NL
Gegevensverwerkingsovereenkomst
Partijen
Verwerkingsverantwoordelijke (Klant): De entiteit die heeft ingestemd met de Suunta.ai Gebruiksvoorwaarden en gebruik maakt van de Diensten.
Gegevensverwerker (Suunta.ai): Y4 Works Oy, Bedrijfs-ID: 2978296-6, Adres: Finland, E-mail: privacy@suunta.ai
1. Definities
- Persoonsgegevens betekent alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon zoals gedefinieerd in Artikel 4(1) van de AVG.
- Verwerking betekent elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, zoals gedefinieerd in Artikel 4(2) van de AVG.
- Betrokkene betekent de geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
- Onderaannemer betekent elke derde die door Suunta.ai wordt ingeschakeld om Persoonsgegevens te verwerken namens de Klant.
- Diensten betekent het Suunta.ai-platform en gerelateerde diensten zoals beschreven in de Gebruiksvoorwaarden.
- AVG betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad (Algemene Verordening Gegevensbescherming).
- Standaard Contractbepalingen (SCC's) betekent de standaard contractbepalingen voor de overdracht van persoonsgegevens naar derde landen aangenomen door de Europese Commissie.
- Beveiligingsincident betekent elke toevallige of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot Persoonsgegevens.
2. Reikwijdte en Doel
2.1 Reikwijdte Deze GVO is van toepassing op alle Verwerking van Persoonsgegevens door Suunta.ai namens de Klant in verband met de Diensten.
2.2 Rollen De Klant handelt als Verwerkingsverantwoordelijke. Suunta.ai handelt als Gegevensverwerker. Waar Suunta.ai de doeleinden en middelen van Verwerking bepaalt (bijv. voor dienstverbeteringsanalyses), handelt Suunta.ai als onafhankelijke Verantwoordelijke en zal dergelijke gegevens verwerken in overeenstemming met haar Privacybeleid.
2.3 Doel van Verwerking Suunta.ai verwerkt Persoonsgegevens uitsluitend voor het doel van het leveren van de Diensten zoals beschreven in de Gebruiksvoorwaarden, inclusief:
- Gebruikersaccountbeheer en authenticatie
- Leveren van AI-gestuurde strategische planningsfuncties
- Verwerken en opslaan van bedrijfsgegevens ingediend door Gebruikers
- Genereren van AI-ondersteunde analyses en aanbevelingen
- Facturering en abonnementsbeheer
- Klantondersteuning
- Dienstbeveiliging en misbruikpreventie
3. Categorieën van Gegevens en Betrokkenen
3.1 Categorieën van Betrokkenen
- Werknemers en aannemers van de Klant die gebruik maken van de Diensten
- Andere personen wier Persoonsgegevens door de Klant aan de Diensten worden ingediend
3.2 Categorieën van Persoonsgegevens
| Categorie | Gegevenselementen | Doel |
|---|---|---|
| Accountgegevens | Naam, e-mail, telefoon (optioneel), functietitel, rol | Gebruikersidentificatie en toegang |
| Authenticatiegegevens | Wachtwoordhash, SSO-identificatoren, sessiegegevens | Veilige toegang |
| Organisatiegegevens | Organisatienaam, land, stad, branche, grootte | Dienstaanpassing |
| Gebruiksgegevens | IP-adres, user agent, login-tijdstempels, activiteitslogboeken | Beveiliging en audit |
| Bedrijfsgegevens | Strategiedocumenten, OKR's, KPI's, projecten, taken | Kern dienstverlening |
| Communicatiegegevens | Chatberichten, AI-interacties | Dienstfuncties |
| Factureringsgegevens | Stripe Klant-ID, abonnementsdetails | Betalingsverwerking |
3.3 Bijzondere Categorieën van Gegevens De Klant stemt ermee in geen bijzondere categorieën van Persoonsgegevens (zoals gedefinieerd in AVG Artikel 9) in te dienen bij de Diensten zonder voorafgaande schriftelijke toestemming van Suunta.ai.
