GEGEVENSVERWERKINGSOVEREENKOMST

Laatste update: 19 maart 2026

Deze Gegevensverwerkingsovereenkomst ("GVO") maakt deel uit van de Algemene Voorwaarden ("Overeenkomst") tussen Acira AI LLC ("Verwerker," "wij," "ons") en de gebruiker van de Diensten ("Verwerkingsverantwoordelijke," "u") en vormt een aanvulling op de Overeenkomst met betrekking tot de verwerking van persoonsgegevens.

Deze GVO is van toepassing wanneer u de Diensten gebruikt om websites te maken, te hosten en te publiceren die persoonsgegevens verzamelen of verwerken van personen die zich bevinden in de Europese Economische Ruimte ("EER"), het Verenigd Koninkrijk ("VK") of Zwitserland, of wanneer dit anderszins vereist is door toepasselijke gegevensbeschermingswetten.

Deze Gegevensverwerkingsovereenkomst kan voor uw gemak in andere talen worden vertaald. In geval van tegenstrijdigheid of inconsistentie tussen de Engelse versie en een vertaalde versie, prevaleert de Engelse versie.

INHOUDSOPGAVE

1. DEFINITIES
2. TOEPASSINGSGEBIED EN ROLLEN
3. DETAILS VAN DE GEGEVENSVERWERKING
4. VERPLICHTINGEN VAN DE VERWERKER
5. VERPLICHTINGEN VAN DE VERWERKINGSVERANTWOORDELIJKE
6. SUBVERWERKERS
7. INTERNATIONALE GEGEVENSOVERDRACHTEN
8. RECHTEN VAN BETROKKENEN
9. GEGEVENSBEVEILIGING
10. MELDING VAN GEGEVENSINBREUKEN
11. AUDITS EN NALEVINGSVERIFICATIE
12. BEWARING EN VERWIJDERING VAN GEGEVENS
13. LOOPTIJD EN BEËINDIGING
14. BEPERKING VAN AANSPRAKELIJKHEID
15. NEEM CONTACT MET ONS OP

1. DEFINITIES

"Toepasselijke Gegevensbeschermingswet" betekent alle wet- en regelgeving die van toepassing is op de verwerking van persoonsgegevens onder deze GVO, waaronder (indien van toepassing) de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG"), de UK AVG, de Zwitserse Federale Wet op de Gegevensbescherming ("FADP") en de California Consumer Privacy Act ("CCPA").

"Verwerkingsverantwoordelijke" betekent de natuurlijke of rechtspersoon die de doeleinden en middelen van de verwerking van persoonsgegevens vaststelt — in deze context u, de gebruiker van de Diensten die via het platform een website beheert.

"Betrokkene" betekent een geïdentificeerde of identificeerbare natuurlijke persoon wiens persoonsgegevens worden verwerkt.

"Persoonsgegevens" betekent alle informatie met betrekking tot een Betrokkene die via de Diensten wordt verwerkt.

"Verwerking" betekent elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, waaronder het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, opvragen, raadplegen, gebruiken, openbaar maken, verspreiden, beperken, wissen of vernietigen.

"Verwerker" betekent een natuurlijke of rechtspersoon die persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke — in deze context Acira AI LLC.

"Subverwerker" betekent elke derde partij die door de Verwerker is ingeschakeld om persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke.

"Standaardcontractbepalingen" of "SCC's" betekent de standaardcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers, zoals vastgesteld door de Europese Commissie.

2. TOEPASSINGSGEBIED EN ROLLEN

2.1 Verwerkingsrelatie

Wanneer u de Diensten gebruikt om een website te maken en te beheren die persoonsgegevens verzamelt van uw websitebezoekers (via formulieren, gebruikersaccounts, chatbotinteracties, opmerkingen, beoordelingen of andere interactieve functies), treedt u op als Verwerkingsverantwoordelijke en wij als Verwerker van die persoonsgegevens van bezoekers.

2.2 Onze Rol als Verwerkingsverantwoordelijke

Wij treden op als onafhankelijke Verwerkingsverantwoordelijke voor persoonsgegevens die wij voor onze eigen doeleinden verzamelen, waaronder: uw accountgegevens, facturatiegegevens, gebruiksanalyses, algemene websitekenmerken afgeleid van de inhoud van uw website (zoals branche of type bedrijf), en platformoperatiegegevens. De verwerking van deze gegevens wordt beheerst door ons Privacybeleid en valt buiten het toepassingsgebied van deze DPA.

