QR Code AI verwerkersovereenkomst

VERWERKERSOVEREENKOMST (DPA)

Laatst bijgewerkt op 2 maart 2026

Deze verwerkersovereenkomst ("DPA") maakt onderdeel uit van de Servicevoorwaarden ("Overeenkomst") tussen Supernovae, een bedrijf geregistreerd in Frankrijk op 27 Rue Wurtz, Juvisy-sur-Orge 91260, btw-nummer FR67948452891 ("Verwerker", "wij", "ons"), en de entiteit die met deze DPA instemt ("Verwerkingsverantwoordelijke", "u"), gezamenlijk aangeduid als de "Partijen".

Deze DPA is van toepassing wanneer wij namens u persoonsgegevens verwerken in verband met onze QR Code AI-diensten, inclusief via de API.

1. DEFINITIES

• "Persoonsgegevens" betekent alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in artikel 4(1) van de AVG.
• "Verwerking" betekent elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, zoals gedefinieerd in artikel 4(2) van de AVG.
• "Betrokkene" betekent de geïdentificeerde of identificeerbare natuurlijke persoon op wie Persoonsgegevens betrekking hebben.
• "Subverwerker" betekent elke derde partij die door de Verwerker wordt ingeschakeld om Persoonsgegevens namens de Verwerkingsverantwoordelijke te verwerken.
• "AVG" betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad.
• "UK GDPR" betekent de AVG zoals omgezet in het recht van het Verenigd Koninkrijk via de Data Protection Act 2018.
• "SCC's" betekent de Standard Contractual Clauses die door de Europese Commissie zijn goedgekeurd voor de doorgifte van Persoonsgegevens naar derde landen.
• "Datalek" betekent een inbreuk in verband met persoonsgegevens die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot Persoonsgegevens, hetzij per ongeluk, hetzij onrechtmatig.

2. REIKWIJDTE EN ROLLEN

2.1 Verwerkingsverantwoordelijke en Verwerker

Voor de doeleinden van deze DPA:

• U (Verwerkingsverantwoordelijke): U bepaalt de doeleinden en middelen van de verwerking van Persoonsgegevens wanneer u onze Diensten gebruikt, met name wanneer u onze API gebruikt om QR-codes te genereren voor uw eigen klanten of onze Diensten integreert in uw producten.
• Wij (Verwerker): Wij verwerken Persoonsgegevens namens u volgens uw instructies, zoals beschreven in deze DPA en de Overeenkomst.

2.2 Wanneer deze DPA van toepassing is

Deze DPA is van toepassing wanneer:

• U de QR Code AI API gebruikt om QR-codes te genereren die gegevens van uw eindgebruikers verwerken (bijv. URL's met persoonsgegevens, vCard-gegevens, contactgegevens die in QR-codes zijn gecodeerd).
• U QR Code AI-functies voor QR-code tracking en analytics gebruikt die scangegevens van uw eindgebruikers verzamelen.
• Elke andere situatie waarin wij Persoonsgegevens namens u verwerken als gegevensverwerker.

Wanneer u QR Code AI als individuele gebruiker voor uw eigen doeleinden gebruikt, treden wij op als onafhankelijke verwerkingsverantwoordelijke en is ons Privacybeleid van toepassing op de gegevensverwerking.

3. DETAILS VAN DE GEGEVENSVERWERKING

3.1 Onderwerp en duur

Wij verwerken Persoonsgegevens gedurende de looptijd van de Overeenkomst om de QR Code AI-diensten te leveren, waaronder het genereren van QR-codes, tracking, analytics en gerelateerde functionaliteit.

3.2 Aard en doel van de verwerking

• Genereren van QR-codes op basis van invoergegevens die door de Verwerkingsverantwoordelijke worden aangeleverd
• Tracken van QR-code scans en verzamelen van analytics-gegevens
• Opslaan van QR-code configuraties en bijbehorende metadata
• Verwerken van verzoeken voor AI-gegenereerde artistieke QR-codes
• Leveren van rapporten en analytics-dashboards

3.3 Soorten Persoonsgegevens

De soorten Persoonsgegevens die worden verwerkt kunnen omvatten:

• Contactgegevens (namen, e-mailadressen, telefoonnummers) die in QR-codes zijn gecodeerd
• URL's en webadressen
• Locatiegegevens uit QR-code scans
• Apparaatinformatie en IP-adressen uit QR-code scans
• Tekstprompts en afbeeldingen die worden aangeleverd voor AI QR-code generatie
• Alle andere gegevens die de Verwerkingsverantwoordelijke ervoor kiest om in QR-codes te coderen

