Overslaan naar inhoud
Nederlands
Ga naar www.movetohappiness.com
  • Er zijn geen suggesties want het zoekveld is leeg.

GEGEVENSBIJLAGE AI-EXPERT COACH

Deze regeling maakt integraal deel uit van de Servicevoorwaarden Expert AI Coach (hierna de “Overeenkomst”) tussen Move To Happiness Hub bv (“MTH”) en de Expert.

1. Definities

“Algemene Verordening Gegevensbescherming” of “AVG” betekent de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

“Betrokkene” betekent de identificeerbare natuurlijke persoon wiens Persoonsgegevens verwerkt worden via de AI Coach, zijnde de Eindgebruiker.

“Datalek” betekent een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

“Persoonsgegevens” betekent alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die via de AI Coach wordt verwerkt.

“Privacywetgeving” betekent de volledige Belgische en Europese wetgeving van toepassing op gegevensbescherming, waaronder de AVG.

“Subverwerker” betekent iedere derde partij die door MTH of de Expert wordt ingeschakeld om persoonsgegevens te verwerken ten behoeve van de AI Coach.

“Toezichthoudende Autoriteit” betekent in België de Gegevensbeschermingsautoriteit (GBA).

2. Voorwerp en Context

 2.1 MTH treedt op als enige verwerkingsverantwoordelijke in de zin van de AVG voor alle persoonsgegevens die worden verwerkt in het kader van het Platform en de AI Coach. De Expert is geen (mede-)verwerkingsverantwoordelijke. 

2.2 De Expert levert uitsluitend Content (expertise, methodieken, persona-instellingen) aan die door MTH wordt geïntegreerd in de AI Coach. De Expert:

  • bepaalt niet welke persoonsgegevens worden verzameld van Eindgebruikers;
  • heeft geen toegang tot ruwe persoonsgegevens, tenzij via het door MTH beheerde dashboard;
  • controleert geen technische verwerkingsprocessen;
  • bepaalt niet hoe lang persoonsgegevens worden bewaard.

2.3 Deze bijlage beschrijft de verplichtingen van MTH als verwerkingsverantwoordelijke en de beperkte verplichtingen van de Expert ten aanzien van vertrouwelijkheid en medewerking.

3. Verantwoordelijkheidsverdeling

MTH is verantwoordelijk voor:

  • De technische beveiliging van het Platform en de AI Modellen, inclusief versleuteling, toegangscontrole en monitoring;
  • De hosting en opslag van persoonsgegevens binnen de EER (Azure-infrastructuur);
  • Het bijhouden van het register van verwerkingsactiviteiten voor alle verwerkingen via het Platform en de AI Coach (artikel 30 AVG);
  • Het melden van Datalekken aan de Toezichthoudende Autoriteit binnen 72 uur na kennisname, voor zover het Datalek betrekking heeft op de platforminfrastructuur;
  • De technische implementatie van verzoeken van Betrokkenen (inzage, rectificatie, wissing, dataportabiliteit) via het Platform;
  • De verwerking van betalingsgegevens via Stripe Connect;
  • Het beheer van subverwerkers die worden ingezet voor platformdiensten (hosting, AI-infrastructuur, betalingsverwerking).
  • Het informeren van Betrokkenen over de verwerking van hun persoonsgegevens via de AI Coach, met name via een privacyverklaring die beschikbaar wordt gesteld aan Eindgebruikers;
  • Het verkrijgen van de vereiste rechtsgrond (met name toestemming of gerechtvaardigd belang) voor de inhoudelijke verwerkingen via de AI Coach;
  • Het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) indien vereist op grond van artikel 35 AVG;
  • De implementatie en het onderhoud van Guardrails op platformniveau;
  • Het beheren van bewaartermijnen per datacategorie.

De Expert is verantwoordelijk voor:

  • De Expert verbindt zich tot de volgende beperkte verplichtingen:

    • Vertrouwelijkheid: de Expert behandelt alle persoonsgegevens waartoe hij via het Platform toegang heeft als Vertrouwelijke Informatie en verwerkt deze niet voor eigen doeleinden;
    • Medewerking bij datalekken: de Expert meldt aan MTH elk vermoeden van een Datalek onverwijld en uiterlijk binnen 24 uur na kennisname;
    • Medewerking bij verzoeken: de Expert verleent medewerking aan MTH bij het beantwoorden van inhoudelijke vragen van Betrokkenen over het doel van de coaching;
    • Deontologie: de Expert leeft de beroepsregels en deontologische codes na die van toepassing zijn op de inhoudelijke dienstverlening;
    • Geen eigen verwerkingsregister: de Expert hoeft geen verwerkingsregister (Art. 30 AVG) bij te houden voor de verwerkingen via de AI Coach, aangezien MTH als enige verwerkingsverantwoordelijke dit register bijhoudt.

