terug naar Juridisch

Gegevensverwerkingsovereenkomst

Laatst bijgewerkt:
2024-11-21

Botpress Overeenkomst gegevensverwerking (DPA)

Deze DPA is aanvullend op, en vormt een integraal onderdeel van, de overeenkomst tussen de entiteit van de Botpress-groep zoals vermeld in de Servicevoorwaarden en de Klant. Deze DPA is van kracht zodra deze door verwijzing in die overeenkomst is opgenomen.

1. Definities

1.a Begrippen met een hoofdletter die hier niet zijn gedefinieerd, hebben de betekenis zoals toegekend in de Overeenkomst.

1.b In deze DPA:

(a) “Overeenkomst” heeft de betekenis zoals toegekend aan die term in de Servicevoorwaarden.

(b) “Botpress Groep” betekent Botpress en alle aan haar gelieerde ondernemingen.

(c) “California Persoonlijke Informatie” betekent Persoonsgegevens die onder de bescherming van de CCPA vallen.

(d) “Canadese privacywetgeving” betekent de Personal Information Protection and Electronic Documents Act, SC 2000, c 5 en de Loi sur la protection des renseignements personnels dans le secteur privé, CQLR c P-39.1, zoals gewijzigd, vervangen of herzien.

(e) “CCPA” betekent California Civil Code Sec. 1798.100 e.v. (ook bekend als de California Consumer Privacy Act van 2018).

(f) “Consument”, “Bedrijf”, “Verkopen” en “Dienstverlener” hebben de betekenis zoals gegeven in de CCPA.

(g) “Verwerkingsverantwoordelijke” betekent iedere Persoon die, alleen of samen met anderen, het doel en de middelen voor de verwerking van Persoonsgegevens bepaalt.

(h) “Privacywetgeving” betekent alle wereldwijd toepasselijke wetgeving met betrekking tot gegevensbescherming en privacy die van toepassing is op een partij bij deze DPA, waaronder zonder beperking Europese privacywetgeving, Canadese privacywetgeving en de CCPA, telkens zoals gewijzigd, ingetrokken, geconsolideerd of vervangen.

(i) “Betrokkene” betekent de persoon op wie de Persoonsgegevens betrekking hebben.

(j) “Europa” betekent de Europese Unie, de Europese Economische Ruimte en/of hun lidstaten, Zwitserland en het Verenigd Koninkrijk.

(k) “Europese privacywetgeving” betekent de privacywetgeving die van toepassing is in Europa, zoals gewijzigd, vervangen of herzien.

(l) “Europese gegevens” betekent Persoonsgegevens die onder de bescherming van de Europese privacywetgeving vallen.

(m) “Toegestane gelieerde ondernemingen” betekent alle gelieerde ondernemingen van de Klant die (i) de Softwarediensten mogen gebruiken volgens de Overeenkomst, (ii) kwalificeren als Verwerkingsverantwoordelijke van Persoonsgegevens die door Botpress worden verwerkt, en (iii) onderworpen zijn aan de Europese privacywetgeving.

(n) “Persoon” moet ruim worden geïnterpreteerd en omvat iedere natuurlijke persoon, rechtspersoon, vennootschap met beperkte aansprakelijkheid, commanditaire vennootschap, bedrijf, vereniging, partnerschap, trust of nalatenschap, joint venture, overheidsinstantie of politieke onderafdeling daarvan, of enige andere entiteit.

(o) “Persoonsgegevens” betekent alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare persoon.

(p) “Verwerken” of “Verwerking” betekent elke bewerking of geheel van bewerkingen die door een Verwerker op Persoonsgegevens wordt uitgevoerd, al dan niet via geautomatiseerde middelen;

(q) “Verwerker” betekent een Persoon die Persoonsgegevens verwerkt namens een Verwerkingsverantwoordelijke.

(r) “Toezichthouder” betekent, waar van toepassing, elke Persoon of instantie voor wetshandhaving of andere instantie met regelgevende, toezichthoudende of overheidsbevoegdheid (op basis van wetgeving of anderszins) over de verwerking van Persoonsgegevens in verband met de levering of ontvangst van de Diensten, waaronder, zonder beperking, de Europese toezichthoudende autoriteiten voor gegevensbescherming;

(s) “Beveiligingsincident” betekent een inbreuk op de beveiliging die leidt tot de toevallige of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens die door Botpress en/of Subverwerkers worden verzonden, opgeslagen of anderszins verwerkt in verband met de levering van de Diensten, met uitzondering van gebeurtenissen die de veiligheid van Persoonsgegevens niet in gevaar brengen, zoals mislukte inlogpogingen, pings, portscans, denial-of-service-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.

