Algemene Verordening Gegevensbescherming

OPMERKING: Bij deze vertaling is geprobeerd zo letterlijk mogelijk te zijn zonder de algehele samenhang in gevaar te brengen. Onvermijdelijk kunnen er verschillen optreden in de vertaling, en indien dit het geval is, zal de Engelse versie juridisch bindend zijn.

Laatst bijgewerkt: 25 / 02 / 2026

Deze Overeenkomst voor gegevensverwerking ("AVG/DPA") wordt gesloten tussen en door:

De Klant ("Verantwoordelijke" of "U"), de rechtspersoon of natuurlijke persoon die zich heeft geabonneerd op de Diensten geleverd door AhaSend;

en

AhaSend B.V., een in Nederlands geregistreerde besloten vennootschap met ondernemingsnummer 99533111, met statutaire zetel te Willem Fenengastraat 16, Amsterdam in Nederland, handelend onder de naam ahasend.com ("Verwerker," "AhaSend," "Wij," "Ons," of "Onze").

Deze DPA is opgenomen in en vormt een integraal onderdeel van de AhaSend Gebruiksvoorwaarden ("Terms") beschikbaar op https://ahasend.com/terms, en is van toepassing voor zover de Verwerker Persoonsgegevens verwerkt namens de Verantwoordelijke in het kader van het leveren van de Diensten.

Verantwoordelijke en Verwerker worden hierna gezamenlijk aangeduid als de "Partijen" en afzonderlijk als een "Partij."

Door gebruik te maken van de Diensten aanvaardt de Verantwoordelijke deze DPA.

1. Begripsbepalingen

Voor de doeleinden van deze DPA:

1. "Toepasselijk gegevensbeschermingsrecht" betekent alle wetten en regelgeving die van toepassing zijn op de Verwerking van Persoonsgegevens op grond van deze DPA, met inbegrip van maar niet beperkt tot de Algemene verordening gegevensbescherming (EU) 2016/679 ("GDPR"), en enige nationale uitvoeringswetgeving (inclusief de Nederlandse AVG).

2. "Verantwoordelijke" heeft de betekenis zoals gegeven in de GDPR, en voor de doeleinden van deze DPA verwijst dit naar de Klant.

3. "Datalek" betekent een inbreuk op de beveiliging die leidt tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van, of toegang tot, Persoonsgegevens die door Verwerker of haar Subverwerkers worden verzonden, opgeslagen of anderszins Verwerkt in verband met het verlenen van de Diensten.

4. "Betrokkene" heeft de betekenis zoals gegeven in de GDPR, en voor de doeleinden van deze DPA verwijst dit primair naar de Ontvangers.

5. "Persoonsgegevens" heeft de betekenis zoals gegeven in de GDPR, en voor de doeleinden van deze DPA betekent het alle Persoonsgegevens die door Verwerker worden Verwerkt namens de Verantwoordelijke in verband met de Diensten, zoals nader beschreven in Bijlage 1.

6. "Verwerking" (en de verwante termen "Verwerk", "Verwerkt") heeft de betekenis zoals gegeven in de GDPR.

7. "Verwerker" heeft de betekenis zoals gegeven in de GDPR, en voor de doeleinden van deze DPA verwijst dit naar AhaSend (AhaSend B.V.).

8. "Ontvanger" betekent een eindgebruiker of abonnee van de Verantwoordelijke naar wie de Verantwoordelijke e-mails stuurt met gebruikmaking van de Diensten.

9. "Diensten" betekent de transactionele e-maildiensten geleverd door AhaSend aan de Verantwoordelijke op grond van de Terms.

10. "Standaard contractuele clausules" of "SCCs" betekent de standaard contractuele clausules voor de overdracht van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad, zoals vastgesteld door de Europese Commissie.

11. "Sub-verwerker" betekent iedere derde partij die door de Verwerker wordt ingeschakeld om Persoonsgegevens te Verwerken in verband met de Diensten.

12. "Toezichthoudende autoriteit" betekent een onafhankelijke openbare autoriteit die is opgericht door een lidstaat van de EU overeenkomstig artikel 51 van de GDPR.

2. Omvang en Doeleinden van de Verwerking

1. Verwerker zal Persoonsgegevens verwerken namens de Verantwoordelijke uitsluitend ten behoeve van het leveren van de Diensten zoals beschreven in de Terms en deze DPA, en in overeenstemming met de gedocumenteerde rechtmatige instructies van de Verantwoordelijke.
2. Onderwerp, duur, aard en doeleinden van de Verwerking, evenals de typen Persoonsgegevens die worden Verwerkt en categorieën van Betrokkenen, zijn verder gespecificeerd in Bijlage 1 (Details van Verwerking) bij deze DPA. 

