Overeenkomst gegevensverwerking

Botpress Overeenkomst gegevensverwerking (DPA)

Deze DPA is een aanvulling op en maakt integraal deel uit van de overeenkomst tussen de entiteit van de Botpress groep die in de Servicevoorwaarden wordt genoemd en de Klant. Deze DPA is van kracht vanaf het moment dat deze door middel van verwijzing in een dergelijke overeenkomst is opgenomen.

1.Definities

1.a Termen met een hoofdletter die hierin niet zijn gedefinieerd, hebben de betekenis die daaraan is toegekend in de Overeenkomst.

1.b In deze DPA :

(a) "Overeenkomst" heeft de betekenis die aan deze term wordt toegekend in de Servicevoorwaarden.

(b)"Botpress Groep" betekent Botpress en alle gelieerde ondernemingen daarvan.

(c) "Persoonsgegevens uit Californië" betekent Persoonsgegevens die onder de bescherming van de CCPA vallen.

(d) "Canadese wetten inzake gegevensbescherming": de Personal Information Protection and Electronic Documents Act, SC 2000, c 5 en de wet met betrekking tot de bescherming van persoonsgegevens in de privésector, CQLR c P-39.1, zoals eventueel gewijzigd, vervangen of vervangen.

(e) "CCPA" betekent California Civil Code Sec. 1798.100 et seq. (ook bekend als de California Consumer Privacy Act van 2018).

(f) "Consument", "Bedrijf", "Verkopen" en "Dienstverlener" hebben de betekenis die daaraan wordt gegeven in de CCPA.

(g) "Verwerkingsverantwoordelijke": een Persoon die, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens bepaalt.

(h) "Gegevensbeschermingswetten" betekent alle toepasselijke wereldwijde wetgeving met betrekking tot gegevensbescherming en privacy die van toepassing is op een partij bij deze DPA, met inbegrip van maar niet beperkt tot Europese gegevensbeschermingswetten, Canadese gegevensbeschermingswetten en de CCPA in elk geval zoals van tijd tot tijd gewijzigd, ingetrokken, geconsolideerd of vervangen.

(i) "Betrokkene" betekent de persoon op wie Persoonsgegevens betrekking hebben.

(j) "Europa" betekent de Europese Unie, de Europese Economische Ruimte en/of hun lidstaten, Zwitserland en het Verenigd Koninkrijk.

(k) "Europese wetgeving inzake gegevensbescherming": wetgeving inzake gegevensbescherming die van toepassing is in Europa, zoals gewijzigd, vervangen of vervangen kan worden.

(l) "Europese Gegevens" betekent Persoonsgegevens die onderworpen zijn aan de bescherming van de Europese wetgeving inzake gegevensbescherming.

(m) "Toegestane Gelieerde Partijen" betekent alle Gelieerde Partijen van de Klant die (i) toestemming hebben om de Softwarediensten te gebruiken op grond van de Overeenkomst, (ii) in aanmerking komen als Beheerder van Persoonsgegevens die worden verwerkt door Botpress, en (iii) onderworpen zijn aan de Europese wetgeving inzake gegevensbescherming.

(n) "Persoon" moet ruim worden geïnterpreteerd en omvat elke natuurlijke persoon, vennootschap, vennootschap met beperkte aansprakelijkheid, commanditaire vennootschap, vennootschap, vereniging, partnerschap, trust of nalatenschap, joint venture, overheidsinstantie of politieke onderverdeling daarvan, of elke andere entiteit.

(o) "Persoonsgegevens": alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon.

(p) "Verwerking" of "Verwerking": elke bewerking of elk geheel van bewerkingen die door een Verwerker met betrekking tot Persoonsgegevens wordt uitgevoerd, al dan niet op geautomatiseerde wijze;

(q) "Verwerker": een Persoon die Persoonsgegevens verwerkt namens een Verwerkingsverantwoordelijke.

(r) "Toezichthouder" betekent, voor zover van toepassing, een Persoon of wetshandhavings- of andere instantie met regelgevende, toezichthoudende of overheidsbevoegdheid (hetzij krachtens een wettelijke regeling of anderszins) over alle of een deel van de Verwerking van Persoonsgegevens in verband met de levering of ontvangst van de Diensten, met inbegrip van, maar niet beperkt tot, de Europese toezichthoudende autoriteiten voor gegevensbescherming;

(s) "Inbreuk op de beveiliging" betekent een inbreuk op de beveiliging die leidt tot de toevallige of onwettige vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of toegang tot Persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt door Botpress en/of Subverwerkers in verband met de levering van de Diensten, met uitzondering van gebeurtenissen die de beveiliging van Persoonsgegevens niet in gevaar brengen, waaronder mislukte inlogpogingen, pings, poortscans, denial-of-service-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.