(t) “Diensten” betekent de Softwarediensten of Professionele Diensten die door een entiteit van de Botpress Groep aan de Klant of diens gelieerde ondernemingen worden geleverd.

(u) “Standaardcontractbepalingen” betekent de standaardcontractbepalingen die zijn gehecht aan het besluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021; zoals gewijzigd, vervangen of herzien.

(v) “Subverwerker” betekent iedere Verwerker die door Botpress of gelieerde ondernemingen van Botpress is ingeschakeld om te helpen bij het nakomen van de verplichtingen van Botpress met betrekking tot de levering van de Diensten onder de Overeenkomst. Subverwerkers kunnen derden of gelieerde ondernemingen van Botpress zijn, maar geen personen die in dienst zijn van of ingehuurd zijn door Botpress.

(w) “Derde land” betekent een rechtsgebied of ontvanger: (i) dat niet door de Europese Commissie is erkend als een land met een passend beschermingsniveau voor persoonsgegevens; en (ii) dat niet valt onder een passend kader dat door de relevante autoriteiten of rechtbanken is erkend als voldoende bescherming biedend voor persoonsgegevens;

(x) “Gebruiksgegevens” betekent gegevens met betrekking tot het gebruik van de Software door Geautoriseerde Gebruikers, die Persoonsgegevens kunnen bevatten wanneer identificatie van individuele gebruikers noodzakelijk is, maar met uitzondering van Conversatiegegevens. Gebruiksgegevens kunnen Persoonsgegevens bevatten over werknemers en opdrachtnemers van de Klant, maar niet over eindgebruikers die met Klantbots communiceren.

2. Rol van de partijen

2.a Bij het verwerken van Conversatiegegevens via de Diensten erkennen en stemmen de partijen ermee in dat de Klant optreedt als Verwerkingsverantwoordelijke en Botpress als Verwerker.

2.b Als de Klant optreedt als Verwerker namens een Verwerkingsverantwoordelijke, wordt Botpress beschouwd als subverwerker van de Klant.

2.c Botpress is Verwerkingsverantwoordelijke met betrekking tot Gebruiksgegevens.

3. Naleving van privacywetgeving

3.a Elke partij zal Persoonsgegevens verwerken in overeenstemming met alle toepasselijke privacywetgeving.

3.b Botpress is niet verantwoordelijk voor naleving van privacywetgeving die van toepassing is op de Klant of op de branche van de Klant en die niet algemeen van toepassing is op Botpress.

3.c Indien Botpress zich ervan bewust wordt dat het Persoonsgegevens niet kan verwerken volgens de instructies van de Klant vanwege een wettelijke verplichting onder toepasselijk recht, zal Botpress (i) de Klant hiervan onmiddellijk op de hoogte stellen voor zover toegestaan door de wet; en (ii) indien nodig, alle verwerking staken (behalve het opslaan en beveiligen van de betreffende Persoonsgegevens) totdat de Klant nieuwe instructies geeft die in overeenstemming zijn met het toepasselijk recht. Indien deze bepaling wordt ingeroepen, is Botpress niet aansprakelijk jegens de Klant onder de Overeenkomst voor het niet uitvoeren van de betreffende Softwarediensten of Professionele Diensten totdat Botpress redelijkerwijs vaststelt dat de instructies van de Klant rechtmatig zijn.

4. Verplichtingen van Botpress

4.a Botpress zal Persoonsgegevens alleen verwerken voor de doeleinden zoals beschreven in deze DPA of zoals anderszins overeengekomen binnen het kader van rechtmatige instructies van de Klant, behalve waar en voor zover anders vereist door toepasselijk recht.

4.b Botpress zal passende technische en organisatorische maatregelen implementeren en onderhouden om Persoonsgegevens te beschermen tegen beveiligingsincidenten, waaronder zoals beschreven in Bijlage 2 bij deze DPA (“Beveiligingsmaatregelen”). Botpress mag deze Beveiligingsmaatregelen naar eigen inzicht aanpassen of bijwerken, mits deze wijziging niet leidt tot een wezenlijke verslechtering van de bescherming die door de Beveiligingsmaatregelen wordt geboden.

4.c Botpress behandelt Persoonsgegevens als vertrouwelijke informatie van de Klant en zorgt ervoor dat medewerkers of opdrachtnemers die gemachtigd zijn om Persoonsgegevens te verwerken, gebonden zijn aan passende geheimhoudingsverplichtingen (contractueel of wettelijk) met betrekking tot die Persoonsgegevens.