3. Verplichtingen van de Verwerker

Verwerker stemt ermee in en garandeert dat zij zal:

1. Verwerkingsinstructies: Persoonsgegevens uitsluitend verwerken op gedocumenteerde instructies van de Verantwoordelijke, inclusief met betrekking tot doorgiften van Persoonsgegevens naar een derde land of een internationale organisatie, tenzij Verwerker daartoe verplicht is op grond van Unierecht of lidstaatrecht waaraan Verwerker is onderworpen; in dat geval zal Verwerker de Verantwoordelijke vóór verwerking informeren over die wettelijke verplichting, tenzij dat recht zodanige informatie verbiedt om belangrijke gronden van algemeen belang (artikel 28(3)(a) GDPR). De instructies van de Verantwoordelijke worden doorgaans gedocumenteerd in de Terms, deze DPA en via de configuratie en het gebruik van de Diensten door de Verantwoordelijke.
2. Vertrouwelijkheid: Zorgen dat personen die bevoegd zijn Persoonsgegevens te verwerken zich hebben verbonden tot vertrouwelijkheid of onder een passende wettelijke geheimhoudingsplicht vallen (artikel 28(3)(b) GDPR).
3. Beveiliging van verwerking: Passende technische en organisatorische maatregelen implementeren en onderhouden om een beveiligingsniveau passend bij het risico te waarborgen, in overeenstemming met artikel 32 GDPR en zoals nader uiteengezet in Bijlage 2 (Technische en Organisatorische Beveiligingsmaatregelen) bij deze DPA (artikel 28(3)(c) GDPR).
4. Sub-verwerking: Voldoen aan de voorwaarden zoals genoemd in secties 6 en artikel 28(2) en 28(4) GDPR voor het inschakelen van een andere verwerker (Sub-verwerker).
5. Rechten van Betrokkenen: Met inachtneming van de aard van de Verwerking, de Verantwoordelijke bijstaan door passende technische en organisatorische maatregelen, voor zover redelijkerwijs mogelijk, bij het vervullen van de verplichting van de Verantwoordelijke om te reageren op verzoeken tot uitoefening van de rechten van de Betrokkene zoals neergelegd in hoofdstuk III van de GDPR (artikel 28(3)(e) GDPR). Indien Verwerker rechtstreeks een verzoek van een Betrokkene ontvangt, zal Verwerker de Verantwoordelijke hiervan onverwijld op de hoogte stellen en niet rechtstreeks op het verzoek reageren, tenzij anders geïnstrueerd door de Verantwoordelijke of vereist door Toepasselijk gegevensbeschermingsrecht.
6. Assistentie aan Verantwoordelijke: De Verantwoordelijke bijstaan bij het waarborgen van naleving van zijn verplichtingen krachtens artikelen 32 tot 36 GDPR (beveiliging van verwerking, melding van Datalekken, gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging), rekening houdend met de aard van de Verwerking en de informatie die voor Verwerker beschikbaar is (artikel 28(3)(f) GDPR). Verwerker kan een redelijke vergoeding in rekening brengen voor dergelijke bijstand, behalve wanneer die bijstand vereist is vanwege een schending van deze DPA door Verwerker.
7. Verwijdering of teruggave van gegevens: Op keuze van de Verantwoordelijke alle Persoonsgegevens verwijderen of teruggeven aan de Verantwoordelijke na het einde van de verstrekking van Diensten met betrekking tot Verwerking, en bestaande kopieën verwijderen tenzij Unierecht of lidstaatrecht opslag van de Persoonsgegevens vereist (artikel 28(3)(g) GDPR). Het proces voor verwijdering of teruggave zal worden gestart bij beëindiging van het account van de Verantwoordelijke zoals bepaald in de Terms. Specifieke bewaartermijnen kunnen van toepassing zijn zoals uiteengezet in de Terms of in de standaardgegevensbewaarbeleid van Verwerker voor back-up en operationele continuïteit, mits dergelijke bewaring in overeenstemming is met Toepasselijk gegevensbeschermingsrecht.
8. Informatie en audits: Aan de Verantwoordelijke alle informatie beschikbaar stellen die nodig is om naleving van de verplichtingen krachtens artikel 28 GDPR aan te tonen en audits, inclusief inspecties, mogelijk maken en daaraan bijdragen, uitgevoerd door de Verantwoordelijke of een andere auditor gemachtigd door de Verantwoordelijke (artikel 28(3)(h) GDPR).
   1. Verwerker zal de Verantwoordelijke voorzien van door Verantwoordelijke redelijkerwijs gevraagde informatie om naleving van deze DPA door Verwerker te verifiëren.
   2. Audits zullen worden uitgevoerd op redelijke tijden, met redelijke voorafgaande kennisgeving aan Verwerker, en op een wijze die de bedrijfsvoering van Verwerker niet onredelijk belemmert. Verantwoordelijke draagt de eigen kosten van dergelijke audits. Indien een audit een materiële schending van deze DPA door Verwerker aan het licht brengt, draagt Verwerker de redelijke kosten van de audit, naast eventuele andere rechten of rechtsmiddelen waar Verantwoordelijke aanspraak op kan maken.
   3. Verwerker kan auditverzoeken afdoen door relevante derdenrapporten of certificeringen te verstrekken (bijv. ISO 27001, SOC 2) indien beschikbaar.

