Over ons Diensten Vacatures Contact
Terug naar home

Verwerkt AxiOps persoonsgegevens in uw opdracht, bijvoorbeeld in een door ons gebouwd CRM-, offerte- of automatiseringsplatform, dan leggen we die afspraken vast in een verwerkersovereenkomst (DPA) conform artikel 28 AVG. De DPA wordt als Bijlage B bij de Overeenkomst gesloten en gaat voor persoonsgegevens boven onze algemene voorwaarden. Hieronder leest u de volledige tekst; per hoofdstuk staat een korte samenvatting in gewone taal.

Download als PDF (v1.0)

Leeswijzer. Onderstaande tekst is het model van onze verwerkersovereenkomst. Bij het aangaan van een overeenkomst worden de gegevens van de verwerkingsverantwoordelijke (u als opdrachtgever), de ingangsdatum en de bijlagen per klant ingevuld en ondertekend. Elk hoofdstuk sluit af met een korte samenvatting in gewone taal; bij verschil van interpretatie is de volledige tekst leidend.

01 · Partijen & definities

Wie spreken wat af?

Deze verwerkersovereenkomst ("DPA") wordt gesloten tussen AxiOps (Doornhoek 3745A, 5465 TA Veghel, KVK 96972912) als verwerker, en de opdrachtgever als verwerkingsverantwoordelijke.

1.1 Definities

AVG: Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming). Begrippen als persoonsgegevens, verwerken, betrokkene, verwerkingsverantwoordelijke, verwerker en datalek hebben de betekenis die de AVG daaraan geeft.

Overeenkomst: de hoofdovereenkomst tussen Partijen (waaronder de Service Level Agreement) op grond waarvan AxiOps het Systeem en de Diensten levert. Deze DPA is daarvan Bijlage B en maakt er integraal onderdeel van uit.

Systeem: de door AxiOps ontwikkelde en/of beheerde (SaaS-)oplossing(en), waaronder CRM-, offerte- en automatiseringsfunctionaliteit en waar van toepassing de website, zoals omschreven in de Overeenkomst.

Subverwerker: een door AxiOps ingeschakelde derde die in het kader van deze DPA persoonsgegevens verwerkt (Bijlage 2).

Gekoppelde Dienst: een systeem of dienst van een derde die Opdrachtgever zelf heeft gekozen of gecontracteerd en die op verzoek van Opdrachtgever aan het Systeem is gekoppeld (zie artikel 4.5).

Externe Databron: persoonsgegevens die Opdrachtgever van een derde betrekt en in het Systeem (laat) invoeren, waaronder aangekochte leadbestanden (zie artikel 3.3).

Voor overige begrippen die in deze DPA niet zijn gedefinieerd, gelden de definities uit de Algemene Voorwaarden van AxiOps.

1.2 Rolverdeling en rangorde

a Opdrachtgever is verwerkingsverantwoordelijke, AxiOps is verwerker. AxiOps verwerkt persoonsgegevens uitsluitend ten behoeve van Opdrachtgever en niet voor eigen doeleinden.

b De verwerkingen waarop deze DPA ziet (onderwerp, duur, aard, doel, categorieën betrokkenen en gegevens) zijn gespecificeerd in Bijlage 1.

c Bij onderlinge tegenstrijdigheid geldt de volgende rangorde, waarbij het eerstgenoemde document prevaleert: (1) deze DPA, uitsluitend voor zover het de verwerking van persoonsgegevens betreft; (2) de individuele Overeenkomst, inclusief bijlagen; (3) de SLA, inclusief bijlagen; (4) de Algemene Voorwaarden.

Kort gezegd: u bepaalt wat er met de gegevens gebeurt, wij verwerken ze alleen in uw opdracht. Voor persoonsgegevens gaat dit document boven de andere afspraken.

02 · Verwerking & instructies

Wij verwerken alleen in uw opdracht.