2.3 Platformanalyses

Wij verzamelen basisanalyses van websitebezoekers die privacyvriendelijk zijn (zoals beschreven in de Overeenkomst). Voor analysegegevens treden wij op als gezamenlijke verwerkingsverantwoordelijke met u. Wij hebben onze analyses zo ontworpen dat de verzameling van persoonsgegevens tot een minimum wordt beperkt — wij slaan geen ruwe IP-adressen op en bezoekeridentificatoren worden dagelijks geroteerd. De respectieve verantwoordelijkheden van elke gezamenlijke verwerkingsverantwoordelijke zijn als volgt:

• Acira AI (Verwerker/Gezamenlijke Verwerkingsverantwoordelijke): Bepaalt de technische middelen voor het verzamelen van analyses, inclusief welke gegevenspunten worden verzameld, hoe bezoekeridentificatoren worden berekend (dagelijks roterende hashes) en hoe gegevens worden samengevoegd. Wij zijn verantwoordelijk voor de beveiliging en integriteit van de analyseinfrastructuur en voor het beantwoorden van algemene vragen over hoe analyses werken op het platform.
• U (Verwerkingsverantwoordelijke/Gezamenlijke Verwerkingsverantwoordelijke): Bepaalt of analyses op uw website worden gebruikt (analyses zijn standaard ingeschakeld als onderdeel van de Diensten). U bent verantwoordelijk voor het bekendmaken van de verzameling van analysegegevens in het privacybeleid van uw website en voor het beantwoorden van verzoeken van Betrokkenen van uw websitebezoekers met betrekking tot hun analysegegevens.
• Contactpunt voor Betrokkenen: Betrokkenen kunnen contact met u opnemen (de website-eigenaar) met betrekking tot analysegegevens die op uw website zijn verzameld. Als wij een verzoek ontvangen van een Betrokkene met betrekking tot analysegegevens, zullen wij deze naar u doorverwijzen, tenzij u ons anders instrueert. Voor algemene platformvragen kunnen Betrokkenen contact met ons opnemen via legal@acira.ai.

2.4 Kern van de Gezamenlijke Verwerkingsverantwoordelijkheidsregeling

In overeenstemming met artikel 26, lid 2 van de AVG is de kern van deze gezamenlijke verwerkingsverantwoordelijkheidsregeling voor analysegegevens als volgt: Wij (Acira AI) bepalen de technische middelen en de verzamelde gegevenspunten; u (de websitebeheerder) bepaalt of analyses op uw website worden gebruikt. Wij zijn elk verantwoordelijk voor onze respectieve verplichtingen onder de Toepasselijke Gegevensbeschermingswet. U bent het primaire contactpunt voor uw websitebezoekers met betrekking tot analysegegevens. Een samenvatting van deze regeling wordt beschikbaar gesteld aan Betrokkenen via deze GVO en op https://www.acira.ai/dpa.

2.5 CCPA-aanduiding als Dienstverlener

Voor zover wij persoonsgegevens die vallen onder de California Consumer Privacy Act ("CCPA") namens u verwerken, zijn wij uw "dienstverlener" zoals gedefinieerd in Cal. Civ. Code § 1798.140(ag). Wij zullen niet:

• Persoonlijke informatie die u aan ons verstrekt verkopen of delen (zoals die termen zijn gedefinieerd onder de CCPA);
• Persoonlijke informatie bewaren, gebruiken of openbaar maken voor enig ander doel dan de bedrijfsdoeleinden die in deze GVO en de Overeenkomst zijn gespecificeerd, of zoals anderszins toegestaan door de CCPA;
• Persoonlijke informatie bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen u en ons;
• Persoonlijke informatie die wij van u ontvangen combineren met persoonlijke informatie die wij ontvangen van of namens een andere persoon of die wij verzamelen via onze eigen interacties met consumenten, behalve zoals toegestaan door de CCPA.

Wij kunnen algemene, niet-identificerende bedrijfskenmerken (zoals brancheclassificatie) afleiden uit de inhoud van uw website om relevante productaanbevelingen te doen, zoals beschreven in Sectie 2.2. Dit beperkte gebruik vormt geen verkoop, deling of combinatie van persoonlijke informatie in de zin van de CCPA.

Wij verklaren dat wij deze beperkingen begrijpen en zullen naleven.

