Verwerkersovereenkomst
Laatst bijgewerkt 11 mei 2026
Deze Verwerkersovereenkomst ("VWO") wordt aangegaan tussen de entiteit die in het toepasselijke bestelformulier of dienstverleningscontract is aangeduid als Verwerkingsverantwoordelijke ("Verwerkingsverantwoordelijke") en PZX (CNPJ: 62.054.402/0001-26), gevestigd in de staat São Paulo, Brazilië ("Verwerker"), en maakt deel uit van de overeenkomst die het gebruik van Konn regelt ("Overeenkomst").
1. Definities
"Persoonsgegevens" betekent alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd door de Braziliaanse Algemene Wet op de Gegevensbescherming (LGPD, Wet nr. 13.709/2018).
"Verwerking" betekent elke handeling met betrekking tot Persoonsgegevens, waaronder verzameling, opslag, gebruik, toegang, doorgifte en verwijdering.
"Verwerkingsverantwoordelijke" betekent de natuurlijke of rechtspersoon die beslissingsbevoegdheid heeft over de Verwerking van Persoonsgegevens.
"Verwerker" betekent de natuurlijke of rechtspersoon die Persoonsgegevens namens de Verwerkingsverantwoordelijke verwerkt, conform diens instructies.
"Betrokkene" betekent de natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
"Subverwerker" betekent elke derde partij die door de Verwerker wordt ingeschakeld om Persoonsgegevens namens de Verwerkingsverantwoordelijke te verwerken.
"Diensten" betekent het Konn-platform en alle gerelateerde functionaliteiten die PZX op grond van de Overeenkomst beschikbaar stelt.
2. Reikwijdte en verhouding tussen partijen
Deze VWO regelt de verwerking van Persoonsgegevens door PZX in haar hoedanigheid van Verwerker, namens de Verwerkingsverantwoordelijke, in verband met de levering van de Diensten.
De Verwerkingsverantwoordelijke bepaalt de doeleinden en middelen van de verwerking. PZX verwerkt Persoonsgegevens uitsluitend voor het leveren en exploiteren van de Diensten, conform de instructies van de Verwerkingsverantwoordelijke zoals vastgelegd in deze VWO en de Overeenkomst.
3. Aard, doel en duur van de verwerking
Aard: opslag, organisatie, indexering, semantische verwerking, opvraging en weergave van inhoud die door de Verwerkingsverantwoordelijke en zijn geautoriseerde gebruikers wordt aangeleverd.
Doel: levering van het Konn-platform, inclusief documentbeheer, kennisgrafiek, semantisch zoeken en AI-ondersteunde contextuele functionaliteiten.
Duur: voor de looptijd van de Overeenkomst. Bij beëindiging zijn de bepalingen van Sectie 12 van toepassing.
4. Categorieën van Persoonsgegevens en Betrokkenen
De categorieën van Persoonsgegevens die op grond van deze VWO worden verwerkt, hangen af van de inhoud die door de Verwerkingsverantwoordelijke wordt aangeleverd. Deze kunnen onder andere omvatten:
Identificatie- en contactgegevens: namen, e-mailadressen en professionele informatie van gebruikers van de Verwerkingsverantwoordelijke en personen die in geüploade inhoud worden genoemd;
Organisatiegegevens: teamstructuren, rollen en interne communicatie;
Inhoudsgegevens: documenten, notities en kennisitems die Persoonsgegevens kunnen bevatten over medewerkers, klanten of derden van de Verwerkingsverantwoordelijke.
De Verwerkingsverantwoordelijke erkent dat PZX de categorieën van Persoonsgegevens die in geüploade inhoud aan de Diensten zijn opgenomen, niet kan controleren of voorspellen. De Verwerkingsverantwoordelijke is verantwoordelijk voor het waarborgen dat alle Persoonsgegevens die aan de Diensten worden aangeboden een geldige rechtsgrond voor verwerking hebben op grond van het toepasselijke recht.
De Betrokkenen zijn voornamelijk de medewerkers en geautoriseerde gebruikers van de Verwerkingsverantwoordelijke, en mogelijk derden wier gegevens voorkomen in door de Verwerkingsverantwoordelijke geüploade inhoud.
5. Verplichtingen van de Verwerker
PZX, als Verwerker, verbindt zich tot:
5.1 Volgen van instructies: Persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij vereist door toepasselijk recht. PZX zal de Verwerkingsverantwoordelijke informeren indien zij van mening is dat een instructie in strijd is met toepasselijk recht, voordat zij verder gaat.
5.2 Vertrouwelijkheid: waarborgen dat geautoriseerd personeel dat Persoonsgegevens verwerkt, gebonden is aan vertrouwelijkheidsverplichtingen.
5.3 Beveiliging: passende technische en organisatorische maatregelen implementeren en onderhouden ter bescherming van Persoonsgegevens, zoals beschreven in Sectie 8.