2.1 AxiOps verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van Opdrachtgever, ook wat betreft doorgiften aan derde landen of internationale organisaties, tenzij een Unierechtelijke of lidstaatrechtelijke bepaling AxiOps tot verwerking verplicht. In dat geval stelt AxiOps Opdrachtgever voorafgaand aan de verwerking in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

2.2 De Overeenkomst, deze DPA en het normale gebruik van het Systeem door Opdrachtgever gelden als de gedocumenteerde instructies. Aanvullende instructies worden schriftelijk overeengekomen; leiden zij tot extra werkzaamheden, dan geldt de meerwerkregeling uit de Overeenkomst.

2.3 AxiOps stelt Opdrachtgever onmiddellijk in kennis indien een instructie naar haar oordeel in strijd is met de AVG of andere gegevensbeschermingsbepalingen. AxiOps mag de uitvoering van die instructie opschorten totdat Partijen overeenstemming hebben bereikt.

2.4 Personen die onder gezag van AxiOps toegang hebben tot persoonsgegevens zijn gebonden aan een geheimhoudingsplicht, contractueel of uit hoofde van hun functie. Aanvullend geldt tussen Partijen de geheimhoudingsregeling van artikel 14 van de Algemene Voorwaarden.

2.5 Indien persoonsgegevens worden verwerkt met behulp van AI-functionaliteit, gebeurt dit uitsluitend overeenkomstig de instructies van Opdrachtgever en binnen de kaders van de AVG en deze DPA.

2.6 Wijzigingen van API's, software of diensten van derden kunnen leiden tot wijziging van de wijze van verwerking, zonder wijziging van de doeleinden van de verwerking. Dergelijke technische wijzigingen gelden niet als wijziging van de instructies van Opdrachtgever.

Kort gezegd: wij doen niets met uw data buiten uw opdracht om. Vinden wij een instructie in strijd met de AVG, dan trekken wij aan de bel voordat we hem uitvoeren.

03 · Verantwoordelijkheden opdrachtgever

Uw data, uw grondslag.

3.1 Opdrachtgever staat ervoor in dat de verwerking van persoonsgegevens in het Systeem rechtmatig is. Daaronder valt in ieder geval: het bestaan van een geldige verwerkingsgrondslag (artikel 6 AVG), het informeren van betrokkenen (artikelen 13 en 14 AVG), het naleven van de beginselen van artikel 5 AVG, het bijhouden van het verwerkingsregister, het uitvoeren van DPIA's waar vereist, en het afhandelen van verzoeken en bezwaren van betrokkenen.

3.2 Opdrachtgever voert geen bijzondere categorieën van persoonsgegevens (artikel 9 AVG), strafrechtelijke gegevens (artikel 10 AVG) of nationale identificatienummers in het Systeem in, tenzij Partijen dit uitdrukkelijk schriftelijk zijn overeengekomen en passende aanvullende maatregelen zijn getroffen.

3.3 Externe Databronnen en aangekochte leads

a Betrekt Opdrachtgever persoonsgegevens van derden, zoals aangekochte leadbestanden, gehuurde adresbestanden of andere Externe Databronnen, en worden deze in het Systeem ingevoerd (door Opdrachtgever zelf, door de leverancier of op instructie van Opdrachtgever door AxiOps), dan staat Opdrachtgever ervoor in dat: (i) voor die gegevens een geldige verwerkingsgrondslag bestaat; (ii) de betrokkenen conform artikel 14 AVG zijn of tijdig worden geïnformeerd over de verwerving en het gebruik van hun gegevens; (iii) bezwaren, afmeldingen en opt-outs worden gerespecteerd en verwerkt; en (iv) de herkomst van de gegevens is gedocumenteerd.

b Het invoeren of laten invoeren van een Externe Databron geldt als een gedocumenteerde instructie van Opdrachtgever aan AxiOps. AxiOps is niet gehouden en niet in staat de rechtmatigheid van Externe Databronnen te beoordelen; die beoordeling is en blijft de verantwoordelijkheid van Opdrachtgever.

