Overslaan naar inhoud
Nederlands
Ga naar www.movetohappiness.com
  • Er zijn geen suggesties want het zoekveld is leeg.

REGELING GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKHEID

REGELING GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKHE Deze regeling maakt integraal deel uit van de Servicevoorwaarden Expert AI Coach (hierna de “Overeenkomst”) tussen Move To Happiness Hub bv (“MTH”) en de Expert. (Artikel 26 Algemene Verordening Gegevensbescherming)

1. Definities

“Algemene Verordening Gegevensbescherming” of “AVG” betekent de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

“Betrokkene” betekent de identificeerbare natuurlijke persoon wiens Persoonsgegevens verwerkt worden via de AI Coach, zijnde de Eindgebruiker.

“Datalek” betekent een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

“Persoonsgegevens” betekent alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die via de AI Coach wordt verwerkt.

“Privacywetgeving” betekent de volledige Belgische en Europese wetgeving van toepassing op gegevensbescherming, waaronder de AVG.

“Subverwerker” betekent iedere derde partij die door MTH of de Expert wordt ingeschakeld om persoonsgegevens te verwerken ten behoeve van de AI Coach.

“Toezichthoudende Autoriteit” betekent in België de Gegevensbeschermingsautoriteit (GBA).

2. Voorwerp en Context

2.1 MTH en de Expert treden op als gezamenlijke verwerkingsverantwoordelijken in de zin van artikel 26 AVG voor de persoonsgegevens die worden verwerkt in het kader van de AI Coach.

2.2 De gezamenlijke verwerkingsverantwoordelijkheid vloeit voort uit het feit dat zowel MTH als de Expert de doeleinden en middelen van de verwerking van persoonsgegevens via de AI Coach mede bepalen:

  • MTH bepaalt de technische middelen (Platform, AI Modellen, infrastructuur) en verwerkt persoonsgegevens ten behoeve van de werking van het Platform, accountbeheer, betalingsverwerking en platformanalytics;
  • De Expert bepaalt de inhoudelijke doeleinden van de AI Coach (type coaching, doelgroep, interactiemodel) en configureert de Content die de aard van de persoonsgegevensverwerking mede stuurt.

2.3 Deze regeling bepaalt de onderlinge verantwoordelijkheden van MTH en de Expert ten aanzien van de naleving van de AVG, in het bijzonder ten aanzien van de uitoefening van de rechten van Betrokkenen en de informatieverplichting jegens Betrokkenen.

3. Verantwoordelijkheidsverdeling

MTH is verantwoordelijk voor:

  • De technische beveiliging van het Platform en de AI Modellen, inclusief versleuteling, toegangscontrole en monitoring;
  • De hosting en opslag van persoonsgegevens binnen de EER (Azure-infrastructuur);
  • Het bijhouden van het register van verwerkingsactiviteiten voor de platformverwerkingen (artikel 30 AVG);
  • Het melden van Datalekken aan de Toezichthoudende Autoriteit binnen 72 uur na kennisname, voor zover het Datalek betrekking heeft op de platforminfrastructuur;
  • De technische implementatie van verzoeken van Betrokkenen (inzage, rectificatie, wissing, dataportabiliteit) via het Platform;
  • De verwerking van betalingsgegevens via Stripe Connect;
  • Het beheer van subverwerkers die worden ingezet voor platformdiensten (hosting, AI-infrastructuur, betalingsverwerking).
  • Het informeren van Betrokkenen over de verwerking van hun persoonsgegevens via de AI Coach, met name via een privacyverklaring die beschikbaar wordt gesteld aan Eindgebruikers;
  • Het verkrijgen van de vereiste rechtsgrond (met name toestemming of gerechtvaardigd belang) voor de inhoudelijke verwerkingen via de AI Coach;

De Expert is verantwoordelijk voor:

  • De inhoudelijke configuratie van de AI Coach en de impact daarvan op de verwerking van persoonsgegevens;
  • Het beantwoorden van inhoudelijke vragen van Betrokkenen over het doel en de aard van de gegevensverwerking via de AI Coach;
  • Het melden aan MTH van elk Datalek dat bij de Expert bekend wordt, onverwijld en uiterlijk binnen 24 uur na kennisname;
  • Het bijhouden van het register van verwerkingsactiviteiten voor de verwerkingen waarvoor de Expert de doeleinden bepaalt (artikel 30 AVG);
  • De naleving van de beroepsregels en deontologische codes die van toepassing zijn op de inhoudelijke dienstverlening via de AI Coach.

