1. Inleiding
Deze verwerkersovereenkomst is van toepassing op de verwerking van persoonsgegevens door Babbels, een handelsnaam van Klout B.V.. Het vormt een aanvulling op de hoofdovereenkomst tussen de klant en Klout B.V. en is bedoeld om de rechten en plichten met betrekking tot de verwerking van persoonsgegevens vast te leggen, zoals vereist onder de Algemene Verordening Gegevensbescherming (AVG).
2. Definities
In deze verwerkersovereenkomst hebben de volgende begrippen de hierna omschreven betekenis:
- Babbels: De naam waaronder Klout B.V., gevestigd te Middelburg en ingeschreven bij de Kamer van Koophandel onder nummer 87452782, haar WhatsApp-integratiediensten binnen Microsoft Teams aanbiedt. Babbels is een handelsnaam van Klout B.V.
- Klout: Klout ontwikkelt maatwerkoplossingen gericht op het Microsoft 365 platform.
- Gebruiker: Iedere natuurlijke persoon of rechtspersoon die gebruikmaakt van de dienst Babbels. Dit omvat zowel de klant—de rechtspersoon die de dienst afneemt—als de medewerkers of andere door de klant aangewezen personen die namens de klant toegang hebben tot en gebruikmaken van de dienst.
- Klant: De rechtspersoon die een overeenkomst met Babbels heeft afgesloten om de dienst te gebruiken. Deze overeenkomst wordt alleen gesloten met de klant en niet met individuele gebruikers binnen de organisatie van de klant. De klant is verantwoordelijk voor het beheer en de naleving van de gebruiksvoorwaarden door alle gebruikers binnen zijn organisatie en draagt zorg voor het correcte gebruik van de dienst door deze gebruikers. De klant blijft te allen tijde aansprakelijk voor het gebruik van de dienst door de gebruikers binnen zijn organisatie.
3. Doeleinden van verwerking
3.1 Klout B.V. verwerkt persoonsgegevens uitsluitend voor de uitvoering van haar diensten, zoals omschreven in de hoofdovereenkomst. De verwerking van persoonsgegevens door Babbels vindt plaats in overeenstemming met de instructies van de gebruiker en uitsluitend voor het leveren van de WhatsApp-integratie in Microsoft Teams.
3.2 De gegevens worden verwerkt in overeenstemming met de AVG, waarbij de gebruiker bepaalt voor welke doeleinden en op welke wijze de persoonsgegevens worden verwerkt.
3.3 Indien de database bij de klant zelf wordt gehost, voert Babbels geen verwerking van persoonsgegevens uit. In dit geval fungeert de klant als enige verantwoordelijke voor de gegevensopslag en -verwerking, en worden er vanuit Babbels geen persoonsgegevens opgeslagen of beheerd.
4. Verplichtingen van Babbels
4.1 Babbels houdt alle verwerkingsactiviteiten bij die zij namens de gebruiker uitvoert. Dit overzicht wordt regelmatig bijgewerkt en gecontroleerd. Babbels neemt daarnaast specifieke technische en organisatorische maatregelen om de beveiliging van de persoonsgegevens te waarborgen, zoals:
- Encryptie: De opslag van gegevens wordt versleuteld met AES-256.
- Toegangscontrole: Multi-factor authenticatie (MFA) wordt gebruikt voor de toegang tot systemen.
- Risicobeoordelingen: Babbels voert periodieke penetratietesten en risicobeoordelingen uit.
4.2 Babbels verwerkt uitsluitend persoonsgegevens die noodzakelijk zijn voor het leveren van de diensten. Persoonsgegevens worden niet langer bewaard dan nodig is, tenzij wettelijk anders vereist.
4.3 Onze gegevens zijn volledig beveiligd door het gebruik van HTTPS voor versleutelde communicatie tussen de client en server. Elke aanvraag wordt beschermd door middel van veilige JWT (JSON Web Token) authenticatie en autorisatie (via Microsoft Graph API), zodat alleen geautoriseerde gebruikers toegang hebben. Gegevens worden tijdens de overdracht en opslag beveiligd volgens strikte protocollen.
