Gegevensverwerkingsovereenkomst.

Deze DPA wordt aangegaan tussen de Verwerkingsverantwoordelijke (de zakelijke klant die zlabz.io gebruikt om gegevens te verwerken met betrekking tot hun eigen gebruikers, werknemers of opdrachtnemers) en zlabz.io, beheerd door de eigenaar van het zlabz.io-domein, handelend als Verwerker. Voor consumenten eindgebruikers die zich direct op zlabz.io aanmelden, treden wij op als Verwerkingsverantwoordelijke — deze DPA is niet van toepassing op die relatie; ons Privacybeleid is dat wel.

Het onderwerp van de verwerking zijn de persoonsgegevens die de Verwerkingsverantwoordelijke uploadt, creëert of anderszins indient via de zlabz.io-service (bijv. paragraaftekst, projectmetadata, eindgebruikersidentificatoren). Verwerking is beperkt tot wat nodig is om de service te leveren, beveiligen en ondersteunen.

• Duur: zolang de Verwerkingsverantwoordelijke een actief abonnement of proefperiode heeft, plus een redelijke periode na beëindiging voor verwijdering en wettelijke bewaring.
• Aard: opslag, hosting, transmissie, rendering en ophalen van Verwerkingsverantwoordelijke gegevens binnen de zlabz.io applicatie.
• Categorieën van betrokkenen: de eindgebruikers, werknemers of opdrachtnemers van de Verwerkingsverantwoordelijke die namens de Verwerkingsverantwoordelijke met de service omgaan.
• Categorieën van persoonsgegevens: accountidentificatoren (e-mail, naam), inhoud ingediend bij de editor, gebruiksmetadata — zoals gedocumenteerd in ons Privacybeleid en subverwerkerslijst.

• Persoonsgegevens alleen verwerken op gedocumenteerde instructies van de Verwerkingsverantwoordelijke (normaal gebruik van de service vormt dergelijke instructies).
• Zorgen dat personen die bevoegd zijn om persoonsgegevens te verwerken, gebonden zijn aan vertrouwelijkheid.
• Passende technische en organisatorische beveiligingsmaatregelen implementeren (zie volgende sectie).
• De Verwerkingsverantwoordelijke bijstaan bij het reageren op verzoeken van betrokkenen en, waar van toepassing, DPIA's en voorafgaande raadpleging met toezichthoudende autoriteiten.
• Informatie beschikbaar stellen die nodig is om naleving aan te tonen en redelijke audits mogelijk te maken (meestal via schriftelijke vragenlijsten of leveranciersrapporten, gezien de gedeelde infrastructuur van de service).

• Encryptie tijdens transport (HTTPS / TLS) op alle eindpunten.
• Encryptie in rust via Convex database standaarden.
• Authenticatie afgehandeld door Clerk — wachtwoorden worden nooit door zlabz.io opgeslagen.
• Principe van minste privilege op server-side code, per-gebruiker Convex scoping en geen cross-tenant data toegangspaden.
• Betalingsgegevens strikt buiten scope gehouden — kaartafhandeling is gedelegeerd aan Dodo Payments (PCI DSS Level 1).

De Verwerkingsverantwoordelijke geeft algemene toestemming voor het gebruik van de subverwerkers die worden vermeld op zlabz.io/subprocessors. We zullen ten minste 14 dagen van tevoren op de hoogte stellen van elke toevoeging of wijziging van een subverwerker, gedurende welke de Verwerkingsverantwoordelijke bezwaar kan maken. Als de Verwerkingsverantwoordelijke redelijkerwijs bezwaar maakt, zullen de partijen een oplossing bespreken; als er geen wordt gevonden, kan de Verwerkingsverantwoordelijke de getroffen dienst beëindigen.

We bieden zelfbedieningseindpunten in /settings zodat eindgebruikers hun gegevens kunnen exporteren (AVG Artikel 20) en hun accounts kunnen verwijderen (Artikel 17). Voor door de Verwerkingsverantwoordelijke geïnitieerde verzoeken zullen we binnen de technische mogelijkheden van de service bijstaan en elk verzoek dat we direct ontvangen zonder onnodige vertraging doorsturen naar de Verwerkingsverantwoordelijke.

In geval van een inbreuk op persoonsgegevens die Verwerkingsverantwoordelijke gegevens betreft, zullen we de Verwerkingsverantwoordelijke zonder onnodige vertraging en in ieder geval binnen 72 uur na kennisname op de hoogte stellen, met de aard van de inbreuk, getroffen categorieën, waarschijnlijke gevolgen en genomen herstelmaatregelen.

Waar persoonsgegevens buiten de EER / VK worden overgedragen, vertrouwen we op de Standaard Contractuele Clausules (SCC's) die standaard zijn opgenomen in de DPA van elke leverancier (zie /subprocessors) en passen we waar nodig aanvullende maatregelen toe. We zullen geen gegevens overdragen naar een rechtsgebied zonder adequate bescherming zonder een geldige overdrachtsmechanisme.

Bij beëindiging van de hoofdserviceovereenkomst of op schriftelijk verzoek zullen we alle persoonsgegevens van de Verwerkingsverantwoordelijke binnen 30 dagen verwijderen of retourneren, behalve waar bewaring wettelijk vereist is (bijv. factureringsgegevens voor belastingnaleving). De Verwerkingsverantwoordelijke kan op elk moment voor beëindiging een export activeren via /api/user/export of ons ondersteuningsteam voor grotere datasets.

Aansprakelijkheid onder deze DPA is onderworpen aan de beperkingen en uitsluitingen uiteengezet in de Servicevoorwaarden, behalve waar dergelijke beperking niet is toegestaan door de toepasselijke gegevensbeschermingswetgeving. Niets hierin sluit aansprakelijkheid uit die wettelijk niet kan worden uitgesloten.

Kennisgevingen, verzoeken van betrokkenen, inbreukrapporten en verzoeken om ondertekening van de DPA kunnen worden verzonden via ons ondersteuningskanaal. We reageren binnen twee werkdagen.