4. Contactpunt voor Betrokkenen

4.1 Overeenkomstig artikel 26 lid 1 AVG wijzen Partijen MTH aan als primair contactpunt voor Betrokkenen die hun rechten wensen uit te oefenen. Betrokkenen kunnen zich richten tot support@movetohappiness.com.

4.2 Onverminderd het voorgaande behoudt de Betrokkene het recht om zijn rechten uit te oefenen ten aanzien van en tegen iedere verwerkingsverantwoordelijke afzonderlijk, overeenkomstig artikel 26 lid 3 AVG.

4.3 Wanneer MTH een verzoek van een Betrokkene ontvangt dat geheel of gedeeltelijk betrekking heeft op de inhoudelijke verwerkingen van de Expert, zal MTH de Expert hiervan onverwijld op de hoogte stellen. De Expert verleent alle medewerking die nodig is om het verzoek binnen de wettelijke termijnen te beantwoorden.

4.4 Wanneer de Expert rechtstreeks een verzoek van een Betrokkene ontvangt, stelt de Expert MTH hiervan onverwijld op de hoogte. MTH verleent de technische medewerking die nodig is om het verzoek uit te voeren.

5. Categorieën van Persoonsgegevens

5.1 In het kader van de AI Coach kunnen de volgende categorieën persoonsgegevens worden verwerkt:

Platformgegevens (verantwoordelijkheid MTH):

  • Accountgegevens: naam, e-mailadres, wachtwoord (gehasht);
  • Betalingsgegevens: via Stripe Connect (MTH slaat geen volledige betaalkaartgegevens op);
  • Technische gegevens: IP-adres, device-informatie, sessiegegevens, logbestanden.

AI Coach-interactiegegevens (gezamenlijke verantwoordelijkheid):

  • Conversatiegegevens: de inhoud van gesprekken tussen Eindgebruiker en AI Coach;
  • Gebruiksgegevens: frequentie, duur en aard van interacties met de AI Coach;
  • Gezondheids- of welzijnsgegevens: voor zover de Eindgebruiker deze vrijwillig deelt in het kader van de coaching (bijzondere categorie, artikel 9 AVG).

5.2 Indien de AI Coach verwerking van bijzondere categorieën persoonsgegevens met zich meebrengt (met name gezondheidsgegevens), zijn Partijen verplicht om aanvullende waarborgen te implementeren, waaronder uitdrukkelijke toestemming van de Betrokkene en een gegevensbeschermingseffectbeoordeling (DPIA).

5.3 De Expert bepaalt door zijn configuratie van de AI Coach welke categorieën persoonsgegevens feitelijk worden verwerkt. De Expert is verplicht om MTH voorafgaandelijk te informeren indien de AI Coach is ontworpen om bijzondere categorieën persoonsgegevens te verwerken.

6. Beveiliging

6.1 Partijen nemen passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, overeenkomstig artikel 32 AVG.

6.2 MTH implementeert met name de volgende beveiligingsmaatregelen:

  • Hosting binnen de EER (Microsoft Azure);
  • Versleuteling van data in transit (TLS 1.3) en at rest (AES-256, RSA HSM 2048-bit);
  • Toegangscontrole via Entra ID met single sign-on en multi-factor authenticatie;
  • Continue monitoring en logging van platformactiviteiten;
  • Regelmatige penetratietests en vulnerability assessments.

6.3 De Expert implementeert passende beveiligingsmaatregelen voor de systemen en processen onder zijn controle, met name ten aanzien van de toegang tot het Expertaccount en de bescherming van Content die persoonsgegevens bevat.