2.6 Beoordeling van Zwitserse FADP-vertegenwoordiging

Artikel 14 van de Zwitserse Federale Wet op de Gegevensbescherming ("FADP") vereist dat een niet-Zwitserse private verwerkingsverantwoordelijke een vertegenwoordiger in Zwitserland aanwijst alleen wanneer alle vier van de volgende cumulatieve voorwaarden zijn vervuld: (1) de verwerking verband houdt met het aanbieden van goederen of diensten aan, of het monitoren van het gedrag van, personen in Zwitserland; (2) de verwerking op grote schaal plaatsvindt; (3) de verwerking regelmatig plaatsvindt; en (4) de verwerking een hoog risico vormt voor de persoonlijkheidsrechten of fundamentele rechten van betrokkenen.

Wij hebben onze verwerkingsactiviteiten tegen deze voorwaarden beoordeeld en hebben vastgesteld dat hoewel voorwaarden (1) en (3) zijn vervuld, de overige voorwaarden niet zijn voldaan om de volgende redenen:

• Geen grote schaal: Wij zijn een klein SaaS-platform. Het volume aan persoonsgegevens van Zwitserse ingezetenen dat via onze Diensten wordt verwerkt, is beperkt en vormt geen verwerking op grote schaal in de zin van artikel 14 FADP.
• Geen hoog risico: De persoonsgegevens die wij namens websitebeheerders verwerken, bestaan voornamelijk uit gepseudonimiseerde analyse-identificatoren (dagelijks roterende hashes), basisbezoekersmetagegevens (land, apparaattype, browser), inhoud van formulierinzendingen en chatbotberichten. Wij verwerken geen bijzondere categorieën persoonsgegevens (artikel 5(c) FADP) en wij houden ons niet bezig met profilering met een hoog risico voor betrokkenen. De Zwitserse Federale Gegevensbeschermings- en Informatiecommissaris ("FDPIC") heeft aangegeven dat deze verplichting voornamelijk gericht is op grote internetplatforms en sociale netwerken die vanuit het buitenland opereren, wat onze Diensten niet omschrijft.

Op basis van deze beoordeling hebben wij geconcludeerd dat wij op dit moment niet verplicht zijn om een vertegenwoordiger in Zwitserland aan te wijzen op grond van artikel 14 FADP. Wij zullen deze bepaling periodiek heroverwegen, ook bij wezenlijke wijzigingen in de omvang of aard van onze verwerkingsactiviteiten die Zwitserse ingezetenen betreffen.

3. DETAILS VAN DE GEGEVENSVERWERKING

3.1 Onderwerp en Duur

De verwerking van persoonsgegevens onder deze GVO wordt uitgevoerd met het doel de Diensten te verlenen zoals beschreven in de Overeenkomst en zal voortduren voor de duur van de Overeenkomst.

3.2 Aard en Doel van de Verwerking

Wij verwerken persoonsgegevens om:

• Uw websiteinhoud te hosten en te leveren
• Gegevens op te slaan en te beheren die zijn ingediend via de formulieren en interactieve functies van uw website
• Gebruikersaccounts en sessies bij te houden voor de beveiligde gedeelten van uw website
• E-mailcommunicatie namens u te verzenden
• E-mails door te sturen die zijn ontvangen op de e-mailadressen van uw aangepaste domein
• AI-chatbotgesprekken met uw websitebezoekers mogelijk te maken
• AI-gestuurde beschrijvingen en metagegevens te genereren voor geüploade bestanden
• Geüploade bestanden om te zetten naar voor het web geoptimaliseerde formaten
• Bezoekeranalyses te leveren
• Afleiden van algemene websitekenmerken (zoals branche of type bedrijf) om relevante platformaanbevelingen te bieden
• Spam en misbruik te detecteren en te voorkomen (inclusief proof-of-work bot-uitdagingen)
• Inhoudsmoderatie uit te voeren op geüploade bestanden
• Websiteinhoud tijdens publicatie te beoordelen op naleving van het inhoudsbeleid van het platform
• Afmeldingsvoorkeuren voor e-mail beheren voor de e-mailontvangers van uw website
• Realtime kanaalcommunicatie op uw website via WebSocket-verbindingen te faciliteren (berichten zijn tijdelijk en worden niet opgeslagen)
• Fout- en diagnostische logs bij te houden voor platformbetrouwbaarheid en probleemoplossing (kunnen IP-adressen en verzoekmetagegevens bevatten; maximaal dertig (30) dagen bewaard)

3.3 Soorten Persoonsgegevens

De soorten verwerkte persoonsgegevens zijn afhankelijk van wat u via uw website verzamelt, waaronder mogelijk:

• Namen en contactgegevens
• E-mailadressen
• Berichten en formulierinzendingen
• Bestandsuploads ingediend door websitebezoekers (zoals afbeeldingen en documenten)
• Inhoud van chatbotgesprekken (berichten van bezoekers en AI-reacties)
• Gebruikersaccountgegevens (opgeslagen in gehashte vorm)
• Sessiegegevens
• IP-adressen (niet opgeslagen in analyses — alleen een dagelijks roterende hash wordt opgeslagen; opgeslagen als metagegevens naast formulierinzendingen en chatbotgesprekken; tijdelijk gebruikt en gehasht voor bot-uitdagingsverificatie; tijdelijk opgeslagen voor snelheidsbeperking gedurende maximaal zeven (7) dagen en automatisch verwijderd)
• Browser- en apparaatinformatie
• Locatiegegevens (op land- en regioniveau, afgeleid van IP)
• E-mail afmeldingsrecords (opgeslagen als cryptografische hashes van de e-mailadressen van ontvangers; niet opgeslagen in onbewerkte vorm)
• Spamclassificatieresultaten (of een inzending als spam is beoordeeld)
• Fout- en diagnostische loggegevens (IP-adressen, verzoekpaden en foutdetails; maximaal dertig (30) dagen bewaard en automatisch verwijderd)

3.4 Categorieën van Betrokkenen

• Uw websitebezoekers
• Gebruikers die accounts aanmaken op uw website
• Gebruikers die formulieren indienen of interactie hebben met chatbots op uw website
• Gebruikers die opmerkingen, beoordelingen of andere bijdragen indienen op uw website

4. VERPLICHTINGEN VAN DE VERWERKER

Wij zullen:

1. Persoonsgegevens alleen verwerken op basis van uw gedocumenteerde instructies, tenzij dit vereist is door toepasselijk recht (in welk geval wij u van die wettelijke vereiste zullen informeren voordat wij verwerken, tenzij dit bij wet verboden is);
2. Ervoor zorgen dat personen die gemachtigd zijn om persoonsgegevens te verwerken zich hebben gebonden aan vertrouwelijkheid of onder een passende wettelijke geheimhoudingsplicht vallen;
3. Passende technische en organisatorische beveiligingsmaatregelen implementeren zoals beschreven in Sectie 9;
4. Voldoen aan de voorwaarden voor het inschakelen van subverwerkers zoals uiteengezet in Sectie 6;
5. U bijstaan, rekening houdend met de aard van de verwerking, bij het beantwoorden van verzoeken van Betrokkenen die hun rechten uitoefenen onder de Toepasselijke Gegevensbeschermingswet;
6. U bijstaan bij het naleven van uw verplichtingen onder de artikelen 32-36 van de AVG (beveiliging, inbreukmelding, gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging), rekening houdend met de aard van de verwerking en de informatie die voor ons beschikbaar is. Wanneer uw gebruik van de Diensten hoog-risico verwerking omvat waarvoor mogelijk een Gegevensbeschermingseffectbeoordeling (DPIA) vereist is, zullen wij u informatie verstrekken over onze verwerkingsactiviteiten, technische en organisatorische maatregelen en subverwerkers ter ondersteuning van uw beoordeling;
7. U bijstaan bij het nakomen van uw verplichtingen onder artikel 22 van de AVG (geautomatiseerde individuele besluitvorming) door informatie te verstrekken over geautomatiseerde verwerking die namens u wordt uitgevoerd, inclusief inhoudsmoderatie, spamdetectie en botbescherming, en door menselijke beoordeling van geautomatiseerde beslissingen op verzoek te faciliteren;
8. U informeren als wij van mening zijn dat een instructie van u de Toepasselijke Gegevensbeschermingswet schendt;
9. Naar uw keuze alle persoonsgegevens verwijderen of teruggeven na het einde van de dienstverlening, en bestaande kopieën verwijderen tenzij opslag vereist is door toepasselijk recht;
10. U alle informatie ter beschikking stellen die nodig is om naleving van de in deze GVO neergelegde verplichtingen aan te tonen en bij te dragen aan nalevingsverificatie zoals beschreven in Sectie 11.

5. VERPLICHTINGEN VAN DE VERWERKINGSVERANTWOORDELIJKE

U zult:

1. Ervoor zorgen dat uw verzameling en verwerking van persoonsgegevens via uw website voldoet aan alle Toepasselijke Gegevensbeschermingswetten;
2. Passende privacyberichten verstrekken aan uw websitebezoekers die uw gegevensverzamelingspraktijken beschrijven, inclusief bekendmaking van platformanalyses, AI-gestuurde chatbotinteracties, spamdetectie en botbescherming;
3. Alle noodzakelijke toestemmingen verkrijgen of een andere rechtmatige basis vaststellen voor de verwerking van persoonsgegevens via uw website;
4. Ervoor zorgen dat uw instructies aan ons met betrekking tot de verwerking van persoonsgegevens voldoen aan de Toepasselijke Gegevensbeschermingswetten;
5. Verantwoordelijk zijn voor de nauwkeurigheid, kwaliteit en rechtmatigheid van persoonsgegevens die via uw website aan ons worden verstrekt.