4.d Botpress zal alle Persoonsgegevens die zijn verwerkt op grond van deze DPA verwijderen of retourneren bij beëindiging of afloop van de Overeenkomst. Botpress mag kopieën van Persoonsgegevens bewaren indien dit wettelijk verplicht is, of wanneer Persoonsgegevens zijn gearchiveerd op back-upsystemen; deze gegevens worden veilig geïsoleerd, beschermd tegen verdere verwerking en verwijderd volgens de geldende verwijderingspraktijken.

5. Verplichtingen van de Klant

5.a De Klant is verantwoordelijk om ervoor te zorgen dat het gebruik van de Softwarediensten of de Software in overeenstemming is met alle toepasselijke privacywetgeving, onder meer door te waarborgen dat (i) hij gemachtigd is om Botpress aan te stellen voor het verwerken van Persoonsgegevens namens hem volgens deze DPA, (ii) hij het recht heeft om Persoonsgegevens over te dragen of toegang te geven aan Botpress voor verwerking volgens de voorwaarden van de Overeenkomst (inclusief deze DPA), (iii) de instructies van de Klant met betrekking tot de verwerking van Persoonsgegevens voldoen aan de toepasselijke wetgeving, inclusief privacywetgeving;

5.b De Klant zal Botpress onmiddellijk schriftelijk op de hoogte stellen als hij reden heeft om aan te nemen, of als hij is geïnformeerd, dat de verwerking van Persoonsgegevens door de Klant via de Diensten in strijd is of kan zijn met de toepasselijke wetgeving, inclusief privacywetgeving.

5.c De Klant is verantwoordelijk voor het bepalen of de door Botpress geïmplementeerde beveiligingsmaatregelen voldoende zijn om te voldoen aan de verplichtingen van de Klant onder de toepasselijke privacywetgeving. De Klant is ook verantwoordelijk om ervoor te zorgen dat de toegang tot de Softwarediensten beveiligd is en alleen beschikbaar is voor geautoriseerd personeel.

6. Beveiligingsincident

6.a Botpress zal de Klant onmiddellijk op de hoogte stellen zodra zij kennis krijgt van een beveiligingsinbreuk en zal tijdig informatie verstrekken over deze inbreuk zodra deze bekend wordt of redelijkerwijs door de Klant wordt opgevraagd.

6.b Op verzoek zal Botpress de Klant snel redelijke ondersteuning bieden die nodig is om de Klant in staat te stellen een beveiligingsinbreuk te melden aan toezichthouders en/of getroffen betrokkenen, indien een dergelijke melding vereist is volgens de privacywetgeving.

7. Subverwerkers

7.a Botpress mag subverwerkers inschakelen voor de verwerking van Persoonsgegevens. De huidige subverwerkers zijn vermeld in Bijlage 3; elke wijziging in subverwerkers zal aan de Klant worden gemeld.

7.b Botpress selecteert subverwerkers die toezeggingen doen op het gebied van gegevensbescherming die minstens hetzelfde beschermingsniveau bieden voor Persoonsgegevens als in deze DPA (inclusief, indien van toepassing, de Standaard Contractuele Clausules), voor zover van toepassing op de aard van de diensten die door deze subverwerkers worden geleverd. Botpress blijft verantwoordelijk voor de naleving van deze DPA door elke subverwerker en voor alle handelingen of nalatigheden van een subverwerker die leiden tot een schending van de verplichtingen van Botpress onder deze DPA.

7.c Indien Botpress Europese Gegevens verwerkt namens de Klant, mag de Klant bezwaar maken tegen een nieuwe subverwerker, mits dit bezwaar redelijk is en gebaseerd op gegevensbescherming. Indien een dergelijk bezwaar wordt gemeld, stemt Botpress ermee in om het onderwerp te bespreken in goed vertrouwen om tot een commercieel redelijke oplossing te komen. Indien geen oplossing wordt bereikt, kan Botpress ervoor kiezen om af te zien van de aanstelling van de nieuwe subverwerker, of de Klant toestaan het abonnement op het deel van de Softwarediensten dat afhankelijk is van deze subverwerker te beëindigen zonder aansprakelijkheid voor beide partijen (maar onverminderd reeds gemaakte kosten vóór beëindiging).

7.d Indien wettelijk vereist of op grond van de Standaard Contractuele Clausules, zal Botpress redelijke inspanningen leveren om de Klant de vereiste informatie over de overeenkomsten van Botpress met subverwerkers te verstrekken. De Klant erkent dat sommige informatie uit deze overeenkomsten kan worden weggelaten of vertrouwelijk kan worden verstrekt.