3.4 Categorieën betrokkenen

• Eindgebruikers die QR-codes scannen die door de Verwerkingsverantwoordelijke zijn gemaakt
• Personen van wie contactgegevens in QR-codes zijn gecodeerd
• Gebruikers van de producten of diensten van de Verwerkingsverantwoordelijke die met QR-codes interacteren

4. VERPLICHTINGEN VAN DE VERWERKER

4.1 Verwerkingsinstructies

Wij verwerken Persoonsgegevens uitsluitend op basis van uw gedocumenteerde instructies, tenzij wij daartoe verplicht zijn op grond van EU-recht of het recht van een lidstaat waaraan wij zijn onderworpen. In dat geval informeren wij u over die wettelijke verplichting vóór de verwerking, tenzij de wet dergelijke informatie verbiedt om gewichtige redenen van algemeen belang.

4.2 Vertrouwelijkheid

Wij zorgen ervoor dat personen die bevoegd zijn om Persoonsgegevens te verwerken zich hebben verbonden tot vertrouwelijkheid of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht.

4.3 Beveiligingsmaatregelen

Wij nemen passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, waaronder:

• Versleuteling van Persoonsgegevens tijdens transport (TLS/HTTPS) en in rust
• Toegangscontroles en rolgebaseerde authenticatie voor interne systemen
• Regelmatige beveiligingsbeoordelingen en kwetsbaarheidsscans
• Infrastructuur gehost bij ISO 27001-gecertificeerde providers
• DDoS-bescherming en web application firewall (Cloudflare)
• Regelmatige back-ups met versleutelde opslag
• Logging en monitoring van toegang tot Persoonsgegevens

4.4 Subverwerkers

Wij gebruiken de subverwerkers die vermeld staan op onze Subverwerkerspagina. Wij informeren u over voorgenomen wijzigingen in subverwerkers door die pagina bij te werken. U kunt bezwaar maken tegen een nieuwe subverwerker door binnen 30 dagen na de update contact met ons op te nemen via [email protected]. Als u bezwaar maakt en wij uw bezwaar redelijkerwijs niet kunnen accommoderen, kan elke partij het betreffende deel van de Diensten beëindigen.

Wij sluiten met alle subverwerkers schriftelijke overeenkomsten die gegevensbeschermingsverplichtingen opleggen die niet minder beschermend zijn dan die in deze DPA.

4.5 Rechten van betrokkenen

Wij helpen u bij het beantwoorden van verzoeken van Betrokkenen die hun rechten uitoefenen onder toepasselijke wetgeving inzake gegevensbescherming (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar). Als wij rechtstreeks een verzoek van een Betrokkene ontvangen, verwijzen wij die persoon onverwijld naar u door, tenzij anders is geïnstrueerd.

4.6 Ondersteuning bij compliance

Wij ondersteunen u bij het naleven van uw verplichtingen op grond van de artikelen 32 tot en met 36 van de AVG, rekening houdend met de aard van de verwerking en de informatie waarover wij beschikken.

5. MELDING VAN DATALKKEN

5.1 Termijn voor melding

Wij stellen u zonder onredelijke vertraging op de hoogte van een Datalek, en in ieder geval binnen 72 uur nadat wij ons bewust zijn geworden van het datalek. De melding wordt verzonden naar het e-mailadres dat aan uw account is gekoppeld.

5.2 Inhoud van de melding

De melding bevat, voor zover beschikbaar:

• Een beschrijving van de aard van het Datalek, inclusief de categorieën en het geschatte aantal Betrokkenen en getroffen records.
• De naam en contactgegevens van ons contactpunt voor gegevensbescherming.
• Een beschrijving van de waarschijnlijke gevolgen van het Datalek.
• Een beschrijving van de maatregelen die zijn genomen of voorgesteld om het Datalek aan te pakken, inclusief maatregelen om mogelijke nadelige effecten te beperken.

5.3 Doorlopende samenwerking

Wij werken met u samen en bieden redelijke ondersteuning bij het onderzoeken, beperken en verhelpen van een Datalek, en bij het doen van meldingen aan toezichthoudende autoriteiten of Betrokkenen die u verplicht bent te doen.

