• "Controller": de klant die de diensten van Upcall gebruikt en bepaalt welke persoonsgegevens worden verwerkt
• "Processor": Upcall, die namens de controller persoonsgegevens verwerkt
• "Persoonsgegevens": alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in artikel 4 van de AVG/GDPR
• "Verwerking": elke handeling of reeks van handelingen met betrekking tot persoonsgegevens, zoals verzamelen, vastleggen, ordenen, structureren, opslaan, raadplegen, gebruiken, verstrekken, verspreiden of op andere wijze ter beschikking stellen
• "Datalek": een inbreuk op de beveiliging die per ongeluk of onrechtmatig leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens
• "Sub-processor": een derde partij die door Upcall wordt ingeschakeld om persoonsgegevens te verwerken namens de controller

Upcall verwerkt persoonsgegevens uitsluitend voor de volgende doeleinden en binnen de reikwijdte zoals bepaald door de controller:

• Het leveren van voice agent diensten en het verwerken van gesprekken
• Het beheren en onderhouden van het platform en de diensten
• Het verwerken van integraties met door de controller gekozen externe systemen
• Het opslaan en verwerken van kennisbasisgegevens en documenten
• Het genereren van rapporten en analyses voor de controller
• Het voldoen aan wettelijke verplichtingen die op Upcall rusten

Upcall verwerkt geen persoonsgegevens voor eigen doeleinden zonder expliciete toestemming van de controller.

Upcall verbindt zich tot het volgende:

• Verwerking volgens instructies: Upcall verwerkt persoonsgegevens uitsluitend volgens de schriftelijke instructies van de controller en deze DPA
• Vertrouwelijkheid: Upcall zorgt ervoor dat personen die toegang hebben tot persoonsgegevens, gebonden zijn aan geheimhouding of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht
• Beveiligingsmaatregelen: Upcall neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen ongeautoriseerde toegang, verlies of vernietiging
• Datalekken: Upcall informeert de controller onmiddellijk, uiterlijk binnen 24 uur na ontdekking, over elk datalek
• Rechten van betrokkenen: Upcall helpt de controller bij het voldoen aan verzoeken van betrokkenen om hun rechten uit te oefenen
• Documentatie: Upcall houdt een register bij van verwerkingsactiviteiten en stelt deze ter beschikking aan de controller en toezichthoudende autoriteiten
• Audits: Upcall stelt de controller in staat om audits uit te voeren om te verifiëren dat Upcall voldoet aan deze DPA

Standaard hosting: Persoonsgegevens worden standaard opgeslagen en verwerkt op onze eigen servers in Amsterdam, Nederland. Alle gegevens blijven binnen de Europese Economische Ruimte (EER) en voldoen aan de AVG/GDPR-vereisten.

Keuze van de controller: De controller heeft volledige controle over waar persoonsgegevens worden opgeslagen. De controller kan ervoor kiezen om alle gegevens binnen Nederland of binnen de EER te houden. Indien de controller kiest voor optionele plugins of integraties van derden (bijvoorbeeld uit de Verenigde Staten), is dit volledig de keuze en verantwoordelijkheid van de controller.

Gegevensoverdracht buiten EER: Indien persoonsgegevens worden overgedragen naar landen buiten de EER, zullen passende waarborgen worden getroffen, zoals:

• Standaard contractbepalingen (Standard Contractual Clauses) goedgekeurd door de Europese Commissie
• Adequaatheidsbesluiten van de Europese Commissie
• Andere passende waarborgen conform artikel 46 van de AVG/GDPR

Specifieke hostingvereisten: Voor controllers met specifieke hostingvereisten kunnen aangepaste hostingarrangementen worden gemaakt. Neem contact met ons op om deze opties te bespreken.

Sub-processors: Upcall kan gebruik maken van sub-processors voor het leveren van diensten, zoals hostingproviders, clouddiensten en technische ondersteuning. De controller wordt geïnformeerd over alle sub-processors en kan bezwaar maken tegen nieuwe sub-processors. Upcall blijft volledig verantwoordelijk voor de naleving van deze DPA door sub-processors.

