Gegevensverwerkingsovereenkomst

Deze gegevensverwerkingsovereenkomst ("GVO") maakt integraal deel uit van de gebruiksvoorwaarden en is automatisch van toepassing op elke betalende Klant. Ze is van toepassing wanneer Jonot Oy (Fins ondernemingsnummer 3620928-7, "Jonot", "Verwerker") persoonsgegevens van Eindgebruikers verwerkt namens de Klant ("Verwerkingsverantwoordelijke"). De rollen zijn vastgesteld conform artikel 28 AVG. Er is geen afzonderlijke handtekening vereist.

1. Rollen en toepassingsgebied

De Verwerkingsverantwoordelijke bepaalt de doeleinden en de middelen van de verwerking. Jonot verwerkt persoonsgegevens uitsluitend als Verwerker namens de Verwerkingsverantwoordelijke. Deze GVO is van toepassing voor zover de AVG van toepassing is op de verwerking. De verwerking door Polar (facturering) vindt plaats als onafhankelijke verwerkingsverantwoordelijke en valt niet onder deze GVO.

2. Verwerkingsinstructies

Jonot verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke — waaronder deze voorwaarden, deze GVO en het gebruik van de Dienst door de Klant — tenzij de wet anders vereist. In dat geval stelt Jonot de Verwerkingsverantwoordelijke voor de verwerking in kennis van die vereiste, tenzij de wet dit verbiedt. Jonot stelt de Verwerkingsverantwoordelijke ervan in kennis als Jonot van oordeel is dat een instructie strijdig is met de gegevensbeschermingswetgeving.

3. Onderwerp, duur, aard en doel

Het onderwerp en de duur, de aard en het doel van de verwerking, alsmede de categorieën persoonsgegevens en betrokkenen zijn beschreven in Bijlage 1. De verwerking loopt zolang de Klant een actief abonnement heeft, plus de bewaartermijnen beschreven in het privacybeleid.

4. Vertrouwelijkheid

Jonot zorgt ervoor dat personen die bevoegd zijn persoonsgegevens te verwerken, gebonden zijn aan een vertrouwelijkheidsplicht of vallen onder een passende wettelijke geheimhoudingsplicht.

5. Beveiliging

Jonot treft passende technische en organisatorische maatregelen conform artikel 32 AVG om een beveiligingsniveau te waarborgen dat is afgestemd op het risico. De huidige maatregelen zijn beschreven in Bijlage 2.

6. Subverwerkers

De Verwerkingsverantwoordelijke verleent een algemene toestemming voor het inschakelen van subverwerkers. De huidige subverwerkers zijn vermeld in Bijlage 3. Jonot legt elke subverwerker gelijkwaardige gegevensbeschermingsverplichtingen op als die in deze GVO en is verantwoordelijk voor de nakoming daarvan. Jonot stelt de Verwerkingsverantwoordelijke in kennis van beoogde wijzigingen in subverwerkers en biedt de mogelijkheid om bezwaar te maken.

7. Verzoeken van betrokkenen

Jonot helpt de Verwerkingsverantwoordelijke, met passende technische en organisatorische maatregelen, om te reageren op verzoeken van betrokkenen met betrekking tot inzage, rectificatie, wissing, beperking, overdraagbaarheid of bezwaar. Als Jonot een dergelijk verzoek rechtstreeks ontvangt, stuurt Jonot dit door naar de Verwerkingsverantwoordelijke en reageert er niet eigener beweging op, tenzij de Verwerkingsverantwoordelijke anders instrueert.

8. Bijstand en datalekken

Jonot helpt de Verwerkingsverantwoordelijke bij de naleving van zijn verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG. Wanneer Jonot kennis neemt van een inbreuk in verband met persoonsgegevens die de gegevens van de Verwerkingsverantwoordelijke betreffen, stelt Jonot de Verwerkingsverantwoordelijke hiervan zonder onredelijke vertraging in kennis en verstrekt de redelijkerwijs beschikbare informatie.

9. Gegevensoverdrachten

Jonot draagt geen persoonsgegevens over buiten de EER zonder een adequaatheidsbesluit of passende waarborgen, zoals de EU-standaardcontractbepalingen. Randverwerking kan wereldwijd plaatsvinden via onze infrastructuurleverancier; de waarborgen die van toepassing zijn op dergelijke overdrachten zijn beschreven in Bijlage 3.

10. Teruggave en wissing

Bij beëindiging wist of retourneert Jonot persoonsgegevens zoals beschreven in de gebruiksvoorwaarden: een exportvenster van 30 dagen, wissing van actieve records en buitengebruikstelling van back-ups binnen 90 dagen, tenzij de wet bewaring vereist.

11. Audits

Jonot verstrekt de informatie die nodig is om naleving van deze GVO aan te tonen en maakt audits en inspecties mogelijk en verleent daaraan medewerking. Jonot kan aan deze verplichting voldoen via documentatie of rapporten van derden. Audits ter plaatse vereisen een redelijke opzegtermijn en vertrouwelijkheid, en vinden maximaal eenmaal per jaar plaats, tenzij er een vermoeden van schending bestaat.

12. Aansprakelijkheid en wijzigingen

De aansprakelijkheid uit hoofde van deze GVO is onderworpen aan de aansprakelijkheidsbeperkingen in de gebruiksvoorwaarden. Jonot kan deze GVO bijwerken om juridische of operationele ontwikkelingen te weerspiegelen; substantiële wijzigingen worden bekendgemaakt conform de gebruiksvoorwaarden.

Bijlage 1 — Beschrijving van de verwerking

• Onderwerp en doel: het leveren van virtueel wachtrijbeheer aan de Verwerkingsverantwoordelijke.
• Aard: opslag, weergave en realtime-verwerking van wachtrijgegevens van Eindgebruikers.
• Categorieën persoonsgegevens: namen, telefoonnummers, wachtrijgeschiedenissen en ticketmetadata van Eindgebruikers; accountgegevens van Medewerkers.
• Categorieën betrokkenen: Eindgebruikers die deelnemen aan de wachtrijen van de Klant, en Medewerkers van de Klant.
• Duur: de abonnementsperiode en de bewaartermijnen vermeld in het privacybeleid.

Bijlage 2 — Beveiligingsmaatregelen

• Encryptie tijdens overdracht (HTTPS aan de rand).
• Toegangscontrole en het principe van minimale rechten.
• Snelheidsbeperking en authenticatie aan de rand.
• Back-ups en buitengebruikstelling.
• Toegangs- en gebeurtenisregistratie.

Bijlage 3 — Subverwerkers

• Cloudflare: hosting, database (D1), Durable Objects en randnetwerk.
• E-mailprovider: transactionele e-mails (bijv. bevestigingen).
• Polar: facturering; treedt op als onafhankelijke verwerkingsverantwoordelijke (geen subverwerker onder deze GVO).

Vragen: info@jonot.io.