4. Verplichtingen van de Verantwoordelijke

Verantwoordelijke stemt ermee in en garandeert dat hij zal:

1. Voldoen aan alle Toepasselijke gegevensbeschermingswetten bij het gebruik van de Diensten en bij zijn eigen Verwerking van Persoonsgegevens.
2. Alleen aansprakelijk zijn voor de juistheid, kwaliteit en rechtmatigheid van de Persoonsgegevens en de wijze waarop deze zijn verkregen.
3. Zorgen dat er een rechtsgrond bestaat voor de Verwerking van de Persoonsgegevens die aan Verwerker worden verstrekt (bijv. toestemming van Betrokkenen, contractuele noodzaak).
4. Verwerker voorzien van wettelijke, gedocumenteerde instructies betreffende de Verwerking van Persoonsgegevens, en ervoor zorgen dat dergelijke instructies voldoen aan Toepasselijk gegevensbeschermingsrecht.
5. Verantwoordelijk zijn voor het verstrekken van alle noodzakelijke privacyverklaringen aan Betrokkenen en voor het verkrijgen van eventuele vereiste toestemmingen van Betrokkenen zoals vereist door Toepasselijk gegevensbeschermingsrecht.

5. Beveiligingsmaatregelen

Verwerker zal de technische en organisatorische beveiligingsmaatregelen implementeren en onderhouden zoals gespecificeerd in Bijlage 2 van deze DPA om Persoonsgegevens te beschermen tegen Datalekken. Verwerker kan deze maatregelen van tijd tot tijd bijwerken of aanpassen, mits dergelijke updates en aanpassingen niet leiden tot een materiële verslechtering van de algehele beveiliging van de Diensten.

6. Sub-verwerkers

1. Verantwoordelijke verleent algemene schriftelijke machtiging aan Verwerker om Sub-verwerkers in te schakelen voor het Verwerken van Persoonsgegevens namens de Verantwoordelijke in verband met de levering van de Diensten (artikel 28(2) GDPR).
2. Verwerker zal een actuele lijst van haar Sub-verwerkers bijhouden. Deze lijst is opgenomen in Bijlage 3 (Lijst van Sub-verwerkers) bij deze DPA en is tevens beschikbaar voor voortdurende inzage op https://ahasend.com/dpa. De online lijst wordt beschouwd als de meest actuele versie.
3. Verwerker zal de Verantwoordelijke informeren over voorgenomen wijzigingen met betrekking tot toevoeging of vervanging van andere Sub-verwerkers door de online lijst en Bijlage 3 bij te werken (indien haalbaar voor statische updates van het DPA-document zelf, hoewel de online lijst primair is voor wijzigingen) en de Verantwoordelijke een mechanisme te bieden om zich te abonneren op meldingen van dergelijke updates (indien beschikbaar), of op andere schriftelijke wijze (bijv. e-mail), waarmee de Verantwoordelijke de mogelijkheid krijgt om bezwaar te maken tegen dergelijke wijzigingen.
4. Verantwoordelijke kan binnen 14 dagen na berichtgeving over de wijziging schriftelijk bezwaar maken tegen de inschakeling van een nieuwe Sub-verwerker, mits een dergelijk bezwaar is gebaseerd op redelijke gronden met betrekking tot gegevensbescherming. Als Verantwoordelijke bezwaar maakt, zal Verwerker redelijke inspanningen leveren om de Verantwoordelijke een wijziging in de Diensten aan te bieden of een commercieel redelijke wijziging in de configuratie of het gebruik van de Diensten door Verantwoordelijke aan te bevelen om verwerking van Persoonsgegevens door de aangewezen nieuwe Sub-verwerker te vermijden. Indien Verwerker niet in staat is een dergelijke wijziging binnen een redelijke termijn beschikbaar te stellen, welke termijn niet langer zal zijn dan 30 dagen, kan Verantwoordelijke de betreffende Dienstabonnementen beëindigen met betrekking tot die Diensten die niet door Verwerker kunnen worden geleverd zonder gebruik van de aangewezen nieuwe Sub-verwerker door schriftelijke kennisgeving aan Verwerker.
5. Indien Verwerker een Sub-verwerker inschakelt, zal zij dit doen op basis van een schriftelijk contract dat de Sub-verwerker dezelfde gegevensbeschermingsverplichtingen oplegt als in deze DPA, in het bijzonder door voldoende garanties te bieden voor het implementeren van passende technische en organisatorische maatregelen op wijze dat de Verwerking voldoet aan de vereisten van de GDPR (artikel 28(4) GDPR).
6. Verwerker blijft volledig aansprakelijk tegenover Verantwoordelijke voor de uitvoering van de gegevensbeschermingsverplichtingen van die Sub-verwerker.

