Privacybeleid

Versie 2.1 | Ingangsdatum: 15 mei 2026 | De meest recente versie is altijd beschikbaar op https://Perspectis.AI/privacy

Deze gegevensverwerkingsovereenkomst (“DPA”) wordt gepubliceerd door Perspectis AI, Inc. op Perspectis.AI en is door middel van verwijzing opgenomen in de SaaS-dienstenovereenkomst (of een gelijkwaardige raamovereenkomst) die is gesloten tussen de dienstverlener en de klant (“Hoofdovereenkomst”). Deze DPA is door middel van verwijzing opgenomen in de Hoofdovereenkomst. De versie die van kracht is op de ingangsdatum van de Hoofdovereenkomst is van toepassing, behoudens eventuele updates die zijn aangebracht overeenkomstig clausule 16.6.

In geval van conflict tussen deze gegevensverwerkingsovereenkomst en de hoofdovereenkomst met betrekking tot de verwerking van persoonsgegevens, prevaleert deze gegevensverwerkingsovereenkomst.

Aanpak. Deze DPA stelt één overkoepelende norm vast die voldoet aan de meest veeleisende toepasselijke vereisten in alle rechtsgebieden waarin de partijen actief zijn, waaronder het Verenigd Koninkrijk (Britse AVG / DPA 2018), de Europese Economische Ruimte (EU AVG), Canada (PIPEDA en Quebec Law 25) en de Verenigde Staten (CCPA/CPRA en toepasselijke wetgeving van de staten). Indien een specifiek mechanisme wettelijk vereist is – zoals standaardcontractbepalingen voor internationale gegevensoverdrachten – wordt dit behandeld in clausule 8. Voor het overige geldt één enkele verplichting, ongeacht het betrokken rechtsgebied.

Juridisch beroepsgeheim. Klantgegevens kunnen informatie bevatten die onder het juridisch beroepsgeheim, het advocatengeheim of het geheimhoudingsplicht tussen advocaat en cliënt valt. De aangescherpte verplichtingen van de dienstverlener met betrekking tot dergelijk materiaal zijn uiteengezet in clausule 12.

Definities

In deze DPA:

"Geanonimiseerde gegevens" betekent gegevens die onomkeerbaar zijn geanonimiseerd, zodat er redelijkerwijs geen individu aan de hand daarvan kan worden geïdentificeerd, noch op zichzelf staand, noch in combinatie met andere informatie, in overeenstemming met de toepasselijke privacywetgeving.

"Toepasselijke wetgeving inzake gegevensbescherming" betekent alle privacy- en gegevensbeschermingswetten die van toepassing zijn op de verwerking van persoonsgegevens onder deze DPA, inclusief (maar niet beperkt tot): de Britse GDPR en de Data Protection Act 2018; de EU GDPR (Verordening (EU) 2016/679); de Canadese Personal Information Protection and Electronic Documents Act (PIPEDA) en de van toepassing zijnde provinciale equivalenten, waaronder de Quebecse wet 25; en de California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) en andere van toepassing zijnde privacywetten van de Amerikaanse staten. Indien twee of meer wetten verschillende normen opleggen voor dezelfde verplichting, dient de Dienstverlener te voldoen aan de strengste norm.

"Klantgegevens" hebben de betekenis zoals omschreven in de Hoofdovereenkomst en omvatten alle daarin opgenomen Persoonsgegevens.

"Individu" betekent elke natuurlijke persoon wiens persoonsgegevens worden verwerkt in het kader van deze DPA. De termen betrokkene, consument en individu worden door elkaar gebruikt.

"Persoonsgegevens" betekent alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare persoon, zoals gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming in het betreffende rechtsgebied. De termen persoonsgegevens en persoonlijke informatie worden door elkaar gebruikt.

"Inbreuk op persoonsgegevens" betekent elke inbreuk op de beveiliging die leidt tot de accidentele of onrechtmatige vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking van of de toegang tot persoonsgegevens.

"Functionaris voor gegevensbescherming" betekent de persoon die door de dienstverlener is aangewezen om toezicht te houden op de naleving van de toepasselijke wetgeving inzake gegevensbescherming.

"Verwerking" (en verwante termen) heeft de betekenis zoals omschreven in de toepasselijke wetgeving inzake gegevensbescherming.

"Beperkte overdracht" betekent elke overdracht van persoonsgegevens naar een land dat niet beschikt over een adequaatheidsbesluit of een gelijkwaardige bevinding op grond van de toepasselijke wetgeving inzake gegevensbescherming.

"SCC's" betekent de standaardcontractbepalingen van de EU voor de overdracht van persoonsgegevens naar derde landen (Besluit 2021/914/EU van de Commissie).

"Gevoelige persoonsgegevens" betekent bijzondere categorieën persoonsgegevens volgens de Britse AVG / EU-AVG; gevoelige persoonsgegevens volgens de CCPA/CPRA; en gelijkwaardige categorieën volgens andere toepasselijke wetgeving inzake gegevensbescherming.

"Subverwerker" betekent elke derde partij die door de Dienstverlener is ingeschakeld om Persoonsgegevens namens de Klant te verwerken.

"Lijst van subverwerkers" betekent de actuele lijst van goedgekeurde subverwerkers die door de dienstverlener op zijn website wordt bijgehouden en die van tijd tot tijd wordt bijgewerkt overeenkomstig clausule 7.

“TOMs” staat voor de technische en organisatorische maatregelen zoals uiteengezet in bijlage 2.