(t) "Diensten": de Softwarediensten of Professionele Diensten die door een entiteit van de Botpress Groep aan de Klant of aan zijn Filialen worden geleverd.

(u) "modelcontractbepalingen": de modelcontractbepalingen die zijn opgenomen in de bijlage bij Besluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021; zoals gewijzigd, vervangen of aangepast.

(v) "Sub-Verwerker" betekent elke Verwerker die door Botpress of Botpress Gelieerde Ondernemingen wordt ingeschakeld om te helpen bij het nakomen van Botpress verplichtingen met betrekking tot het verlenen van de Diensten op grond van de Overeenkomst. Subverwerkers kunnen derden of Botpress Gelieerde Ondernemingen zijn, maar omvatten geen personen die in dienst zijn van of werken voor Botpress.

(w) "Derde land": een rechtsgebied of ontvanger: (i) die niet door de Europese Commissie is erkend als een land dat een passend beschermingsniveau biedt voor persoonsgegevens; en (ii) waarvoor geen passend kader bestaat dat door de betrokken autoriteiten of rechtbanken is erkend als een land dat een passend beschermingsniveau biedt voor persoonsgegevens;

(x) "Gebruiksgegevens": gegevens met betrekking tot het gebruik van de Software door Geautoriseerde Gebruikers, die Persoonsgegevens kunnen bevatten wanneer het identificeren van individuele gebruikers noodzakelijk is, maar exclusief Gespreksgegevens. Gebruiksgegevens kunnen Persoonsgegevens bevatten over werknemers en contractanten van de Klant, maar niet over eindgebruikers die interacteren met Bots van de Klant.

2. Rol van de partijen

2.a Bij de Verwerking van Gespreksgegevens via de Diensten, erkennen de partijen en komen zij overeen dat de Klant optreedt als Verwerkingsverantwoordelijke en dat Botpress optreedt als Verwerker.

2.b Indien Klant optreedt als Verwerker namens een Verwerkingsverantwoordelijke, wordt Botpress beschouwd als subverwerker van Klant.

2.c Botpress is een Controller met betrekking tot Gebruiksgegevens.

3. Naleving van de wetgeving inzake gegevensbescherming

3.a Elke partij zal elke verwerking van Persoonsgegevens uitvoeren in overeenstemming met alle toepasselijke wetten inzake gegevensbescherming.

3.b Botpress is niet verantwoordelijk voor de naleving van wetten inzake gegevensbescherming die van toepassing zijn op de Klant of op de bedrijfstak van de Klant en die niet algemeen van toepassing zijn op Botpress.

3.c Indien Botpress zich ervan bewust wordt dat zij geen Persoonsgegevens kan Verwerken in overeenstemming met de instructies van de Klant als gevolg van een wettelijke vereiste onder enig toepasselijk recht, zal Botpress (i) de Klant onmiddellijk op de hoogte stellen van die wettelijke vereiste voor zover dit is toegestaan onder het toepasselijk recht; en (ii) waar nodig, alle Verwerkingen stopzetten (anders dan alleen het opslaan en beveiligen van de betreffende Persoonsgegevens) totdat de Klant nieuwe instructies geeft in overeenstemming met het toepasselijk recht. Als een beroep wordt gedaan op deze bepaling, is Botpress niet aansprakelijk jegens de Klant onder de Overeenkomst voor het niet uitvoeren van de toepasselijke Software Diensten of Professionele Diensten tot het moment dat Botpress redelijkerwijs vaststelt dat de instructies van de Klant rechtmatig zijn.

4.Botpress Verplichtingen

4.a Botpress zal Persoonsgegevens alleen verwerken voor de in deze DPA beschreven doeleinden of zoals anderszins overeengekomen in het kader van rechtmatige instructies die van de Klant zijn ontvangen, behalve waar en voor zover anderszins vereist door de toepasselijke wetgeving.

4.b Botpress zal passende technische en organisatorische maatregelen implementeren en onderhouden om Persoonsgegevens te beschermen tegen Beveiligingsincidenten, inclusief zoals beschreven in Bijlage 2 bij deze DPA ("Beveiligingsmaatregelen"). Botpress kan de Beveiligingsmaatregelen naar eigen goeddunken wijzigen of bijwerken, op voorwaarde dat een dergelijke wijziging of bijwerking niet resulteert in een wezenlijke verslechtering van de bescherming die de Beveiligingsmaatregelen bieden.

4.c Botpress zal Persoonsgegevens behandelen als vertrouwelijke informatie van de Klant en zal ervoor zorgen dat elk van zijn werknemers of contactpersonen die bevoegd is om Persoonsgegevens in te zien of te verwerken, onderworpen is aan passende geheimhoudingsverplichtingen (contractueel of wettelijk) met betrekking tot die Persoonsgegevens.