4. Contactpunt voor Betrokkenen

4.1 Overeenkomstig artikel 26 lid 1 AVG wijzen Partijen MTH aan als primair contactpunt voor Betrokkenen die hun rechten wensen uit te oefenen. Betrokkenen kunnen zich richten tot support@movetohappiness.com.

4.2 Onverminderd het voorgaande behoudt de Betrokkene het recht om zijn rechten uit te oefenen ten aanzien van en tegen iedere verwerkingsverantwoordelijke afzonderlijk, overeenkomstig artikel 26 lid 3 AVG.

4.3 Wanneer MTH een verzoek van een Betrokkene ontvangt dat geheel of gedeeltelijk betrekking heeft op de inhoudelijke verwerkingen van de Expert, zal MTH de Expert hiervan onverwijld op de hoogte stellen. De Expert verleent alle medewerking die nodig is om het verzoek binnen de wettelijke termijnen te beantwoorden.

4.4 Wanneer de Expert rechtstreeks een verzoek van een Betrokkene ontvangt, stelt de Expert MTH hiervan onverwijld op de hoogte. MTH verleent de technische medewerking die nodig is om het verzoek uit te voeren.

5. Categorieën van Persoonsgegevens

5.1 MTH wordt aangewezen als het enige contactpunt voor Betrokkenen die hun rechten wensen uit te oefenen. Betrokkenen kunnen zich richten tot support@movetohappiness.com.

5.2 Aangezien MTH de enige verwerkingsverantwoordelijke is, worden alle verzoeken van Betrokkenen door MTH behandeld. Indien een verzoek betrekking heeft op de inhoud van de coaching, kan MTH de Expert raadplegen voor inhoudelijke input.

5.3 Wanneer de Expert rechtstreeks een verzoek van een Betrokkene ontvangt, stuurt de Expert dit verzoek onverwijld door naar MTH. MTH behandelt het verzoek als verwerkingsverantwoordelijke.

6. Beveiliging

6.1 In het kader van de AI Coach verwerkt MTH de volgende categorieën persoonsgegevens:

Categorie

Gegevens

Bewaartermijn

Accountgegevens

Naam, e-mailadres, wachtwoord (gehasht)

Duur account + 90 dagen

Betalingsgegevens

Via Stripe Connect (geen volledige kaartgegevens)

Wettelijke bewaartermijn (7 jaar)

Technische gegevens

IP-adres, device-info, sessie, logs

90 dagen (rolling)

Conversatiegegevens

Inhoud gesprekken Eindgebruiker ↔ AI Coach

Duur abonnement + 90 dagen

Gebruiksgegevens

Frequentie, duur, aard interacties

Duur abonnement + 90 dagen

Wearable/gezondheidsgegevens

Hartslag, slaap, stress (via MTH-platform)

Duur abonnement + 90 dagen

Welzijnsgegevens (Art. 9 AVG)

Vrijwillig gedeeld door Eindgebruiker in coaching

Duur abonnement + 90 dagen

 

6.2 Alle hierboven genoemde persoonsgegevens worden verzameld, verwerkt en beheerd door MTH. De Expert heeft geen invloed op welke gegevens worden verzameld of hoe lang deze worden bewaard.

 6.3 Indien de AI Coach verwerking van bijzondere categorieën persoonsgegevens met zich meebrengt (met name gezondheidsgegevens), implementeert MTH aanvullende waarborgen, waaronder: uitdrukkelijke toestemming via het Consent Management Systeem, pseudonimisering waar mogelijk, versleuteling, strikte toegangscontrole, en een DPIA uitgevoerd door MTH.

6.4 De Expert informeert MTH voorafgaandelijk indien de Content is ontworpen om bijzondere categorieën persoonsgegevens te verwerken (bijv. specifieke gezondheidscoaching). MTH beoordeelt of aanvullende waarborgen nodig zijn.

7. Subverwerkers

7.1 MTH maakt gebruik van subverwerkers voor de levering van de platformdiensten. Een actuele lijst van subverwerkers is beschikbaar via het Platform of op verzoek van de Expert.

7.3 De Expert beveiligt de toegang tot zijn Expert account (sterk wachtwoord, MFA indien beschikbaar) en exporteert geen persoonsgegevens van Eindgebruikers buiten het Platform.