Integraties van de controller: De controller heeft de mogelijkheid om te integreren met externe systemen en diensten. Deze integraties zijn volledig optioneel en worden geactiveerd door de controller. Voor integraties met derde partijen buiten de EER is de controller verantwoordelijk voor het naleven van de AVG/GDPR-vereisten.

DPA met derden: Upcall kan de controller helpen bij het opstellen van Data Processing Agreements met derde partijen indien gewenst. Neem contact met ons op voor ondersteuning.

Lijst van sub-processors: Een actuele lijst van sub-processors wordt ter beschikking gesteld aan de controller en wordt regelmatig bijgewerkt.

Upcall implementeert de volgende technische en organisatorische beveiligingsmaatregelen:

• Versleuteling: Alle persoonsgegevens worden versleuteld tijdens opslag (at rest) en tijdens overdracht (in transit) met behulp van industry-standard encryptieprotocollen (AES-256 voor opslag, TLS 1.3 voor overdracht)
• Toegangscontrole: Strikt toegangsbeheer met multi-factor authenticatie, role-based toegangsrechten en regelmatige toegangsreviews
• Beveiligingsmonitoring: Continue monitoring van systemen op beveiligingsincidenten, verdachte activiteiten en anomalieën met behulp van geavanceerde security tools
• Regelmatige audits: Periodieke beveiligingsaudits en penetratietests door externe, gecertificeerde partijen
• Back-up en disaster recovery: Regelmatige back-ups met versleuteling en geteste disaster recovery procedures om gegevensverlies te voorkomen
• Medewerkertraining: Regelmatige training van medewerkers op het gebied van gegevensbescherming, beveiliging en privacy
• Fysieke beveiliging: Fysieke beveiliging van datacenters met toegangscontrole, bewaking en beveiligingssystemen
• Vulnerability management: Proactief beheer van kwetsbaarheden met regelmatige updates en patches

Uitgebreide beveiligingsopties: Voor controllers met specifieke beveiligingsvereisten bieden wij uitgebreide beveiligingsopties aan, inclusief:

• Extra versleutelingslagen en end-to-end encryptie
• Geïsoleerde omgevingen en dedicated hosting
• Aangepaste beveiligingsprotocollen en compliance frameworks
• Uitgebreide logging en monitoring

Neem contact met ons op om deze uitgebreide beveiligingsopties te bespreken en een aangepaste DPA op te stellen.

Gegevensminimalisatie: Upcall verwerkt alleen de persoonsgegevens die noodzakelijk zijn voor de doeleinden zoals bepaald door de controller. Upcall zal geen persoonsgegevens verzamelen of verwerken die niet nodig zijn voor het leveren van de diensten.

Geen opslag optie: Voor controllers die geen bedrijfsgegevens willen opslaan, bieden wij opties aan waarbij gegevens alleen tijdelijk worden verwerkt tijdens gesprekken en niet worden opgeslagen. Neem contact met ons op om deze optie te bespreken en op te nemen in een aangepaste DPA.

Retentie: Persoonsgegevens worden bewaard zolang als noodzakelijk voor de doeleinden van verwerking zoals bepaald door de controller, of zolang als vereist door de wet. Na beëindiging van de dienstverlening worden persoonsgegevens verwijderd of teruggegeven aan de controller, tenzij de wet langere bewaartermijnen vereist.

Verwijdering: De controller kan op elk moment verzoeken om verwijdering van persoonsgegevens. Upcall zal deze verzoeken binnen 30 dagen uitvoeren, tenzij de wet langere bewaartermijnen vereist.

Upcall helpt de controller bij het voldoen aan verzoeken van betrokkenen om hun rechten uit te oefenen onder de AVG/GDPR, waaronder:

• Recht op inzage in hun persoonsgegevens
• Recht op rectificatie van onjuiste gegevens
• Recht op verwijdering ("recht om vergeten te worden")
• Recht op beperking van verwerking
• Recht op bezwaar tegen verwerking
• Recht op dataportabiliteit

Upcall zal de controller ondersteunen bij het beantwoorden van dergelijke verzoeken binnen de wettelijke termijnen.