4.d Botpress zal bij beëindiging of afloop van de Overeenkomst alle Persoonsgegevens die zijn Verwerkt op grond van deze DPA verwijderen of retourneren. Botpress kan kopieën van Persoonsgegevens bewaren wanneer dit wordt vereist door toepasselijke wetgeving, of wanneer Persoonsgegevens zijn gearchiveerd op back-upsystemen, welke gegevens veilig worden geïsoleerd en beschermd tegen verdere Verwerking en worden verwijderd in overeenstemming met toepasselijke verwijderingspraktijken.

5. Verplichtingen van de klant

5.a De Klant is verantwoordelijk om ervoor te zorgen dat zijn gebruik van de Softwareservices of de Software in overeenstemming is met alle toepasselijke Wetgeving inzake Gegevensbescherming, inclusief door ervoor te zorgen dat (i) hij gemachtigd is om Botpress aan te wijzen om namens hem Persoonsgegevens te verwerken in overeenstemming met deze DPA, (ii) hij het recht heeft om Persoonsgegevens over te dragen aan, of toegang te verlenen tot, Botpress voor Verwerking in overeenstemming met de voorwaarden van de Overeenkomst (inclusief deze DPA), (iii) hij ervoor zorgt dat de instructies van de Klant met betrekking tot de Verwerking van Persoonsgegevens in overeenstemming zijn met de toepasselijke wetgeving, inclusief Wetgeving inzake Gegevensbescherming;

5.b De Klant zal Botpress onverwijld schriftelijk op de hoogte stellen als hij reden heeft om aan te nemen of als hij op de hoogte is gesteld dat de Verwerking van Persoonsgegevens door de Klant via de Diensten in strijd is of kan zijn met toepasselijke wetgeving, met inbegrip van wetgeving inzake gegevensbescherming.

5.c De Klant is verantwoordelijk om te bepalen of de door Botpress geïmplementeerde beveiligingsmaatregelen adequaat voldoen aan de verplichtingen van de Klant onder de toepasselijke wetgeving inzake gegevensbescherming. De Klant is er ook verantwoordelijk voor dat zijn toegang tot de Software Services beveiligd is en voorbehouden is aan bevoegd personeel.

6. Inbreuk op de beveiliging

6.a Botpress zal de Klant onmiddellijk op de hoogte stellen als het zich bewust wordt van een inbreuk op de beveiliging en zal tijdig informatie verstrekken met betrekking tot een dergelijke inbreuk op de beveiliging zodra deze bekend wordt of redelijkerwijs door de Klant wordt gevraagd.

6.b Op verzoek zal Botpress onverwijld redelijke assistentie verlenen aan de Klant voor zover dit nodig is om de Klant in staat te stellen een inbreuk op de beveiliging te melden aan regelgevende instanties en/of getroffen Betrokkenen, indien een dergelijke melding vereist is onder de Wet Bescherming Persoonsgegevens.

7. Subverwerkers

7.a Botpress kan Sub-Verwerkers inschakelen om Persoonsgegevens te Verwerken. De huidige Sub-Verwerkers staan vermeld in Bijlage 3. Elke wijziging van Sub-Verwerkers zal aan de Klant worden medegedeeld.

7.b Botpress selecteert Sub-Verwerkers die gegevensbeschermingsverbintenissen aanbieden die ten minste hetzelfde beschermingsniveau voor Persoonsgegevens bieden als die in deze DPA (inclusief, waar van toepassing, de Standaard Contractuele Clausules), voor zover van toepassing op de aard van de diensten die door dergelijke Sub-Verwerkers worden geleverd. Botpress blijft verantwoordelijk voor de naleving van de verplichtingen van deze DPA door elke Sub-Verwerker en voor elk handelen of nalaten van een dergelijke Sub-Verwerker dat een schending veroorzaakt van een van de verplichtingen van Botpressonder deze DPA.

7.c Indien Botpress Europese Gegevens verwerkt namens de Klant, kan de Klant bezwaar maken tegen een nieuwe Subverwerker, om redelijke redenen op basis van gegevensbescherming. Bij kennisgeving van een dergelijk bezwaar stemt Botpress ermee in de zaak te goeder trouw te bespreken om tot een commercieel redelijke oplossing te komen. Als een dergelijke oplossing niet kan worden bereikt, kan Botpress ervoor kiezen om af te zien van de benoeming van de nieuwe Subverwerker, of de Klant toestaan om zijn abonnement op het deel van de Softwarediensten dat afhankelijk is van deze nieuwe Subverwerker te beëindigen zonder aansprakelijkheid jegens een van beide partijen (maar zonder afbreuk te doen aan eventuele vergoedingen die voorafgaand aan de beëindiging zijn betaald).