c Bij een concrete en gemotiveerde aanwijzing dat een Externe Databron onrechtmatig is verkregen of verwerkt wordt, mag AxiOps Opdrachtgever om een onderbouwing vragen en, indien die uitblijft, de verwerking van de betreffende gegevens opschorten totdat de rechtmatigheid is toegelicht. AxiOps is niet aansprakelijk voor schade als gevolg van een dergelijke redelijke opschorting.

3.4 Opdrachtgever vrijwaart AxiOps tegen aanspraken van betrokkenen, toezichthouders of andere derden, waaronder boetes en dwangsommen, voor zover die voortvloeien uit het handelen of nalaten van Opdrachtgever als verwerkingsverantwoordelijke, waaronder het gebruik van Externe Databronnen zonder geldige grondslag. Deze vrijwaring geldt niet voor zover de aanspraak voortvloeit uit een tekortkoming van AxiOps in de nakoming van deze DPA of uit opzet of bewuste roekeloosheid van AxiOps.

Kort gezegd: koopt u ergens leads in en laat u die in het CRM zetten, dan bent u er zelf voor verantwoordelijk dat dat mag: geldige grondslag, betrokkenen informeren en opt-outs respecteren. Wij kunnen en hoeven dat niet te controleren, en claims daarover zijn voor uw rekening.

04 · Subverwerkers & gekoppelde diensten

Wie werken er onder de motorkap mee?

4.1 Opdrachtgever verleent AxiOps een algemene toestemming voor het inschakelen van Subverwerkers. De bij ingang van deze DPA ingeschakelde Subverwerkers staan in Bijlage 2.

4.2 AxiOps informeert Opdrachtgever ten minste dertig (30) dagen voorafgaand aan het toevoegen of vervangen van een Subverwerker. Opdrachtgever kan binnen die termijn schriftelijk en gemotiveerd bezwaar maken op redelijke, aan gegevensbescherming gerelateerde gronden. Partijen zoeken dan in overleg naar een redelijke oplossing; lukt dat niet, dan mag Opdrachtgever het betreffende onderdeel van de Diensten opzeggen tegen de datum waarop de wijziging ingaat.

4.3 AxiOps legt aan iedere Subverwerker verplichtingen op die gelijkwaardig zijn aan de verplichtingen in deze DPA, waaronder passende beveiligingsmaatregelen. Schiet een Subverwerker tekort in de nakoming daarvan, dan blijft AxiOps jegens Opdrachtgever verantwoordelijk voor die nakoming.

4.4 Het Systeem kan mede zijn opgebouwd met of draaien op diensten, platformen en componenten van derden die AxiOps daarvoor inschakelt (zoals hosting-, e-mailverzend- en ondertekendiensten). Voor zover die derden daarbij persoonsgegevens verwerken, zijn het Subverwerkers en vallen zij onder dit artikel en Bijlage 2.

4.5 Gekoppelde Diensten van Opdrachtgever

a Kiest of contracteert Opdrachtgever zelf een systeem of dienst van een derde (zoals een leadleverancier, boekhoudpakket, marketingtool of ander platform) en wordt die op verzoek van Opdrachtgever aan het Systeem gekoppeld, dan is die derde geen Subverwerker van AxiOps. Opdrachtgever is voor de verwerking door die Gekoppelde Dienst zelf verantwoordelijk, sluit waar nodig zelf een verwerkersovereenkomst met die derde en staat in voor de rechtmatigheid van de gegevensuitwisseling.

b Het (laten) inrichten van een koppeling met een Gekoppelde Dienst en de daaruit voortvloeiende gegevensstromen gelden als gedocumenteerde instructie van Opdrachtgever. AxiOps is niet verantwoordelijk voor de verwerking van persoonsgegevens door of binnen een Gekoppelde Dienst, noch voor de beschikbaarheid of werking daarvan.

Kort gezegd: partijen die wíj inschakelen om het Systeem te laten draaien (hosting, e-mail, ondertekening) zijn onze subverwerkers: die staan in Bijlage 2 en daar staan wij voor in. Diensten die ú zelf uitkiest en laat koppelen zijn uw eigen verantwoordelijkheid, inclusief de verwerkersafspraken met die partij.

05 · Beveiliging

Beveiliging volgens vaste uitgangspunten.

5.1 AxiOps treft passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doelen van de verwerking. De maatregelen zijn afgestemd op de uitgangspunten van ISO/IEC 27001 en beschreven in Bijlage 3.

5.2 AxiOps mag de maatregelen van tijd tot tijd aanpassen aan technische en organisatorische ontwikkelingen, mits het beveiligingsniveau daardoor niet wezenlijk vermindert.

5.3 Opdrachtgever is zelf verantwoordelijk voor een veilig gebruik van het Systeem aan zijn kant, waaronder het beheer van gebruikersaccounts en toegangsrechten, sterke wachtwoorden, het gebruik van beschikbare meerfactorauthenticatie en het tijdig intrekken van toegang van vertrokken medewerkers.

5.4 AxiOps mag beveiligings-, audit- en toegangslogs verwerken ten behoeve van beveiliging, continuïteit, incidentonderzoek en de naleving van wettelijke verplichtingen.

5.5 AxiOps is gerechtigd bij een (dreigend) beveiligingsincident, cyberaanval, misbruik of andere situatie die de veiligheid, beschikbaarheid of integriteit van haar systemen of de verwerkte persoonsgegevens in gevaar brengt, onmiddellijk passende technische en organisatorische maatregelen te treffen, waaronder het tijdelijk beperken of uitschakelen van functionaliteiten, accounts of toegang. Voor zover redelijkerwijs mogelijk informeert AxiOps Opdrachtgever hierover zo spoedig mogelijk. Hoofdstuk 06 blijft onverkort van toepassing.

Kort gezegd: wij beveiligen het platform volgens de maatregelen in Bijlage 3, en bij een (dreigende) aanval mogen wij direct ingrijpen om uw data te beschermen. U zorgt voor veilig gebruik aan uw kant: accounts, wachtwoorden en wie er toegang heeft.

06 · Datalekken

Als er iets misgaat, hoort u het snel.

6.1 AxiOps informeert Opdrachtgever zonder onredelijke vertraging, en uiterlijk binnen 48 uur na ontdekking, over een inbreuk in verband met persoonsgegevens die de door AxiOps beheerde systemen betreft. De melding bevat, voor zover op dat moment bekend: de aard van de inbreuk, de (vermoedelijke) categorieën betrokkenen en gegevens, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen. Informatie die later beschikbaar komt, wordt nagestuurd.

6.2 De beoordeling of een inbreuk moet worden gemeld aan de Autoriteit Persoonsgegevens en/of aan betrokkenen, en het doen van die meldingen, is de verantwoordelijkheid van Opdrachtgever. AxiOps meldt niet zelfstandig aan toezichthouder of betrokkenen, tenzij een wettelijke plicht dat vereist of Opdrachtgever daarom schriftelijk verzoekt.

6.3 AxiOps verleent redelijke medewerking aan het onderzoeken, beperken en documenteren van de inbreuk en houdt een eigen incidentenregister bij.

6.4 Niet ieder beveiligingsincident is een inbreuk in verband met persoonsgegevens (datalek). De meldplicht van dit hoofdstuk geldt uitsluitend voor inbreuken in verband met persoonsgegevens.

Kort gezegd: ontdekken wij een datalek in onze systemen, dan hoort u het binnen 48 uur met alles wat we op dat moment weten. De melding aan de Autoriteit Persoonsgegevens en aan betrokkenen doet u; wij leveren de informatie en helpen mee.

07 · Rechten van betrokkenen & bijstand

Verzoeken van betrokkenen.

7.1 Ontvangt AxiOps rechtstreeks een verzoek of klacht van een betrokkene over persoonsgegevens die zij voor Opdrachtgever verwerkt, dan stuurt zij dit zonder onredelijke vertraging door aan Opdrachtgever en handelt zij het verzoek niet zelfstandig inhoudelijk af.

7.2 AxiOps verleent Opdrachtgever, rekening houdend met de aard van de verwerking, redelijke bijstand bij het vervullen van diens plicht om verzoeken van betrokkenen te beantwoorden (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar). Waar mogelijk verwijst AxiOps daarbij naar de zelfbedieningsfunctionaliteit van het Systeem, waaronder de exportfunctie.

7.3 AxiOps verleent Opdrachtgever daarnaast redelijke bijstand bij de nakoming van de verplichtingen uit de artikelen 32 tot en met 36 AVG (beveiliging, datalekmeldingen, DPIA's en voorafgaande raadpleging), rekening houdend met de aard van de verwerking en de aan AxiOps beschikbare informatie.

7.4 Bijstand die verder gaat dan het gebruik van de standaardfunctionaliteit van het Systeem, waaronder handmatige exports, zoekopdrachten of rapportages door AxiOps, geldt als meerwerk en wordt vergoed conform het uurtarief uit de Overeenkomst, tenzij de bijstand nodig is als gevolg van een tekortkoming van AxiOps.

Kort gezegd: verzoeken van betrokkenen handelt u af; wij sturen door wat bij ons binnenkomt en helpen waar nodig. Voor de meeste verzoeken volstaat de exportfunctie in het Systeem; vraagt u ons om handwerk, dan is dat meerwerk.

08 · Doorgifte & audits

Binnen veilige kaders, controleerbaar.

8.1 Doorgifte buiten de EER

a AxiOps verwerkt persoonsgegevens binnen de Europese Economische Ruimte, tenzij in Bijlage 2 anders is vermeld of Partijen anders overeenkomen.

b Vindt doorgifte naar een land buiten de EER plaats, dan gebeurt dat uitsluitend met een geldig doorgiftemechanisme onder hoofdstuk V AVG, zoals een adequaatheidsbesluit of de standaardcontractbepalingen van de Europese Commissie, waar nodig aangevuld met passende aanvullende maatregelen.

8.2 Informatie en audits

a AxiOps stelt Opdrachtgever op verzoek alle informatie ter beschikking die redelijkerwijs nodig is om de nakoming van artikel 28 AVG en deze DPA aan te tonen, waaronder beschrijvingen van de getroffen maatregelen en, indien beschikbaar, certificeringen of auditrapportages van AxiOps of haar Subverwerkers.

b Volstaat die informatie aantoonbaar niet, dan mag Opdrachtgever maximaal éénmaal per twaalf maanden een audit (laten) uitvoeren door een onafhankelijke, aan geheimhouding gebonden deskundige, met een aankondigingstermijn van ten minste dertig (30) dagen, tijdens kantooruren en zonder onnodige verstoring van de bedrijfsvoering van AxiOps. Bij een concreet vermoeden van een datalek of wezenlijke tekortkoming kan een audit op kortere termijn plaatsvinden. AxiOps is niet gehouden gelijktijdige audits van meerdere opdrachtgevers te faciliteren; audits worden in redelijkheid gespreid.

c Ieder der Partijen draagt de eigen kosten van een audit. Blijkt uit de audit een wezenlijke tekortkoming van AxiOps, dan draagt AxiOps de redelijke kosten van de audit; AxiOps herstelt geconstateerde tekortkomingen binnen een redelijke termijn.

Kort gezegd: uw data blijft binnen de EER, tenzij Bijlage 2 anders zegt en dan alleen met geldige waarborgen. Controleren mag: eerst op basis van documentatie, en als dat niet volstaat via een aangekondigde audit.

09 · Aansprakelijkheid

Dezelfde grenzen als in de hoofdovereenkomst.

9.1 Op de aansprakelijkheid van Partijen onder deze DPA is de aansprakelijkheidsregeling uit de Overeenkomst en de Algemene Voorwaarden van toepassing, met inbegrip van de daarin opgenomen beperkingen en uitsluitingen.

9.2 In de onderlinge verhouding draagt iedere Partij de administratieve boetes en schadevergoedingen die het gevolg zijn van haar eigen niet-nakoming van de AVG in haar eigen rol: Opdrachtgever als verwerkingsverantwoordelijke, AxiOps als verwerker.

9.3 Niets in deze DPA beperkt de aansprakelijkheid van een Partij jegens betrokkenen voor zover artikel 82 AVG of ander dwingend recht een beperking niet toestaat, en evenmin de aansprakelijkheid voor schade als gevolg van opzet of bewuste roekeloosheid. Voor zover de AVG of ander dwingend recht anders bepaalt, prevaleert dat dwingende recht.

Kort gezegd: geen dubbele of afwijkende regeling: de aansprakelijkheidsgrenzen uit de hoofdovereenkomst gelden ook hier. Ieder draagt de gevolgen van fouten in de eigen rol, en wat de wet dwingend regelt blijft overeind.

10 · Duur, beëindiging & verwijdering

Netjes afronden.

10.1 Deze DPA treedt in werking op de ingangsdatum van de Overeenkomst en duurt zolang AxiOps persoonsgegevens voor Opdrachtgever verwerkt. Beëindiging van de Overeenkomst geldt als beëindiging van deze DPA, met dien verstande dat de bepalingen die naar hun aard voortduren (waaronder geheimhouding en dit artikel) van kracht blijven.

10.2 Na beëindiging van de Overeenkomst geeft AxiOps, ter keuze van Opdrachtgever, de persoonsgegevens terug of verwijdert deze, tenzij een wettelijke plicht opslag vereist. Opdrachtgever kan gegevens tot de einddatum zelf exporteren via de exportfunctie; een teruggave-actie door AxiOps kan als meerwerk in rekening worden gebracht conform de Overeenkomst.

10.3 Persoonsgegevens die niet zijn teruggevraagd, worden uiterlijk negentig (90) dagen na beëindiging verwijderd uit de actieve systemen. Persoonsgegevens in back-ups worden niet afzonderlijk verwijderd, maar overschreven of vernietigd conform het reguliere back-uprotatieschema van AxiOps of haar hostingpartij; tot dat moment blijven zij beveiligd opgeslagen, worden zij niet actief verwerkt en blijft deze DPA daarop onverkort van toepassing.

Kort gezegd: na afloop kiest u: gegevens terug of wissen. Wat u niet opvraagt, verwijderen wij binnen 90 dagen uit de actieve systemen; back-ups roteren volgens het vaste schema uit en blijven tot die tijd beveiligd.

11 · Slotbepalingen & ondertekening

Let's connect the dots.

11.1 Wijzigingen van deze DPA zijn alleen geldig als ze Schriftelijk zijn overeengekomen. Wijziging van deze DPA kan noodzakelijk zijn als gevolg van wijzigingen in privacywet- en regelgeving of richtsnoeren van toezichthouders; Partijen werken daaraan in redelijkheid mee. Indien Europese of nationale wet- en regelgeving, waaronder de AI-verordening (AI Act) of de NIS2-richtlijn, aanvullende verplichtingen oplegt, zullen Partijen in redelijkheid meewerken aan noodzakelijke aanpassingen zonder wijziging van de kern van de afspraken. Is een bepaling ongeldig, dan blijft de rest van kracht en vervangen Partijen die bepaling door een geldige variant met dezelfde strekking.

11.2 Op deze DPA is uitsluitend Nederlands recht van toepassing. Geschillen worden bij uitsluiting voorgelegd aan de bevoegde rechter van de Rechtbank Oost-Brabant, locatie 's-Hertogenbosch, onverminderd het recht van AxiOps om Opdrachtgever te dagvaarden voor de volgens de wet bevoegde rechter.

De DPA wordt in tweevoud ondertekend door AxiOps (verwerker) en Opdrachtgever (verwerkingsverantwoordelijke) en vormt Bijlage B bij de Overeenkomst tussen Partijen.

Kort gezegd: wijzigingen alleen schriftelijk, Nederlands recht is van toepassing en de DPA wordt door beide partijen ondertekend als vaste bijlage bij de overeenkomst.

Bijlage 1 · Verwerkingsspecificatie

Wat wij voor u verwerken.

OnderwerpHet hosten, beschikbaar houden, beheren en ondersteunen van het Systeem (CRM-, offerte- en automatiseringsplatform, waar van toepassing inclusief website).
DuurDe looptijd van de Overeenkomst, plus de afrondingsperiode van artikel 10.
Aard en doelOpslag, hosting, weergave, structurering, doorzending (waaronder e-mail en gekoppelde workflows), back-up en technisch beheer, uitsluitend voor de bedrijfsvoering van Opdrachtgever: relatiebeheer, offerte- en orderafhandeling, marketing- en salesopvolging en communicatie met relaties.
Categorieën betrokkenenLeads en prospects (waaronder personen uit Externe Databronnen zoals aangekochte leadbestanden), klanten en hun contactpersonen, leveranciers en hun contactpersonen, en gebruikers/medewerkers van Opdrachtgever met een account in het Systeem.
Categorieën persoonsgegevensNaam, functie en bedrijfsgegevens; contactgegevens (adres, e-mail, telefoon); offerte-, order- en factuurgegevens; communicatie en notities; accountgegevens van gebruikers; technische gegevens zoals loggegevens en IP-adressen.
Bijzondere categorieënGeen. Het Systeem is daar niet voor bedoeld en Opdrachtgever voert deze niet in (artikel 3.2).

Kort gezegd: wij verwerken de relatie-, offerte- en gebruikersgegevens die in uw CRM thuishoren, inclusief ingekochte leads die u daarin laat zetten, en niets bijzonders of gevoeligs daarbuiten.

Bijlage 2 · Subverwerkers

Ingeschakelde subverwerkers.

Bijlage 2 bevat het actuele overzicht van de Subverwerkers die AxiOps inschakelt voor het Systeem, met per Subverwerker de dienst en de locatie van verwerking. Denk aan de hostingprovider (hosting en infrastructuur inclusief back-ups), de digitale ondertekendienst en de e-mailverzendservice. Dit overzicht wordt per klant ingevuld en actueel gehouden; wijzigingen worden aangekondigd conform artikel 4.2. Gekoppelde Diensten die Opdrachtgever zelf heeft gecontracteerd (artikel 4.5) zijn geen Subverwerkers en staan niet in deze bijlage.

Kort gezegd: in Bijlage 2 staat precies welke partijen wij inschakelen, wat ze doen en waar uw data staat. Verandert daar iets, dan hoort u dat minimaal 30 dagen vooraf.

Bijlage 3 · Beveiligingsmaatregelen

Technische en organisatorische maatregelen.

AxiOps hanteert ten minste de volgende maatregelen, afgestemd op de uitgangspunten van ISO/IEC 27001 en artikel 32 AVG:

Kort gezegd: versleuteld transport, strikte toegang, MFA, updates, logging, back-ups en een vaste procedure als er toch iets misgaat.

Vragen over deze verwerkersovereenkomst? Mail naar info@axiops.nl: wij reageren doorgaans binnen één werkdag.