7. Melden van Datalekken

1. Verwerker zal de Verantwoordelijke zonder onredelijke vertraging informeren nadat zij kennis heeft genomen van een Datalek dat Persoonsgegevens betreft die namens de Verantwoordelijke zijn Verwerkt (artikel 33(2) GDPR).
2. Een dergelijke melding zal, voor zover mogelijk, het volgende omvatten:
   1. Een beschrijving van de aard van het Datalek, inclusief, waar mogelijk, de categorieën en een geschat aantal betrokken Betroffenen en de categorieën en een geschat aantal betrokken Persoonsgegevensrecords;
   2. De naam en contactgegevens van de functionaris gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
   3. Een beschrijving van de waarschijnlijke gevolgen van het Datalek;
   4. Een beschrijving van de maatregelen die door Verwerker zijn genomen of worden voorgesteld om het Datalek aan te pakken, inclusief, waar passend, maatregelen om de mogelijke nadelige gevolgen te beperken.
3. Indien en voor zover het niet mogelijk is om alle informatie tegelijk te verstrekken, kan de informatie phased worden verstrekt zonder onnodige verdere vertraging.
4. Verwerker zal met Verantwoordelijke samenwerken en redelijke commerciële stappen ondernemen zoals door Verantwoordelijke opgedragen om te helpen bij het onderzoeken, beperken en herstellen van elk dergelijk Datalek.
5. Verantwoordelijke is uitsluitend verantwoordelijk voor het naleven van eventuele verplichtingen tot derdenmelding die op hem van toepassing zijn in verband met een Datalek.

8. Internationale doorgiften van gegevens

1. Persoonsgegevens verwerkt onder deze DPA kunnen worden overgedragen aan en verwerkt in landen buiten de Europese Economische Ruimte (EER) door Verwerker of haar Sub-verwerkers, inclusief wanneer Verantwoordelijke kiest voor Diensten die infrastructuur in dergelijke derde landen gebruiken (bijv. optionele in de VS gebaseerde servers geleverd door Hetzner Online GmbH).
2. Elke doorgifte van Persoonsgegevens buiten de EER zal plaatsvinden in overeenstemming met de vereisten van Hoofdstuk V van de GDPR. Dit kan doorgiften omvatten:
   1. Naar een door de Europese Commissie erkend land dat een adequaat beschermingsniveau biedt;
   2. Naar een ontvanger in de Verenigde Staten die gecertificeerd is onder het EU-VS Data Privacy Framework (DPF);
   3. Onderworpen aan passende waarborgen, zoals de Standaard contractuele clausules (SCCs) vastgesteld door de Europese Commissie, aangevuld met een transfer impact assessment en eventuele noodzakelijke aanvullende maatregelen om te waarborgen dat de gegevens een beschermingsniveau genieten dat in wezen gelijk is aan dat gegarandeerd binnen de EER.
3. Indien de Standaard contractuele clausules worden gebruikt als overdrachtsmechanisme voor Persoonsgegevens op grond van deze DPA van de EER naar derde landen die niet onder een adequaatheidsbesluit vallen, zijn de volgende voorwaarden van toepassing:
   1. Module Twee (Controller naar Processor doorgiften): Deze voorwaarden zijn van toepassing wanneer de Verantwoordelijke een gegevensexporteur is en de Verwerker een gegevensimporteur die Persoonsgegevens verwerkt namens de Verantwoordelijke, en dergelijke verwerking een doorgifte van Persoonsgegevens naar de Verwerker in een derde land of naar een Sub-verwerker in een derde land namens de Verantwoordelijke inhoudt. Voor de doeleinden van Module Twee van de SCCs:
      1. Clausule 7 (Docking Clause) is niet van toepassing.
      2. Clausule 9(a) (Gebruik van sub-verwerkers) Optie 2 (Algemene schriftelijke machtiging) is van toepassing, en de termijn voor voorafgaande kennisgeving van wijzigingen in Sub-verwerkers zal zijn zoals vastgesteld in sectie 6(d) van deze DPA.
      3. Clausule 11(a) (Verhaal) De optionele tekst betreffende onafhankelijke geschillenbeslechting is niet van toepassing.
      4. Clausule 17 (Toepasselijk recht) Optie 1 is van toepassing, en de SCCs worden beheerst door het recht van Nederland.
      5. Clausule 18(b) (Keuze van forum en jurisdictie) Geschillen voortvloeiend uit de SCCs zullen worden beslecht voor de rechtbanken van Amsterdam, Nederland.
      6. Bijlage I.A (Partijen), I.B (Beschrijving van de doorgifte), I.C (Bevoegde toezichthoudende autoriteit), en Bijlage II (Technische en organisatorische maatregelen) van de SCCs worden geacht te zijn ingevuld met de informatie zoals opgenomen in Bijlage 1 en Bijlage 2 van deze DPA respectievelijk.
   2. Module Drie (Processor naar Processor doorgiften): Deze voorwaarden zijn van toepassing wanneer de Verwerker (AhaSend) een gegevensexporteur is en een Sub-verwerker (als gegevensimporteur) in een derde land inschakelt om Persoonsgegevens te verwerken namens de Verantwoordelijke. AhaSend verbindt zich ertoe Module Drie van de SCCs (of een gelijkwaardig overdrachtsmechanisme dat voldoet aan Hoofdstuk V GDPR) aan te gaan met een dergelijke Sub-verwerker. Voor de doeleinden van dergelijke Module Drie SCCs tussen AhaSend en haar Sub-verwerker:
      1. Clausule 7 (Docking Clause) is niet van toepassing.
      2. Clausule 9(a) (Gebruik van sub-verwerkers) Optie 2 (Algemene schriftelijke machtiging) is van toepassing. AhaSend zal de Verantwoordelijke informeren over voorgenomen wijzigingen betreffende toevoeging of vervanging van Sub-verwerkers zoals bepaald in sectie 6(c) en 6(d) van deze DPA.
      3. Clausule 11(a) (Verhaal) De optionele tekst betreffende onafhankelijke geschillenbeslechting is niet van toepassing.
      4. Clausule 17 (Toepasselijk recht) De SCCs worden beheerst door het recht van Nederland (of het recht van een andere lidstaat van de EU dat derdenbegunstigde rechten toestaat, indien van toepassing).
      5. Clausule 18(b) (Keuze van forum en jurisdictie) Geschillen zullen worden beslecht voor de rechtbanken van Amsterdam, Nederland (of een andere lidstaat van de EU, indien van toepassing).
      6. De bijlagen van dergelijke Module Drie SCCs worden ingevuld met relevante gegevens die de specifieke sub-verwerkingsactiviteiten weerspiegelen, en zorgen voor een beschermingsniveau consistent met deze DPA en het Toepasselijke gegevensbeschermingsrecht.