“UK IDTA” staat voor de UK International Data Transfer Agreement, uitgegeven door de ICO onder artikel 119A van de DPA 2018.

Rollen en benoeming

De klant is de verwerkingsverantwoordelijke (of een equivalent daarvan onder de toepasselijke wetgeving inzake gegevensbescherming); de dienstverlener is de verwerker of dienstverlener (of een equivalent daarvan). De dienstverlener verwerkt persoonsgegevens uitsluitend op basis van de schriftelijk vastgelegde instructies van de klant.

Voor de toepassing van de CCPA/CPRA treedt de Dienstverlener op als Dienstverlener (en niet als Derde Partij of Onderneming) en verklaart dat hij: (a) Persoonsgegevens niet zal verkopen of delen; (b) Persoonsgegevens niet zal gebruiken voor enig ander doel dan het leveren van de Diensten; (c) Persoonsgegevens die hij onder deze DPA ontvangt, niet zal combineren met persoonsgegevens uit andere bronnen, behalve zoals toegestaan door de toepasselijke wetgeving; en (d) deze beperkingen begrijpt en zal naleven.

De dienstverlener stelt de klant onmiddellijk op de hoogte indien deze naar zijn redelijke oordeel van mening is dat een instructie in strijd is met de toepasselijke wetgeving inzake gegevensbescherming.

Verplichtingen van de klant

De klant garandeert dat hij/zij een rechtmatige grondslag heeft en te allen tijde zal behouden onder de toepasselijke wetgeving inzake gegevensbescherming voor elke categorie persoonsgegevens die aan het platform worden verstrekt, inclusief (indien vereist) geldige toestemming, een beoordeling van het gerechtvaardigd belang of een andere toepasselijke wettelijke grondslag.

De klant is als enige verantwoordelijk voor de juistheid, kwaliteit en rechtmatigheid van alle persoonsgegevens die aan het platform worden verstrekt, alsmede voor de rechtmatigheid van alle verwerkingsinstructies die aan de dienstverlener worden gegeven. De dienstverlener is niet verplicht de rechtmatigheid van de instructies van de klant zelfstandig te controleren, maar dient wel te voldoen aan zijn meldingsplicht onder clausule 2.3.

De klant mag geen gevoelige persoonsgegevens aan het platform verstrekken zonder voorafgaande schriftelijke kennisgeving aan de dienstverlener en overeenstemming over passende aanvullende waarborgen. Bij afwezigheid van een dergelijke kennisgeving en overeenstemming is de dienstverlener niet aansprakelijk voor gevoelige persoonsgegevens die aan het platform worden verstrekt.

De klant dient zelf privacyverklaringen, registers van verwerkingsactiviteiten en procedures voor de bescherming van individuele rechten bij te houden, zoals vereist door de toepasselijke wetgeving inzake gegevensbescherming. De klant erkent dat de verplichtingen van de dienstverlener onder deze DPA beperkt zijn tot het verlenen van redelijke technische ondersteuning en zich niet uitstrekken tot het nakomen van de eigen nalevingsverplichtingen van de klant als verwerkingsverantwoordelijke.

De klant zal de dienstverlener vrijwaren en schadeloos stellen voor alle verliezen, vorderingen, schade, aansprakelijkheden, boetes, kosten en uitgaven (inclusief redelijke juridische kosten) die voortvloeien uit of verband houden met: (a) het niet nakomen door de klant van zijn verplichtingen als verwerkingsverantwoordelijke onder de toepasselijke wetgeving inzake gegevensbescherming; (b) de schending door de klant van de garanties in dit artikel 3; of (c) verwerkingsinstructies van de klant die in strijd zijn met de toepasselijke wetgeving inzake gegevensbescherming, mits de dienstverlener heeft voldaan aan zijn meldingsplicht onder artikel 2.3 met betrekking tot de betreffende instructie.

Verwerkingsinstructies en vertrouwelijkheid

De dienstverlener verwerkt persoonsgegevens uitsluitend op basis van de schriftelijk vastgelegde instructies van de klant, zoals uiteengezet in deze gegevensverwerkingsovereenkomst, de hoofdovereenkomst, bestelformulieren en eventuele verdere schriftelijke instructies.

De configuratie van het Platform door de Klant — inclusief het activeren van functies, bewaarinstellingen, gebruikersrechten, selecties voor gegevensopslaglocatie, inschakeling van AI-functies en integratie-instellingen — vormt de gedocumenteerde instructies in de zin van deze DPA. De Dienstverlener is niet verplicht om voor elke verwerkingsactiviteit die een natuurlijk gevolg is van het gebruik van het Platform door de Klant in overeenstemming met de configuratie, een afzonderlijke schriftelijke instructie te verkrijgen.

De dienstverlener dient ervoor te zorgen dat personeel dat bevoegd is om persoonsgegevens te verwerken, gebonden is aan passende geheimhoudingsverplichtingen en trAIning heeft ontvangen over hun verplichtingen op het gebied van gegevensbescherming.

De toegang tot persoonsgegevens is beperkt tot personeel dat deze nodig heeft voor de uitvoering van de diensten, op basis van het principe van minimale bevoegdheden.

De dienstverlener zal persoonsgegevens niet aan derden (inclusief wetshandhavingsinstanties of overheidsinstanties) verstrekken zonder voorafgaande schriftelijke toestemming van de klant, tenzij dit wettelijk verplicht is. Indien openbaarmaking wettelijk verplicht is, zal de dienstverlener (voor zover toegestaan) de klant hiervan vooraf op de hoogte stellen en meewerken aan redelijke beschermingsmaatregelen.