Door gebruik te maken van de Diensten instrueert u ons om de volgende verwerkingsactiviteiten namens u uit te voeren als onderdeel van de standaard platformoperaties: inhoudsmoderatie van geüploade bestanden, beoordeling van inhoudsbeleid van gepubliceerde websiteinhoud, spamdetectie op formulierinzendingen, botbescherming via proof-of-work uitdagingen en AI-gestuurde chatbotinteracties met uw websitebezoekers. Deze activiteiten zijn gedocumenteerde instructies onder artikel 28, lid 3(a) van de AVG.

6. SUBVERWERKERS

6.1 Geautoriseerde Subverwerkers

U verleent algemene toestemming aan ons om subverwerkers in te schakelen om te helpen bij het verlenen van de Diensten. Onze huidige subverwerkers worden hieronder en op https://www.acira.ai/dpa vermeld.

6.2 Huidige Lijst van Subverwerkers

6.3 Wijzigingen in Subverwerkers

Wij zullen u op de hoogte stellen van eventuele voorgenomen wijzigingen in de lijst van subverwerkers voor Diensten die u momenteel gebruikt door de lijst van subverwerkers op https://www.acira.ai/dpa ten minste veertien (14) dagen voor de nieuwe subverwerker begint met het verwerken van persoonsgegevens bij te werken. Wanneer wij nieuwe functies of diensten introduceren die aanvullende subverwerkers betreffen, worden die subverwerkers bekendgemaakt op het moment dat de functie of dienst beschikbaar wordt; uw gebruik van de nieuwe functie of dienst vormt aanvaarding van de bekendgemaakte subverwerkers. Het is uw verantwoordelijkheid om de lijst van subverwerkers periodiek te controleren op wijzigingen. Als u een redelijk bezwaar heeft tegen een nieuwe subverwerker die gegevens verwerkt voor bestaande Diensten, kunt u ons binnen veertien (14) dagen na publicatie van de wijziging schriftelijk op de hoogte stellen. Wij zullen te goeder trouw met u samenwerken om uw bezwaren te behandelen. Als wij het bezwaar niet naar uw redelijke tevredenheid kunnen oplossen, kunt u de Overeenkomst beëindigen door schriftelijke kennisgeving.

6.4 Verplichtingen van Subverwerkers

Wij zullen schriftelijke overeenkomsten sluiten met elke subverwerker die gegevensbeschermingsverplichtingen opleggen die niet minder beschermend zijn dan die in deze GVO. Wij blijven aansprakelijk voor de handelingen en nalatigheden van onze subverwerkers in dezelfde mate als wij aansprakelijk zouden zijn als wij de diensten rechtstreeks zouden verlenen.

7. INTERNATIONALE GEGEVENSOVERDRACHTEN

7.1 Overdrachtsmechanismen

De Diensten zijn voornamelijk gehost in de Verenigde Staten. Persoonsgegevens die via de Diensten worden verwerkt, kunnen worden overgedragen aan en verwerkt in de Verenigde Staten en andere landen waar onze subverwerkers actief zijn. AI-inferentieaanbieders (Fireworks AI en xAI) verwerken gegevens in de Verenigde Staten. BrightData kan gegevens verwerken in Israël en andere locaties wereldwijd. Cloudflare verwerkt gegevens op edge-locaties wereldwijd.

EU-dataresidentie: Voor websitebeheerders die als EU-ingezetenen zijn geïdentificeerd, passen wij de volgende dataresidentiemaatregelen toe om de overdracht van persoonlijke gegevens van bezoekers buiten de Europese Unie te minimaliseren:

• Opslag: Bezoekersgegevens in persistente edge-opslag — inclusief formulierinzendingen, chatbotgesprekken, sessiegegevens en gebruikerstabelgegevens — zijn jurisdictioneel beperkt tot de Europese Unie. Deze gegevens worden uitsluitend opgeslagen in EU-datacenters.
• Geautomatiseerde bezoekersgerichte verwerking: Operaties die automatisch worden geactiveerd door bezoekersactiviteit — inclusief meldingen van inhoudindiening en transactionele e-maillevering — worden verwerkt binnen de Europese Unie en gaan niet via de Amerikaanse infrastructuur.
• Platformbeheertoegang: Wanneer u de bezoekersgegevens van uw website benadert via het platformdashboard of de conversatie-interface (bijvoorbeeld het bekijken van formulierinzendingen of het beheren van gebruikersrecords), kunnen deze gegevens via onze in de VS gevestigde infrastructuur worden verwerkt om aan uw verzoek te voldoen. Deze overdrachten zijn op aanvraag, geïnitieerd door u (de Verwerkingsverantwoordelijke), en beschermd door de hieronder beschreven overdrachtsmechanismen en aanvullende maatregelen.
• Overige VS-gebaseerde verwerking: Analyticsgegevens en gegevens die door onze in de VS gevestigde cloudinfrastructuur worden verwerkt voor contentmoderatie en AI-inferentie kunnen nog steeds worden overgedragen aan de Verenigde Staten onder de hieronder vermelde overdrachtsmechanismen.

Voor overdrachten van persoonsgegevens vanuit de EER, het VK of Zwitserland naar landen die niet worden erkend als landen met een adequaat niveau van gegevensbescherming, vertrouwen wij op:

1. Standaardcontractbepalingen (SCC's): Wij nemen de Standaardcontractbepalingen van de Europese Commissie door verwijzing op in deze GVO: Module Één (Verwerkingsverantwoordelijke naar Verwerkingsverantwoordelijke) voor analysegegevens waarbij wij optreden als gezamenlijke verwerkingsverantwoordelijke (zie Sectie 2.3), en Module Twee (Verwerkingsverantwoordelijke naar Verwerker) voor alle andere persoonsgegevens die namens u worden verwerkt. De SCC's zijn beschikbaar op https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. VK Internationaal Gegevensoverdrachtaddendum: Voor overdrachten vanuit het VK is het VK-addendum bij de EU-SCC's van toepassing.
3. Zwitserse Gegevensoverdrachtmechanismen: Voor overdrachten vanuit Zwitserland zijn de SCC's van toepassing met de wijzigingen die vereist zijn door de Zwitserse FADP.

7.2 Aanvullende Maatregelen

Wij implementeren de volgende aanvullende maatregelen om overgedragen persoonsgegevens te beschermen:

• Versleuteling van gegevens tijdens overdracht (TLS/SSL) en in rust
• Toegangscontroles en authenticatiemechanismen
• Regelmatige beveiligingsbeoordelingen
• Gegevensminimalisatiepraktijken (bijv. dagelijks roterende bezoekergehashes in plaats van ruwe IP-opslag)
• Jurisdictionele dataresidentie voor EU-ingezetene websitebeheerders (persistente opslag en geautomatiseerde bezoekersgerichte verwerking beperkt tot de EU)
• In de EU gevestigde reken- en e-mailinfrastructuur voor geautomatiseerde bezoekersgerichte operaties (meldingen van inhoudindiening en transactionele e-maillevering verwerkt in de Europese Unie voor in de EU gevestigde websitebeheerders)

7.3 Overdrachtimpactbeoordeling

Deze aanvullende maatregelen zijn gebaseerd op onze beoordeling van de wet- en regelgeving en praktijken van de bestemmingslanden, rekening houdend met de aard van de overgedragen gegevens, het gebruikte overdrachtsmechanisme en de technische en organisatorische beveiligingsmaatregelen. Wij hebben beoordeeld dat de hierboven beschreven aanvullende maatregelen, samen met de verbintenissen in de SCC's, een adequaat beschermingsniveau bieden voor de overgedragen persoonsgegevens. Onze Overdrachtimpactbeoordeling is beschikbaar op https://www.acira.ai/tia.

7.4 Canadese Gegevensoverdrachten

Voor overdrachten van persoonsgegevens vanuit Canada vertrouwen wij op de volgende waarborgen om ervoor te zorgen dat persoonsgegevens die buiten Canada worden overgedragen een vergelijkbaar niveau van bescherming ontvangen als vereist onder de Personal Information Protection and Electronic Documents Act (PIPEDA) en toepasselijke provinciale privacywetgeving (inclusief Alberta's PIPA, British Columbia's PIPA en Quebec's Act respecting the protection of personal information in the private sector):

1. Contractuele bescherming: Schriftelijke gegevensverwerkingsovereenkomsten met elke subverwerker die verplichtingen opleggen om persoonsgegevens te beschermen op een standaard die consistent is met het Canadese privacyrecht, inclusief vereisten voor passende beveiligingswaarborgen, gebruiksbeperkingen, inbreukmelding en toegang voor betrokkenen.
2. Technische waarborgen: Dezelfde versleuteling, pseudonimisering, toegangscontrole en gegevensminimalisatiemaatregelen die beschreven zijn in Sectie 7.2 zijn van toepassing op Canadese gegevensoverdrachten.
3. Organisatorische waarborgen: Due diligence van subverwerkers, vertrouwelijkheidsverplichtingen voor personeel en gedocumenteerde incidentresponsprocedures zoals beschreven in deze GVO.

Wij volgen de ontwikkelingen in het Canadese privacyrecht, inclusief de voorgestelde Consumer Privacy Protection Act (CPPA), en zullen onze overdrachtsmechanismen dienovereenkomstig bijwerken.

8. RECHTEN VAN BETROKKENEN

8.1 Bijstand bij Verzoeken

Wij zullen u bijstaan bij het beantwoorden van verzoeken van Betrokkenen die hun rechten uitoefenen onder de Toepasselijke Gegevensbeschermingswet, inclusief rechten op toegang, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar.

8.2 Kennisgeving

Als wij een verzoek rechtstreeks ontvangen van een Betrokkene met betrekking tot persoonsgegevens die namens u worden verwerkt, zullen wij u onmiddellijk op de hoogte stellen en niet op het verzoek reageren zonder uw instructies, tenzij vereist door toepasselijk recht.

8.3 Platformtools

Wij bieden tools binnen de Diensten om u te helpen bij het vervullen van verzoeken van Betrokkenen, waaronder:

• Toegang tot en beheer van gegevens die zijn opgeslagen in de databases van uw website
• Verwijdering van individuele records uit de databases van uw website
• Op verzoek kunnen wij gegevensexports in ZIP-formaat verstrekken om te helpen bij verplichtingen op het gebied van gegevensoverdraagbaarheid

9. GEGEVENSBEVEILIGING

9.1 Beveiligingsmaatregelen

Wij implementeren en handhaven passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Deze maatregelen omvatten:

• Versleuteling: Gegevens versleuteld tijdens overdracht via TLS/SSL en in rust met behulp van industriestandaard versleuteling
• Toegangscontrole: Op rollen gebaseerde toegangscontroles, meervoudige authenticatie voor platformbeheer, toegangsbeleid met minimale bevoegdheden
• Infrastructuurbeveiliging: Beheerde cloudinfrastructuur met geautomatiseerde beveiligingspatching, DDoS-bescherming en Web Application Firewall (WAF)
• Gegevensisolatie: Per-website gegevensisolatie via toegewezen opslaginstanties
• Monitoring: Geautomatiseerde beveiligingsmonitoring, inbraakdetectie en gestructureerde logging
• Referentiebeveiliging: Alle API-sleutels en geheimen opgeslagen in speciale diensten voor geheimenbeheer; gebruikerswachtwoorden gehasht met sterke cryptografische algoritmen met per-gebruiker salts
• Botbescherming: Proof-of-work uitdagingssystemen om geautomatiseerd misbruik te voorkomen

9.2 Vertrouwelijkheid

Wij zorgen ervoor dat alle personen die gemachtigd zijn om persoonsgegevens te verwerken gebonden zijn aan vertrouwelijkheidsverplichtingen.

10. MELDING VAN GEGEVENSINBREUKEN

10.1 Kennisgeving aan de Verwerkingsverantwoordelijke

Wij zullen u zonder onnodige vertraging na bevestiging van een inbreuk op persoonsgegevens die persoonsgegevens betreft die namens u worden verwerkt, op de hoogte stellen. Kennisgeving wordt verzonden naar de contactgegevens die zijn gekoppeld aan uw account.

10.2 Inhoud van de Kennisgeving

Onze inbreukmelding zal, voor zover beschikbaar, het volgende omvatten:

1. Een beschrijving van de aard van de inbreuk, inclusief categorieën en het geschatte aantal betrokken Betrokkenen en records;
2. De naam en contactgegevens van ons gegevensbeschermingscontact;
3. Een beschrijving van de waarschijnlijke gevolgen van de inbreuk;
4. Een beschrijving van de maatregelen die zijn genomen of voorgesteld om de inbreuk aan te pakken en de gevolgen ervan te beperken.

10.3 Uw Verplichtingen

U bent verantwoordelijk voor het informeren van de relevante toezichthoudende autoriteit en de betrokken Betrokkenen over een inbreuk op persoonsgegevens zoals vereist door de Toepasselijke Gegevensbeschermingswet. Wij zullen met u samenwerken en redelijke bijstand verlenen om u te helpen voldoen aan uw meldingsverplichtingen bij inbreuken.