4. Verwerkerverplichtingen
4.1 Verwerkingsinstructies Suunta.ai verwerkt Persoonsgegevens alleen op basis van gedocumenteerde instructies van de Klant, informeert de Klant als een instructie inbreuk maakt op de AVG, en zorgt ervoor dat geautoriseerde personen gebonden zijn aan vertrouwelijkheid.
4.2 Beveiligingsmaatregelen
| Maatregel | Implementatie |
|---|---|
| Versleuteling in rust | AES-256 (AWS RDS) |
| Versleuteling tijdens overdracht | TLS 1.2+ |
| Toegangscontrole | Op rollen gebaseerde toegang, organisatie-isolatie |
| Authenticatie | Wachtwoordhashing (PBKDF2-SHA256), sessiebeheer |
| Auditlogging | Uitgebreide activiteitslogging met bewaarbeleid |
| Back-up | Geautomatiseerde dagelijkse back-ups met point-in-time recovery |
| Infrastructuur | AWS EU (Stockholm, eu-north-1) |
4.3 Onderaanneming Suunta.ai kan Onderaannemers inschakelen onder de voorwaarden in Sectie 6.
4.4 Assistentie aan Verantwoordelijke Suunta.ai assisteert de Klant bij het reageren op verzoeken van Betrokkenen, het waarborgen van naleving van AVG Artikelen 32-36, en het verstrekken van informatie die nodig is om naleving aan te tonen.
4.5 Verwijdering en Teruggave Bij beëindiging van de Diensten of op verzoek van de Klant: (a) de Klant kan binnen 30 dagen na beëindiging export van Klantgegevens aanvragen; (b) Suunta.ai verwijdert Persoonsgegevens binnen 90 dagen na beëindiging, tenzij bewaring vereist is door wet; (c) Gegevensexport wordt verstrekt in JSON- en CSV-formaten via de Diensten.
5. AI-Specifieke Gegevensbehandeling
5.1 AI-verwerking Wanneer Klantgegevens worden verwerkt via AI-functies: (a) prompts en antwoorden worden verzonden naar Externe AI-aanbieders voor verwerking; (b) Suunta.ai slaat GEEN AI-prompts of antwoorden op in haar database; (c) alleen gebruiksmetadata (tokens, latentie, model, kosten) wordt gelogd voor facturering en analyses; (d) chatgespreksgeschiedenis wordt opgeslagen om gesprekscontinuïteit mogelijk te maken.
5.2 Geen Training op Klantgegevens Suunta.ai zal GEEN Klantgegevens gebruiken om AI-modellen te trainen, te finetunen of te verbeteren zonder expliciete schriftelijke toestemming. Suunta.ai configureert Externe AI-aanbieders om gegevensretentie uit te schakelen waar beschikbaar, af te zien van gebruik van trainingsgegevens, en zero data retention-beleid toe te passen waar ondersteund.
5.3 RAG-documentverwerking Geüploade documenten worden verwerkt om tekst te extraheren, geconverteerd naar vector-embeddings, en onbewerkte documenttekst wordt binnen 24 uur na indexering gewist. Chunk-inhoud en embeddings worden bewaard voor dienstfunctionaliteit; bij bronverwijdering worden alle bijbehorende chunks en embeddings verwijderd.
6. Onderaannemers
6.1 Geautoriseerde Onderaannemers De Klant verleent algemene autorisatie aan Suunta.ai om de in Bijlage A genoemde Onderaannemers in te schakelen.
6.2 Vereisten voor Onderaannemers Suunta.ai sluit schriftelijke overeenkomsten met Onderaannemers die gegevensbeschermingsverplichtingen opleggen die niet minder beschermend zijn dan deze GVO, blijft aansprakelijk voor naleving door Onderaannemers, en voert passende due diligence uit.
6.3 Wijzigingen in Onderaannemers Suunta.ai handhaaft een actuele lijst van Onderaannemers op https://suunta.ai/legal/subprocessors, stelt de Klant ten minste 30 dagen van tevoren op de hoogte voordat een nieuwe Onderaannemer wordt ingeschakeld, en biedt de Klant de gelegenheid bezwaar te maken op redelijke gronden voor gegevensbescherming.