9. Aansprakelijkheid en schadeloosstelling

1.  De aansprakelijkheid van iedere Partij onder deze DPA is onderworpen aan de beperking en uitsluitingen van aansprakelijkheid zoals uiteengezet in de Terms.
2. Verantwoordelijke zal Verwerker schadeloosstellen en vrijwaren tegen alle aanspraken, vorderingen van derden, verliezen, schade en kosten die Verwerker of haar Sub-verwerkers lijden als gevolg van enige schending van deze DPA of het Toepasselijke gegevensbeschermingsrecht door Verantwoordelijke, of als gevolg van enige instructie gegeven door Verantwoordelijke die inbreuk maakt op het Toepasselijke gegevensbeschermingsrecht.

10. Looptijd en beëindiging

1. Deze DPA vangt aan op de datum waarop Verantwoordelijke instemt met de Terms en blijft van kracht zolang Verwerker Persoonsgegevens verwerkt namens Verantwoordelijke onder de Terms.
2. Beëindiging of verstrijken van de Terms zal deze DPA automatisch beëindigen.
3. Verplichtingen die naar hun aard bedoeld zijn om na beëindiging te blijven voortbestaan (zoals vertrouwelijkheid, teruggave of verwijdering van gegevens, aansprakelijkheid) blijven van kracht.

11. Toepasselijk recht en bevoegde rechtbank

Deze DPA en alle geschillen of vorderingen die daarin of in verband daarmee voortvloeien (inclusief niet-contractuele geschillen of vorderingen) worden beheerst door en geïnterpreteerd in overeenstemming met het recht van Nederland. De Partijen stemmen onherroepelijk toe dat de bevoegde rechtbanken in Amsterdam, Nederland exclusieve bevoegdheid hebben om enig geschil of vordering te beslechten dat voortvloeit uit of verband houdt met deze DPA.

12. Diverse bepalingen

1.  Kennisgevingen: Eventuele kennisgevingen op grond van deze DPA zullen geschieden overeenkomstig de kennisgevingsbepalingen in de Terms. Kennisgevingen aan Verwerker betreffende deze DPA dienen te worden gestuurd aan [email protected].
2. Scheiding: Indien enige bepaling van deze DPA door een rechtbank of bestuursorgaan met bevoegde jurisdictie ongeldig, niet-afdwingbaar of onwettig wordt bevonden, blijven de overige bepalingen van kracht.
3. Volledige overeenkomst: Deze DPA, samen met de Terms en het Privacybeleid, vormt de volledige overeenkomst tussen de Partijen met betrekking tot het onderwerp hiervan en vervangt alle eerdere en gelijktijdige overeenkomsten en besprekingen.
4. Wijzigingen: Verwerker kan deze DPA van tijd tot tijd wijzigen door de gewijzigde versie op haar website te plaatsen en, wanneer wijzigingen materieel zijn, door kennisgeving te geven aan Verantwoordelijke zoals uiteengezet in de Terms. Voortgezet gebruik van de Diensten na een dergelijke wijziging geldt als aanvaarding van de wijzigingen door Verantwoordelijke.

Bijlage 1: Details van Verwerking

Deze Bijlage 1 maakt deel uit van de DPA en beschrijft de Verwerking van Persoonsgegevens.