6. INTERNATIONALE DOORGIFTEN VAN GEGEVENS

6.1 Locatie van gegevens

Persoonsgegevens worden voornamelijk opgeslagen en verwerkt in de Europese Unie:

• Frankrijk (EU) via Scaleway
• Nederland (EU) via DigitalOcean

6.2 Doorgiften buiten de EU/EER

Sommige van onze subverwerkers zijn gevestigd buiten de EU/EER, voornamelijk in de Verenigde Staten. Voor deze doorgiften baseren wij ons op:

• EU-US Data Privacy Framework: Waar van toepassing, voor doorgiften naar in de VS gevestigde providers die onder het framework zijn gecertificeerd.
• Standard Contractual Clauses (SCC's): Wij nemen de door de Europese Commissie goedgekeurde SCC's (Uitvoeringsbesluit (EU) 2021/914 van de Commissie) op in onze overeenkomsten met subverwerkers buiten de EU/EER wanneer het Data Privacy Framework niet van toepassing is.

6.3 Transfer Impact Assessment

Wij voeren transfer impact assessments uit voor doorgiften naar derde landen en nemen waar nodig aanvullende maatregelen om een passend niveau van gegevensbescherming te waarborgen.

7. AUDITS EN INSPECTIES

7.1 Auditrechten

U heeft het recht om onze naleving van deze DPA te auditen. Wij stellen u alle informatie ter beschikking die nodig is om naleving aan te tonen en staan audits toe, en dragen daaraan bij, inclusief inspecties, uitgevoerd door u of een door u gemachtigde auditor.

7.2 Auditproces

Audits zijn onderworpen aan de volgende voorwaarden:

• U moet ten minste 30 dagen van tevoren schriftelijk kennisgeven van een audit.
• Audits mogen niet vaker dan één keer per jaar worden uitgevoerd, tenzij vereist door een toezichthoudende autoriteit of na een Datalek.
• Audits moeten plaatsvinden tijdens normale kantooruren en mogen onze bedrijfsvoering niet onredelijk verstoren.
• U bent verantwoordelijk voor de kosten van een audit, tenzij de audit een wezenlijke schending van deze DPA aan het licht brengt.
• Vertrouwelijke informatie van onze andere klanten mag tijdens de audit niet worden blootgesteld.

8. GEGEVENSBEWARING EN VERWIJDERING

8.1 Tijdens de Overeenkomst

Wij bewaren Persoonsgegevens gedurende de looptijd van de Overeenkomst voor zover nodig om de Diensten te leveren.

8.2 Bij beëindiging

Bij beëindiging van de Overeenkomst of op uw schriftelijke verzoek:

• Wij verwijderen Persoonsgegevens uit onze actieve systemen binnen 30 dagen.
• Persoonsgegevens in back-uparchieven worden binnen 6 maanden opgeschoond.
• Wij kunnen Persoonsgegevens bewaren voor zover vereist door toepasselijke wetgeving (bijv. fiscale of boekhoudkundige verplichtingen); in dat geval isoleren en beschermen wij die gegevens en beperken wij verdere verwerking tot wat wettelijk vereist is.

8.3 Bevestiging

Op uw verzoek verstrekken wij een schriftelijke bevestiging dat Persoonsgegevens zijn verwijderd overeenkomstig deze sectie.

9. AANSPRAKELIJKHEID

De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de aansprakelijkheidsbeperkingen zoals opgenomen in de Overeenkomst. Niets in deze DPA beperkt de aansprakelijkheid van een van de partijen tegenover Betrokkenen of toezichthoudende autoriteiten onder toepasselijke wetgeving inzake gegevensbescherming.

10. TOEPASSELIJK RECHT

Op deze DPA is het recht van Frankrijk van toepassing. Voor Betrokkenen in de EU is de AVG van toepassing. Voor Betrokkenen in het VK is de UK GDPR van toepassing. Geschillen die voortvloeien uit deze DPA worden opgelost overeenkomstig de bepalingen over geschillenbeslechting in de Overeenkomst.

11. HOE U DEZE DPA AANGAAT

Deze DPA is opgenomen in en maakt onderdeel uit van de Servicevoorwaarden. Door gebruik te maken van de QR Code AI-diensten gaat u akkoord met deze DPA.

Als u voor uw administratie een afzonderlijk ondertekende kopie van deze DPA nodig heeft, neem dan contact met ons op via [email protected]; wij verstrekken er binnen 10 werkdagen één.

12. CONTACT

Voor vragen over deze DPA of onze gegevensverwerkingspraktijken:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]