6.4 Bezwaarprocedure Als binnen 30 dagen geen oplossing wordt bereikt, kan de Klant de getroffen Diensten zonder boete beëindigen. Een dergelijke beëindiging is de enige remedie van de Klant voor bezwaren tegen Onderaannemers.
7. Rechten van Betrokkenen
7.1 Assistentie Suunta.ai assisteert de Klant bij het reageren op verzoeken van Betrokkenen om hun rechten uit te oefenen onder AVG Hoofdstuk III, inclusief toegang, rectificatie, verwijdering, beperking, gegevensoverdraagbaarheid en bezwaar.
7.2 Verzoeken van Betrokkenen Als Suunta.ai een verzoek rechtstreeks ontvangt van een Betrokkene, stelt Suunta.ai de Klant onmiddellijk op de hoogte, reageert niet rechtstreeks tenzij geautoriseerd of vereist door wet, en verleent redelijke assistentie.
7.3 Self-Service Functies De Diensten omvatten self-service functies die Gebruikers in staat stellen:
- Hun Persoonsgegevens te bekijken en exporteren
- Accountinformatie te corrigeren
- Hun gebruikersaccount te verwijderen
- Organisatiegegevensexport aan te vragen
- Organisatieverwijdering aan te vragen
8. Beveiligingsincidenten
8.1 Kennisgeving Suunta.ai stelt de Klant op de hoogte van elk Beveiligingsincident zonder onredelijke vertraging en in elk geval binnen 72 uur na kennisgeving, met een beschrijving van het incident, getroffen betrokkenen en gegevens, contactpunt, waarschijnlijke gevolgen en genomen maatregelen.
8.2 Samenwerking Suunta.ai werkt samen met het onderzoek van de Klant, neemt redelijke stappen om effecten te beperken, verstrekt updates en assisteert bij kennisgevingen aan toezichthoudende autoriteiten en Betrokkenen.
8.3 Gegevens Suunta.ai handhaaft een onveranderlijk nalevingsauditlogboek voor beveiligingsrelevante gebeurtenissen met verlengde bewaring.
9. Internationale Overdrachten
9.1 Verwerkingslocaties Primaire gegevensverwerking vindt plaats in de EU (AWS eu-north-1, Stockholm). Enige verwerking kan plaatsvinden in de VS via Externe AI-aanbieders.
9.2 Overdrachtsmechanismen Voor overdrachten naar landen zonder EU-adequaatheidsbesluit vertrouwt Suunta.ai op Standaard Contractbepalingen (Module 2: Verantwoordelijke naar Verwerker, Module 3: Verwerker naar Verwerker), aanvullende maatregelen en Onderaannemer-certificeringen waar van toepassing.
9.3 Overdrachtsimpactbeoordeling Suunta.ai heeft overdrachtsimpactbeoordelingen uitgevoerd voor overdrachten naar de VS, rekening houdend met:
- Aard van overgedragen gegevens (voornamelijk prompts/vragen, geen bulk Persoonsgegevens)
- Technische maatregelen (versleuteling, zero data retention-configuraties)
- Juridisch kader van het bestemmingsland
- Contractuele beschermingen met Onderaannemers
10. Auditrechten
10.1 Auditinformatie Op schriftelijk verzoek van de Klant (niet meer dan eens per jaar) verstrekt Suunta.ai een samenvatting van beveiligingsmaatregelen, auditresultaten van derden (onder voorbehoud van vertrouwelijkheid), bevestiging van naleving door Onderaannemers, en gegevens van Beveiligingsincidenten die Klantgegevens beïnvloeden.
10.2 Ter Plaatse Audits Ter plaatse audits vereisen 30 dagen voorafgaande schriftelijke kennisgeving, worden uitgevoerd tijdens kantooruren met minimale verstoring, op kosten van de Klant, onder vertrouwelijkheid, en beperkt tot GVO-naleving.
10.3 Certificeringen Suunta.ai werkt aan SOC 2 Type II en ISO 27001 certificeringen. Na behalen zullen auditrapporten beschikbaar worden gesteld aan Klanten onder NDA.