5. Subverwerkers
5.1 Babbels mag voor de uitvoering van de verwerkingsactiviteiten subverwerkers inschakelen. Babbels zal de gebruiker op verzoek een lijst van subverwerkers verstrekken. De gebruiker heeft het recht om bezwaar te maken tegen nieuwe subverwerkers voordat deze worden ingeschakeld. Babbels zal de gebruiker tijdig informeren over elke wijziging met betrekking tot subverwerkers, zodat de gebruiker hierop kan reageren.
5.2 Babbels zorgt ervoor dat alle subverwerkers die worden ingeschakeld dezelfde verplichtingen met betrekking tot gegevensbescherming naleven als opgenomen in deze overeenkomst. Indien een nieuwe subverwerker wordt ingeschakeld, zal Babbels er tevens voor zorgen dat de gebruiker op de hoogte wordt gesteld en de mogelijkheid heeft om bezwaar te maken.
5.3 Subverwerkers en beveiligingsoverzicht
| Subverwerker | Gebruikte dienst | Type gegevens | Gegevensoverdracht | Gegevensopslag |
| Microsoft | Cloud- en datacenterdiensten (Azure) | Microsoft tenant ID, e-mailadres, gebruikers ID, voornaam, achternaam, functie, afdelingen, groepen | Versleutelde overdracht via HTTPS | Opslag in datacenters met AES-256 encryptie, gebruik van multi-factor authenticatie (MFA) |
| Meta | WhatsApp API-integratie | Naam en telefoonnummer van verzender, tekstberichten, audioberichten, WhatsApp-telefoonnummer, algemene bedrijfsgegevens (naam, adres, KVK-nummer, BTW-nummer) | Gegevensoverdracht via API naar Microsoft tenant, geen opslag bij Meta | Geen opslag, alle data wordt via API doorgestuurd naar Microsoft. Afbeeldingen en bijlagen worden alleen 30 dagen op Meta-servers bewaard en daarna verwijderd. |
| Altassian | Ticketing- en incidentbeheersysteem (Jira) | Wijzigings-, incident- en verbetergegevens, gebruikersinformatie (naam, e-mail) | Versleutelde overdracht via HTTPS | Opslag in beveiligde cloudomgevingen volgens AVG-standaarden |
6. Rechten van betrokkenen
6.1 Babbels zal de gebruiker ondersteunen bij het vervullen van verzoeken van betrokkenen, zoals inzage, correctie, verwijdering of beperking van hun persoonsgegevens. Dit omvat het helpen verifiëren van de identiteit van de betrokkene en het tijdig verstrekken van de gevraagde informatie. Indien de gebruiker niet in staat is deze verzoeken zelf te verwerken via de functionaliteiten van de dienst, zal Babbels de nodige stappen ondernemen om de verzoeken van betrokkenen binnen de wettelijk gestelde termijnen af te handelen, in overeenstemming met de AVG.
7. Incidenten en datalekken
7.1 In geval van een datalek zal Babbels de gebruiker onverwijld en idealiter zo spoedig mogelijk na ontdekking informeren, inclusief details over de aard van het lek, de getroffen gegevens en de genomen maatregelen om verdere schade te voorkomen. Meldingen aan de gebruiker zullen in ieder geval binnen 72 uur na ontdekking van het datalek plaatsvinden. Babbels zal de gebruiker vrijwaren voor eventuele boetes die voortvloeien uit schending van de AVG-wetgeving en biedt actief ondersteuning bij het uitvoeren van een risicoanalyse. Het stappenplan voor incidentbeheer omvat de directe melding aan de betrokkenen, een risicoanalyse, en maatregelen om herhaling te voorkomen. Specifieke partijen die betrokken zijn bij meldingen zijn bijvoorbeeld interne security teams en juridische vertegenwoordigers.
