Verwerkersovereenkomst

Voor zover AIBA in het kader van een programma of dienst persoonsgegevens van opdrachtgever, diens medewerkers of cliënten verwerkt, treedt AIBA op als verwerker in de zin van artikel 4 lid 8 AVG en treedt opdrachtgever op als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG.

Deze verwerkersovereenkomst maakt integraal deel uit van de onderliggende overeenkomst tussen AIBA en opdrachtgever en geldt voor de duur van die overeenkomst. Verplichtingen die naar hun aard bestemd zijn om voort te duren, blijven na beëindiging van kracht.

• Aard van de verwerking: opslag, ordening, analyse en presentatie van persoonsgegevens binnen werksessies, ten behoeve van het opleidingsprogramma.
• Doel: uitvoering van werksessies, casusanalyse, opstelling van implementatieplan, en review van werkresultaten.
• Categorieën van betrokkenen: medewerkers en zakelijke contacten van opdrachtgever, en (uitsluitend voor zover opdrachtgever deze invoert) cliënten van opdrachtgever.
• Categorieën van persoonsgegevens: identificatie- en contactgegevens, functionele gegevens binnen documenten, geen bijzondere categorieën van gegevens als bedoeld in artikel 9 AVG tenzij uitdrukkelijk anders overeengekomen.

AIBA verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van opdrachtgever, behoudens afwijkende wettelijke verplichtingen. Indien AIBA van oordeel is dat een instructie inbreuk maakt op de AVG, stelt AIBA opdrachtgever daarvan onverwijld op de hoogte.

AIBA waarborgt dat personen die de gegevens verwerken zich tot geheimhouding hebben verbonden of door een passende wettelijke verplichting van geheimhouding zijn gebonden.

AIBA neemt passende technische en organisatorische maatregelen, waaronder:

• encryptie van gegevens in rust (AES-256-GCM) en in transport (TLS 1.3);
• role-based access control op rij-niveau via RLS-policies;
• append-only audit-log met cryptografische ketenverificatie;
• logische scheiding van klantomgevingen;
• periodieke kwetsbaarheidsscans en afhankelijkheidsbewaking;
• dagelijkse back-ups, hersteltests per kwartaal;
• zero-retention default voor werkmateriaal binnen werksessies.

AIBA mag uitsluitend sub-verwerkers inschakelen die voldoen aan de eisen van artikel 28 AVG. Een actuele lijst is op aanvraag beschikbaar via info@ai-businessacademy.nl.

Bij voorgenomen wijziging van de sub-verwerkers wordt opdrachtgever ten minste dertig dagen voorafgaand geïnformeerd. Opdrachtgever heeft het recht binnen die termijn schriftelijk en gemotiveerd bezwaar te maken. Indien partijen niet tot overeenstemming komen, is opdrachtgever gerechtigd de overeenkomst zonder kosten te beëindigen ten aanzien van de betreffende verwerking.

Persoonsgegevens worden uitsluitend buiten de Europese Economische Ruimte verwerkt op basis van een geldig adequaatheidsbesluit van de Europese Commissie of standaardcontract­bepalingen aangevuld met aanvullende waarborgen, en alleen na voorafgaande schriftelijke instemming van opdrachtgever.

AIBA verleent opdrachtgever, voor zover redelijkerwijs mogelijk en rekening houdend met de aard van de verwerking, de nodige bijstand bij het reageren op verzoeken van betrokkenen tot uitoefening van hun rechten op grond van de AVG.

AIBA stelt opdrachtgever onverwijld, en in elk geval binnen vierentwintig uur na ontdekking, op de hoogte van een inbreuk in verband met persoonsgegevens. AIBA verschaft daarbij de informatie die opdrachtgever nodig heeft om aan zijn meldingsverplichtingen jegens de Autoriteit Persoonsgegevens en betrokkenen te voldoen.

Opdrachtgever is gerechtigd jaarlijks, of zo veel vaker als redelijkerwijs nodig naar aanleiding van een concrete aanleiding, een audit uit te voeren of door een onafhankelijke derde te laten uitvoeren. Audits worden ten minste vier weken vooraf aangekondigd en uitgevoerd op werkdagen, met inachtneming van bedrijfsvoering en vertrouwelijkheid van andere klanten van AIBA. AIBA mag in plaats daarvan een geldig SOC 2-, ISO 27001- of vergelijkbaar certificaatrapport verstrekken.

Na beëindiging van de overeenkomst verwijdert AIBA de persoonsgegevens, dan wel retourneert deze aan opdrachtgever, naar keuze van opdrachtgever, binnen dertig dagen, behoudens wettelijke verplichtingen tot bewaring.

De aansprakelijkheid van AIBA jegens opdrachtgever uit hoofde van of in verband met deze verwerkersovereenkomst wordt beheerst door de aansprakelijkheidsbepalingen in de onderliggende overeenkomst en de algemene voorwaarden, behoudens dwingendrechtelijke aansprakelijkheid op grond van artikel 82 AVG jegens betrokkenen.