De dienstverlener dient een privacyfunctionaris en een contactpersoon voor gegevensbescherming (indien vereist) aan te wijzen en de klant op verzoek hun contactgegevens te verstrekken.

Individuele rechten

De dienstverlener erkent dat individuen rechten kunnen hebben onder de toepasselijke wetgeving inzake gegevensbescherming, waaronder rechten op: inzage; rectificatie of correctie; verwijdering of wissen; beperking van of uitsluiting van de verwerking; gegevensoverdracht; bezwaar; uitsluiting van verkoop of delen; beperking van het gebruik van gevoelige persoonsgegevens; en het recht om niet onderworpen te worden aan uitsluitend geautomatiseerde beslissingen met aanzienlijke gevolgen.

De dienstverlener stelt de klant binnen 3 werkdagen na ontvangst van een verzoek om rechten rechtstreeks van een individu op de hoogte en zal niet rechtstreeks reageren zonder toestemming van de klant.

De dienstverlener zal de technische ondersteuning (zoek-, export-, verwijderings- en correctiemogelijkheden) bieden die redelijkerwijs nodig is om de klant in staat te stellen te reageren op een verzoek met betrekking tot individuele rechten binnen de toepasselijke wettelijke termijn. De beoogde reactietermijn is 30 dagen na ontvangst van het geverifieerde verzoek.

De dienstverlener mag geen onderscheid maken tussen personen vanwege de uitoefening van hun rechten onder de toepasselijke wetgeving inzake gegevensbescherming.

Beveiliging

De dienstverlener dient de in bijlage 2 uiteengezette TOM's te implementeren en te onderhouden, die zijn ontworpen om te voldoen aan de eisen van de toepasselijke wetgeving inzake gegevensbescherming (inclusief de redelijke beveiligingsnorm onder CCPA/CPRA, artikel 32 van de Britse/EU-AVG en PIPEDA-principe 7).

De dienstverlener zal de effectiviteit van de TOM's regelmatig testen, beoordelen en evalueren en deze waar nodig bijwerken, rekening houdend met de stand van de techniek, de kosten en de aard van de verwerking.

De dienstverlener stelt de klant onmiddellijk op de hoogte van elke daadwerkelijke of vermoedde kwetsbaarheid die de beveiliging van persoonsgegevens in gevaar kan brengen en neemt direct corrigerende maatregelen.

Subprocessors

De klant verleent algemene toestemming om de in bijlage 3 vermelde subverwerkers in te schakelen. De dienstverlener houdt een actuele lijst van goedgekeurde subverwerkers bij op zijn website (de "Lijst van subverwerkers"), samen met detAIls over de verwerkingen die door elk van hen worden uitgevoerd.

De dienstverlener zal een kennisgeving van elke voorgestelde nieuwe aanstelling van een subverwerker, of van elke materiële wijziging in de activiteiten van een bestaande subverwerker, op zijn website plaatsen voordat de aanstelling of wijziging van kracht wordt. Klanten die zich hebben aangemeld voor meldingen over updates van subverwerkers (door een e-mAIl te sturen naar [NIEUW DPA-E-MAILADRES]) ontvangen van elke dergelijke kennisgeving.

Indien de partijen het bezwaar niet binnen 30 dagen kunnen oplossen, zal de Dienstverlener zich redelijkerwijs inspannen om een alternatieve configuratie van de betreffende Diensten beschikbaar te stellen die de bezwaarde Sub-Processor niet omvat. Indien een dergelijke alternatieve configuratie redelijkerwijs niet beschikbaar is en de bezwaarde Sub-Processor essentieel is voor de kernfunctionaliteit van de Diensten zoals beschreven in het betreffende Bestelformulier, kan de Klant het betreffende Bestelformulier zonder boete beëindigen door middel van een schriftelijke opzegging van 30 dagen. Voor alle duidelijkheid: een Sub-Processor wordt alleen als essentieel voor de kernfunctionaliteit beschouwd indien verwijdering van die Sub-Processor de materiële kenmerken zoals beschreven in het betreffende Bestelformulier onbruikbaar zou maken.

De dienstverlener legt elke subverwerker via een schriftelijk contract gegevensbeschermingsverplichtingen op die gelijkwaardig zijn aan die in deze DPA, inclusief verplichtingen die voldoen aan de toepasselijke wetgeving inzake gegevensbescherming in elk rechtsgebied waar persoonsgegevens worden verwerkt.

De dienstverlener blijft volledig aansprakelijk jegens de klant voor de handelingen en nalatigheden van zijn subverwerkers alsof het de handelingen en nalatigheden van de dienstverlener zelf waren.

Internationale overboekingen

Hoofdverplichting. De partijen zullen een passend overdrachtsmechanisme hanteren met betrekking tot elke beperkte overdracht voordat die overdracht plaatsvindt. "Overdrachtsmechanisme" betekent de standaardcontractbepalingen, de Britse IDTA, een adequaatheidsbesluit of elk ander mechanisme dat de overdracht toestaat in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

Overdrachten binnen de EER. In geval van een beperkte overdracht binnen de EER waarbij persoonsgegevens van de klant worden overgedragen van de klant als verwerkingsverantwoordelijke naar de dienstverlener als verwerker, dienen de partijen te voldoen aan de EU-standaardcontractbepalingen (Module 2, Verwerkingsverantwoordelijke naar Verwerker, Besluit 2021/914 van de Commissie), die door middel van verwijzing in deze DPA zijn opgenomen en automatisch worden geactiveerd bij een dergelijke overdracht. De partijen hebben de volgende keuzemogelijkheden voor de facultatieve bepalingen: Clausule 7 (koppelingsclausule) is van toepassing; Clausule 9(a) Optie 2 (algemene schriftelijke toestemming) is van toepassing met een opzegtermijn van 30 dagen, conform de subverwerkersclausule van deze DPA; Clausule 11(a) facultatief klachtenmechanisme is niet van toepassing.