7.2 Babbels zal samenwerken met de gebruiker om ervoor te zorgen dat meldingen aan toezichthoudende autoriteiten en betrokkenen tijdig worden uitgevoerd, zoals vereist onder de AVG. Hierbij wordt gebruik gemaakt van een gestructureerd stappenplan voor incidentbeheer, gericht op het beperken van verdere risico’s en het voorkomen van toekomstige incidenten.
8. Beëindiging van de verwerking
8.1 Na beëindiging van de hoofdovereenkomst tussen de gebruiker en Babbels, zal Babbels alle persoonsgegevens die zij namens de gebruiker verwerkt, wissen of aan de gebruiker retourneren en daarbij ook een bevestiging van de verwijdering verstrekken aan de gebruiker, tenzij er een wettelijke verplichting bestaat om de gegevens te bewaren. Deze gegevensverwijdering zal gebeuren in overleg met de gebruiker, waarbij er ruimte is voor aanvullende instructies van de gebruiker over hoe de gegevens verwijderd moeten worden. Alle gegevens zullen binnen een termijn van 30 dagen na beëindiging van de overeenkomst worden verwijderd of teruggegeven. Babbels zal de verwijdering van persoonsgegevens documenteren en de gebruiker hiervan schriftelijk op de hoogte stellen.
9. Toezicht en audits
9.1 De gebruiker heeft het recht om, in overleg met Babbels, audits uit te voeren of te laten uitvoeren door een onafhankelijke derde om de naleving van deze verwerkersovereenkomst vast te stellen. Babbels zal alle redelijke medewerking verlenen om audits mogelijk te maken, op voorwaarde dat de gebruiker deze audits jaarlijks uitvoert en Babbels vooraf schriftelijk informeert. Daarnaast kan de gebruiker onvoorziene audits uitvoeren indien zich specifieke omstandigheden voordoen die hiertoe aanleiding geven, met een minimale voorafgaande kennisgevingstermijn van 7 dagen aan Babbels.
De kosten voor de uitvoering van deze audits, inclusief de kosten voor een onafhankelijke derde, komen volledig voor rekening van de gebruiker, tenzij schriftelijk anders overeengekomen met Babbels.
9.2 De audits kunnen jaarlijks worden uitgevoerd. De gebruiker heeft recht om bij tekortkomingen een herstelplan op te stellen, en Babbels is verplicht om de geconstateerde tekortkomingen te verhelpen binnen een overeengekomen termijn.
10. Aansprakelijkheid
10.1 Babbels is aansprakelijk voor schade die voortvloeit uit het niet naleven van deze verwerkersovereenkomst, tenzij Babbels kan aantonen dat de schade niet aan haar toerekenbaar is. De totale aansprakelijkheid van Babbels met betrekking tot directe schade is beperkt tot het bedrag dat door de verzekeraar wordt uitgekeerd, zonder verdere beperking bij overtreding van wet- en regelgeving zoals de AVG. Babbels zorgt ervoor adequaat verzekerd te zijn gedurende de looptijd van de overeenkomst en zal, op verzoek van de gebruiker, bewijs van verzekeringsdekking overleggen.
10.2 Babbels is niet aansprakelijk voor indirecte schade, gevolgschade, winstderving, gemiste besparingen, of schade als gevolg van bedrijfsstagnatie. Deze uitsluiting van aansprakelijkheid geldt niet in geval van opzet of grove nalatigheid van Babbels of haar leidinggevenden. Daarnaast zal Babbels zich inspannen om de gebruiker te vrijwaren voor aanspraken van derden die voortvloeien uit schendingen van de AVG, voor zover deze schendingen toerekenbaar zijn aan Babbels.
11. Toepasselijk recht
11.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Eventuele geschillen zullen worden voorgelegd aan de bevoegde rechter in Nederland.
12. Contact
Voor vragen over deze verwerkersovereenkomst kunt u contact opnemen met Klout B.V. via info@klout.nl. U kunt ons ook bereiken op telefoonnummer +31 85 0 084 084 voor directe ondersteuning.