Functies Prijzen API-referentie

Verwerkersovereenkomst (DPA)

v1.0 -- Geldig vanaf maart 2026

Morlivo zet zich in voor de verwerking van persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("GDPR"), de UK GDPR en alle andere toepasselijke gegevensbeschermingswetten. Deze Verwerkersovereenkomst regelt de verwerking van persoonsgegevens door Morlivo ("Verwerker") namens onze klanten ("Verwerkingsverantwoordelijke").

1. Definities

Voor de doeleinden van deze Verwerkersovereenkomst:

  • "Persoonsgegevens" betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in Artikel 4(1) van de GDPR
  • "Verwerking" betekent elke bewerking uitgevoerd op Persoonsgegevens, inclusief verzameling, opslag, gebruik, openbaarmaking of verwijdering, zoals gedefinieerd in Artikel 4(2) van de GDPR
  • "Verwerkingsverantwoordelijke" betekent de klant die het doel en de middelen van de Verwerking van Persoonsgegevens bepaalt
  • "Verwerker" betekent Morlivo, die Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke
  • "Subverwerker" betekent elke derde partij die door de Verwerker is ingeschakeld om Persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke
  • "Betrokkene" betekent een geïdentificeerde of identificeerbare natuurlijke persoon wiens Persoonsgegevens worden verwerkt

2. Verwerkingsdetails

De Verwerker verwerkt Persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, ook met betrekking tot overdrachten van Persoonsgegevens naar een derde land, tenzij de Verwerker hiertoe verplicht is op grond van Unie- of lidstaatrecht.

De details van de verwerking zijn als volgt:

  • Onderwerp: Levering van vertaal-, transcriptie- en taalverwerkingsdiensten
  • Duur: Voor de looptijd van de onderliggende dienstverleningsovereenkomst
  • Aard en doel: Verwerking van Klantinhoud om vertalingen, transcripties en gerelateerde taaldiensten te leveren
  • Categorieën van betrokkenen: Eindgebruikers en personen wier gegevens zijn opgenomen in Klantinhoud
  • Soorten persoonsgegevens: Namen, contactgegevens en andere persoonsgegevens in materialen die ter verwerking zijn ingediend

3. Beveiligingsmaatregelen

De Verwerker implementeert passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, in overeenstemming met Artikel 32 van de GDPR. Deze maatregelen omvatten:

  • Encryptie van Persoonsgegevens in rust (AES-256) en tijdens overdracht (TLS 1.2+)
  • Vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen
  • Vermogen om de beschikbaarheid van en toegang tot Persoonsgegevens tijdig te herstellen bij een fysiek of technisch incident
  • Regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen
  • Pseudonimisering van Persoonsgegevens waar technisch haalbaar en passend
  • Strikte toegangscontroles op basis van het principe van minimale rechten
  • Uitgebreide auditlogging en monitoring van gegevenstoegang

De Verwerker zorgt ervoor dat personen die gemachtigd zijn om Persoonsgegevens te verwerken, zich tot vertrouwelijkheid hebben verbonden of onder een passende wettelijke geheimhoudingsplicht vallen.

4. Subverwerkers

De Verwerkingsverantwoordelijke verleent algemene toestemming aan de Verwerker om Subverwerkers in te schakelen. De Verwerker houdt een actuele lijst van Subverwerkers bij en stelt deze op verzoek beschikbaar aan de Verwerkingsverantwoordelijke. De huidige lijst van Subverwerkers is gepubliceerd op onze Privacybeleidpagina.

De Verwerker informeert de Verwerkingsverantwoordelijke over eventuele voorgenomen wijzigingen met betrekking tot het toevoegen of vervangen van Subverwerkers, waarbij de Verwerkingsverantwoordelijke een redelijke mogelijkheid krijgt om bezwaar te maken tegen dergelijke wijzigingen. Wanneer de Verwerker een Subverwerker inschakelt, legt de Verwerker bij overeenkomst dezelfde gegevensbeschermingsverplichtingen op aan die Subverwerker als vastgelegd in deze DPA.