Overdrachten binnen het VK. In geval van een beperkte overdracht binnen het VK dienen de partijen te voldoen aan de Britse IDTA, inclusief de EU-standaardcontractbepalingen (SCC's) en het Britse addendum (uitgegeven door de ICO op grond van artikel 119A van de Data Protection Act 2018), die door middel van verwijzing in deze DPA zijn opgenomen en automatisch worden geactiveerd bij een dergelijke overdracht. De gegevens van de partijen en de verwerkingsomschrijvingen voor de doeleinden van de Britse IDTA zijn respectievelijk opgenomen in de hoofdovereenkomst en bijlage 1 van deze DPA.

Door de klant gekozen verwerkingslocaties. Alle verwerking vindt standaard plaats binnen het rechtsgebied dat de klant in het bestelformulier heeft geselecteerd. Wanneer de klant een functie activeert of een model selecteert dat verwerking in een ander rechtsgebied vereist, geldt deze selectie als een schriftelijke instructie tot overdracht en een bevestiging van de verwerkingslocatie. De dienstverlener zal het rechtsgebied voor verwerking aan de klant meedelen op het moment dat de klant een functie of model selecteert. De dienstverlener zal ervoor zorgen dat het toepasselijke overdrachtsmechanisme is ingesteld voordat een dergelijke overdracht plaatsvindt.

Overdracht van gegevens tussen subverwerkers. Wanneer de dienstverlener een subverwerker inschakelt die een grensoverschrijdende overdracht vereist, dient de dienstverlener ervoor te zorgen dat het toepasselijke overdrachtsmechanisme tussen de dienstverlener en die subverwerker van kracht is voordat de overdracht plaatsvindt. Voor overdrachten tussen verwerkers binnen de EER zijn de EU-standaardcontractbepalingen (module 3) van toepassing. Voor overdrachten tussen verwerkers binnen het VK is de toepasselijke module van het Britse addendum van toepassing.

Canada. Overdrachten van persoonsgegevens die onder PIPEDA of de wet van Quebec 25 vallen, moeten worden beschermd door contractuele waarborgen die een beschermingsniveau garanderen dat vergelijkbaar is met dat vereist door de Canadese wetgeving, overeenkomstig artikel 10.3 van PIPEDA. Er is geen grensoverschrijdend overdrachtsmechanisme vereist wanneer Canada zowel het land van herkomst als van bestemming is.

Verenigde Staten. Er is geen grensoverschrijdend overdrachtsmechanisme vereist voor verwerking die binnen de Verenigde Staten plaatsvindt en blijft. De CCPA-dienstverleneraanduiding in clausule 2 is van toepassing op alle binnenlandse verwerking in de VS.

Automatische update. Indien een overdrachtsmechanisme door een bevoegde autoriteit wordt bijgewerkt, gewijzigd of vervangen, vervangt het bijgewerkte mechanisme automatisch het voorgaande mechanisme onder deze DPA vanaf de datum waarop de dienstverlener de klant hiervan in kennis stelt, en is het bindend voor de partijen vanaf de in die kennisgeving vermelde datum. De dienstverlener zal een dergelijke kennisgeving zonder onnodige vertraging na publicatie van het bijgewerkte mechanisme versturen.

VerwerkingsdetAIls voor de toepassing van de standaardcontractbepalingen (SCC's). De informatie die vereist is in bijlage I van de EU-SCC's (lijst van partijen en beschrijving van de overdracht) is als volgt: de gegevens van de gegevensexporteur zijn zoals vermeld in de hoofdovereenkomst en het bestelformulier; de gegevens van de gegevensimporteur zijn zoals vermeld in de koptekst van deze gegevensverwerkingsovereenkomst; de beschrijving van de verwerkingsactiviteiten en de categorieën persoonsgegevens zijn zoals opgenomen in bijlage 1 van deze gegevensverwerkingsovereenkomst. De technische en organisatorische maatregelen voor de toepassing van bijlage II van de EU-SCC's zijn opgenomen in bijlage 2 van deze gegevensverwerkingsovereenkomst.

Beveiligingsincidenten en melding van datalekken

De dienstverlener stelt de klant onverwijld, en in elk geval binnen 24 uur, op de hoogte van een bevestigde of redelijkerwijs vermoede inbreuk op persoonsgegevens. De melding dient te geschieden aan de door de klant aangewezen contactpersoon en dient alle op dat moment beschikbare informatie te bevatten die de klant nodig heeft om te voldoen aan zijn eigen meldingsverplichtingen onder de toepasselijke wetgeving inzake gegevensbescherming.

De dienstverlener dient de klant binnen 30 dagen na het inperken van het incident een schriftelijk incidentrapport te verstrekken, met daarin: de hoofdoorzaak; de getroffen datacategorieën en geschatte volumes; de genomen en geplande herstelmaatregelen; en eventuele wijzigingen in de TOM's.