8. Overdracht van Persoonsgegevens

8.a De verwerking van andere Persoonsgegevens dan Europese Gegevens door entiteiten van de Botpress Groep zal plaatsvinden in elk rechtsgebied waar dergelijke verwerking is toegestaan volgens de toepasselijke wetgeving van het Privacyrechtsgebied.

8.b De verwerking van Europese Gegevens zal uitsluitend plaatsvinden:

a) Binnen Europa;

b) in een rechtsgebied dat een passend beschermingsniveau biedt op basis van een besluit van de Europese Commissie volgens de toepasselijke privacywetgeving;

c) in elk rechtsgebied, door een organisatie of entiteit die passende waarborgen biedt, onder meer via de Standaard Contractuele Clausules;

d) in elk rechtsgebied, met schriftelijke toestemming van de Klant of de betreffende betrokkene.

8.c Wanneer de verwerking van Europese Gegevens plaatsvindt in een derde land, worden de partijen geacht de Standaard Contractuele Clausules te zijn aangegaan uitsluitend met betrekking tot de relevante Persoonsgegevens en de relevante verwerking. De partijen komen overeen dat voor de toepassing van de Standaard Contractuele Clausules:

a) Als de Klant een Verwerkingsverantwoordelijke is en Botpress een Verwerker, is Module 2 (Verwerkingsverantwoordelijke naar Verwerker) van toepassing.

b) Als de Klant een Verwerker is en Botpress een subverwerker, is Module 3 (Verwerker naar Verwerker) van toepassing.

c) Met betrekking tot Gebruiksgegevens is Module 1 (Verwerkingsverantwoordelijke naar Verwerkingsverantwoordelijke) van toepassing.

d) In Clausule 7 van de Standaard Contractuele Clausules is de optionele dockingclausule niet van toepassing;

e) In Clausule 9 van de Standaard Contractuele Clausules is Optie 2 van toepassing en bedraagt de termijn voor voorafgaande schriftelijke kennisgeving van wijzigingen in subverwerkers 10 dagen;

f) In Clausule 11 van de Standaard Contractuele Clausules is de optionele tekst niet van toepassing;

g) In Clausule 17 (Optie 1) worden de Standaard Contractuele Clausules beheerst door het Ierse recht;

h) In Clausule 18(b) van de Standaard Contractuele Clausules worden geschillen beslecht voor de rechtbanken van Ierland;

i) Botpress is de "gegevensimporteur" en de Klant is de "gegevensexporteur" (namens zichzelf en Toegestane Gelieerde Ondernemingen);

j) De relevante informatie vermeld in Bijlage 1 en Bijlage 2 van deze DPA wordt geacht te zijn opgenomen in de bijlagen van de Standaard Contractuele Clausules;

k) Indien en voor zover de Standaard Contractuele Clausules in strijd zijn met enige bepaling van deze DPA, prevaleren de Standaard Contractuele Clausules voor zover deze strijdigheid bestaat.

8.d Zwitserse en Britse overdrachten. Voor zover een overdracht van Persoonsgegevens tussen de Klant en Botpress en/of een subverwerker onderworpen is aan de privacywetgeving van Zwitserland of het Verenigd Koninkrijk, worden de Standaard Contractuele Clausules geacht te zijn aangepast aan de vereisten van de toepasselijke Zwitserse en Britse privacywetgeving, inclusief verwijzingen naar wetgeving, toepasselijk recht en bevoegde autoriteiten en rechtbanken.

9. CCPA-verwerking

9.a Bij het verwerken van Californische Persoonsinformatie volgens de instructies van de Klant, erkennen en stemmen de partijen ermee in dat de Klant een Bedrijf is en Botpress een Dienstverlener voor de doeleinden van de CCPA. De partijen komen overeen dat Botpress Californische Persoonsinformatie als Dienstverlener uitsluitend zal verwerken voor het uitvoeren van de Softwarediensten en Professionele Diensten onder de Overeenkomst (het "Zakelijk Doel") of zoals anderszins toegestaan door de CCPA.

10. Verzoeken van derden

10.a De Klant is verantwoordelijk voor het afhandelen van elk verzoek van een betrokkene of toezichthouder met betrekking tot hun Persoonsgegevens en dient de beschikbare functies van de Softwarediensten te gebruiken om relevante informatie over de verwerking van Persoonsgegevens op te halen.