5.4 Subverwerkers: uitsluitend Subverwerkers inschakelen conform Sectie 7.
5.5 Rechten van Betrokkenen: de Verwerkingsverantwoordelijke bijstaan bij het reageren op verzoeken van Betrokkenen, zoals beschreven in Sectie 9.
5.6 Verwijdering: Persoonsgegevens verwijderen of retourneren bij beëindiging, zoals beschreven in Sectie 12.
5.7 Audit: de informatie ter beschikking stellen die nodig is om de naleving van deze VWO aan te tonen, zoals beschreven in Sectie 11.
5.8 Melding van incidenten: de Verwerkingsverantwoordelijke zonder onnodige vertraging, en uiterlijk binnen 72 uur na kennisname, informeren over elk bevestigd beveiligingsincident betreffende Persoonsgegevens die op grond van deze VWO worden verwerkt. De melding omvat de aard van het incident, de categorieën en het bij benadering aantal getroffen Betrokkenen, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen.
6. Verplichtingen van de Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke verbindt zich tot:
6.1 Rechtsgrond: waarborgen dat alle Persoonsgegevens die aan de Diensten worden aangeboden een geldige rechtsgrond voor verwerking hebben op grond van het toepasselijke recht, inclusief gegevens van derden die als onderdeel van documenten of kennisinhoud worden geüpload.
6.2 Juistheid: nauwkeurige en actuele instructies verstrekken en waarborgen dat de aangeboden Persoonsgegevens passend en relevant zijn voor het beoogde doel.
6.3 Rechten van Betrokkenen: verzoeken van Betrokkenen die aan de Verwerkingsverantwoordelijke worden gericht, afhandelen en met PZX coördineren wanneer de assistentie van de Verwerker vereist is.
6.4 Naleving: voldoen aan alle toepasselijke wetgeving inzake gegevensbescherming in haar hoedanigheid van Verwerkingsverantwoordelijke, inclusief het verkrijgen van vereiste toestemmingen van Betrokkenen.
7. Subverwerkers
7.1 Huidige Subverwerkers
De Verwerkingsverantwoordelijke machtigt PZX om de volgende Subverwerkers in te schakelen in verband met de Diensten:
Subverwerker | Locatie | Doel |
|---|---|---|
Amazon Web Services (AWS) | Verenigde Staten | Cloudinfrastructuur en hosting |
Cloudflare | Verenigde Staten | Netwerkbeveiliging, CDN en DDoS-bescherming |
OpenAI | Verenigde Staten | Verwerking met AI-taalmodellen en tekst-embeddings |
Anthropic | Verenigde Staten | Verwerking met AI-taalmodellen |
Stripe | Verenigde Staten | Betalings- en factuurverwerking |
Resend | Verenigde Staten | Aflevering van transactionele e-mails |
7.2 Toekomstige Subverwerkers
PZX kan aanvullende aanbieders van AI-modellen inschakelen (waaronder, maar niet beperkt tot, aanbieders van reranking-, embedding- of audioverwerkingsdiensten) naarmate de Diensten zich ontwikkelen. PZX zal de Verwerkingsverantwoordelijke ten minste 30 dagen van tevoren informeren over elke geplande toevoeging of vervanging van Subverwerkers.
De Verwerkingsverantwoordelijke kan op redelijke gronden van gegevensbescherming bezwaar maken tegen een nieuwe Subverwerker door PZX binnen 15 dagen na ontvangst van de kennisgeving schriftelijk in kennis te stellen. Indien partijen het bezwaar niet kunnen oplossen, kan de Verwerkingsverantwoordelijke de Overeenkomst zonder boete beëindigen, met 30 dagen schriftelijke opzeggingstermijn.
7.3 Verplichtingen van Subverwerkers
PZX zal alle Subverwerkers gegevensbeschermingsverplichtingen opleggen die gelijkwaardig zijn aan die in deze VWO. PZX blijft jegens de Verwerkingsverantwoordelijke aansprakelijk voor de nakoming van de verplichtingen van Subverwerkers.
8. Beveiligingsmaatregelen
PZX implementeert de volgende technische en organisatorische maatregelen ter bescherming van Persoonsgegevens:
Versleuteling van gegevens tijdens overdracht (TLS) en in rust;
Tenant-isolatie: de gegevens van elke Verwerkingsverantwoordelijke zijn logisch gescheiden van die van andere tenants;
Rolgebaseerde toegangscontrole die de toegang beperkt tot geautoriseerd personeel;
Beveiligingsmonitoring en logging;
Periodieke toegangscontroles.
PZX kan deze maatregelen in de loop van de tijd bijwerken, mits de updates het algehele beschermingsniveau niet wezenlijk verminderen.
9. Rechten van Betrokkenen
PZX zal de Verwerkingsverantwoordelijke bijstaan bij het nakomen van zijn verplichtingen om te reageren op verzoeken van Betrokkenen op grond van toepasselijk recht, waaronder verzoeken tot inzage, rectificatie, verwijdering, overdraagbaarheid en bezwaar.