7.d Indien vereist door de wet of onder de Standaard Contractuele Clausules, zal Botpress redelijke inspanningen leveren om aan de Klant de vereiste informatie over Botpress' overeenkomsten met Sub-Verwerkers beschikbaar te stellen. De Klant gaat ermee akkoord dat bepaalde informatie uit dergelijke overeenkomsten kan worden verwijderd of op vertrouwelijke basis kan worden verstrekt.

8. Overdracht van persoonlijke gegevens

8.a De verwerking van Persoonsgegevens anders dan Europese Gegevens door entiteiten van Botpress Group vindt plaats in elk rechtsgebied waar een dergelijke verwerking is toegestaan door de toepasselijke wetgeving van het Privacyrechtsgebied.

8.b De verwerking van Europese gegevens vindt uitsluitend plaats :

a) Binnen Europa;

b) in een rechtsgebied dat een passend beschermingsniveau biedt volgens een besluit van de Europese Commissie op basis van de toepasselijke wetgeving inzake gegevensbescherming;

c) in elk rechtsgebied, door een organisatie of entiteit die passende waarborgen biedt, onder meer door middel van de modelcontractbepalingen;

d) in elk rechtsgebied, met schriftelijke toestemming van de Klant of de Betrokkene.

8.c Wanneer de Verwerking van Europese Gegevens plaatsvindt in een Derde Land, worden de partijen geacht de modelcontractbepalingen alleen te hebben aangegaan met betrekking tot de relevante Persoonsgegevens en de relevante Verwerking. De partijen komen overeen dat voor de toepassing van de modelcontractbepalingen :

a) Indien de Klant een Verwerkingsverantwoordelijke is en Botpress een Verwerker, dan is Module 2 (Controller to Processor) van toepassing.

b) Indien de Klant een Verwerker is en Botpress een sub-verwerker, dan is Module 3 (Verwerker tot Verwerker) van toepassing.

c) Met betrekking tot Gebruiksgegevens is Module 1 (Controller to Controller) van toepassing.

d) in clausule 7 van de modelcontractbepalingen is de optionele dokclausule niet van toepassing;

e) in Clausule 9 van de Standaardcontractbepalingen is optie 2 van toepassing en bedraagt de termijn voor voorafgaande schriftelijke kennisgeving van wijzigingen van subverwerkers 10 dagen;

f) in Clausule 11 van de modelcontractbepalingen is de optionele taal niet van toepassing;

g) in Clausule 17 (Optie 1) is het Ierse recht van toepassing op de modelcontractbepalingen;

h) in Clausule 18(b) van de Standaard Contractuele Clausules worden geschillen beslecht voor de rechtbanken van Ierland;

i)Botpress is de "gegevensimporteur" en de Klant is de "gegevensexporteur" (namens zichzelf en Toegestane Affiliates);

j) de relevante informatie in Bijlage 1 en Bijlage 2 van deze DPA wordt geacht te zijn opgenomen in de Bijlagen van de Standaard Contractuele Clausules;

k) indien en voor zover de Algemene Contractuele Bepalingen in strijd zijn met enige bepaling van deze DPA, prevaleren de Algemene Contractuele Bepalingen voor zover van toepassing.

8.d Doorgifte Zwitserland en Verenigd Koninkrijk. Voor zover een doorgifte van Persoonsgegevens tussen de Klant en Botpress en/of een Sub-Verwerker onderworpen is aan de Gegevensbeschermingswetten van Zwitserland of het Verenigd Koninkrijk, worden de Standaard Contractuele Clausules geacht te zijn aangepast aan de vereisten van de toepasselijke Zwitserse en Britse Gegevensbeschermingswetten, inclusief verwijzingen naar wetgeving, toepasselijk recht en bevoegde autoriteiten en rechtbanken.

9. Verwerking CCPA

9.a Bij het verwerken van Persoonsgegevens uit Californië in overeenstemming met de instructies van de Klant, erkennen en komen de partijen overeen dat de Klant een Bedrijf is en Botpress een Dienstverlener voor de doeleinden van de CCPA. De partijen komen overeen dat Botpress als Dienstverlener Persoonsgegevens uit Californië uitsluitend zal verwerken voor het doel van het uitvoeren van de Softwarediensten en Professionele Diensten onder de Overeenkomst (het "Zakelijke Doel") of zoals anderszins toegestaan door de CCPA.

10. Verzoeken van derden

10.a De Klant is verantwoordelijk voor het beantwoorden van elk verzoek van een Betrokkene of Toezichthouder met betrekking tot zijn Persoonsgegevens en de Klant zal de beschikbare functies van de Softwarediensten gebruiken om relevante informatie over de verwerking van Persoonsgegevens op te vragen.