11. AUDITS EN NALEVINGSVERIFICATIE

11.1 Nalevingsdocumentatie

Om onze naleving van deze DPA aan te tonen, stellen wij u op redelijk schriftelijk verzoek (maximaal eenmaal per jaar) het volgende ter beschikking:

1. Relevante auditrapporten van derden, certificeringen of samenvattingen van beveiligingsbeoordelingen;
2. Een samenvatting van onze huidige technische en organisatorische beveiligingsmaatregelen;
3. Informatie over onze verwerkingsactiviteiten, subverwerkers en gegevensbeschermingspraktijken.

Waar wij vertrouwen op infrastructuurproviders van derden (zoals AWS en Cloudflare), zijn hun beveiligingscertificeringen en nalevingsdocumentatie beschikbaar via hun respectievelijke vertrouwens- en nalevingsprogramma's.

11.2 Aanvullende vragen

Indien de documentatie op grond van sectie 11.1 uw nalevingszorgen niet redelijkerwijs adresseert, kunt u specifieke schriftelijke vragen indienen over onze gegevensbeschermingspraktijken, waarop wij binnen een redelijke termijn zullen reageren.

12. BEWARING EN VERWIJDERING VAN GEGEVENS

12.1 Tijdens de Overeenkomst

Wij bewaren persoonsgegevens die namens u worden verwerkt voor de duur van de Overeenkomst en in overeenstemming met uw instructies via de Diensten. Specifieke bewaartermijnen voor bezoekersgegevens zijn:

• Chatbotgesprekken op uw website: Bewaard gedurende dertig (30) dagen na de laatste interactie in elk gesprek. Gesprekken worden opgeslagen binnen bezoekerssessies op de edge-infrastructuur van de website en worden automatisch verwijderd wanneer de sessie verloopt wegens inactiviteit.
• Formulierinzendingen en door gebruikers gegenereerde inhoud op uw website: Bewaard voor de duur van de bijbehorende website, tenzij u ze eerder verwijdert via de platformtools.
• Sessiegegevens voor uw websitebezoekers: Automatisch verwijderd na 30 dagen inactiviteit.
• Verwijderde bezoekersinhoud (formulierinzendingen, opmerkingen en andere door gebruikers gegenereerde inhoud op uw website): Wanneer u bezoekersinhoud verwijdert via de platformtools, wordt deze verplaatst naar een zachte verwijderingsstatus en maximaal dertig (30) dagen bewaard ter ondersteuning van herstel. Na deze periode wordt zacht verwijderde inhoud permanent verwijderd. U kunt inhoud onmiddellijk permanent verwijderen door deze uit de herstelwachtrij te verwijderen.
• E-mail afmeldingsrecords op uw website: Bewaard voor de duur van de bijbehorende website, tenzij de ontvanger zich opnieuw aanmeldt. Afmeldingsrecords worden verwijderd wanneer de website wordt vernietigd.
• Analysegegevens: Bewaard voor de duur van de bijbehorende website (onderworpen aan op abonnement gebaseerde bewaarbeperkingen; analysegegevens van het gratis abonnement worden negentig (90) dagen bewaard).

12.2 Bij Beëindiging

Bij beëindiging van de Overeenkomst, of op uw verzoek, zullen wij persoonsgegevens die namens u worden verwerkt verwijderen in overeenstemming met de in de Overeenkomst beschreven gegevensbewaringspraktijken (inclusief de zeven (7) dagen respijtperiode voor het verwijderen van accounts en websites). Na de respijtperiode is verwijdering permanent en onomkeerbaar.

12.3 Uitzonderingen

Wij kunnen persoonsgegevens bewaren voor zover vereist door toepasselijk recht, of wanneer gegevens zijn geanonimiseerd en niet langer kunnen worden gekoppeld aan een Betrokkene.

13. LOOPTIJD EN BEËINDIGING

Deze GVO treedt in werking op de datum waarop u de Overeenkomst accepteert en blijft van kracht zolang wij persoonsgegevens namens u verwerken. De vertrouwelijkheids- en gegevensbeschermingsverplichtingen die in deze GVO zijn opgenomen, blijven van kracht na de beëindiging van de Overeenkomst.

14. BEPERKING VAN AANSPRAKELIJKHEID

De aansprakelijkheid van elke partij onder deze GVO is onderworpen aan de aansprakelijkheidsbeperkingen die zijn opgenomen in de Overeenkomst.

15. NEEM CONTACT MET ONS OP

Voor vragen over deze GVO of om uw rechten uit te oefenen, neem contact met ons op via:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefoon: 888-389-1189
E-mail: legal@acira.ai