Gegevensverwerkings- Bijlage

Begrippen met een hoofdletter die hier niet zijn gedefinieerd, hebben de betekenis die daaraan wordt gegeven in de AVG (Verordening (EU) 2016/679) en, waar van toepassing, de UK GDPR / Data Protection Act 2018, de California Consumer Privacy Act zoals gewijzigd door de CPRA (“CCPA”), en gelijkwaardige wetten in andere rechtsgebieden.

“Persoonsgegevens” zijn gegevens die door de Klant zijn ingediend of door de Dienst zijn gegenereerd en die een geïdentificeerde of identificeerbare natuurlijke persoon identificeren of op hem betrekking hebben. “Sub-verwerker” is een derde partij die door FixVibe is ingeschakeld om Persoonsgegevens namens FixVibe te verwerken — vermeld op /legal/privacy.

Elke partij is onafhankelijk verantwoordelijk voor de naleving van de gegevensbeschermingswetgeving die op haar van toepassing is. De Klant is de Verwerkingsverantwoordelijke en FixVibe is de Verwerker van Persoonsgegevens die onder deze Bijlage worden verwerkt. FixVibe verwerkt Persoonsgegevens uitsluitend op gedocumenteerde instructie van de Klant (de configuratie van de Dienst vormt dergelijke instructies), behalve wanneer de wet anders vereist.

FixVibe zorgt ervoor dat medewerkers die bevoegd zijn Persoonsgegevens te verwerken gebonden zijn aan vertrouwelijkheidsverplichtingen. Toegang tot productiegegevens is beperkt tot een beperkte subset van operationeel personeel met minimale rechten, gelogd via audit_logs en periodiek beoordeeld. FixVibe-medewerkers hebben geen toegang tot klantgegevens, behalve om supporttickets te onderzoeken, te reageren op beveiligingsincidenten of te voldoen aan juridische procedures.

FixVibe implementeert passende technische en organisatorische maatregelen in overeenstemming met GDPR Art. 32, waaronder:

• versleuteling van Persoonsgegevens tijdens overdracht (TLS 1.2+) en in rust (schijfniveau van de database + gerichte versleuteling op kolomniveau met AES-256-GCM voor geverifieerde scanheaders en OAuth-tokens);
• verplichte beveiliging op rijniveau voor elke databasetabel — applicatiecode kan niet per ongeluk over organisatiegrenzen heen lezen of schrijven;
• multi-factor authenticatie per gebruiker via de upstream OAuth-provider (Google of GitHub) wanneer de Klant kiest voor sociale aanmelding;
• continue statische analyse en kwetsbaarheidsscanning van afhankelijkheden van de FixVibe-codebase zelf;
• back-ups via de databaseprovider met herstel op een bepaald tijdstip; jaarlijks getest;
• gedefinieerde bewaartermijnen (zie Privacybeleid) die worden afgedwongen door een geautomatiseerde dagelijkse cron, niet een papieren belofte.

De Klant machtigt FixVibe om de Sub-verwerkers te gebruiken die zijn vermeld in het Privacybeleid voor de daar beschreven doeleinden. FixVibe sluit een schriftelijk contract met elke Sub-verwerker dat gegevensbeschermingsverplichtingen oplegt die niet minder beschermend zijn dan die in deze Bijlage, en blijft aansprakelijk tegenover de Klant voor de handelingen en nalatigheden van de Sub-verwerker met betrekking tot de verwerking van Persoonsgegevens.

FixVibe stelt de Klant (via een melding in de app of per e-mail) ten minste 30 dagen van tevoren op de hoogte van elke voorgenomen toevoeging of vervanging van Sub-verwerkers, zodat de Klant de gelegenheid heeft bezwaar te maken. Als de Klant bezwaar maakt op redelijke gronden van gegevensbescherming, kan de Klant de Dienst beëindigen met betrekking tot de betrokken verwerking.

FixVibe verwerkt Persoonsgegevens voornamelijk in de Verenigde Staten. Waar Persoonsgegevens worden overgedragen vanuit de EER, het VK of Zwitserland naar een derde land dat geen adequaatheidsbesluit heeft ontvangen, vertrouwt FixVibe op:

• de Standaard Contractuele Clausules van de Europese Commissie (Decision (EU) 2021/914), Module 2 (verwerkingsverantwoordelijke naar verwerker), opgenomen in deze Bijlage door verwijzing;
• de International Data Transfer Addendum van het VK bij de EU SCCs (of de standalone IDTA), zoals gepubliceerd door de ICO;
• de aanvullende technische en organisatorische maatregelen beschreven in Sectie 4.

De Klant machtigt FixVibe om namens de Klant de SCCs / IDTA af te sluiten met elke verdere Sub-verwerker.

FixVibe helpt de Klant (rekening houdend met de aard van de verwerking en de beschikbare informatie) om te reageren op verzoeken van betrokkenen onder Articles 15–22 GDPR. De meeste rechten zijn zelfbedieningsrecht via Account → Privacy; voor resterende verzoeken kan de Klant een e-mail sturen naar support@fixvibe.app met als onderwerp “Privacy request”. We reageren binnen 30 dagen.

FixVibe stelt de Klant zonder onnodige vertraging (en in elk geval binnen 72 uur nadat hij hiervan op de hoogte is gesteld) op de hoogte van een inbreuk op persoonsgegevens die gevolgen heeft voor de Persoonsgegevens van de Klant, en verstrekt daarbij de informatie die de Klant redelijkerwijs nodig heeft om te voldoen aan zijn eigen Article 33 / 34-verplichtingen, waaronder de aard van de inbreuk, categorieën en het geschatte aantal betrokkenen en records, mogelijke gevolgen en de genomen of voorgestelde maatregelen om de inbreuk aan te pakken.

FixVibe stelt de Klant de informatie ter beschikking die nodig is om de naleving van deze Bijlage aan te tonen, waaronder dit document, het Privacybeleid, het Beleid acceptabel gebruik, de Voorwaarden en eventuele externe beveiligingsrapporten die we bezitten (we delen deze op verzoek onder NDA). FixVibe staat audits toe, inclusief inspecties, uitgevoerd door de Klant of een andere door de Klant gemandateerde auditor, op redelijke voorafgaande kennisgeving en tijdens kantooruren, maximaal één keer per kalenderjaar (behalve wanneer een toezichthouder dit anders vereist of bij een inbreuk op persoonsgegevens).

Bij beëindiging van de Dienst verwijdert of retourneert FixVibe, naar keuze van de Klant, alle Persoonsgegevens die namens de Klant zijn verwerkt binnen 30 dagen, behalve voor zover FixVibe wettelijk verplicht is deze te bewaren (bijv. belasting-/factureringsgegevens). De zelfbedieningsflow voor accountverwijdering via Account → Privacy activeert dit onmiddellijk.

Voor de doeleinden van de CCPA is FixVibe een “Dienstverlener” en is de Klant een “Bedrijf” met betrekking tot Persoonsgegevens die onder deze Bijlage worden verwerkt. FixVibe zal niet:

• Persoonsgegevens verkopen of delen (zoals die termen zijn gedefinieerd onder de CCPA);
• Persoonsgegevens bewaren, gebruiken of openbaar maken voor enig ander doel dan het specifieke zakelijke doel van het verlenen van de Dienst, ook niet buiten de directe zakelijke relatie tussen FixVibe en de Klant;
• Persoonsgegevens ontvangen van de Klant combineren met Persoonsgegevens ontvangen van een andere bron, behalve voor zover uitdrukkelijk toegestaan door de CCPA.

FixVibe verklaart dat het deze beperkingen begrijpt en zal naleven.

In geval van conflict tussen deze Bijlage en de Servicevoorwaarden heeft deze Bijlage voorrang voor zover het conflict reikt. De SCCs / IDTA hebben voorrang op beiden waar ze van toepassing zijn.

Voor alle gegevensbeschermingskwesties, inclusief de uitoefening van rechten van betrokkenen en vragen over Sub-verwerkers, neem contact op met EGO HERO LLC:

• e-mail: support@fixvibe.app (gebruik onderwerpregel “DPA” voor routing)
• post: adres beschikbaar op verzoek via bovenstaand e-mailadres