Meldplicht: In het geval van een datalek informeert Upcall de controller onmiddellijk, uiterlijk binnen 24 uur na ontdekking. De melding bevat:

• Een beschrijving van de aard van het datalek
• De categorieën en het geschatte aantal betrokken personen en persoonsgegevens
• De waarschijnlijke gevolgen van het datalek
• De maatregelen die Upcall heeft genomen of voorstelt te nemen om het datalek aan te pakken
• Contactgegevens van de functionaris voor gegevensbescherming of andere contactpersoon

Ondersteuning: Upcall zal de controller ondersteunen bij het voldoen aan de meldplichten aan toezichthoudende autoriteiten en betrokkenen, indien vereist.

Audits: De controller heeft het recht om audits uit te voeren om te verifiëren dat Upcall voldoet aan deze DPA en de AVG/GDPR. Audits worden uitgevoerd:

• Met redelijke voorafgaande kennisgeving (minimaal 30 dagen)
• Tijdens normale kantooruren
• Zonder onnodige verstoring van de bedrijfsvoering van Upcall
• Met inachtneming van vertrouwelijkheidsovereenkomsten

Certificeringen: Upcall kan certificeringen en auditrapporten van externe partijen ter beschikking stellen aan de controller als bewijs van compliance.

Toezichthoudende autoriteiten: Upcall werkt samen met toezichthoudende autoriteiten en stelt alle benodigde informatie ter beschikking voor compliance verificatie.

Beëindiging: Deze DPA blijft van kracht zolang Upcall persoonsgegevens verwerkt namens de controller. Bij beëindiging van de dienstverlening:

• Stopt Upcall onmiddellijk met het verwerken van persoonsgegevens
• Verwijdert Upcall alle persoonsgegevens binnen 30 dagen na beëindiging, tenzij de wet langere bewaartermijnen vereist
• Kan Upcall op verzoek van de controller persoonsgegevens teruggeven in een gestructureerd formaat
• Kan Upcall persoonsgegevens langer bewaren indien vereist door de wet, maar alleen voor zolang als noodzakelijk

Bewijs van verwijdering: Upcall kan op verzoek van de controller een schriftelijke bevestiging verstrekken van de verwijdering van persoonsgegevens.

Aansprakelijkheid: Upcall is aansprakelijk voor schade die voortvloeit uit schending van deze DPA of de AVG/GDPR, voor zover deze schade het gevolg is van opzet of grove nalatigheid van Upcall.

Schadevergoeding: De totale aansprakelijkheid van Upcall onder deze DPA is beperkt tot het bedrag dat de controller in het afgelopen jaar heeft betaald voor de diensten, tenzij de schade het gevolg is van opzet of grove nalatigheid.

Uitsluiting: Upcall is niet aansprakelijk voor indirecte schade, gevolgschade, gederfde winst of gemiste besparingen, tenzij deze het gevolg zijn van opzet of grove nalatigheid.

Toepasselijk recht: Deze DPA wordt beheerst door Nederlands recht en de bepalingen van de AVG/GDPR. In geval van conflict tussen deze DPA en de AVG/GDPR, prevaleert de AVG/GDPR.

Geschillen: Geschillen die voortvloeien uit of verband houden met deze DPA worden voorgelegd aan de bevoegde rechter in Nederland. Partijen zullen eerst proberen geschillen op te lossen door middel van onderhandelingen.

Toezichthoudende autoriteit: De controller heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) of een andere bevoegde toezichthoudende autoriteit.

Aangepaste DPA: Voor controllers met specifieke vereisten kunnen wij een aangepaste DPA opstellen die rekening houdt met:

• Specifieke hostingvereisten en gegevenslocaties
• Uitgebreide beveiligingsmaatregelen en compliance frameworks
• Gegevensminimalisatie en geen-opslag opties
• Specifieke retentie- en verwijderingsvereisten
• Aangepaste audit- en rapportagevereisten
• Specifieke afspraken over sub-processors en integraties

Contact: Neem contact met ons op via contact om een aangepaste DPA te bespreken en op te stellen. Wij helpen u graag bij het opstellen van een DPA die volledig aansluit bij uw specifieke behoeften en compliance vereisten.