11. Gegevensbewaring
11.1 Bewaartermijnen
| Gegevenscategorie | Bewaartermijn | Opmerkingen |
|---|---|---|
| Actieve accountgegevens | Duur van Diensten | Verwijderd bij accountverwijdering |
| Verwijderde gebruikersaccounts | Onmiddellijk geanonimiseerd | 90-dagen back-upbewaring |
| AI-gebruiksmetadata | 365 dagen | Tokenaantallen, kosten |
| Auditlogboeken (standaard) | 24 maanden | CRUD-bewerkingen |
| Auditlogboeken (kritiek) | 36 maanden | Verwijderingen, beveiligingsgebeurtenissen |
| Nalevingsauditlogboeken | 7 jaar | Onveranderlijk, regelgevende bewaring |
| Factureringsgegevens | 6 jaar | Finse boekhoudwet |
| Back-ups | 30 dagen | Geautomatiseerde rotatie |
11.2 Verwijderingsproces Organisatieverwijdering volgt een gestructureerd proces: verwijderingsverzoek met wachtwoordbevestiging; 30-dagen respijtperiode (annuleerbaar); Stripe-abonnement annulering; systematische verwijdering van alle organisatiegegevens; onveranderlijke nalevingsauditlogboekvermelding.
12. Aansprakelijkheid
De aansprakelijkheid van elke partij onder deze GVO is onderworpen aan de beperkingen uiteengezet in de Gebruiksvoorwaarden. Elke partij stelt de andere schadeloos voor verliezen voortvloeiend uit schending van deze GVO of toepasselijke gegevensbeschermingswetten door de vrijstellende partij.
13. Looptijd en Beëindiging
Deze GVO blijft van kracht gedurende de looptijd van de Gebruiksvoorwaarden. Secties 5 (AI-Specifieke Gegevensbehandeling), 8 (Beveiligingsincidenten), 11 (Gegevensbewaring) en 12 (Aansprakelijkheid) blijven van kracht na beëindiging.
14. Toepasselijk Recht
Deze GVO wordt beheerst door de wetten van Finland. Geschillen worden opgelost in overeenstemming met de geschillenbeslechtingsbepalingen van de Gebruiksvoorwaarden.
15. Contact
Voor vragen over gegevensbescherming: Y4 Works Oy (Suunta.ai), E-mail: privacy@suunta.ai
Bijlage A: Geautoriseerde Onderaannemers
Laatst bijgewerkt: 27 januari 2025. Zie de volledige lijst op https://suunta.ai/legal/subprocessors.
Bijlage B: Technische en Organisatorische Maatregelen
1. Toegangscontrole
- Op rollen gebaseerde toegangscontrole (RBAC)
- Gegevensisolatie op organisatieniveau (multi-tenant architectuur)
- Unieke gebruikersaccounts met veilige authenticatie
- Sessiebeheer met configureerbare time-outs
- Brute-force bescherming met accountvergrendeling
2. Versleuteling
- Gegevens in rust: AES-256 versleuteling (AWS RDS)
- Gegevens tijdens overdracht: TLS 1.2+ voor alle verbindingen
- Wachtwoordopslag: PBKDF2-SHA256 hashing
3. Beschikbaarheid en Veerkracht
- AWS-infrastructuur met hoge beschikbaarheid
- Geautomatiseerde dagelijkse back-ups met point-in-time recovery
- Rampherstelprocedures
4. Monitoring en Logging
- Uitgebreide auditlogging van gebruikersactiviteiten
- AI-gebruikstracking (alleen metadata)
- Beveiligingsgebeurtenismonitoring
- Logbewaring per Sectie 11
5. Incidentrespons
- Gedocumenteerde incidentresponsprocedures
- 72-uur inbreukkennisgevingsverplichting
- Onveranderlijke nalevingsaudittrail
6. Personeel
- Vertrouwelijkheidsverplichtingen voor al het personeel
- Beveiligingsbewustzijnstraining
- Principe van minimale privileges
7. Leveranciersbeheer
- Due diligence op Onderaannemers
- Contractuele gegevensbeschermingsvereisten
- Regelmatige beoordeling van naleving door Onderaannemers