De Verwerker blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van een Subverwerker onder deze DPA.

5. Rechten van Betrokkenen

De Verwerker assisteert de Verwerkingsverantwoordelijke bij het nakomen van zijn verplichting om te reageren op verzoeken van Betrokkenen die hun rechten uitoefenen onder Hoofdstuk III van de GDPR, waaronder:

  • Recht van inzage (Artikel 15)
  • Recht op rectificatie (Artikel 16)
  • Recht op gegevenswissing (Artikel 17)
  • Recht op beperking van de verwerking (Artikel 18)
  • Recht op gegevensoverdraagbaarheid (Artikel 20)
  • Recht van bezwaar (Artikel 21)

Als de Verwerker rechtstreeks een verzoek van een Betrokkene ontvangt, stuurt de Verwerker het verzoek onverwijld door naar de Verwerkingsverantwoordelijke en reageert niet rechtstreeks aan de Betrokkene tenzij daartoe gemachtigd door de Verwerkingsverantwoordelijke.

6. Internationale Overdrachten

De Verwerker draagt geen Persoonsgegevens over naar een derde land of internationale organisatie tenzij passende waarborgen zijn getroffen zoals vereist door Hoofdstuk V van de GDPR. Goedgekeurde overdrachtsmechanismen omvatten:

  • Standaard Contractuele Clausules (SCC's) aangenomen door de Europese Commissie (Uitvoeringsbesluit (EU) 2021/914 van de Commissie)
  • Adequaatheidsbesluiten op grond van Artikel 45 van de GDPR
  • Bindende Bedrijfsregels goedgekeurd door een bevoegde toezichthoudende autoriteit

Zakelijke klanten kunnen instellingen voor gegevensresidentie configureren om de verwerking en opslag van Persoonsgegevens te beperken tot specifieke geografische regio's (EU, VS of APAC), waardoor de noodzaak van grensoverschrijdende overdrachten wordt geminimaliseerd.

7. Melding van Inbreuken

De Verwerker stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte, en in ieder geval niet later dan achtenveertig (48) uur nadat hij kennis heeft gekregen van een inbreuk op Persoonsgegevens, zoals gedefinieerd in Artikel 4(12) van de GDPR.

De melding bevat:

  • Een beschrijving van de aard van de inbreuk op Persoonsgegevens, inclusief de categorieën en het geschatte aantal Betrokkenen en betrokken registraties
  • De naam en contactgegevens van het contactpunt voor gegevensbescherming van de Verwerker
  • Een beschrijving van de waarschijnlijke gevolgen van de inbreuk
  • Een beschrijving van de genomen of voorgestelde maatregelen om de inbreuk aan te pakken, inclusief maatregelen om de nadelige gevolgen te beperken

8. Audits en Inspecties

De Verwerker stelt alle informatie die nodig is om naleving van de verplichtingen uit Artikel 28 van de GDPR aan te tonen, beschikbaar aan de Verwerkingsverantwoordelijke. De Verwerker staat audits, inclusief inspecties, toe en draagt eraan bij, uitgevoerd door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke aangewezen auditor, onder voorbehoud van redelijke voorafgaande kennisgeving en geheimhoudingsverplichtingen.

9. Looptijd en Gegevensverwijdering

Deze DPA blijft van kracht voor de duur van de onderliggende dienstverleningsovereenkomst. Bij beëindiging van de dienstverleningsovereenkomst zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens verwijderen of retourneren en bestaande kopieën verwijderen, tenzij Unie- of lidstaatrecht opslag van de Persoonsgegevens vereist. De Verwerker certificeert schriftelijk dat hij aan deze verplichting heeft voldaan op verzoek van de Verwerkingsverantwoordelijke.

Een DPA Aanvragen

Om een Verwerkersovereenkomst aan te vragen, neemt u contact op met ons compliance-team. Wij werken met u samen om een DPA op te stellen die voldoet aan de gegevensbeschermingsvereisten van uw organisatie.

Neem Contact op met het Compliance-team DPA-sjabloon Downloaden