10.b Indien de Klant niet zelfstandig een verzoek van een betrokkene of toezichthouder kan afhandelen ("Verzoek"), zal Botpress redelijke ondersteuning bieden aan de Klant om te reageren op dergelijke verzoeken met betrekking tot de verwerking van Persoonsgegevens onder de Overeenkomst. Behalve wanneer en voor zover een verzoek is gebaseerd op het niet nakomen door Botpress van haar verplichtingen onder deze DPA, zal de Klant Botpress vergoeden voor de redelijke kosten die zijn gemaakt bij het bieden van ondersteuning aan de Klant.

10.c Indien een Verzoek of andere communicatie over de verwerking van Persoonsgegevens onder de Overeenkomst rechtstreeks aan Botpress wordt gericht, zal Botpress de Klant onmiddellijk informeren en de betrokkene of toezichthouder adviseren om hun Verzoek rechtstreeks bij de Klant in te dienen. De Klant is als enige verantwoordelijk voor de inhoudelijke beantwoording van dergelijke Verzoeken of communicatie met betrekking tot Persoonsgegevens.

11. Audit met betrekking tot persoonsgegevens

11.a Op verzoek en met redelijke kennisgeving aan Botpress is de Klant gemachtigd, op eigen kosten, de nodige controles uit te voeren om te verzekeren dat de Persoonsgegevens die door Botpress namens de Klant worden verwerkt, in overeenstemming met de instructies van de Klant worden verwerkt. Op verzoek van de Klant zal Botpress toestaan dat de verwerking door Botpress wordt gecontroleerd en geïnspecteerd. Een dergelijke audit kan worden uitgevoerd door de Klant en/of een derde partij (geselecteerd door de Klant en redelijkerwijs geaccepteerd door Botpress) die namens de Klant handelt. De Klant neemt alle nodige maatregelen om schade of verstoring van de gebouwen, apparatuur, personeel en bedrijfsvoering van de Botpress Groep te voorkomen.

11.b De Klant en Botpress stemmen vooraf samen de aard, reikwijdte en duur van elke audit door de Klant af, en de Klant vergoedt Botpress alle redelijke kosten die met een dergelijke audit samenhangen, welke op verzoek van de Klant vooraf kunnen worden geraamd. Voor zover mogelijk worden auditverplichtingen van de Klant vervuld door middel van auditrapporten van derden die door Botpress worden verstrekt, indien beschikbaar.

11.c Indien Botpress Europese Gegevens verwerkt namens de Klant, zal Botpress de Klant, op redelijk verzoek en op vertrouwelijke basis, (i) een samenvattend exemplaar van haar beveiligingstestverslag(en) verstrekken en (ii) schriftelijk antwoorden op alle redelijke informatieverzoeken van de Klant die nodig zijn om de naleving van deze DPA door Botpress te bevestigen, mits de Klant dit recht niet meer dan eenmaal per kalenderjaar uitoefent, tenzij de Klant redelijke gronden heeft om niet-naleving door Botpress van de DPA te vermoeden.

12. Aansprakelijkheidsbeperking

12.a De aansprakelijkheid van Botpress en haar Gelieerde Ondernemingen, gezamenlijk, voortvloeiend uit of gerelateerd aan deze DPA (en eventuele andere DPA’s tussen partijen) en de Standaard Contractuele Clausules (indien van toepassing), ongeacht of deze voortvloeit uit contract, onrechtmatige daad of een andere aansprakelijkheidsgrond, is beperkt tot het totaalbedrag aan Vergoedingen dat de Klant aan Botpress heeft betaald voor de Diensten gedurende de 12 maanden voorafgaand aan het incident dat aanleiding geeft tot aansprakelijkheid.

13. Rechtsgebied

Tenzij anders vereist door toepasselijke wetgeving inzake gegevensbescherming, wordt deze DPA beheerst door en geïnterpreteerd volgens het recht dat van toepassing is op de Overeenkomst en worden geschillen met betrekking tot deze Overeenkomst beslecht door de bevoegde rechtbanken van het rechtsgebied dat in het Voorstel is aangegeven.

Voor zover de wetgeving inzake gegevensbescherming vereist dat deze DPA wordt beheerst door het recht van een lidstaat van de Europese Unie, is het Iers recht van toepassing op deze DPA en worden geschillen met betrekking tot deze Overeenkomst beslecht door de Ierse rechtbanken.