De dienstverlener dient een logboek bij te houden van alle beveiligingsincidenten (inclusief incidenten onder de meldingsdrempel) en dit op verzoek aan de klant ter beschikking te stellen.

De melding van een contractbreuk houdt geen erkenning van schuld of aansprakelijkheid in van beide partijen.

Privacy-impactbeoordelingen

De dienstverlener zal de klant redelijke ondersteuning bieden bij het uitvoeren van een privacy-impactbeoordeling of een gegevensbeschermingsimpactbeoordeling, zoals vereist onder de toepasselijke wetgeving inzake gegevensbescherming, inclusief beschrijvingen van de verwerkingsactiviteiten, TOM's, detAIls van subverwerkers en andere relevante informatie.

Wanneer de Dienstverlener een nieuw systeem, technologie of dienst introduceert waarbij persoonsgegevens worden verwerkt, zal de Dienstverlener een eigen privacy-impactanalyse uitvoeren en de Klant op verzoek een samenvatting daarvan verstrekken.

De dienstverlener zal de klant bijstaan bij eventuele noodzakelijke raadplegingen van een toezichthoudende autoriteit of gegevensbeschermingsautoriteit.

Auditrechten

De dienstverlener stelt alle informatie beschikbaar die redelijkerwijs nodig is om aan te tonen dat aan deze DPA en de toepasselijke wetgeving inzake gegevensbescherming is voldaan.

Niet meer dan eenmaal per kalenderjaar (tenzij er redelijke gronden zijn om een materiële overtreding te vermoeden), en na een schriftelijke kennisgeving van 30 dagen, kan de klant: (a) de dienstverlener verzoeken een schriftelijke nalevingsvragenlijst in te vullen; of (b) op kosten van de klant een onafhankelijke audit van de verwerkingsactiviteiten en TOM's van de dienstverlener uitvoeren of laten uitvoeren.

De dienstverlener kan aan zijn auditverplichting voldoen door actuele auditrapporten van derden te overleggen (SOC 2 Type II, ISO 27001-certificaat of equivalent), indien dergelijke rapporten voldoende zijn om aan te tonen dat aan de betreffende verplichting is voldaan.

Juridisch beroepsgeheim

De dienstverlener erkent dat klantgegevens informatie kunnen bevatten die valt onder het beroepsgeheim van advocaten, het geheimhoudingsplicht tussen advocaat en cliënt of het geheimhoudingsplicht tussen advocaat en cliënt (gezamenlijk "Beveiligd Materiaal").

Met betrekking tot vertrouwelijke informatie zal de dienstverlener: (a) deze niet raadplegen, gebruiken, openbaar maken of verwerken, behalve voor zover strikt noodzakelijk voor het leveren van de diensten; (b) toegangsbeheer en toegangslogboeken bijhouden; (c) deze niet aan derden openbaar maken zonder de voorafgaande schriftelijke toestemming van de klant; en (d) de klant onmiddellijk op de hoogte stellen van elke daadwerkelijke of dreigende gedwongen openbaarmaking.

De dienstverlener zal de klant ondersteunen bij het naleven van de gedragsregels en wettelijke voorschriften die van toepassing zijn op de klant in de rechtsgebieden waarin de klant actief is.

De verplichtingen in dit artikel 12 blijven van kracht na beëindiging van de Hoofdovereenkomst zolang het Vertrouwelijk Materiaal in het bezit of onder de controle van de Dienstverlener blijft, en gedurende minimaal 7 jaar na beëindiging.

AI en geautomatiseerde verwerking

De dienstverlener mag klantgegevens niet gebruiken om AI- of machine learning-modellen te trAInen, te verfijnen of te verbeteren zonder voorafgaande schriftelijke toestemming van de klant. Voor alle duidelijkheid: dit verbod is niet van toepassing op geanonimiseerde gegevens die redelijkerwijs niet gebruikt kunnen worden om een individu te identificeren. Dit verbod geldt eveneens voor feedback (zoals gedefinieerd in de hoofdovereenkomst) en voor gegevens van de dienstverlener die gegenereerd worden door het gebruik van het platform door de klant.

De dienstverlener mag geaggregeerde, volledig geanonimiseerde en niet-omkeerbare gebruiksgegevens (waaronder systeemprestatiegegevens, gebruikspatronen van functies en foutenlogboeken die geen persoonsgegevens bevatten en waaruit geen klant of individu kan worden geïdentificeerd) gebruiken om de prestaties, betrouwbaarheid en functionaliteit van de diensten te verbeteren. Dergelijk gebruik vormt geen verwerking van persoonsgegevens of klantgegevens, vormt geen trAIning van een AI- of machine learning-model op klantgegevens en is niet onderworpen aan de beperkingen in clausule 13.1. De klant kan te allen tijde schriftelijke bevestiging vragen dat zijn klantgegevens en persoonsgegevens niet zijn gebruikt voor modeltrAIning.

De dienstverlener is verplicht om op verzoek en ten minste jaarlijks de identiteit en versie van alle AI-modellen die persoonsgegevens verwerken bekend te maken, te bevestigen of klantgegevens voor trAIning zijn gebruikt en informatie te verstrekken over geautomatiseerde besluitvorming met aanzienlijke gevolgen voor individuen.

De dienstverlener dient een AI-register bij te houden en dit op verzoek aan de klant ter beschikking te stellen.