A. Partijenlijst

Gegevensexporteur (Verantwoordelijke):

• Naam: De Klant, zoals gedefinieerd in de AhaSend Terms of Use.
• Adres: Zoals verstrekt door de Klant tijdens accountregistratie of voor facturering, indien van toepassing. Indien geen adres wordt verzameld, is dit veld niet van toepassing voor die Klant.
• Naam contactpersoon, functie en contactgegevens: Zoals verstrekt door de Klant.
• Activiteiten relevant voor de onder deze Clausules overgedragen gegevens: Gebruik van de Diensten van AhaSend om transactionele e-mails naar haar Ontvangers te sturen.
• Handtekening en datum: Door akkoord te gaan met de Terms en deze DPA wordt de Klant geacht deze Bijlage te hebben ondertekend.
• Rol (controller/processor): Verantwoordelijke

Gegevensimporteur (Verwerker):

• Naam: AhaSend B.V. (handelend als ahasend.com)
• Adres: Willem Fenengastraat 16, 1096 BN Amsterdam, Nederland
• Naam contactpersoon, functie en contactgegevens: DPO, [email protected]
• Activiteiten relevant voor de onder deze Clausules overgedragen gegevens: Levering van transactionele e-maildiensten zoals beschreven in de Terms.
• Handtekening en datum: Door publicatie van deze DPA wordt AhaSend B.V. geacht deze Bijlage te hebben ondertekend.
• Rol (controller/processor): Verwerker

B. Beschrijving van de doorgifte / Verwerking

• Categorieën Betrokkenen wiens Persoonsgegevens worden Verwerkt:
  • Ontvangers van e-mails verzonden door de Verantwoordelijke via de Diensten (bijv. klanten, gebruikers, abonnees van de Verantwoordelijke).
• Categorieën Persoonsgegevens die worden Verwerkt:
  • Contactinformatie van Ontvangers: voornamelijk e-mailadressen. Kan ook namen omvatten indien door Verantwoordelijke verstrekt.
  • Inhoud van e-mails: de inhoud van transactionele e-mails verzonden door de Verantwoordelijke aan Ontvangers (indien de Verantwoordelijke opslag van content inschakelt; dit kan door de Verantwoordelijke worden uitgeschakeld).
  • E-mailmetadata en betrokkenheidsgegevens: informatie gerelateerd aan het verzenden van e-mails, zoals e-mailonderwerpen, afzender/ontvangerinformatie, bezorglogs (bezorgd, uitgesteld, gebounced), spamklachten (van Feedback Loops), tijdstempels, (en indien tracking door Verantwoordelijke wordt aangevraagd) IP-adressen van Ontvangers die interactie hebben met e-mails, user-agent strings en betrokkenheidsstatistieken (bijv. opens, clicks).
• Verwerking van gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of waarborgen:
  • Verwerker is voornemens geen Gevoelige Gegevens te Verwerken (zoals gedefinieerd in artikel 9 GDPR). Verantwoordelijke stemt ermee in de Diensten niet te gebruiken om Gevoelige Gegevens te verzenden of op te slaan, tenzij uitdrukkelijk schriftelijk anders overeengekomen met Verwerker en onder voorbehoud van eventuele aanvullende waarborgen die vereist kunnen zijn. Indien Verantwoordelijke Gevoelige Gegevens in e-mailinhoud opneemt, is Verantwoordelijke uitsluitend verantwoordelijk voor het waarborgen dat hij een rechtsgrond heeft voor een dergelijke Verwerking en voor het implementeren van passende waarborgen.
• Frequentie van de doorgifte (bijv. eenmalig of continu):
  • Continu, aangezien Verantwoordelijke gebruikmaakt van de Diensten.
• Aard van de Verwerking:
  • Verzameling, opslag, gebruik, overdracht, analyse (voor deliverability- en betrokkenheidsrapportage) en verwijdering van Persoonsgegevens zoals nodig om de Diensten te leveren, inclusief het verzenden van e-mails, het verstrekken van rapportages en analyses aan de Verantwoordelijke, troubleshooting en het voorkomen van misbruik. Verwerking vindt hoofdzakelijk plaats binnen de Europese Economische Ruimte (EER), tenzij Verantwoordelijke kiest voor specifieke diensten die infrastructuur in derde landen gebruiken (bijv. VS), zoals gedetailleerd in Bijlage 3 en onderhevig aan de internationale doorgiftemaatregelen zoals uiteengezet in sectie 8 van deze DPA.
• Doeleinden van de doorgifte en verdere Verwerking:
  • De Verantwoordelijke in staat stellen e-mails naar zijn Ontvangers te sturen.
  • De Verantwoordelijke voorzien van analytics en rapportage met betrekking tot e-mailbezorging en betrokkenheid.
  • De Diensten onderhouden en verbeteren, inclusief deliverability en beveiliging.
  • Voldoen aan wettelijke verplichtingen en misbruik van de Diensten voorkomen.
• Periode waarvoor de Persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria voor het bepalen van die periode:
  • Persoonsgegevens worden bewaard gedurende de duur van het gebruik van de Diensten door de Verantwoordelijke en voor zover nodig om de in deze DPA en de Terms beschreven doeleinden te vervullen.
  • Bij beëindiging van het account van de Verantwoordelijke worden Persoonsgegevens die namens de Verantwoordelijke zijn verwerkt verwijderd in overeenstemming met sectie 3(g) van deze DPA en het gegevensbewaarbeleid van de Verwerker, gewoonlijk binnen maximaal 90 dagen vanaf de datum van beëindiging, tenzij anders vereist door wet of voor legitieme operationele behoeften (bijv. tijdelijke bewaring van back-ups). Verantwoordelijke kan te allen tijde verwijdering van zijn gegevens verzoeken.
  • E-mailbetrokkenheidsgegevens (opens, clicks, bounces) kunnen langer worden bewaard in geaggregeerde of geanonimiseerde vorm voor statistische en serviceverbeteringsdoeleinden.
• Voor doorgiften aan (sub)verwerkers, specificeer ook onderwerp, aard en duur van de Verwerking:
  • Zoals gespecificeerd in de Sub-verwerkerlijst van Verwerker (gedetailleerd in Bijlage 3). Sub-verwerkers worden ingeschakeld voor doeleinden zoals cloudhosting, infrastructuurlevering, beveiligingsdiensten (CDN/WAF), e-mailbezorginfrastructuur (indien van toepassing) en analytics. De aard van de Verwerking door Sub-verwerkers is beperkt tot wat noodzakelijk is voor het leveren van hun diensten aan Verwerker zodat Verwerker de Diensten aan Verantwoordelijke kan leveren. De duur is zolang Verwerker gebruikmaakt van de diensten van de Sub-verwerker.