10.b Als de Klant niet in staat is om zelfstandig in te gaan op een verzoek van een Betrokkene of Toezichthouder ("Verzoek"), zal Botpress redelijke assistentie verlenen aan de Klant om te reageren op dergelijke verzoeken met betrekking tot de Verwerking van Persoonsgegevens onder de Overeenkomst. Behalve wanneer en voor zover een verzoek is gebaseerd op het niet nakomen van de verplichtingen van Botpress onder deze DPA, zal de Klant Botpress vergoeden voor zijn redelijke kosten voor het verlenen van assistentie aan de Klant.

10.c Als een Verzoek of andere communicatie met betrekking tot de Verwerking van Persoonsgegevens onder de Overeenkomst rechtstreeks aan Botpress wordt gedaan, zal Botpress de Klant onmiddellijk informeren en de Betrokkene of Toezichthouder adviseren om hun Verzoek rechtstreeks bij de Klant in te dienen. De Klant is als enige verantwoordelijk voor het inhoudelijk reageren op dergelijke Verzoeken of communicatie waarbij Persoonsgegevens betrokken zijn.

11. Controle van persoonsgegevens

11.a Op verzoek en na redelijke kennisgeving aan Botpress is de Klant gerechtigd om op eigen kosten de noodzakelijke verificaties uit te voeren om te verzekeren dat de Persoonsgegevens die door Botpress namens de Klant worden verwerkt, worden verwerkt in overeenstemming met de instructies van de Klant. Op verzoek van de Klant staat Botpress een audit en inspectie van de door Botpress uitgevoerde verwerking toe. Een dergelijke audit kan worden uitgevoerd door de Klant en/of een derde partij (geselecteerd door de Klant en redelijkerwijs aanvaard door Botpress) die namens de Klant optreedt. De Klant neemt alle nodige maatregelen om schade aan of onderbreking van de gebouwen, apparatuur, het personeel en de activiteiten van de entiteiten van Botpress Group te voorkomen.

11.b De Klant en Botpress zullen vooraf overeenstemming bereiken over de aard, omvang en duur van een audit door de Klant, en de Klant zal Botpress vergoeden voor alle redelijke kosten in verband met een dergelijke audit, die op verzoek van de Klant voorafgaand aan het begin van de audit kunnen worden geschat. Voor zover mogelijk wordt aan alle auditvereisten van de Klant voldaan door middel van auditrapporten van derden die door Botpress worden verstrekt, indien deze beschikbaar zijn.

11.c Indien Botpress Europese Gegevens verwerkt namens de Klant, zal Botpress de Klant op redelijk verzoek (op vertrouwelijke basis) (i) een beknopte kopie van zijn verslag(en) van beveiligingstests en (ii) schriftelijke antwoorden geven op alle redelijke verzoeken om informatie van de Klant die nodig zijn om de naleving van deze DPA door Botpress te bevestigen, op voorwaarde dat de Klant dit recht niet meer dan eenmaal per kalenderjaar zal uitoefenen, tenzij de Klant redelijke gronden kan aantonen om te vermoeden dat Botpressde DPA niet naleeft.

12. Beperking van aansprakelijkheid

12.a De totale aansprakelijkheid van Botpressen haar Filialen die voortvloeit uit of verband houdt met deze DPA (en eventuele andere DPA's tussen de partijen) en de Standaard Contractuele Clausules (indien van toepassing), hetzij contractueel, op grond van onrechtmatige daad of op grond van een andere aansprakelijkheidsleer, is beperkt tot het totale bedrag van de Vergoedingen die door de Klant zijn betaald aan Botpress als vergoeding voor de Diensten gedurende de periode van 12 maanden voorafgaand aan het voorval dat aanleiding geeft tot de aansprakelijkheid.

13. Bevoegdheid

Tenzij anders vereist door de toepasselijke wetgeving inzake gegevensbescherming, wordt deze DPA beheerst en geïnterpreteerd in overeenstemming met de wetten die van toepassing zijn op de Overeenkomst en worden geschillen met betrekking tot deze Overeenkomst beslecht door de bevoegde rechtbanken van het rechtsgebied dat in het Voorstel is aangegeven.

Voor zover de wetgeving inzake gegevensbescherming vereist dat op deze DPA de wetten van een lidstaat van de Europese Unie van toepassing zijn, is deze DPA onderworpen aan de wetten van Ierland en worden geschillen met betrekking tot deze overeenkomst beslecht door de Ierse rechtbanken.

14. Algemeen

14.a Voorrang. In het geval van enige tegenstrijdigheid tussen de bepalingen van deze DPA en enige andere bepaling van de Overeenkomst, hebben de bepalingen van de DPA altijd voorrang, tenzij en voor zover uitdrukkelijk is bepaald dat een andere bepaling van de Overeenkomst voorrang heeft of dat een bepaling van deze DPA opzij wordt gezet of gewijzigd.