Teruggeven en verwijderen

Bij beëindiging of afloop van de Hoofdovereenkomst zal de Dienstverlener het volgende doen:

(a) gedurende 30 dagen na beëindiging of afloop de klantgegevens beschikbaar stellen voor export in gangbare formaten (CSV, JSON, Excel) zonder extra kosten, overeenkomstig de exportprocedures zoals uiteengezet in de hoofdovereenkomst;

(b) na het verstrijken van de exportperiode van 30 dagen alle klantgegevens, inclusief alle kopieën die door subverwerkers worden bewaard en alle toepasselijke back-ups, veilig te verwijderen door de gegevens te overschrijven of anderszins permanent ontoegankelijk te maken, tenzij: (i) de klant schriftelijk anders is overeengekomen; (ii) bewaring noodzakelijk is om lopende juridische geschillen of regelgevingsprocedures op te lossen; of (iii) de toepasselijke wetgeving verdere bewaring vereist - in welk geval de dienstverlener: (A) de klant vooraf schriftelijk op de hoogte stelt van zijn voornemen om dergelijke gegevens te bewaren en de wettelijke grondslag daarvoor; (B) alleen de minimaal vereiste gegevens bewaart gedurende de minimaal wettelijk vereiste periode; en (C) dezelfde beschermingsmaatregelen toepast op bewaarde gegevens als tijdens de looptijd van de overeenkomst;

(c) de klant proactief een schriftelijke verklaring van verwijdering verstrekken, inclusief een bevestiging dat kopieën en back-ups van de subverwerker zijn verwijderd, binnen 30 dagen na voltooiing, en bovendien op schriftelijk verzoek van de klant op elk gewenst moment;

d) op schriftelijk verzoek van de klant redelijk bewijs leveren van de toegepaste verwijderingsmethode.

De dienstverlener dient verifieerbare individuele verwijderingsverzoeken te verwerken binnen de termijn die is vastgesteld in de toepasselijke wetgeving inzake gegevensbescherming, waarbij de strengste toepasselijke norm wordt toegepast en in geen geval langer dan 45 dagen.

De verplichtingen in dit artikel 14 blijven van kracht na beëindiging van de Hoofdovereenkomst totdat de verwijdering is voltooid en gecertificeerd.

Duur en beëindiging

Deze DPA treedt in werking op de datum waarop de Hoofdovereenkomst in werking treedt en loopt gelijktijdig met de Hoofdovereenkomst.

De volgende verplichtingen blijven van kracht na beëindiging: Clausule 4 (Vertrouwelijkheid) — 5 jaar; Clausule 9 (Melding van inbreuk) — 7 jaar; Clausule 12 (Bevoorrechting) — zolang het Bevoorrechte Materiaal in het bezit of onder de controle van de Dienstverlener blijft, en gedurende minimaal 7 jaar na beëindiging; Clausule 14 (Verwijdering) — tot voltooiing en certificering.

Elk van beide partijen kan deze DPA beëindigen wegens een wezenlijke schending door de andere partij, met een schriftelijke kennisgeving van 30 dagen en indien de andere partij de schending niet binnen die termijn herstelt, mits de schending herstelbaar is.

Algemeen

Beperking van aansprakelijkheid. (a) De totale aansprakelijkheid van de Dienstverlener onder of in verband met deze DPA (inclusief voor een inbreuk op persoonsgegevens) zal de in de Hoofdovereenkomst vastgestelde aansprakelijkheidslimiet niet overschrijden. (b) Deze limiet is van toepassing ongeacht of de vordering is gebaseerd op contract, onrechtmatige daad (inclusief nalatigheid), wettelijke bepalingen of anderszins, en omvat (en is niet aanvullend op) elke aansprakelijkheid die voortvloeit uit de Hoofdovereenkomst. (c) Indien een toezichthoudende autoriteit, een individu of een andere derde partij een vordering instelt tegen een van beide partijen in verband met de verwerking van persoonsgegevens onder deze DPA, zullen de partijen te goeder trouw samenwerken en is elke partij aansprakelijk voor de schade die voortvloeit uit haar eigen handelingen of nalatigheden. Niets in dit artikel 16.1 sluit aansprakelijkheid uit of beperkt deze, voor zover deze niet kan worden uitgesloten of beperkt onder de toepasselijke wetgeving inzake gegevensbescherming.

De dienstverlener dient gedurende de gehele looptijd van de hoofdovereenkomst een cyberaansprakelijkheidsverzekering en een gegevensbeschermingsverzekering af te sluiten met een commercieel redelijke dekking en dient op schriftelijk verzoek van de klant een bewijs van deze dekking te overleggen.

Toepasselijk recht en bevoegdheid van de rechtbank. Deze DPA wordt beheerst door hetzelfde recht als de Hoofdovereenkomst. Indien de Hoofdovereenkomst geen toepasselijk recht specificeert, wordt deze DPA beheerst door de wetten van de staat New York, zonder rekening te houden met de bepalingen inzake conflicten van wetten. De partijen onderwerpen zich aan de niet-exclusieve bevoegdheid van de rechtbanken van de staat New York. Niets in deze clausule doet afbreuk aan de rechten of verplichtingen van een van de partijen onder de toepasselijke wetgeving inzake gegevensbescherming in een andere jurisdictie.

Deze gegevensverwerkingsovereenkomst, inclusief de bijlagen, vormt de volledige overeenkomst tussen de partijen met betrekking tot de verwerking van persoonsgegevens in het kader van de hoofdovereenkomst en vervangt alle voorgaande overeenkomsten over hetzelfde onderwerp.