De Verwerkingsverantwoordelijke is verantwoordelijk voor het ontvangen en initieel beoordelen van verzoeken van Betrokkenen. Wanneer het uitvoeren van een verzoek actie van PZX vereist, dient de Verwerkingsverantwoordelijke het verzoek bij PZX in via het contactkanaal in Sectie 13. PZX zal binnen 15 werkdagen reageren.
10. Internationale doorgifte van gegevens
Persoonsgegevens die op grond van deze VWO worden verwerkt, kunnen worden doorgegeven aan en verwerkt in landen buiten Brazilië, waaronder de Verenigde Staten, waar de Subverwerkers van PZX actief zijn. Dergelijke doorgiften vinden plaats op basis van passende contractuele waarborgen, overeenkomstig artikel 33 van de LGPD.
Voor Verwerkingsverantwoordelijken die onderworpen zijn aan de AVG worden doorgiften aan Subverwerkers buiten de Europese Economische Ruimte beheerst door de toepasselijke doorgiftemechanismen, waaronder Standaard Contractbepalingen waar vereist.
11. Auditrechten
Op schriftelijk verzoek van de Verwerkingsverantwoordelijke zal PZX de informatie ter beschikking stellen die redelijkerwijs nodig is om de naleving van deze VWO aan te tonen. PZX kan aan deze verplichting voldoen door actuele certificeringen, beveiligingsdocumentatie of samengevatte auditrapporten te verstrekken.
De Verwerkingsverantwoordelijke kan ten hoogste eenmaal per kalenderjaar om een audit ter plaatse verzoeken, met ten minste 30 dagen schriftelijke kennisgeving en op eigen kosten. Elke audit moet zodanig worden uitgevoerd dat deze de werkzaamheden van PZX niet verstoort en de beveiliging of vertrouwelijkheid van de gegevens van andere klanten niet in gevaar brengt.
12. Looptijd, beëindiging en verwijdering van gegevens
Deze VWO blijft van kracht voor de duur van de Overeenkomst.
Bij beëindiging of afloop van de Overeenkomst:
De Verwerkingsverantwoordelijke heeft 30 dagen om zijn gegevens uit de Diensten te exporteren;
Na deze periode zal PZX alle op grond van deze VWO verwerkte Persoonsgegevens binnen 30 dagen verwijderen, inclusief kopieën die bij Subverwerkers worden bewaard waar technisch haalbaar;
PZX zal op verzoek van de Verwerkingsverantwoordelijke schriftelijke bevestiging van verwijdering verstrekken;
PZX mag Persoonsgegevens uitsluitend voor deze periode bewaren voor zover vereist door toepasselijk recht, in welk geval de gegevens onderworpen blijven aan de vertrouwelijkheidsverplichtingen van deze VWO.
13. Aansprakelijkheid
De aansprakelijkheid van elke partij op grond van deze VWO is onderworpen aan de beperkingen die in de Overeenkomst zijn vastgelegd. Niets in deze VWO beperkt de aansprakelijkheid van een van beide partijen voor verplichtingen die niet kunnen worden uitgesloten of beperkt op grond van toepasselijke wetgeving inzake gegevensbescherming.
14. Toepasselijk recht
Deze VWO wordt beheerst door het recht van de Federale Republiek Brazilië, in het bijzonder de LGPD (Wet nr. 13.709/2018). Geschillen die voortvloeien uit deze VWO en die niet in der minne kunnen worden geregeld, worden voorgelegd aan de rechtbanken van het District São Paulo, staat São Paulo.
15. Contact
Voor aangelegenheden met betrekking tot deze VWO, verzoeken inzake rechten van Betrokkenen of beveiligingsincidenten:
E-mail: [email protected]
Website: pzx.app
Functionaris voor Gegevensbescherming:
Naam: Filipe Albuquerque Brauns Cazelgrandi
E-mail: [email protected]
Bijlage A, Details van de verwerking
Deze bijlage vormt een aanvulling op Sectie 3 en kan in onderling schriftelijk overleg worden bijgewerkt om wijzigingen in de Diensten weer te geven.
Veld | Details |
|---|---|
Onderwerp | Beheer van organisatiekennis via het Konn-platform |
Aard van de verwerking | Opslag, indexering, semantisch zoeken, AI-ondersteunde opvraging en generatie |
Doel | Levering van de Diensten zoals beschreven in de Overeenkomst |
Bewaartermijn | Duur van de Overeenkomst, plus de verwijderingstermijn in Sectie 12 |
Categorieën Betrokkenen | Medewerkers van de Verwerkingsverantwoordelijke, geautoriseerde gebruikers en eventuele derden die in geüploade inhoud worden genoemd |
Categorieën Persoonsgegevens | Zoals beschreven in Sectie 4; de werkelijke categorieën hangen af van de door de Verwerkingsverantwoordelijke aangeleverde inhoud |