Verwerkersovereenkomst

Deze Verwerkersovereenkomst is van toepassing op de verwerking van persoonsgegevens door Verwerker (Gen4 B.V.) in het kader van de uitvoering van de Hoofdovereenkomst. In geval van tegenstrijdigheid prevaleren de bepalingen van deze Verwerkersovereenkomst.

• — Verwerking uitsluitend in opdracht en ten behoeve van Verantwoordelijke
• — In geen geval verwerking voor eigen doeleinden
• — Technische en organisatorische beveiligingsmaatregelen conform Bijlage II
• — Medewerking aan Data Protection Impact Assessments (DPIA)
• — Geen verwerking buiten de Europese Economische Ruimte (EER)

• — Looptijd gelijk aan de Hoofdovereenkomst
• — Niet tussentijds opzegbaar
• — Bij beëindiging: vernietiging of retournering van alle persoonsgegevens
• — Schriftelijke bevestiging van vernietiging op verzoek

Verwerker maakt gebruik van ElevenLabs Ltd. (Enterprise tier) als sub-verwerker voor AI-gestuurde realtime dialoog, spraak-naar-tekst conversie en gespreksrapport generatie.

• — Verwerking binnen Europese Economische Ruimte (eu.residency.elevenlabs.io)
• — SOC 2 Type 2, ISO 27001:2022, NHS DSPT gecertificeerd
• — Audio: geen opslag, uitsluitend real-time streaming
• — Transcript en gespreksdata: onmiddellijke verwijdering na rapportlevering
• — Bij technische storing: automatische verwijdering na maximaal 24 uur

Wijzigingen in sub-verwerkers worden minimaal 30 dagen vooraf schriftelijk medegedeeld. Verantwoordelijke heeft recht van bezwaar.

• — Persoonsgegevens worden geheim gehouden
• — Alle betrokken werknemers en sub-verwerkers gebonden aan geheimhoudingsovereenkomst
• — Geen verstrekking aan derden zonder toestemming Verantwoordelijke

Verwerker stelt Verantwoordelijke onmiddellijk — uiterlijk binnen 72 uur — na ontdekking van een (mogelijk) datalek schriftelijk op de hoogte, inclusief:

• — Aard van het datalek en betrokken persoonsgegevens
• — Dag en tijdstip van constatering
• — (Mogelijke) gevolgen van het datalek
• — Getroffen maatregelen
• — Contactpersoon bij Verwerker

Het is uitsluitend aan Verantwoordelijke om te bepalen of een datalek wordt gemeld aan de toezichthoudende autoriteit en/of betrokkenen.

Gezien het no-storage beleid zijn betrokkenenrechten praktisch niet uitvoerbaar na gespreksafronding. Verwerker bewaart geen persoonsgegevens die toegankelijk zijn voor inzage, rectificatie of overdracht.

Praktische uitvoering per recht:

• — Inzage: bevestiging van verwerking en verwijdering; rapport reeds bij Verantwoordelijke
• — Rectificatie: alleen mogelijk tijdens actief gesprek
• — Verwijdering: automatisch binnen 24 uur; bevestiging op verzoek
• — Beperking/Portabiliteit: niet toepasbaar door onmiddellijke verwijdering
• — Bezwaar: te richten aan Verantwoordelijke

• — Verantwoordelijke heeft recht op audit van naleving
• — Verwerker verleent volledige medewerking
• — Kosten voor rekening Verantwoordelijke, tenzij tekortkomingen worden geconstateerd
• — Bij onregelmatigheden: verbeterplan binnen redelijke termijn

• — Verwerker is aansprakelijk voor schade door tekortkomingen onder deze overeenkomst
• — Verwerker vrijwaart Verantwoordelijke tegen aanspraken van derden

Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verantwoordelijke is gevestigd.

Beveiliging Gen4

• — Enterprise API-credentials met HTTPS/TLS 1.3
• — Full disk encryption op werkstations
• — VPN-toegang voor remote werk
• — Secure coding volgens OWASP guidelines
• — Multi-factor authenticatie voor alle accounts
• — Least privilege principe met quarterly access reviews

Gegevensminimalisering

• — Geen opslag van audio-opnames of transcripten
• — Automatische memory clearing na processing
• — Gen4 bewaart geen kopieën van rapporten
• — End-to-end encryption voor alle externe communicatie

ElevenLabs Enterprise beveiliging

• — ISO 27001:2022, SOC 2 Type 2, NHS DSPT
• — European Data Residency binnen EEA
• — 24/7 Security Operations Center
• — API-based deletion met cryptographic verification