprakelijkheid en Diversen
8.1 Aansprakelijkheid.
De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de aansprakelijkheidsbeperkingen zoals uiteengezet in de hoofdovereenkomst.
8.2 Conflicten.
In geval van een conflict tussen deze DPA en de overeenkomst, prevaleert deze DPA met betrekking tot de verwerking van Persoonsgegevens.
8.3 Duur.
Deze DPA blijft van kracht zolang FrameScaleAI Persoonsgegevens verwerkt namens de Klant.
8.4 Toepasselijk Recht en Jurisdictie.
Deze DPA wordt beheerst door de wetten van Nederland, en geschillen zullen uitsluitend worden beslecht door de rechtbanken van Utrecht, Nederland.
8.5 Wijzigingen.
Deze DPA kan worden bijgewerkt om wijzigingen in toepasselijke wetgeving of subprocessors weer te geven. Voortgezet gebruik van de Diensten na kennisgeving geldt als acceptatie van de herziene versie.
Bijlage A – Gegevens van Verwerking
De verwerking van persoonlijke gegevens uitgevoerd door FrameScaleAI onder deze DPA bestrijkt het volgende:
Het onderwerp van de verwerking is de verwerking van de persoonlijke gegevens van de Klant voor doeleinden gerelateerd aan automatisering, analyse en AI-gedreven zakelijke services die worden geleverd via de systemen van FrameScaleAI.
De duur van de verwerking komt overeen met de duur van de Overeenkomst of de specifieke projecttermijn tussen FrameScaleAI en de Klant.
De natuur en het doel van de verwerking omvatten het hosten, beheren en analyseren van de bedrijfsgegevens van de Klant via de op maat gemaakte dashboards, automatiseringen en workflowtools van FrameScaleAI, uitsluitend voor de levering van de contractuele Diensten.
De soorten persoonlijke gegevens die worden verwerkt, kunnen bedrijfscontactgegevens bevatten zoals namen, e-mailadressen en bedrijfsinformatie, evenals CRM- of analytische gegevens en technische metadata die tijdens het gebruik van het systeem zijn gegenereerd.
De categorieën van gegevenssubjecten omvatten de medewerkers, vertegenwoordigers van de Klant, en, waar van toepassing, klanten wiens informatie wordt verwerkt als onderdeel van de geïntegreerde systemen van de Klant.
De bewaarperiode voor persoonlijke gegevens is beperkt tot negentig (90) dagen na de beëindiging of afloop van de Overeenkomst, tenzij de toepasselijke wetgeving een langere bewaartermijn vereist. Na deze periode zullen alle persoonlijke gegevens veilig worden verwijderd of geanonimiseerd in overeenstemming met het gegevensverwijderingsbeleid van FrameScaleAI.
Bijlage B – technische en organisatorische beveiligingsmaatregelen
1. Versleuteling van gegevens tijdens verzending en in rust (TLS, AES-256).
2. Toegangscontrole en multi-factor authenticatie voor interne systemen.
3. Rolgebaseerde toegangsbeperkingen voor medewerkers.
4. Continue monitoring en logging van systeemactiviteit.
5. Regelmatige kwetsbaarheidsbeoordelingen en beveiligingsupdates.
6. Veiligheidsbeleid voor gegevensback-up en herstel bij rampen.
7. Strikte scheiding tussen klantomgevingen.
8. Fysieke en logische beveiliging van hostinginfrastructuur (Supabase).
9. Jaarlijkse interne beoordeling van gegevensbescherming en training voor medewerkers.
Uitvoering:
Deze DPA wordt automatisch opgenomen in de Servicevoorwaarden en wordt van kracht na acceptatie door de Klant van de Overeenkomst of uitvoering van een aangepast ondernemingscontract.
FrameScaleAI
Kamer van Koophandel (KvK): 98828584
Geregistreerd kantoor: Vadinushof 44, Utrecht, Nederland
Email: info@framescale-ai.com