7. Subverwerkers

7.1 MTH maakt gebruik van subverwerkers voor de levering van de platformdiensten. Een actuele lijst van subverwerkers is beschikbaar via het Platform of op verzoek van de Expert.

7.2 MTH zal de Expert voorafgaandelijk informeren over voorgenomen wijzigingen in de lijst van subverwerkers. De Expert heeft het recht om binnen dertig (30) kalenderdagen na kennisgeving gemotiveerd bezwaar te maken tegen een nieuwe subverwerker.

7.3 MTH sluit met iedere subverwerker een verwerkersovereenkomst die ten minste dezelfde gegevensbeschermingsverplichtingen bevat als deze regeling.

8. Datalekken

8.1 In geval van een Datalek informeert de Partij die als eerste kennis neemt van het Datalek de andere Partij onverwijld en uiterlijk binnen 24 uur na kennisname.

8.2 MTH draagt de verantwoordelijkheid voor de melding van het Datalek aan de Toezichthoudende Autoriteit overeenkomstig artikel 33 AVG, tenzij het Datalek uitsluitend betrekking heeft op verwerkingen waarvoor de Expert zelfstandig verantwoordelijk is.

8.3 Partijen verlenen elkaar alle noodzakelijke medewerking bij het onderzoeken en verhelpen van het Datalek en bij de communicatie met Betrokkenen overeenkomstig artikel 34 AVG.

9. Gegevensbeschermingseffectbeoordeling

9.1 Indien een gegevensbeschermingseffectbeoordeling (DPIA) vereist is op grond van artikel 35 AVG, voeren Partijen deze gezamenlijk uit. MTH levert de technische input met betrekking tot het Platform en de AI Modellen; de Expert levert de input met betrekking tot de inhoudelijke doeleinden en de aard van de coaching.

9.2 Partijen raadplegen elkaar voorafgaandelijk bij elke significante wijziging in de verwerking die een nieuwe of aanvullende DPIA kan vereisen.

10. Internationale Doorgifte

10.1 Persoonsgegevens worden door MTH verwerkt en opgeslagen binnen de Europese Economische Ruimte (EER).

10.2 Indien doorgifte van persoonsgegevens buiten de EER noodzakelijk is (bijv. voor specifieke subverwerkers), geschiedt dit uitsluitend op basis van een adequaatheidsbesluit van de Europese Commissie of met toepassing van passende waarborgen overeenkomstig hoofdstuk V van de AVG.

11. Bewaartermijnen

11.1 Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt.

11.2 Bij beëindiging van de Overeenkomst worden de persoonsgegevens van Eindgebruikers binnen negentig (90) kalenderdagen gewist, tenzij een wettelijke bewaarverplichting van toepassing is. De Expert kan voorafgaandelijk aan de wissing een export van de gegevens opvragen.

12. Audit en Verantwoording

12.1 Elke Partij stelt de andere Partij alle informatie ter beschikking die nodig is om de naleving van deze regeling aan te tonen.

12.2 De Expert heeft het recht om, na voorafgaande schriftelijke kennisgeving van ten minste dertig (30) kalenderdagen, een audit te laten uitvoeren op de verwerkingsactiviteiten van MTH. Deze audit wordt uitgevoerd door een onafhankelijke derde partij die gebonden is aan geheimhoudingsverplichtingen.

12.3 De kosten van de audit zijn voor rekening van de Expert, tenzij de audit tekortkomingen aan het licht brengt die aan MTH toe te rekenen zijn.

13. Duur

13.1 Deze regeling treedt in werking op de Startdatum van de Overeenkomst en blijft van kracht zolang Partijen persoonsgegevens verwerken in het kader van de AI Coach.

13.2 De verplichtingen die naar hun aard bestemd zijn om na beëindiging voort te duren, blijven onverminderd van kracht, met name de verplichtingen inzake geheimhouding, beveiliging en medewerking bij de uitoefening van rechten van Betrokkenen.