Alle kennisgevingen in het kader van deze DPA dienen schriftelijk te geschieden en te worden bezorgd aan de contactgegevens die zijn vermeld in de Hoofdovereenkomst of, voor gegevensbeschermingskwesties, aan support@Perspectis.AI.

Standaardvoorwaarden en wijzigingen. (a) Deze DPA is de standaardvoorwaarden voor gegevensverwerking van de Dienstverlener, gepubliceerd op zijn website en door middel van verwijzing opgenomen in de Hoofdovereenkomst. (b) De Dienstverlener kan deze DPA van tijd tot tijd bijwerken door een herziene versie op zijn website te plaatsen, met een voorafgaande kennisgeving aan de Klant via e-mAIl of een melding in het product. (c) De herziene versie treedt in werking na afloop van de kennisgevingsperiode, tenzij de Klant de Dienstverlener binnen die periode schriftelijk op de hoogte stelt van een wezenlijk bezwaar. (d) Indien de Klant bezwaar maakt en de partijen het bezwaar niet binnen nog eens 14 dagen kunnen oplossen, kan elk van beide partijen de betreffende Diensten met een redelijke opzegtermijn en zonder boete beëindigen. (e) De Dienstverlener kan wijzigingen aanbrengen zonder voorafgaande kennisgeving indien dit vereist is door wijzigingen in de toepasselijke wetgeving inzake gegevensbescherming, richtlijnen van toezichthoudende autoriteiten of een rechterlijke uitspraak, mits dergelijke wijzigingen de bescherming van de Klant onder deze DPA niet wezenlijk verminderen. (f) Klantspecifieke wijzigingen in deze DPA zijn alleen bindend indien deze schriftelijk zijn ondertekend door een directeur of bevoegd vertegenwoordiger van de Dienstverlener en uitdrukkelijk zijn vermeld als vervanging van de relevante bepaling van deze DPA.

Standaard verwerkingsbeschrijving. (a) De standaard verwerkingsbeschrijving in Bijlage 1 weerspiegelt de standaard platformverwerkingsactiviteiten van de Dienstverlener die worden uitgevoerd bij het leveren van de Diensten. (b) Indien de specifieke verwerkingsactiviteiten van de Klant wezenlijk afwijken van die beschrijving, dienen de partijen de verschillen vast te leggen in het Bestelformulier of een schriftelijke aanvulling op deze DPA. (c) De Klant is verantwoordelijk voor het bijhouden van zijn eigen gegevens over verwerkingsactiviteiten (inclusief gegevens die vereist zijn op grond van artikel 30 van de Britse/EU AVG en gelijkwaardige vereisten op grond van andere toepasselijke wetgeving inzake gegevensbescherming) in zijn hoedanigheid als Verantwoordelijke.

BIJLAGE 1

Beschrijving van de verwerkingsactiviteiten

Deze standaardverwerkingsbeschrijving geeft een overzicht van de verwerkingsactiviteiten die de dienstverlener uitvoert bij het leveren van de diensten. Klantspecifieke afwijkingen, indien van toepassing, worden vastgelegd in het betreffende bestelformulier.

A. Onderwerp

Het leveren van SaaS-gebaseerde juridische technologiediensten, waaronder autonome tijdregistratie, zaakbeheer, AI-ondersteunde documentbeoordeling, LEDES-conforme facturering en aanverwante diensten, zoals beschreven in de hoofdovereenkomst en de toepasselijke bestelformulieren.

B. Duur

Gedurende de looptijd van de hoofdovereenkomst en eventuele toepasselijke orderformulieren of werkomschrijvingen, plus eventuele wettelijk verplichte bewaartermijnen.

C. Aard en doel

Het hosten, opslaan en verwerken van klantgegevens voor het leveren van de diensten; toegangscontrole en identiteitsbeheer; analyses en rapportages voor intern gebruik door de klant; technische ondersteuning (alleen op verzoek van de klant); optionele AI/LLM-verwerking indien ingeschakeld door de klant; en beveiligingsmonitoring en incidentafhandeling.

D. Categorieën van individuen

Personeel van de klant (advocaten, juridisch medewerkers, administratief personeel); cliënten en wederpartijen van de klant (voor zover opgenomen in de klantgegevens); eindgebruikers van de diensten; en andere personen van wie de persoonsgegevens aan het platform worden verstrekt.

E. Categorieën persoonsgegevens

Contact- en identificatiegegevens (namen, e-mAIladressen, telefoonnummers, functietitels); gebruiks- en toegangsgegevens (inlogtijden, gebruik van functies, sessielogboeken); urenregistratie- en zaakgegevens (inclusief beschrijvingen van juridisch werk); documentmetadata (en, indien AI-functies zijn ingeschakeld, documentinhoud); facturerings- en factuurgegevens; en andere persoonsgegevens die de klant van tijd tot tijd aan het platform verstrekt.

F. Gevoelige / speciale categorieën

De dienstverlener verwerkt niet opzettelijk gevoelige persoonsgegevens. Voor zover klantgegevens incidenteel dergelijke gegevens bevatten, zijn de bepalingen van clausule 3.3 van toepassing.

BIJLAGE 2

Technische en organisatorische maatregelen

Deze maatregelen zijn ontworpen om te voldoen aan de beveiligingsvereisten van de toepasselijke wetgeving inzake gegevensbescherming, waaronder de redelijke beveiligingsnorm (CCPA/CPRA), artikel 32 (VK/EU AVG) en het waarborgbeginsel (PIPEDA). Ze zijn afgestemd op de CIS-controles en NIST SP 800-53.

Controledomein

Geïmplementeerde maatregelen

Toegangscontrole

Op rollen gebaseerd toegangsbeheer (RBAC); principe van minimale bevoegdheden; MFA afgedwongen voor alle accounts met bevoegdheden; regelmatige toegangscontroles; unieke gebruikers-ID's; geen gedeelde inloggegevens; PAM-tools.

Versleuteling — In rust

AES-256 voor alle opgeslagen klantgegevens; versleutelde back-ups; AWS S3 SSE; encryptiesleutels via AWS KMS met jaarlijkse rotatie.

Versleuteling — Onderweg

Minimaal TLS 1.2 (TLS 1.3 heeft de voorkeur); HTTPS verplicht; AWS Certificate Manager; HSTS ingeschakeld.

Netwerkbeveiliging

Firewall en WAF; netwerksegmentatie; VPC-isolatie; IDS/IPS; DDoS-mitigatie; regelmatige poortscans en kwetsbaarheidsanalyses.

Kwetsbaarheids- en patchbeheer

Geautomatiseerde kwetsbaarheidsscans; kritieke/ernstige patches binnen 30 dagen; jaarlijkse penetratietests door derden; bevindingen worden gevolgd tot de oplossing ervan.

Incidentdetectie en -respons

24/7 SIEM-monitoring en -waarschuwingen; gedocumenteerd incidentresponsplan; aangewezen responsteam; simulatieoefeningen; klantmelding binnen 72 uur na bevestigde inbreuk.

Bedrijfscontinuïteit en back-up

Dagelijkse geautomatiseerde back-ups; 30 dagen bewaartermijn; geografisch redundante opslag; RTO < 4 uur, RPO < 24 uur voor Tier 1-services; jaarlijkse continuïteitstests.

Fysieke beveiliging

Productie-infrastructuur in AWS-datacenters met ISO 27001- en SOC 2 Type II-gecertificeerde fysieke beveiligingsmaatregelen (24/7 bewaking, CCTV, biometrische toegangscontrole, omgevingscontrole).

Personeelsbeveiliging

Achtergrondcontroles voorafgaand aan de indiensttreding; geheimhoudingsovereenkomsten; verplichte jaarlijkse trAIning over gegevensbescherming; toegang wordt binnen 24 uur na vertrek ingetrokken.

Leveranciersmanagement

Voorafgaand aan de opdrachtverlening werd zorgvuldig onderzoek verricht; contractuele verplichtingen inzake gegevensbescherming werden doorgegeven aan alle subverwerkers; jaarlijkse beoordeling van de beveiligingsstatus.

Privacyprogramma

Aangewezen privacyfunctionaris; privacybeheerprogramma; privacy als standaardinstelling geïmplementeerd in het platform.

Certificeringen

De dienstverlener implementeert momenteel een informatiebeveiligingsbeheerprogramma dat is afgestemd op de ISO/IEC 27001-principes. De dienstverlener streeft naar een SOC 2 Type II-certificering en zal de klant hiervan op de hoogte stellen zodra deze certificering is behaald. Actuele beveiligingsrapporten van derden zijn op schriftelijk verzoek beschikbaar, onder voorbehoud van een geheimhoudingsverplichting.

Gegevensminimalisatie en -bewaring

De verzameling wordt beperkt tot wat noodzakelijk is; automatische verwijdering binnen 30 dagen na de exportperiode; configureerbare bewaartermijnen in het platform.

BIJLAGE 3

Erkende subverwerkers

De volgende subverwerkers zijn goedgekeurd op de datum waarop de hoofdovereenkomst van kracht wordt en staan vermeld op de lijst met subverwerkers op de website van de dienstverlener. De dienstverlener zorgt ervoor dat elk van hen gebonden is aan gegevensbeschermingsverplichtingen die gelijkwaardig zijn aan deze DPA. Klanten kunnen zich abonneren op meldingen over updates van subverwerkers door een e-mAIl te sturen naar dataprivacy@Perspectis.AI.

Subprocessor

Dienst / Doel

Verwerkingslocatie(s)

Beschermen

Amazon Web Services (AWS)

PrimAIre cloudhosting, opslag, rekenkracht en database.

Canada (ca-central-1) — standaard; VK (eu-west-2); VS (us-east-1) indien ingeschakeld

AWS DPA; ISO 27001, SOC 2 Type II; SCC's / UK IDTA / PIPEDA-overdrachtsovereenkomst indien van toepassing

OpenAI, L.L.C.

AI-/LLM-verwerking (optioneel - standaard uitgeschakeld)

Verenigde Staten

Geen modeltrAIning op klantgegevens; SCC's / UK IDTA / PIPEDA-overeenkomst indien van toepassing

Microsoft Azure (Azure OpenAI)

Enterprise AI / LLM — residentieoptie

Canada, VK of EU (configureerbaar)

Microsoft DPA; ISO 27001 / SOC 2; vestigingsplaats selecteerbaar in het bestelformulier

Microsoft Azure (Spraakservices)

Spraak-/spraaktranscriptie (optioneel)

Configureerbaar (voorkeur voor Canada / VK / VS)

Microsoft DPA; alleen ingeschakeld als de klant de functie activeert.

Confido Legal (indien ingeschakeld)

Betalingsverwerking voor factureringsintegraties

Canada / Verenigde Staten

PCI-DSS-conform; alleen te gebruiken indien betalingsintegratie is ingeschakeld.