14.b Wijzigingen. Botpress kan deze DPA wijzigen om veranderingen in de gegevensverwerkingspraktijken weer te geven. Alle wijzigingen anders dan wijzigingen ter verduidelijking van de taal (die routinematig aan de Klant zullen worden gecommuniceerd) zullen aan de Klant worden voorgelegd en zullen niet van toepassing zijn tenzij de Klant deze aanvaardt. Als een wijziging van deze DPA vereist is door de toepasselijke wetgeving, zal de Klant

de keuze hebben om een dergelijke wijziging te accepteren of zijn abonnement op de Softwarediensten te beëindigen.

14.c Scheidbaarheid. Indien wordt bepaald dat individuele bepalingen van deze DPA ongeldig of niet-afdwingbaar zijn, dan zal dit geen invloed hebben op de geldigheid en afdwingbaarheid van de overige bepalingen van deze DPA.

Bijlage 1 - Details van de verwerking

Identificatie van Regelaar

De klant

Contactpersoon : de persoon geïdentificeerd in het Voorstel aanvaard door de Klant. Identificatie van Verwerker

Als de klant zich in Canada bevindt: Technologies Botpress Inc.

Als de klant elders is gevestigd: Botpress, Inc.

Contactpersoon:

Jean-Bernard Perrron

[email protected]

Categorieën van betrokkenen

De Klant kan Persoonsgegevens verstrekken tijdens het gebruik van de Softwaredienst, waarvan de omvang naar eigen goeddunken door de Klant wordt bepaald en gecontroleerd, met inachtneming van de toepasselijke servicevoorwaarden, en die Persoonsgegevens met betrekking tot de volgende categorieën van Betrokkenen kunnen omvatten, maar daartoe niet beperkt zijn:

• Personen die de Software namens de Klant gebruiken
• Eindgebruikers van klantenbots

Categorieën van persoonlijke gegevens

De Klant kan Persoonsgegevens verstrekken aan de Software Diensten en kan Eindgebruikers toestaan Persoonsgegevens te verstrekken aan de Software Diensten, waarvan de omvang door de Klant naar eigen goeddunken wordt bepaald en gecontroleerd, met inachtneming van toepasselijke servicevoorwaarden.

De Software Service is niet ontworpen voor de Verwerking van gevoelige gegevens, de Klant dient zelf te bepalen of de Software Services geschikt zijn voor de Verwerking van gevoelige gegevens.

Botpress verwerkt contactinformatie over Geautoriseerde Gebruikers (naam, e-mail, telefoon) en gebruiks- en gedragsgegevens over productgebruik voor technische ondersteuning en statistische doeleinden.

Aard van de verwerking

• Opslag en andere Verwerkingen die nodig zijn om de Diensten aan de Klant te leveren, te onderhouden en te verbeteren;
• Openbaarmaking in overeenstemming met de Overeenkomst (inclusief deze DPA) en/of zoals verplicht door de toepasselijke wetgeving;
• Botpress zal Persoonsgegevens verwerken zoals nodig om de Diensten te leveren conform de Overeenkomst, en zoals verder geïnstrueerd door de Klant in zijn gebruik van de Diensten.
• Botpress Verwerkt Gebruiksgegevens om technische ondersteuning te bieden en voor statistische doeleinden (voor productverbetering en -ontwikkeling).

Periode waarin Persoonsgegevens worden bewaard

Behoudens de verplichting van Botpressom gegevens te verwijderen of te retourneren aan de Klant, zal Botpress in het kader van de Overeenkomst Persoonsgegevens verwerken voor de duur van de Overeenkomst, tenzij schriftelijk anders is overeengekomen.

Bijlage 2 - Veiligheidsmaatregelen

1. Bestuur

Botpress passende beleidsregels en procedures implementeert met betrekking tot Persoonsgegevens, waaronder:

• Procedures voor informatiebeveiliging;
• Beleid inzake het gebruik van persoonsgegevens ;
• Procedure voor het melden van incidenten op het gebied van beveiliging en privacy ;
• Mechanismen voor risicobeoordeling;
• Interne auditprocedures ;
• Contractuele maatregelen;

2. Gebruikerstoegang

• De functies en verantwoordelijkheden van Botpress gebruikers en gebruikersprofielen met toegang tot Persoonsgegevens en informatiesystemen zijn duidelijk gedefinieerd.
• Botpress maatregelen neemt om zijn gebruikers te informeren over de beveiligingsregels die van invloed zijn op de uitvoering van hun taken en over de gevolgen als ze deze regels overtreden.
• Duidelijke tekstprotocollen worden niet gebruikt om Persoonsgegevens te openen of over te dragen. Alleen het SSL-protocol wordt geaccepteerd voor deze handelingen.
• Botpress zorgt voor de beveiliging van processen en procedures voor de behandeling of verwijdering van fysieke media of apparatuur die Persoonsgegevens kunnen bevatten.
• Persoonsgegevens worden fysiek gescheiden, of logisch gescheiden als ze zich in een database of virtuele omgeving bevinden, van andere Botpress gegevens. Als Persoonlijke Gegevens niet fysiek gescheiden zijn van andere gegevens, systemen of applicaties die geen verband houden met de Klant, past Botpress passende beveiligingsmaatregelen toe, waaronder toegangscontroles.