7.3 MTH sluit met iedere subverwerker een verwerkers overeenkomst die ten minste dezelfde gegevensbeschermingsverplichtingen bevat als deze regeling.

8. Datalekken

8.1 In geval van een Datalek informeert de Partij die als eerste kennis neemt van het Datalek de andere Partij onverwijld en uiterlijk binnen 24 uur na kennisname.

8.2 MTH draagt de verantwoordelijkheid voor de melding van het Datalek aan de Toezichthoudende Autoriteit overeenkomstig artikel 33 AVG, tenzij het Datalek uitsluitend betrekking heeft op verwerkingen waarvoor de Expert zelfstandig verantwoordelijk is.

8.3 Partijen verlenen elkaar alle noodzakelijke medewerking bij het onderzoeken en verhelpen van het Datalek en bij de communicatie met Betrokkenen overeenkomstig artikel 34 AVG.

9. Gegevensbeschermingseffectbeoordeling

9.1 In geval van een Datalek informeert MTH de Expert onverwijld en uiterlijk binnen 48 uur na kennisname.

9.2 MTH draagt de volledige verantwoordelijkheid voor de melding van het Datalek aan de Toezichthoudende Autoriteit overeenkomstig artikel 33 AVG en voor de communicatie met Betrokkenen overeenkomstig artikel 34 AVG.

9.3 De Expert meldt elk vermoeden van een Datalek onverwijld aan MTH. MTH onderzoekt en behandelt het Datalek als verwerkingsverantwoordelijke.

10. Internationale Doorgifte

10.1 MTH voert als enige verwerkingsverantwoordelijke de DPIA uit indien vereist op grond van artikel 35 AVG. De Expert hoeft geen eigen DPIA uit te voeren.

10.2 MTH kan de Expert raadplegen voor inhoudelijke input over het doel en de aard van de coaching, indien dit relevant is voor de risicobeoordeling.

10.3 De Expert informeert MTH voorafgaandelijk bij elke significante wijziging in de Content of het coachingmodel die een impact kan hebben op de verwerking van persoonsgegevens.

 

11. Bewaartermijnen

12.1 De concrete bewaartermijnen per datacategorie zijn opgenomen in de tabel in artikel 6.1.

 

12. Audit en Verantwoording

12.1 Elke Partij stelt de andere Partij alle informatie ter beschikking die nodig is om de naleving van deze regeling aan te tonen.

12.2 De Expert heeft het recht om, na voorafgaande schriftelijke kennisgeving van ten minste dertig (30) kalenderdagen, een audit te laten uitvoeren op de verwerkingsactiviteiten van MTH. Deze audit wordt uitgevoerd door een onafhankelijke derde partij die gebonden is aan geheimhoudingsverplichtingen.

12.3 De kosten van de audit zijn voor rekening van de Expert, tenzij de audit tekortkomingen aan het licht brengt die aan MTH toe te rekenen zijn.

13. Duur

13.1 Deze regeling treedt in werking op de Startdatum van de Overeenkomst en blijft van kracht zolang Partijen persoonsgegevens verwerken in het kader van de AI Coach.

13.2 De verplichtingen die naar hun aard bestemd zijn om na beëindiging voort te duren, blijven onverminderd van kracht, met name de verplichtingen inzake geheimhouding, beveiliging en medewerking bij de uitoefening van rechten van Betrokkenen.

14. Aansprakelijkheid

14.1 MTH is als enige verwerkingsverantwoordelijke aansprakelijk voor de naleving van de AVG met betrekking tot alle verwerkingen via het Platform en de AI Coach.

14.2 De Expert is uitsluitend aansprakelijk voor de inhoudelijke juistheid en rechtmatigheid van de Content die hij aanlevert, niet voor de verwerking van persoonsgegevens.

14.3 MTH vrijwaart de Expert voor alle vorderingen van Betrokkenen of de Toezichthoudende Autoriteit die voortvloeien uit de verwerking van persoonsgegevens via het Platform, tenzij de vordering het directe gevolg is van inhoudelijk onrechtmatige Content van de Expert 

15. Duur

15.1 Deze bijlage treedt in werking op de Startdatum van de Overeenkomst en blijft van kracht zolang MTH persoonsgegevens verwerkt in het kader van de AI Coach.

15.2 De verplichtingen die naar hun aard bestemd zijn om na beëindiging voort te duren, blijven onverminderd van kracht, met name de verplichtingen inzake geheimhouding, beveiliging en medewerking bij de uitoefening van rechten van Betrokkenen.