C. Bevoegde toezichthoudende autoriteit

• De bevoegde toezichthoudende autoriteit is de Nederlandse Autoriteit Persoonsgegevens, tenzij anders bepaald door Toepasselijk gegevensbeschermingsrecht op basis van de vestiging van de Verantwoordelijke.

Bijlage 2: Technische en organisatorische beveiligingsmaatregelen

Deze Bijlage 2 maakt deel uit van de DPA en beschrijft de technische en organisatorische beveiligingsmaatregelen die door Verwerker zijn geïmplementeerd.

Verwerker heeft passende technische en organisatorische maatregelen geïmplementeerd en zal deze onderhouden, ontworpen om Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking of toegang. Deze maatregelen waarborgen een beveiligingsniveau dat passend is bij het risico, rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de Verwerking evenals het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.

Maatregelen omvatten, maar zijn niet beperkt tot:

1. Toegangscontrole (fysiek en logisch):
   1. Maatregelen om te voorkomen dat onbevoegden toegang krijgen tot gegevensverwerkende systemen waar Persoonsgegevens worden verwerkt (bijv. veilige datacenters met beperkte toegang, kantoorbewaking).
   2. Maatregelen om te voorkomen dat gegevensverwerkende systemen zonder autorisatie worden gebruikt (bijv. sterke wachtwoorden, multi-factor authenticatie (MFA) waar passend voor bevoorrechte toegang, op rollen gebaseerde toegangscontrole, automatische schermvergrendeling).
   3. Maatregelen om te waarborgen dat personen die gerechtigd zijn een gegevensverwerkend systeem te gebruiken alleen toegang hebben tot de Persoonsgegevens waarvoor zij rechten hebben, en dat Persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder autorisatie tijdens Verwerking, gebruik en na opslag (bijv. gedetailleerde permissies, toegangslogging).
2. Gegevensvertrouwelijkheid (pseudonimisering en encryptie):
   1. Encryptie van Persoonsgegevens tijdens overdracht (bijv. gebruik van TLS/SSL voor gegevensoverdracht over openbare netwerken).
   2. Encryptie van Persoonsgegevens in rust waar passend en haalbaar (bijv. voor databaseback-ups, gevoelige configuratiebestanden).
   3. Overweging van pseudonimiseringsmethoden waar passend.
3. Gegevensintegriteit:
   1. Maatregelen om te waarborgen dat Persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder autorisatie tijdens elektronische overdracht of transport, en dat het mogelijk is te verifiëren en vast te stellen aan welke entiteiten een overdracht van Persoonsgegevens via transmissiefaciliteiten is bedoeld (bijv. gebruik van secure protocollen, integriteitscontroles).
   2. Maatregelen om te waarborgen dat het mogelijk is te verifiëren en vast te stellen of en door wie Persoonsgegevens in gegevensverwerkende systemen zijn ingevoerd, gewijzigd of verwijderd (bijv. logging van systeemtoegang en significante bewerkingen).
4. Beschikbaarheid en veerkracht:
   1. Maatregelen om te waarborgen dat Persoonsgegevens beschermd zijn tegen onopzettelijke vernietiging of verlies (bijv. regelmatige back-ups, geografisch redundante opslag voor kritieke gegevens waar haalbaar).
   2. Maatregelen om de mogelijkheid te waarborgen om beschikbaarheid en toegang tot Persoonsgegevens tijdig te herstellen in het geval van een fysiek of technisch incident (bijv. rampenherstel- en bedrijfscontinuïteitsplannen).
   3. Regelmatige tests, beoordelingen en evaluaties van de doeltreffendheid van technische en organisatorische maatregelen voor het waarborgen van de beveiliging van de Verwerking.
5. Dataminimalisatie en doelbinding:
   1. Processen om te waarborgen dat Persoonsgegevens die worden Verwerkt toereikend, relevant en beperkt zijn tot wat noodzakelijk is in relatie tot de doeleinden waarvoor zij worden Verwerkt.
6. Personeelsbeveiliging en training:
   1. Zorgen dat personeel dat bevoegd is Persoonsgegevens te Verwerken onder vertrouwelijkheidsverplichtingen valt.