3. Toegangscontrole

Botpress onderhoudt de servers, relevante databases en andere hardware- en/of softwarecomponenten waarin Persoonsgegevens worden opgeslagen in een beveiligd datacenter waar de toegang wordt gecontroleerd en bewaakt zodat alleen geautoriseerd personeel wordt toegelaten.

Botpress effectieve logische toegangscontrolemaatregelen toepast op alle systemen die worden gebruikt voor het maken, verzenden of verwerken van Persoonsgegevens, met inbegrip van, maar niet beperkt tot:

• Authenticatie van de gebruiker, die unieke identificaties ("user ID's") en namen moet gebruiken.
• Een voldoende complexe en robuuste wachtwoordstrategie.

• Toegangsrechten/privileges van gebruikers tot informatiebronnen die Persoonsgegevens bevatten, moeten worden verleend op een 'need-to-know'-basis die verband houdt met de taken en verantwoordelijkheden van de gebruiker.
• De toegang van gebruikers tot computersystemen die toegang geven tot Persoonsgegevens wordt onmiddellijk verwijderd bij vertrek van de gebruiker of als de gebruiker van functie verandert en de nieuwe functie geen toegang vereist.
• Standaardwachtwoorden en beveiligingsinstellingen moeten worden gewijzigd in de producten/toepassingen van derden die worden gebruikt om Persoonsgegevens te ondersteunen.
• Externe dienstverleners zijn bij het verwerken van Persoonsgegevens onderworpen aan gelijkwaardige beveiligingseisen en verplichtingen als Botpress's geautoriseerde gebruikers.
• Jaarlijkse hervalidatie van de rechtvaardiging van gebruikersaccounts en bijbehorende autorisaties met toegang tot persoonlijke informatie.

4. Netwerkbeveiligingsarchitectuur

Botpress effectieve maatregelen voor netwerktoegangscontrole toepast op alle systemen die worden gebruikt voor het maken, verzenden of verwerken van Persoonsgegevens, met inbegrip van, maar niet beperkt tot:

• Firewalls zijn altijd operationeel en zijn geïnstalleerd op de netwerkperimeter tussen het interne (privé) netwerk van Botpress en het openbare netwerk (internet).
• Op het netwerk Botpress worden goed geconfigureerde en bewaakte inbraakdetectie- en preventiesystemen gebruikt.
• Alleen de services/processen en poorten die nodig zijn om routineprogramma's uit te voeren, zijn ingeschakeld op de database en andere informatiesystemen die worden gebruikt voor de verwerking van Persoonsgegevens. Alle andere services/processen op de host zijn uitgeschakeld.
• Alle informatiesystemen, opslagplaatsen en andere systemen die worden gebruikt om Persoonsgegevens te verwerken, moeten zich fysiek in een gecontroleerde datacenteromgeving bevinden en worden gebruikt om informatiesystemen te beschermen.
• Veilige kanalen (bijv. TLS, SFTP, SSH, IPSEC, etc.) moeten consequent worden gebruikt voor communicatie naar Botpress datacentrum.

5. Beheersing van kwetsbaarheden

Botpress effectieve beheersmaatregelen toepast voor kwetsbaarheid op alle systemen die worden gebruikt om Persoonsgegevens te creëren, verzenden of verwerken, met inbegrip van maar niet beperkt tot:

• Inzet van netwerkpreventie- en detectieapparaten om phishing e-mails en malware te helpen filteren voordat ze werkstations bereiken die worden beheerd door Botpress en die direct of indirect toegang hebben tot Persoonsgegevens.
• Implementatie van anti-virus en anti-malware preventie- en detectiesoftware op alle werkstations die worden beheerd door Botpress en die Persoonsgegevens verwerken.
• Een standaard patchbeheerproces en -praktijk onderhouden om de bescherming te garanderen van alle apparaten die worden gebruikt om Persoonsgegevens te openen, te verwerken of op te slaan.

• Apparaten en documenten die Persoonsgegevens bevatten, moeten identificatie van de geraadpleegde informatie mogelijk maken, moeten worden geïnventariseerd en alleen toegankelijk zijn voor gebruikers die bevoegd zijn om toegang te krijgen tot de gegevens in overeenstemming met het beveiligingsdocument.
• Maatregelen ter voorkoming van diefstal, verlies of onbevoegde toegang tot Persoonsgegevens tijdens overdracht en doorgifte.

6. Back-up, herstel en beschikbaarheid van gegevens

Botpress implementeert de volgende noodherstel- en bedrijfscontinuïteitsplannen om maximale uitvaltijd en gegevensverlies te minimaliseren.

• Botpress noodherstelfuncties implementeert die zijn ontworpen om de functionaliteit van het systeem dat Persoonsgegevens bevat te herstellen binnen een door de partijen overeengekomen periode of, indien dat niet mogelijk is, binnen een redelijke periode gezien de aard van de Persoonsgegevens.
• Botpress zorgt er systematisch voor dat Persoonsgegevens alleen toegankelijk zijn voor geautoriseerd Botpress personeel (externe back-ups worden bijvoorbeeld systematisch versleuteld).
• Om de risico's van milieubedreigingen, gevaren en mogelijkheden voor ongeoorloofde toegang te verminderen, moet apparatuur uit de buurt van locaties met een hoog waarschijnlijk milieurisico worden geplaatst en worden aangevuld met redundante apparatuur die zich op een redelijke afstand bevindt.
• Er moeten beveiligingsmechanismen en redundanties worden geïmplementeerd om apparatuur te beschermen tegen uitval van nutsvoorzieningen (bijv. stroomstoringen, netwerkstoringen, enz.).
• Beleid en procedures voor het bewaren en opslaan van gegevens worden vastgesteld en back-up- of redundantiemechanismen worden geïmplementeerd om naleving van wettelijke, contractuele of bedrijfsvereisten te waarborgen. Het testen van het herstel van schijf- of bandback-ups wordt met geplande tussenpozen uitgevoerd.

7. Veiligheidsaudit

Botpress controlemaatregelen toepast op alle systemen die worden gebruikt om Persoonsgegevens te creëren, verzenden of verwerken, met inbegrip van, maar niet beperkt tot:

• Kwetsbaarheidsscans of -audits door derden van extern gerichte (openbare) infrastructuurapparaten die Persoonsgegevens bevatten.
• Penetratietests door derden van Botpress systemen die Persoonsgegevens opslaan en verwerken.
• Periodieke evaluatie door derden wanneer applicaties of processen financiële informatie ondersteunen.
• Botpress verbindt zich ertoe alle kwetsbaarheden te verhelpen die als gevolg van penetratietests zijn vastgesteld en de Klant op de hoogte te stellen van de herstelmaatregelen.

8. Training en bewustzijn

Botpress een beveiligingsbewustzijnsprogramma implementeert voor zijn werknemers en dienstverleners die in contact komen met de systemen waarin Persoonsgegevens worden verwerkt, inclusief:

• Botpress zorgt ervoor dat zijn personeel op de hoogte is van de bedreigingen en aandachtspunten op het gebied van informatierisicobeheer met betrekking tot de Botpress diensten en van het relevante beleid op het gebied van informatierisicobeheer.
• Botpress het personeel krijgt training en wordt regelmatig bijgeschoold over het relevante beleid en de relevante procedures voor het beheer van informatierisico's van het standaard classificatieschema voor risicobeheer en passende procedures.
• Het personeel van onderaannemers wordt op de hoogte gebracht van het classificatieschema voor informatierisicobeheer en de toepasselijke procedures van Botpress.
• Er worden beleidsregels en procedures vastgesteld voor het wissen van zichtbare documenten met gevoelige gegevens wanneer een werkruimte onbeheerd is en voor het afdwingen van het afmelden van werkstationsessies na een periode van inactiviteit.

Bijlage 3 - Subverwerkers Tenzij anders aangegeven, is de locatie van verwerking : USA.

Amazon Web Services

• AWS host onze cloudservices en alle klantgegevens.
• AWS verwerkt analytische informatie over het gebruik van de Botpress cloudservices.

Google Analytics

• Google Analytics verwerkt analytische informatie over het gebruik van Botpress cloudservices.

Freshdesk

• Freshdesk biedt helpdeskservices.
• Freshdesk verwerkt alle gegevens die door gebruikers worden verstrekt voor technische ondersteuningsdoeleinden.

Hotjar

• We gebruiken Hotjar-services op de service.
• Hotjar geeft informatie over het gedrag van bezoekers van de service.

OpenAI

• OpenAI wordt gebruikt om tekstinvoer van gebruikers te verwerken om tekstantwoorden te genereren.

Mixpanel

• Mixpanel wordt gebruikt voor het verzamelen van product- en websitegebruikanalyses, die worden gebruikt om de service te verbeteren.

Intercom

• Intercom wordt gebruikt om live ondersteuning te bieden aan bezoekers van de service en de Website.