14. Algemeen

14.a Voorrang. In geval van tegenstrijdigheid tussen bepalingen van deze DPA en andere bepalingen van de Overeenkomst, prevaleren de bepalingen van de DPA, tenzij en voor zover uitdrukkelijk is bepaald dat een andere bepaling van de Overeenkomst voorrang heeft of dat een bepaling van deze DPA buiten toepassing wordt gelaten of wordt gewijzigd.

14.b Wijzigingen. Botpress kan deze DPA aanpassen om wijzigingen in haar gegevensverwerkingspraktijken weer te geven. Elke wijziging, anders dan verduidelijkingen van de taal (die routinematig aan de Klant worden gecommuniceerd), wordt aan de Klant voorgelegd en is niet van toepassing tenzij door de Klant geaccepteerd. Indien een wijziging van deze DPA wettelijk verplicht is, heeft de Klant de mogelijkheid deze wijziging te accepteren of zijn abonnement op de Softwarediensten te beëindigen.

14.c  Scheidbaarheid. Indien een bepaling van deze DPA ongeldig of onafdwingbaar wordt verklaard, blijven de overige bepalingen van deze DPA volledig van kracht.


Bijlage 1 – Details van de Verwerking

Identificatie van de Verwerkingsverantwoordelijke

De Klant

Contactpersoon: de persoon die is vermeld in het door de Klant geaccepteerde Voorstel.

Identificatie van de Verwerker

Indien de Klant in Canada is gevestigd: Technologies Botpress Inc. Indien de Klant elders is gevestigd: Botpress, Inc.

Contactpersoon:

Jean-Bernard Perron [email protected]

Categorieën van Betrokkenen

De Klant kan Persoonsgegevens indienen bij het gebruik van de Softwaredienst, waarvan de omvang uitsluitend door de Klant wordt bepaald en gecontroleerd, onder voorbehoud van de toepasselijke gebruiksvoorwaarden, en die onder meer, maar niet uitsluitend, Persoonsgegevens kunnen omvatten met betrekking tot de volgende categorieën van Betrokkenen:

  • Personen die de Software namens de Klant gebruiken
  • Eindgebruikers van Klant-Bots

Categorieën van Persoonsgegevens

De Klant kan Persoonsgegevens indienen bij de Softwarediensten en kan Eindgebruikers toestaan Persoonsgegevens in te dienen bij de Softwarediensten, waarvan de omvang uitsluitend door de Klant wordt bepaald en gecontroleerd, onder voorbehoud van de toepasselijke gebruiksvoorwaarden.

De Softwaredienst is niet ontworpen voor het verwerken van gevoelige gegevens; de Klant is verantwoordelijk voor het bepalen of de Softwarediensten geschikt zijn voor het verwerken van gevoelige gegevens.

Botpress verwerkt contactgegevens van Geautoriseerde Gebruikers (naam, e-mail, telefoon) en gebruiks- en gedragsgegevens over productgebruik voor technische ondersteuning en statistische doeleinden.

Aard van de Verwerking

  • Opslag en andere verwerkingen die nodig zijn om de aan de Klant geleverde Diensten te leveren, onderhouden en verbeteren;
  • Openbaarmaking in overeenstemming met de Overeenkomst (inclusief deze DPA) en/of zoals vereist door toepasselijke wetgeving;
  • Botpress verwerkt Persoonsgegevens voor zover nodig om de Diensten te leveren volgens de Overeenkomst, en zoals verder geïnstrueerd door de Klant in het gebruik van de Diensten.
  • Botpress verwerkt Gebruiksgegevens voor technische ondersteuning en voor statistische doeleinden (voor productverbetering en -ontwikkeling).

Bewaartermijn van Persoonsgegevens

Behoudens de verplichting van Botpress om gegevens te verwijderen of terug te geven aan de Klant, verwerkt Botpress Persoonsgegevens gedurende de looptijd van de Overeenkomst, tenzij schriftelijk anders overeengekomen.

Bijlage 2 – Beveiligingsmaatregelen

1. Governance

Botpress implementeert passende beleidsmaatregelen en procedures met betrekking tot Persoonsgegevens, waaronder:

  • Informatiebeveiligingsprocedures;
  • Beleid voor het gebruik van Persoonsgegevens;
  • Procedure voor het melden van beveiligings- en privacy-incidenten;
  • Mechanismen voor risicobeoordeling;
  • Interne auditprocedures;
  • Contractuele maatregelen;

2. Gebruikerstoegang

  • De functies en verantwoordelijkheden van Botpress-gebruikers en gebruikersprofielen met toegang tot Persoonsgegevens en informatiesystemen zijn duidelijk gedefinieerd.
  • Botpress neemt maatregelen om haar gebruikers te informeren over de beveiligingsregels die van invloed zijn op de uitvoering van hun taken en de gevolgen bij overtreding van deze regels.
  • Er worden geen cleartext-protocollen gebruikt voor toegang tot of overdracht van Persoonsgegevens. Alleen het SSL-protocol is toegestaan voor deze handelingen.
  • Botpress waarborgt de veiligheid van processen en procedures voor het omgaan met of verwijderen van fysieke media of apparatuur die Persoonsgegevens kunnen bevatten.
  • Persoonsgegevens worden fysiek gescheiden, of logisch gescheiden indien deze zich in een database of virtuele omgeving bevinden, van andere Botpress-gegevens. Indien Persoonsgegevens niet fysiek gescheiden zijn van andere gegevens, systemen of applicaties die niet aan de Klant gerelateerd zijn, past Botpress passende beveiligingsmaatregelen toe, waaronder toegangscontrole.

3. Toegangscontrole

Botpress bewaart de servers, relevante databases en andere hardware- en/of softwarecomponenten waarin Persoonsgegevens zijn opgeslagen in een beveiligd datacenter met gecontroleerde en gemonitorde toegang, zodat alleen geautoriseerd personeel wordt toegelaten.

Botpress hanteert effectieve logische toegangscontrolemaatregelen op alle systemen die worden gebruikt om Persoonsgegevens aan te maken, te verzenden of te verwerken, waaronder onder meer:

  • Authenticatie van de gebruiker, die unieke identificatiegegevens ("gebruikers-ID's") en namen moet gebruiken.
  • Een voldoende complexe en robuuste wachtwoordstrategie.
  • Gebruikersrechten/-privileges voor informatiebronnen met Persoonsgegevens worden toegekend op basis van noodzaak, gerelateerd aan de taken en verantwoordelijkheden van de gebruiker.
  • Toegang van gebruikers tot computersystemen die toegang geven tot Persoonsgegevens wordt onmiddellijk verwijderd zodra de gebruiker vertrekt of van functie verandert en de nieuwe functie geen toegang vereist.
  • Standaardwachtwoorden en beveiligingsinstellingen moeten worden gewijzigd in de externe producten/applicaties die gebruikt worden ter ondersteuning van Persoonsgegevens.
  • Externe dienstverleners zijn onderworpen aan gelijkwaardige beveiligingseisen en verplichtingen als de geautoriseerde gebruikers van Botpress bij het verwerken van Persoonsgegevens.
  • Jaarlijkse herbeoordeling van de rechtvaardiging van gebruikersaccounts en bijbehorende autorisaties met toegang tot persoonlijke informatie.

4. Netwerkbeveiligingsarchitectuur

Botpress past effectieve netwerktoegangscontroles toe op alle systemen die gebruikt worden om Persoonsgegevens te creëren, verzenden of verwerken. Deze maatregelen omvatten onder andere:

  • Firewalls zijn te allen tijde actief en geïnstalleerd op de netwerkgrens tussen het interne (privé) netwerk van Botpress en het openbare netwerk (internet).
  • Correct geconfigureerde en gemonitorde systemen voor indringingsdetectie en -preventie worden gebruikt op het Botpress-netwerk.
  • Alleen die diensten/processen en poorten die nodig zijn voor reguliere programma's zijn ingeschakeld op de database en andere informatiesystemen die Persoonsgegevens verwerken. Alle andere diensten/processen op de host zijn uitgeschakeld.
  • Alle informatiesystemen, opslagplaatsen en andere systemen die Persoonsgegevens verwerken, moeten fysiek zijn ondergebracht in een gecontroleerde datacenteromgeving en uitsluitend worden gebruikt voor het beschermen van informatiesystemen.
  • Veilige kanalen (zoals TLS, SFTP, SSH, IPSEC, enz.) moeten consequent worden gebruikt voor communicatie met het Botpress-datacenter.

5. Beheer van kwetsbaarheden

Botpress past effectieve beheersmaatregelen voor kwetsbaarheden toe op alle systemen die gebruikt worden om Persoonsgegevens te creëren, verzenden of verwerken. Deze maatregelen omvatten onder andere:

  • Inzet van netwerkpreventie- en detectieapparatuur om phishing-e-mails en malware te filteren voordat deze werkstations bereiken die door Botpress worden beheerd en direct of indirect toegang hebben tot Persoonsgegevens.
  • Inzet van antivirus- en antimalwaresoftware voor preventie en detectie op alle werkstations die door Botpress worden beheerd en Persoonsgegevens verwerken.
  • Een standaardproces voor patchbeheer onderhouden en toepassen om de bescherming te waarborgen van alle apparaten die worden gebruikt om toegang te krijgen tot, Persoonsgegevens te verwerken of op te slaan.
  • Apparaten en documenten met Persoonsgegevens moeten identificatie van de geraadpleegde informatie mogelijk maken, geïnventariseerd zijn en alleen toegankelijk zijn voor gebruikers die volgens het beveiligingsdocument geautoriseerd zijn.
  • Maatregelen om diefstal, verlies of ongeautoriseerde toegang tot Persoonsgegevens tijdens verzending en overdracht te voorkomen.

6. Back-up, herstel en beschikbaarheid van gegevens

Botpress implementeert de volgende plannen voor noodherstel en bedrijfscontinuïteit om maximale uitvaltijd en dataverlies te minimaliseren.

  • Botpress implementeert noodherstelmaatregelen die zijn ontworpen om de functionaliteit van het systeem met Persoonsgegevens te herstellen binnen een door de partijen overeengekomen termijn of, bij gebreke daarvan, binnen een redelijke termijn gezien de aard van de Persoonsgegevens.
  • Botpress zorgt er systematisch voor dat Persoonsgegevens alleen toegankelijk zijn voor geautoriseerd Botpress-personeel (bijvoorbeeld externe back-ups worden systematisch versleuteld).
  • Om risico's door omgevingsbedreigingen, gevaren en ongeautoriseerde toegang te beperken, worden apparaten geplaatst op locaties met een lage kans op omgevingsrisico's en aangevuld met redundante apparatuur op een redelijke afstand.
  • Beveiligingsmechanismen en redundantie worden geïmplementeerd om apparatuur te beschermen tegen uitval van nutsvoorzieningen (zoals stroomstoringen, netwerkonderbrekingen, enz.).
  • Beleid en procedures voor gegevensbewaring en -opslag worden vastgesteld en back-up- of redundantiemechanismen geïmplementeerd om te voldoen aan wettelijke, contractuele of zakelijke vereisten. Het testen van het herstel van schijf- of tapeback-ups wordt op geplande momenten uitgevoerd.

7. Beveiligingsaudit

Botpress past controles toe op alle systemen die gebruikt worden om Persoonsgegevens te creëren, verzenden of verwerken. Deze controles omvatten onder andere:

  • Externe kwetsbaarheidsscans of audits van publiek toegankelijke infrastructuurapparaten met Persoonsgegevens.
  • Externe penetratietests van Botpress-systemen die Persoonsgegevens opslaan en verwerken.
  • Periodieke externe evaluatie wanneer applicaties of processen financiële informatie ondersteunen.
  • Botpress verbindt zich ertoe alle kwetsbaarheden die uit penetratietests naar voren komen te behandelen en de Klant te informeren over de genomen herstelmaatregelen.

8. Training en bewustwording

Botpress voert een bewustwordingsprogramma voor beveiliging uit voor zijn medewerkers en dienstverleners die werken met systemen die Persoonsgegevens verwerken, waaronder:

  • Botpress zorgt ervoor dat zijn personeel inzicht heeft in risico's en bedreigingen op het gebied van informatiemanagement met betrekking tot de Botpress-diensten en in het relevante beleid voor informatiemanagement.
  • Botpress-medewerkers ontvangen training en regelmatige updates over het relevante beleid en de procedures voor informatiemanagement volgens het standaardclassificatieschema voor risicobeheer en bijbehorende procedures.
  • Personeel van onderaannemers wordt geïnformeerd over het classificatieschema voor informatiemanagement en de bijbehorende procedures van Botpress.
  • Beleid en procedures worden vastgesteld voor het opruimen van zichtbare documenten met gevoelige gegevens wanneer een werkplek onbeheerd is, en voor het afdwingen van automatische afmelding van werkstations na een periode van inactiviteit.

Bijlage 3 – Subverwerkers

Botpress houdt een actuele lijst van Subverwerkers bij op het Trust Center. Tenzij anders vermeld, worden alle gegevens verwerkt in de Verenigde Staten.

Voer gegevensverwerkingsovereenkomst uit
Alle systemen operationeel
SOC 2
Gecertificeerd
AVG
Conform
© 2025
Hub
Integraties
Kanalen
LLM's
Bronnen
Contact met verkoop
Documentatie
Huur een expert in
Video's
Klantverhalen
API-referentie
Blog
Status
v12 Bronnen
Community
Partners & Affiliates
Discord
Bedrijf
Over ons
Carrières
Juridisch
Privacy