   2. Het geven van gegevensbescherming- en beveiligingsbewustzijnstraining aan relevant personeel.
7. Incidentbeheer en reactie op Datalekken:
   1. Processen voor het detecteren, reageren op en melden van Datalekken in overeenstemming met sectie 7 van deze DPA.
8. Beheer van Sub-verwerkers:
   1. Due diligence processen voor het selecteren van Sub-verwerkers en contractuele verplichtingen om te waarborgen dat zij vergelijkbare gegevensbeschermingsnormen naleven.
9. Veilige softwareontwikkeling: Verwerker neemt beveiligingsoverwegingen op in haar softwareontwikkelingslevenscyclus. Standaardmaatregelen omvatten, maar zijn niet beperkt tot:
   1. Security by Design en Default: Beveiligingsoverwegingen integreren vanaf de initiële ontwerp- en architectuurfasen van nieuwe functies of systeemwijzigingen.
   2. Veilige coderingspraktijken: Naleving van industrieel erkende richtlijnen voor veilige codering (bijv. OWASP Top 10 aanbevelingen, SANS Top 25) om veelvoorkomende softwarekwetsbaarheden te voorkomen.
   3. Inputvalidatie: Robuuste validatie implementeren voor alle gebruikersinvoer en gegevens ontvangen van externe of niet-vertrouwde bronnen om injectieaanvallen (bijv. SQL-injectie, XSS) en andere invoergerelateerde kwetsbaarheden te voorkomen.
   4. Outputencoding: Correct encoderen van outputgegevens die aan gebruikers worden weergegeven of naar andere systemen worden doorgegeven om cross-site scripting (XSS) en soortgelijke kwetsbaarheden te voorkomen.
   5. Authenticatie- en autorisatiecontroles: Sterke authenticatiemechanismen implementeren voor toegang tot ontwikkel-, test- en productieomgevingen, en zorgen dat juiste autorisatiecontroles worden uitgevoerd voor alle acties en gegevensaccess binnen de applicatie.
   6. Sessiebeheer: Veilige sessiebeheerstechnieken toepassen, inclusief veilig cookiebeheer, sessietime-outs en bescherming tegen session fixation of hijacking.
   7. Afhankelijkheidsbeheer: Regelmatig derdepartijbibliotheken, frameworks en andere softwareafhankelijkheden beoordelen, bijwerken en patchen om bekende kwetsbaarheden aan te pakken.
   8. Kwetsbaarheidsscans en -testen: Regelmatige geautomatiseerde kwetsbaarheidsscans van de applicatie en infrastructuur uitvoeren. Periodieke handmatige securitybeoordelingen of penetratietesten kunnen worden uitgevoerd op basis van risico en schaal.
   9. Security patchmanagement: Een proces onderhouden voor de tijdige evaluatie en toepassing van beveiligingspatches voor onderliggende besturingssystemen, webservers, databases en andere softwarecomponenten.
   10. Logging en monitoring van beveiligingsgebeurtenissen: Voldoende logging van beveiligingsrelevante gebeurtenissen binnen de applicatie en infrastructuur implementeren om detectie, onderzoek en respons op potentiële beveiligingsincidenten mogelijk te maken.
   11. Wijzigingsbeheer: Een gedefinieerd wijzigingsbeheerproces volgen dat een beveiligingsreview en testen omvat voor significante code- of infrastructuurwijzigingen voordat deze in productie worden doorgevoerd.
   12. Ontwikkelaarstraining: Doorlopende beveiligingsbewustzijns- en veilige coderingstraining aan ontwikkelingspersoneel dat betrokken is bij het bouwen en onderhouden van de Diensten verstrekken.

Bijlage 3: Lijst van Sub-verwerkers

Deze Bijlage 3 maakt deel uit van de DPA en geeft informatie over de Sub-verwerkers die AhaSend (AhaSend B.V.) inschakelt om Persoonsgegevens namens de Verantwoordelijke te Verwerken in verband met de Diensten.

De meest actuele en volledige lijst van Sub-verwerkers, inclusief eventuele updates, wordt bijgehouden in de online versie van deze bijlage op https://ahasend.com/dpa

De onderstaande lijst geeft een indicatief overzicht van Sub-verwerkers gebruikt door AhaSend per de "Last Updated" datum van deze DPA. Verantwoordelijke erkent dat Verwerker de volgende categorieën Sub-verwerkers en specifieke entiteiten kan gebruiken: