Verwerkersovereenkomst

Effective Date: 22 januari 2026

Verwerkersovereenkomst

Samenvatting in begrijpelijke taal

Deze Verwerkersovereenkomst ("DPA") is een wettelijk contract tussen Enigma Labs BV en onze klanten dat bepaalt hoe wij namens onze klanten omgaan met persoonsgegevens bij het leveren van onze cyberbeveiligingsdiensten.

Wat dit in eenvoudige bewoordingen betekent:

U (onze klant) bent de "Verwerkingsverantwoordelijke" — u bepaalt welke persoonsgegevens worden verwerkt en waarom.
Wij (Enigma Labs) zijn de "Verwerker" — wij verwerken persoonsgegevens uitsluitend volgens uw instructies om onze Diensten te leveren.
Deze overeenkomst zorgt ervoor dat wij voldoen aan alle vereisten van de Algemene Verordening Gegevensbescherming (AVG) van de EU.

Belangrijkste toezeggingen die wij doen:

| Toezegging | Details | |------------|---------| | Verwerkingsbeperkingen | Wij verwerken alleen persoonsgegevens om onze cyberbeveiligingsdiensten te leveren | | Beveiliging | Wij implementeren strenge beveiligingsmaatregelen om uw gegevens te beschermen | | Melding van inbreuken | Wij stellen u binnen 48 uur op de hoogte als er een inbreuk op de beveiliging is | | Rechten van betrokkenen | Wij helpen u om binnen 5 werkdagen te reageren op verzoeken van betrokkenen | | Verwijdering van gegevens | Wij verwijderen uw gegevens binnen 90 dagen na beëindiging van onze overeenkomst | | Sub-verwerkers | Wij maken gebruik van zorgvuldig gescreende sub-verwerkers en stellen u 7 dagen van tevoren op de hoogte van eventuele wijzigingen |

Deze Verwerkersovereenkomst werkt samen met onze Algemene Voorwaarden en ons Privacybeleid. Als er een conflict is tussen deze documenten met betrekking tot gegevensbescherming, heeft deze Verwerkersovereenkomst voorrang.

1. Definities

Voor de toepassing van deze Verwerkersovereenkomst hebben de volgende termen de hieronder vermelde betekenis. Termen met een hoofdletter die hierin niet worden gedefinieerd, hebben de betekenis die daaraan wordt gegeven in de Hoofdovereenkomst.

| Term | Definitie | |------|-----------| | "Overeenkomst" | Deze Verwerkersovereenkomst, inclusief alle bijlagen die hierbij zijn gevoegd. | | "Toepasselijke wetgeving inzake gegevensbescherming" | Alle wet- en regelgeving die van toepassing is op de verwerking van Persoonsgegevens onder deze DPA, met inbegrip van maar niet beperkt tot de AVG, de Britse AVG en alle uitvoerende of aanvullende nationale wetgeving. | | "Verwerkingsverantwoordelijke" | De natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt. Voor de toepassing van deze DPA treedt de Klant op als Verwerkingsverantwoordelijke. | | "Klant" | De entiteit die de Hoofdovereenkomst met Enigma Labs BV heeft gesloten om gebruik te maken van de Diensten. | | "Klantgegevens" | Alle Persoonsgegevens die door Enigma Labs namens de Klant worden verwerkt in verband met de levering van de Diensten. | | "Betrokkene" | Een geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben. | | "DPA" | Deze Verwerkersovereenkomst. | | "FG" | Functionaris voor Gegevensbescherming. | | "EER" | De Europese Economische Ruimte. | | "AVG" | Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming). | | "Persoonsgegevens" | Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in artikel 4, lid 1, van de AVG. | | "Inbreuk in verband met Persoonsgegevens" | Een inbreuk op de beveiliging die leidt tot de onopzettelijke of onwettige vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking van of de ongeoorloofde toegang tot doorgegeven, opgeslagen of anderszins verwerkte Persoonsgegevens. | | "Hoofdovereenkomst" | De Algemene Voorwaarden of andere raamovereenkomst tussen Enigma Labs en de Klant die de levering van Diensten regelt. | | "Verwerking" | Elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen. | | "Verwerker" | Een natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die/dat namens de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt. Voor de toepassing van deze DPA treedt Enigma Labs op als Verwerker. | | "Beveiligingsincident" | Elke daadwerkelijke of vermoedelijke ongeoorloofde toegang tot, verwerving van, gebruik van, openbaarmaking van of vernietiging van Klantgegevens, of elke andere gebeurtenis die de veiligheid, vertrouwelijkheid of integriteit van Klantgegevens in gevaar brengt. Dit omvat, maar is niet beperkt tot, ransomware-aanvallen, ongeoorloofde toegang tot gegevens, gegevensdiefstal, malware-infecties die van invloed zijn op Klantgegevens en onopzettelijke blootstelling van gegevens. | | "Diensten" | De cyberbeveiligingsdiensten die Enigma Labs aan de Klant levert zoals beschreven in de Hoofdovereenkomst, met inbegrip van, maar niet beperkt tot, AI-gestuurde dreigingsdetectie, netwerkmonitoring, kwetsbaarheidsscans, identiteits- en toegangsbeheer en compliancerapportage. | | "SCC's" | De EU-modelcontractbepalingen voor de doorgifte van Persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679, zoals uiteengezet in Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021. | | "Sub-verwerker" | Elke Verwerker die door Enigma Labs is ingeschakeld om namens de Klant Klantgegevens te verwerken. | | "Toezichthoudende autoriteit" | Een onafhankelijke overheidsinstantie die door een EU-lidstaat is opgericht overeenkomstig artikel 51 van de AVG. | | "UK AVG" | De Algemene Verordening Gegevensbescherming van het Verenigd Koninkrijk, die deel uitmaakt van de wetgeving van Engeland en Wales, Schotland en Noord-Ierland krachtens artikel 3 van de European Union (Withdrawal) Act 2018. |

2. Toepassingsgebied en rollen

2.1 Rol van de partijen

De partijen erkennen en komen overeen dat:

(a) De Klant als Verwerkingsverantwoordelijke: De Klant treedt op als Verwerkingsverantwoordelijke van de Klantgegevens. De Klant bepaalt de doeleinden en middelen voor de verwerking van de Klantgegevens en is ervoor verantwoordelijk dat hij over een geldige rechtsgrondslag voor een dergelijke verwerking beschikt krachtens de Toepasselijke wetgeving inzake gegevensbescherming.

(b) Enigma Labs als Verwerker: Enigma Labs treedt op als Verwerker van de Klantgegevens. Enigma Labs verwerkt Klantgegevens uitsluitend op basis van gedocumenteerde instructies van de Klant, waaronder zoals uiteengezet in deze DPA, de Hoofdovereenkomst en voor zover nodig om de Diensten te leveren.

(c) Reikwijdte van de verwerking: Deze DPA is van toepassing op alle verwerking van Klantgegevens door Enigma Labs in verband met de levering van de Diensten, ongeacht waar deze verwerking plaatsvindt.

2.2 Verwijzing naar de Hoofdovereenkomst

Deze DPA maakt integraal deel uit van de Hoofdovereenkomst tussen de partijen. In geval van tegenstrijdigheid tussen de bepalingen van deze DPA en de Hoofdovereenkomst met betrekking tot de bescherming van Persoonsgegevens, prevaleren de bepalingen van deze DPA.

2.3 Enigma Labs als Verwerkingsverantwoordelijke

Niets in deze DPA heeft invloed op de status van Enigma Labs als Verwerkingsverantwoordelijke met betrekking tot zijn eigen klantcontactgegevens (zoals accountgegevens, factuurgegevens en zakelijke communicatie), die worden verwerkt in overeenstemming met het Privacybeleid van Enigma Labs.

3. Verwerkingsinstructies

3.1 Gedocumenteerde instructies

Enigma Labs verwerkt Klantgegevens uitsluitend op basis van gedocumenteerde instructies van de Klant, ook met betrekking tot de overdracht van Klantgegevens naar derde landen of internationale organisaties, tenzij dit vereist is op grond van de Toepasselijke wetgeving inzake gegevensbescherming of de Nederlandse wetgeving.

3.2 Veronderstelde instructies

De instructies van de Klant aan Enigma Labs voor de verwerking van Klantgegevens worden geacht te zijn gegeven via:

(a) Deze Verwerkersovereenkomst;

(b) De Hoofdovereenkomst (Algemene Voorwaarden);

(d) Alle schriftelijke instructies die de Klant via geautoriseerde kanalen aan Enigma Labs verstrekt.

3.3 Naleving van instructies

Enigma Labs zal de Klant onmiddellijk op de hoogte stellen indien naar haar mening een instructie in strijd is met de Toepasselijke wetgeving inzake gegevensbescherming, tenzij het Enigma Labs op grond van belangrijke redenen van algemeen belang verboden is de Klant hiervan op de hoogte te stellen.

3.4 Rechtmatigheid van instructies

De Klant garandeert en verklaart dat:

(a) hij alle benodigde toestemmingen heeft verkregen en/of een andere geldige rechtsgrondslag heeft voor de verwerking van Klantgegevens zoals vereist door de Toepasselijke wetgeving inzake gegevensbescherming;

(b) zijn instructies aan Enigma Labs voor de verwerking van Klantgegevens in overeenstemming zijn met de Toepasselijke wetgeving inzake gegevensbescherming;

(c) hij de Betrokkenen passende informatie heeft verstrekt over de verwerking van hun Persoonsgegevens zoals vereist door de Toepasselijke wetgeving inzake gegevensbescherming.

3.5 Aanvullende instructies

Indien de Klant van Enigma Labs verlangt dat Klantgegevens worden verwerkt op een wijze die buiten het bereik van de in artikel 3.2 uiteengezette veronderstelde instructies valt, dient de Klant deze aanvullende instructies schriftelijk te verstrekken. Enigma Labs zal beoordelen of het aan deze aanvullende instructies kan voldoen en zal de Klant binnen een redelijke termijn op de hoogte stellen van eventuele extra kosten of technische vereisten.

4. Verplichtingen van de Verwerker

Enigma Labs stemt ermee in om te voldoen aan de verplichtingen zoals uiteengezet in artikel 28, lid 3, van de AVG en zal:

4.1 Alleen verwerken op basis van gedocumenteerde instructies

Klantgegevens alleen verwerken op basis van gedocumenteerde instructies van de Klant, ook met betrekking tot de overdracht van Klantgegevens naar derde landen of internationale organisaties, tenzij dit vereist is op grond van de Toepasselijke wetgeving inzake gegevensbescherming.

4.2 Vertrouwelijkheid van personeel waarborgen

Redelijke maatregelen nemen om de betrouwbaarheid te waarborgen van alle personeelsleden die toegang hebben tot Klantgegevens en ervoor zorgen dat al deze personeelsleden:

(a) gebonden zijn aan geheimhoudingsverplichtingen met betrekking tot Klantgegevens;

(b) een passende opleiding hebben gevolgd op het gebied van gegevensbescherming en -beveiliging;

4.3 Passende beveiligingsmaatregelen implementeren

Passende technische en organisatorische maatregelen implementeren en handhaven om een beveiligingsniveau te waarborgen dat passend is voor het risico, zoals nader beschreven in Bijlage 2 (Technische en organisatorische maatregelen).

4.4 Voorwaarden voor Sub-verwerkers naleven

Geen andere Verwerker (Sub-verwerker) inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Klant, in overeenstemming met artikel 6 (Sub-verwerkers).

4.5 Assisteren bij de rechten van Betrokkenen

Rekening houdend met de aard van de verwerking, de Klant helpen met passende technische en organisatorische maatregelen, voor zover dit mogelijk is, bij het nakomen van de verplichting van de Klant om te reageren op verzoeken om uitoefening van de rechten van Betrokkenen op grond van hoofdstuk III van de AVG.

4.6 Assisteren bij beveiliging, melding van inbreuken en DPIA's

Rekening houdend met de aard van de verwerking en de informatie waarover Enigma Labs beschikt:

(a) De Klant bijstaan bij het waarborgen van de naleving van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG met betrekking tot de beveiliging van de verwerking, de melding van inbreuken en de gegevensbeschermingseffectbeoordelingen;

(b) De Klant alle informatie verstrekken die nodig is om aan te tonen dat aan de verplichtingen van artikel 28 van de AVG is voldaan;

(c) Audits, met inbegrip van inspecties, door de Klant of een andere door de Klant gemandateerde auditor in overeenstemming met artikel 11 (Auditrechten) toestaan en daaraan bijdragen.

4.7 Verwijderen of teruggeven van gegevens na beëindiging van de dienstverlening

Naar keuze van de Klant alle Klantgegevens verwijderen of teruggeven aan de Klant na beëindiging van de dienstverlening met betrekking tot de verwerking, en bestaande kopieën verwijderen, tenzij de Toepasselijke wetgeving inzake gegevensbescherming de opslag van de Persoonsgegevens vereist, in overeenstemming met artikel 12 (Bewaring en verwijdering van gegevens).

4.8 De Verwerkingsverantwoordelijke informeren over niet-naleving

De Klant onmiddellijk informeren indien, naar het oordeel van Enigma Labs, een instructie in strijd is met de Toepasselijke wetgeving inzake gegevensbescherming of andere bepalingen van de EU- of lidstaatwetgeving.

5. Beveiligingsmaatregelen

5.1 Algemene beveiligingsverplichting

Enigma Labs zal passende technische en organisatorische beveiligingsmaatregelen implementeren en handhaven om de Klantgegevens te beschermen tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging, beschadiging, diefstal, wijziging of openbaarmaking. Deze maatregelen moeten een beveiligingsniveau garanderen dat passend is voor de schade die uit dergelijke gebeurtenissen kan voortvloeien en de aard van de te beschermen Klantgegevens.

5.2 Technische en organisatorische maatregelen

De specifieke technische en organisatorische maatregelen die door Enigma Labs worden geïmplementeerd, worden gedetailleerd beschreven in Bijlage 2 (Technische en organisatorische maatregelen). Deze maatregelen omvatten, maar zijn niet beperkt tot:

(a) Toegangscontroles en authenticatiemechanismen;

(b) Versleuteling van gegevens tijdens verzending en opslag;

(d) Beveiligingspraktijken voor applicaties;

(e) Gegevensbescherming en -minimalisatie;

(f) Logging en monitoring van beveiligingsincidenten;

(g) Fysieke beveiligingscontroles;

(h) Maatregelen voor bedrijfscontinuïteit en noodherstel.

5.3 Regelmatige tests en evaluaties

Enigma Labs zal regelmatig de effectiviteit van zijn technische en organisatorische maatregelen voor het waarborgen van de veiligheid van de verwerking testen, beoordelen en evalueren. Dit omvat:

(a) Regelmatige kwetsbaarheidsbeoordelingen en penetratietests;

(b) Beveiligingsaudits en nalevingscontroles;

(d) Herziening en actualisering van beveiligingsbeleid en -procedures.

5.4 Personeelsbeveiliging

Enigma Labs zorgt ervoor dat alle personeelsleden die toegang hebben tot Klantgegevens:

(a) Achtergrondcontroles ondergaan waar dit wettelijk is toegestaan en passend is voor hun functie;

(b) Regelmatig trainingen volgen op het gebied van beveiligingsbewustzijn en gegevensbescherming;

5.5 Beveiligingsdocumentatie

Enigma Labs houdt documentatie bij van zijn beveiligingsmaatregelen en stelt deze documentatie op verzoek ter beschikking aan de Klant, met inachtneming van de geheimhoudingsverplichtingen zoals uiteengezet in de Hoofdovereenkomst.

5.6 Beveiligingscertificeringen

Enigma Labs streeft naar de volgende beveiligingscertificeringen om zijn toewijding aan informatiebeveiliging aan te tonen:

| Certificering | Status | Beoogde termijn | |---------------|--------|-----------------| | ISO 27001 (Informatiebeveiligingsbeheer) | In uitvoering | 2026 | | ISO 27017 (Cloudbeveiligingsmaatregelen) | In uitvoering | 2026 | | ISO 27018 (Cloudprivacy) | In uitvoering | 2026 |

Na het behalen van de certificeringen worden de certificaten en relevante auditrapporten onder passende geheimhoudingsverplichtingen ter beschikking gesteld aan Klanten.

6. Sub-verwerkers

6.1 Algemene machtiging

De Klant verleent Enigma Labs algemene machtiging om Sub-verwerkers in te schakelen om namens de Klant Klantgegevens te verwerken. De huidige lijst van goedgekeurde Sub-verwerkers is opgenomen in Bijlage 3 (Goedgekeurde Sub-verwerkers).

6.2 Vereisten voor Sub-verwerkers

Enigma Labs zorgt ervoor dat elke Sub-verwerker:

(a) gebonden is aan een schriftelijke overeenkomst die de Sub-verwerker dezelfde verplichtingen oplegt op het gebied van gegevensbescherming als die welke aan Enigma Labs worden opgelegd in het kader van deze DPA;

(b) Klantgegevens alleen verwerkt voor zover dat nodig is om de aan hem uitbestede diensten te verlenen;

(d) voldoet aan de Toepasselijke wetgeving inzake gegevensbescherming.

6.3 Toezicht op Sub-verwerkers

Enigma Labs voert periodieke beveiligingsbeoordelingen van Sub-verwerkers uit om ervoor te zorgen dat zij blijven voldoen aan de beveiligings- en gegevensbeschermingsvereisten. Dit omvat:

(a) Beoordeling van de beveiligingscertificeringen en auditrapporten van Sub-verwerkers;

(b) Beoordeling van de beveiligingspraktijken en -controles van Sub-verwerkers;

6.4 Wijzigingen in Sub-verwerkers

(a) Voorafgaande kennisgeving: Enigma Labs zal de Klant ten minste zeven (7) dagen van tevoren schriftelijk op de hoogte stellen voordat een nieuwe Sub-verwerker wordt ingeschakeld om Klantgegevens te verwerken.

(b) Kennisgevingsmethode: Deze kennisgeving wordt per e-mail verstuurd naar de door de Klant aangewezen contactpersoon en door de lijst met Sub-verwerkers bij te werken die beschikbaar is op https://enigmalabs.nl/legal/sub-processors.

(c) Recht van bezwaar: De Klant kan bezwaar maken tegen het inschakelen van een nieuwe Sub-verwerker door Enigma Labs binnen zeven (7) dagen na ontvangst van de kennisgeving van de voorgestelde inschakeling schriftelijk in kennis te stellen.

(d) Geschillenbeslechtingsprocedure: Als de Klant bezwaar maakt tegen een nieuwe Sub-verwerker, zullen de partijen het bezwaar te goeder trouw bespreken. Als de partijen niet tot overeenstemming komen binnen veertien (14) dagen na ontvangst van het bezwaar door Enigma Labs, kan de Klant de betreffende Diensten beëindigen door Enigma Labs hiervan dertig (30) dagen van tevoren schriftelijk in kennis te stellen.

6.5 Aansprakelijkheid voor Sub-verwerkers

Enigma Labs blijft volledig aansprakelijk jegens de Klant voor de nakoming van de verplichtingen van een Sub-verwerker uit hoofde van deze DPA. Elke handeling of nalatigheid van een Sub-verwerker wordt voor de toepassing van deze DPA beschouwd als een handeling of nalatigheid van Enigma Labs.

6.6 Huidige Sub-verwerkers

De Sub-verwerkers die momenteel door Enigma Labs worden ingeschakeld en door de Klant zijn geautoriseerd, staan vermeld in Bijlage 3 (Goedgekeurde Sub-verwerkers).

7. Rechten van Betrokkenen

7.1 Hulp bij verzoeken van Betrokkenen

Rekening houdend met de aard van de verwerking, zal Enigma Labs de Klant bijstaan met passende technische en organisatorische maatregelen, voor zover dit mogelijk is, om te voldoen aan de verplichting van de Klant om te reageren op verzoeken van Betrokkenen die hun rechten uitoefenen op grond van hoofdstuk III van de AVG, met inbegrip van:

(a) Recht van inzage (artikel 15);

(b) Recht op rectificatie (artikel 16);

(d) Recht op beperking van de verwerking (artikel 18);

(e) Recht op gegevensoverdraagbaarheid (artikel 20);

(f) Recht van bezwaar (artikel 21);

(g) Rechten met betrekking tot geautomatiseerde besluitvorming, met inbegrip van profilering (artikel 22).

7.2 Kennisgeving van directe verzoeken

Als Enigma Labs rechtstreeks een verzoek van een Betrokkene ontvangt met betrekking tot Klantgegevens, zal Enigma Labs:

(a) niet op een dergelijk verzoek reageren zonder voorafgaande schriftelijke toestemming van de Klant;

(b) het verzoek onmiddellijk (binnen 48 uur) doorsturen naar de Klant;

7.3 Technische maatregelen

Enigma Labs zal passende technische maatregelen nemen om de Klant in staat te stellen te reageren op verzoeken van Betrokkenen, waaronder:

(a) het bieden van functionaliteit om Klantgegevens te exporteren, te wijzigen of te verwijderen, indien van toepassing;

(b) het bijhouden van nauwkeurige gegevens over verwerkingsactiviteiten;

(c) ervoor zorgen dat gegevens worden opgeslagen in een gestructureerd, algemeen gebruikt en machinaal leesbaar formaat, indien van toepassing.

7.4 Reactietermijn en kosten

(a) Reactietermijn: Enigma Labs zal binnen vijf (5) werkdagen na ontvangst van het verzoek reageren op verzoeken van Klanten om hulp met betrekking tot de rechten van Betrokkenen.

(b) Kosten: Enigma Labs zal de Klant zonder extra kosten redelijke hulp bieden bij het reageren op verzoeken van Betrokkenen, op voorwaarde dat dergelijke verzoeken niet vaker voorkomen of een groter volume hebben dan redelijk is (in het algemeen maximaal 10 verzoeken per maand).

(c) Bovenmatige verzoeken: Als het volume of de complexiteit van verzoeken onevenredig veel inspanning vereist, kunnen de partijen overeenkomen om de kosten op passende wijze te delen.

8. Beveiligingsincidenten

8.1 Definitie van Beveiligingsincident

Een "Beveiligingsincident" betekent elk feitelijk of redelijkerwijs vermoed:

(a) ongeoorloofde toegang tot, verwerving van, gebruik van, openbaarmaking van of vernietiging van Klantgegevens;

(b) gebeurtenis die de veiligheid, vertrouwelijkheid of integriteit van Klantgegevens in gevaar brengt;

Voorbeelden van Beveiligingsincidenten zijn onder meer, maar zijn niet beperkt tot:

Ransomware-aanvallen die van invloed zijn op systemen die Klantgegevens bevatten
Ongeautoriseerde toegang tot Klantgegevens door interne of externe actoren
Exfiltratie of diefstal van Klantgegevens
Malware-infecties die van invloed zijn op systemen die Klantgegevens verwerken
Onopzettelijke blootstelling of openbaarmaking van Klantgegevens
Verlies of diefstal van apparaten die Klantgegevens bevatten

8.2 Kennisgeving van Beveiligingsincidenten

(a) Tijdlijn: Enigma Labs stelt de Klant zonder onnodige vertraging en in ieder geval binnen achtenveertig (48) uur na kennis te hebben genomen van een Beveiligingsincident dat van invloed is op Klantgegevens, op de hoogte.

(b) Meldingsmethode: De melding wordt per e-mail gedaan aan de door de Klant aangewezen contactpersoon voor beveiliging. Als er geen contactpersoon voor beveiliging is aangewezen, wordt de melding naar de Accountbeheerder gestuurd.

(i) Een beschrijving van de aard van het Beveiligingsincident, met inbegrip van de categorieën en het geschatte aantal Betrokkenen en de categorieën en het geschatte aantal betrokken Persoonsgegevens;

(ii) De waarschijnlijke gevolgen van het Beveiligingsincident;

(iii) De maatregelen die Enigma Labs heeft genomen of voornemens is te nemen om het Beveiligingsincident aan te pakken, met inbegrip van maatregelen om de mogelijke nadelige gevolgen ervan te beperken;

(iv) Contactgegevens voor meer informatie (met inbegrip van zowel legal@enigmalabs.nl als dpo@enigmalabs.nl).

(d) Voortdurende updates: Enigma Labs zal de Klant updates verstrekken zodra er nieuwe informatie beschikbaar komt die relevant is voor het Beveiligingsincident, ten minste om de 24 uur tijdens de actieve respons op het incident en daarna indien nodig.

8.3 Beperkingen van de kennisgeving

De verplichting van Enigma Labs om een Beveiligingsincident te melden of erop te reageren op grond van dit artikel, is geen erkenning door Enigma Labs van enige fout of aansprakelijkheid met betrekking tot het Beveiligingsincident en zal ook niet als zodanig worden geïnterpreteerd.

8.4 Samenwerking en herstel

Enigma Labs zal:

(a) samenwerken met de Klant en redelijke commerciële maatregelen nemen zoals aangegeven door de Klant om te helpen bij het onderzoeken, beperken en herstellen van elk Beveiligingsincident;

(b) passende maatregelen nemen om herhaling van soortgelijke Beveiligingsincidenten te voorkomen;

(c) de Klant voorzien van redelijkerwijs gevraagde informatie om de Klant in staat te stellen te voldoen aan zijn meldingsverplichtingen aan Toezichthoudende autoriteiten en Betrokkenen op grond van de artikelen 33 en 34 van de AVG.

8.5 Documentatie en registratie

Enigma Labs houdt een register bij van alle Beveiligingsincidenten die van invloed zijn op Klantgegevens, met inbegrip van:

(a) Feiten met betrekking tot het Beveiligingsincident;

(b) Gevolgen van het Beveiligingsincident;

Deze gegevens worden op verzoek ter beschikking gesteld aan de Klant en aan de Toezichthoudende autoriteiten.

9. Gegevensbeschermingseffectbeoordelingen

9.1 Hulp bij DPIA's

Rekening houdend met de aard van de verwerking en de informatie waarover Enigma Labs beschikt, zal Enigma Labs de Klant bijstaan bij elke gegevensbeschermingseffectbeoordeling ("DPIA") die de Klant moet uitvoeren op grond van artikel 35 van de AVG, onder meer door het verstrekken van:

(a) Informatie over de Diensten en hoe Klantgegevens worden verwerkt;

(b) Informatie over de geïmplementeerde technische en organisatorische beveiligingsmaatregelen;

(d) Alle andere informatie die redelijkerwijs nodig is voor de Klant om zijn DPIA uit te voeren.

9.2 Voorafgaand overleg

Als uit een DPIA blijkt dat de verwerking een hoog risico zou opleveren voor de rechten en vrijheden van Betrokkenen als de Klant geen maatregelen neemt om het risico te beperken, en de Klant verplicht is om overeenkomstig artikel 36 van de AVG overleg te plegen met een Toezichthoudende autoriteit, zal Enigma Labs de Klant redelijke bijstand verlenen bij dat overleg.

9.3 Verstrekking van informatie

Enigma Labs zal binnen een redelijke termijn, die niet langer mag zijn dan vijftien (15) werkdagen na ontvangst van het verzoek, reageren op redelijke verzoeken om informatie in verband met DPIA's.

10. Internationale gegevensoverdrachten

10.1 EU-hostingverplichting

Enigma Labs host Klantgegevens binnen de Europese Unie met behulp van de cloudinfrastructuur van Scaleway in Parijs, Frankrijk, en Amsterdam, Nederland. Tenzij schriftelijk anders overeengekomen, worden alle Klantgegevens opgeslagen en verwerkt binnen de EER.

10.2 Overdrachten buiten de EER

Wanneer Enigma Labs Klantgegevens overdraagt naar een land buiten de EER (een "derde land"), gebeurt deze overdracht uitsluitend in overeenstemming met de Toepasselijke wetgeving inzake gegevensbescherming en volgens een van de volgende overdrachtsmechanismen:

(a) Een adequaatheidsbesluit van de Europese Commissie overeenkomstig artikel 45 van de AVG;

(b) De EU-modelcontractbepalingen (SCC's) die door de Europese Commissie zijn vastgesteld overeenkomstig artikel 46, lid 2, onder c), van de AVG;

(c) Bindende bedrijfsregels die zijn goedgekeurd door een bevoegde Toezichthoudende autoriteit overeenkomstig artikel 46, lid 2, onder b), van de AVG;

(d) Elk ander geldig overdrachtsmechanisme dat onder de Toepasselijke wetgeving inzake gegevensbescherming wordt erkend.

10.3 Standaardcontractbepalingen

De EU-modelcontractbepalingen (Uitvoeringsbesluit (EU) 2021/914 van de Commissie) worden door verwijzing opgenomen in deze DPA en vormen een integraal onderdeel daarvan. De SCC's zijn bijgevoegd als Bijlage 4 en zijn van toepassing op elke overdracht van Klantgegevens aan Sub-verwerkers buiten de EER.

10.4 Beoordelingen van de gevolgen van de overdracht

Enigma Labs voert beoordelingen van de gevolgen van de overdracht (Transfer Impact Assessments, TIA's) uit voor elke overdracht van Klantgegevens aan Sub-verwerkers buiten de EER, waarbij rekening wordt gehouden met de omstandigheden van de overdracht en de wetgeving en praktijken van het land van bestemming. De resultaten van dergelijke beoordelingen worden op verzoek aan de Klant ter beschikking gesteld, met inachtneming van de geheimhoudingsverplichtingen.

10.5 Aanvullende maatregelen

Indien vereist door de Toepasselijke wetgeving inzake gegevensbescherming of de uitkomst van een TIA, zal Enigma Labs passende aanvullende maatregelen nemen om een in wezen gelijkwaardig beschermingsniveau te waarborgen voor Klantgegevens die buiten de EER worden overgedragen.

10.6 Voorrang SCC's

In geval van tegenstrijdigheid tussen de bepalingen van de SCC's en andere bepalingen van deze DPA, prevaleren de bepalingen van de SCC's.

11. Auditrechten

11.1 Documentatie en bewijs van naleving

Enigma Labs stelt de Klant alle informatie ter beschikking die nodig is om aan te tonen dat wordt voldaan aan de verplichtingen van artikel 28 van de AVG en deze DPA, en staat audits, met inbegrip van inspecties, door de Klant of een andere door de Klant aangestelde auditor toe en werkt hieraan mee.

11.2 Primaire auditmethode: rapporten van derden

Als primair middel om naleving aan te tonen, verstrekt Enigma Labs de Klant:

(a) Kopieën van ISO 27001-, ISO 27017- en ISO 27018-certificaten (zodra deze zijn verkregen);

(b) Kopieën van SOC 2 Type II-rapporten (zodra deze zijn verkregen);

(d) Bewijs van naleving op redelijk verzoek.

Enigma Labs streeft momenteel naar ISO 27001-, ISO 27017- en ISO 27018-certificering, die naar verwachting in 2026 zal worden afgerond.

11.3 Audits ter plaatse

Audits ter plaatse van de faciliteiten en activiteiten van Enigma Labs zijn alleen toegestaan als:

(a) De informatie die onder artikel 11.2 wordt verstrekt, onvoldoende is om naleving van deze DPA aan te tonen;

(b) Na een bevestigd Beveiligingsincident dat van invloed is op Klantgegevens;

11.4 Voorwaarden voor audits ter plaatse

Elke audit ter plaatse is onderworpen aan de volgende voorwaarden:

(a) Voorafgaande kennisgeving: De Klant moet ten minste dertig (30) dagen van tevoren schriftelijk kennis geven van de voorgestelde audit;

(b) Tijdstip: De audit wordt uitgevoerd tijdens de normale kantooruren van Enigma Labs;

(c) Vertrouwelijkheid: De Klant en zijn auditors zijn gebonden aan geheimhoudingsverplichtingen met betrekking tot alle eigendoms- of Vertrouwelijke Informatie van Enigma Labs waartoe zij tijdens de audit toegang hebben;

(d) Kostenverdeling: De Klant draagt alle kosten in verband met de audit, tenzij uit de audit blijkt dat Enigma Labs zijn verplichtingen uit hoofde van deze DPA niet nakomt, in welk geval Enigma Labs zijn eigen kosten draagt;

(e) Reikwijdte: De reikwijdte van de audit is beperkt tot die verwerkingsactiviteiten die relevant zijn voor Klantgegevens;

(f) Frequentie: Behalve in het geval van audits die worden uitgevoerd naar aanleiding van een Beveiligingsincident of die wettelijk verplicht zijn, mag de Klant niet meer dan één (1) audit per kalenderjaar ter plaatse uitvoeren.

11.5 Auditrapporten

Enigma Labs verstrekt de Klant een schriftelijk rapport van elke audit die door Enigma Labs of een derde partij is uitgevoerd en die relevant is voor de verwerking van Klantgegevens, met inachtneming van de geheimhoudingsverplichtingen.

11.6 Medewerking

Enigma Labs verleent tijdens elke audit redelijke medewerking aan de Klant en zijn auditors, onder meer door:

(a) toegang te verlenen tot relevant personeel;

(b) toegang te verlenen tot relevante documentatie en gegevens;

12. Bewaring en verwijdering van gegevens

12.1 Duur van de verwerking

Enigma Labs verwerkt Klantgegevens alleen gedurende de looptijd van de Hoofdovereenkomst, tenzij anders aangegeven door de Klant of vereist door de Toepasselijke wetgeving inzake gegevensbescherming.

12.2 Periode voor gegevensexport

Bij beëindiging of afloop van de Hoofdovereenkomst, of op schriftelijk verzoek van de Klant, heeft de Klant dertig (30) dagen de tijd om Klantgegevens uit de Diensten te exporteren of op te halen.

12.3 Verwijdering van gegevens

(a) Tijdschema: Na het verstrijken van de exportperiode zoals bedoeld in artikel 12.2 zal Enigma Labs alle Klantgegevens binnen negentig (90) dagen verwijderen, tenzij:

(i) de Klant om eerdere verwijdering verzoekt;

(ii) de Toepasselijke wetgeving inzake gegevensbescherming vereist dat de Persoonsgegevens worden bewaard;

(iii) de gegevens zodanig zijn geanonimiseerd of geaggregeerd dat ze niet langer Persoonsgegevens vormen.

(b) Methode: Het verwijderen gebeurt met behulp van veilige verwijderingsmethoden die aan de industrienormen voldoen en die de gegevens onherstelbaar maken.

(c) Uitzonderingen: Enigma Labs kan Klantgegevens langer dan de verwijderingsperiode bewaren voor zover dit vereist is door de Toepasselijke wetgeving inzake gegevensbescherming, onder meer voor:

(i) het nakomen van wettelijke verplichtingen;

(ii) het instellen, uitoefenen of verdedigen van rechtsvorderingen;

(iii) geanonimiseerde analyse- en statistische doeleinden.

12.4 Bevestiging van verwijdering

Op schriftelijk verzoek van de Klant zal Enigma Labs schriftelijk bevestigen dat de Klantgegevens in overeenstemming met dit artikel zijn verwijderd, op voorwaarde dat een dergelijk verzoek binnen zestig (60) dagen na de verwijderingsdatum wordt ingediend.

12.5 Teruggave van gegevens

Op schriftelijk verzoek van de Klant voorafgaand aan de beëindiging zal Enigma Labs de Klantgegevens aan de Klant teruggeven in een gestructureerd, algemeen gebruikt en machinaal leesbaar formaat, in plaats van of naast verwijdering.

13. Aansprakelijkheid

13.1 Aansprakelijkheidsplafond

Behoudens artikel 13.2 is de totale aansprakelijkheid van elke partij die voortvloeit uit of verband houdt met deze DPA, hetzij op grond van een overeenkomst, onrechtmatige daad of enige andere aansprakelijkheidstheorie, beperkt tot dezelfde omvang als uiteengezet in de Hoofdovereenkomst. Voor alle duidelijkheid: het aansprakelijkheidsplafond onder de Hoofdovereenkomst is twaalf (12) maanden aan Vergoedingen die door de Klant aan Enigma Labs zijn betaald in de twaalf (12) maanden voorafgaand aan de gebeurtenis die aanleiding geeft tot aansprakelijkheid.

13.2 Uitsluitingen van aansprakelijkheidsplafond

Het aansprakelijkheidsplafond in artikel 13.1 is niet van toepassing op:

(a) Grove nalatigheid of opzettelijk wangedrag van een van beide partijen;

(b) Schendingen van geheimhoudingsverplichtingen;

(d) Schendingen die niet kunnen worden beperkt onder de Toepasselijke wetgeving inzake gegevensbescherming, met inbegrip van de AVG;

(e) Overlijden of persoonlijk letsel veroorzaakt door nalatigheid;

(f) Fraude of frauduleuze verkeerde voorstelling van zaken.

13.3 Toewijzing van boetes van Toezichthoudende autoriteiten

(a) Elke partij is als enige verantwoordelijk voor boetes, straffen of andere sancties die door een Toezichthoudende autoriteit of andere regelgevende instantie worden opgelegd als gevolg van haar eigen schendingen van de Toepasselijke wetgeving inzake gegevensbescherming.

(b) De Klant vrijwaart Enigma Labs van alle boetes, sancties of straffen die aan Enigma Labs worden opgelegd als gevolg van:

(i) onwettige instructies van de Klant;

(ii) het niet nakomen door de Klant van zijn verplichtingen als Verwerkingsverantwoordelijke onder de Toepasselijke wetgeving inzake gegevensbescherming;

(iii) het niet verstrekken door de Klant van passende informatie aan Betrokkenen.

(c) Enigma Labs zal de Klant vrijwaren en schadeloosstellen voor alle boetes, straffen of sancties die aan de Klant worden opgelegd als gevolg van het niet nakomen door Enigma Labs van zijn verplichtingen als Verwerker onder deze DPA en de Toepasselijke wetgeving inzake gegevensbescherming.

13.4 Vrijwaring voor claims van Betrokkenen

(a) De Klant zal Enigma Labs vrijwaren en verdedigen tegen alle claims, schadevergoedingen en kosten (inclusief redelijke juridische kosten) die door Betrokkenen of derden worden ingesteld als gevolg van:

(i) de instructies van de Klant aan Enigma Labs;

(ii) het niet nakomen door de Klant van zijn verplichtingen op grond van de Toepasselijke wetgeving inzake gegevensbescherming.

(b) Enigma Labs zal de Klant vrijwaren en verdedigen tegen alle claims, schade en kosten (inclusief redelijke juridische kosten) die door Betrokkenen of derden worden ingesteld als gevolg van het niet nakomen door Enigma Labs van zijn verplichtingen uit hoofde van deze DPA.

13.5 Geen vrijwaring voor boetes van Toezichthoudende autoriteiten

Niettegenstaande enige andere bepaling in deze DPA, zal geen van beide partijen de andere partij vrijwaren voor boetes of sancties die door een Toezichthoudende autoriteit worden opgelegd wegens schendingen van de AVG of andere Toepasselijke wetgeving inzake gegevensbescherming.

14. Looptijd en beëindiging

14.1 Ingangsdatum

Deze DPA treedt in werking op de vroegste van de volgende data:

(a) de datum waarop de Hoofdovereenkomst door beide partijen wordt ondertekend;

(b) de datum waarop de Klant voor het eerst gebruikmaakt van de Diensten.

14.2 Duur

Deze DPA blijft van kracht gedurende de looptijd van de Hoofdovereenkomst en wordt automatisch beëindigd bij beëindiging of afloop van de Hoofdovereenkomst, met uitzondering van bepalingen die vanwege hun aard ook na beëindiging van kracht moeten blijven.

14.3 Bepalingen die van kracht blijven

De volgende bepalingen blijven van kracht na beëindiging van deze DPA:

(a) Artikel 12 (Bewaring en verwijdering van gegevens);

(b) Artikel 13 (Aansprakelijkheid);

(d) Alle andere bepalingen die vanwege hun aard na beëindiging van kracht moeten blijven.

14.4 Gevolgen voor de Hoofdovereenkomst

Beëindiging van deze DPA heeft geen gevolgen voor de Hoofdovereenkomst, die volledig van kracht blijft volgens de voorwaarden ervan. Als de Klant deze DPA echter beëindigt vanwege een wezenlijke schending door Enigma Labs die niet kan worden hersteld, kan de Klant ook de Hoofdovereenkomst om gegronde redenen beëindigen.

15. Algemene bepalingen

15.1 Volledige overeenkomst

Deze DPA vormt samen met de Hoofdovereenkomst de volledige overeenkomst tussen de partijen met betrekking tot het onderwerp hiervan en vervangt alle eerdere overeenkomsten, afspraken, onderhandelingen en besprekingen, zowel mondeling als schriftelijk, met betrekking tot dit onderwerp.

15.2 Wijzigingen

Wijzigingen, aanpassingen of afwijkingen van enige bepaling van deze DPA zijn alleen van kracht indien deze schriftelijk zijn vastgelegd en door bevoegde vertegenwoordigers van beide partijen zijn ondertekend. Enigma Labs kan deze DPA van tijd tot tijd bijwerken om wijzigingen in de Toepasselijke wetgeving inzake gegevensbescherming of de Diensten weer te geven. De Klant wordt ten minste dertig (30) dagen voordat deze van kracht worden, op de hoogte gesteld van wezenlijke wijzigingen.

15.3 Scheidbaarheid

Indien een bepaling van deze DPA door een bevoegde rechtbank ongeldig, onwettig of niet-afdwingbaar wordt verklaard, wordt deze bepaling geacht te zijn gewijzigd in de mate die minimaal nodig is om deze geldig, wettig en afdwingbaar te maken, of indien een dergelijke wijziging niet mogelijk is, wordt deze bepaling geacht te zijn gescheiden van deze DPA en blijven de overige bepalingen onverminderd van kracht.

15.4 Geen derde begunstigden

Deze DPA is ten behoeve van de partijen bij deze overeenkomst en hun respectieve opvolgers en toegestane rechtverkrijgenden. Niets in deze DPA mag worden geïnterpreteerd als het creëren van rechten of verplichtingen voor derden, met inbegrip van Betrokkenen, tenzij dit uitdrukkelijk in deze overeenkomst is bepaald.

15.5 Rangorde

In geval van tegenstrijdigheid of inconsistentie tussen de bepalingen van deze DPA en:

(a) De Hoofdovereenkomst: de bepalingen van deze DPA prevaleren met betrekking tot gegevensbeschermingskwesties;

(b) De SCC's (Bijlage 4): de bepalingen van de SCC's prevaleren.

15.6 Toepasselijk recht

Deze DPA wordt beheerst door en geïnterpreteerd in overeenstemming met het recht van Nederland, zonder rekening te houden met de beginselen van conflicterend recht.

15.7 Geschillenbeslechting

Alle geschillen die voortvloeien uit of verband houden met deze DPA, met inbegrip van alle vragen met betrekking tot het bestaan, de geldigheid of de beëindiging ervan, zullen definitief worden beslecht door middel van arbitrage in overeenstemming met het Arbitragereglement van het Nederlands Arbitrage Instituut (NAI). Het scheidsgerecht zal bestaan uit één arbiter. De plaats van arbitrage is Amsterdam, Nederland. De taal van de arbitrage is Engels.

15.8 Afstand

Afstand van enige bepaling van deze DPA is alleen van kracht indien deze schriftelijk is vastgelegd en door de afstanddoende partij is ondertekend. Het nalaten of uitstellen door een van beide partijen van het uitoefenen van enig recht, bevoegdheid of rechtsmiddel onder deze DPA houdt geen afstand daarvan in, noch sluit enige enkele of gedeeltelijke uitoefening van een dergelijk recht, bevoegdheid of rechtsmiddel enige andere of verdere uitoefening daarvan uit.

15.9 Overdracht

Enigma Labs kan deze DPA overdragen aan een gelieerde onderneming of in verband met een fusie, overname, bedrijfsreorganisatie of verkoop van alle of vrijwel alle activa. De Klant mag deze DPA niet overdragen zonder voorafgaande schriftelijke toestemming van Enigma Labs, behalve aan een gelieerde onderneming of in verband met een fusie, overname of verkoop van alle of vrijwel alle activa.

15.10 Kennisgevingen

Alle kennisgevingen in het kader van deze DPA moeten schriftelijk worden gedaan en worden bezorgd op de adressen vermeld in artikel 16 (Contactgegevens) of op een ander adres dat door een van beide partijen schriftelijk wordt opgegeven. Kennisgevingen worden geacht te zijn gedaan:

(a) wanneer ze persoonlijk worden bezorgd;

(b) drie (3) werkdagen na verzending per aangetekende post;

16. Contactgegevens

16.1 Vragen over de Verwerkersovereenkomst

Voor vragen of opmerkingen over deze Verwerkersovereenkomst kunt u contact opnemen met:

E-mail: legal@enigmalabs.nl

Postadres: Enigma Labs BV T.a.v.: Juridische afdeling Korte Lijnbaanssteeg 1 1012SL Amsterdam Nederland

16.2 Functionaris voor Gegevensbescherming

Enigma Labs heeft vrijwillig een Functionaris voor Gegevensbescherming aangesteld die kan worden gecontacteerd voor zaken met betrekking tot gegevensbescherming:

E-mail: dpo@enigmalabs.nl

Postadres: Enigma Labs BV T.a.v.: Functionaris voor Gegevensbescherming Korte Lijnbaanssteeg 1 1012SL Amsterdam Nederland

16.3 Door de Klant aangewezen contactpersoon

De Klant wijst een primaire contactpersoon aan voor DPA-gerelateerde zaken, waaronder meldingen van Beveiligingsincidenten en meldingen van wijzigingen in Sub-verwerkers. De Klant verstrekt Enigma Labs de naam en het e-mailadres van deze contactpersoon en stelt Enigma Labs onmiddellijk op de hoogte van eventuele wijzigingen.

16.4 Alternatieve contactpersonen

Voor dringende zaken zijn de volgende contactpersonen beschikbaar:

| Doel | Contactpersoon | |------|----------------| | Beveiligingsincidenten | security@enigmalabs.nl | | Algemene ondersteuning | support@enigmalabs.nl | | Vragen over privacy | privacy@enigmalabs.nl |

17. Uitvoering

17.1 Bindende overeenkomst

Deze DPA wordt aangegaan en wordt juridisch bindend op het moment dat het eerste van de volgende momenten zich voordoet:

(a) De elektronische aanvaarding van deze DPA door de Klant via de Diensten;

(b) De ondertekening door de Klant van een Hoofdovereenkomst (Algemene Voorwaarden of andere raamovereenkomst) waarin deze DPA door middel van verwijzing is opgenomen;

17.2 Geen fysieke handtekening vereist

Er is geen fysieke handtekening vereist om deze DPA rechtsgeldig te maken. Elektronische aanvaarding, waaronder het klikken op "Ik ga akkoord" of een soortgelijke bevestiging, of het gebruik van de Diensten nadat deze DPA beschikbaar is gesteld, vormt een geldige aanvaarding volgens Nederlands recht en de toepasselijke EU-regelgeving inzake elektronische handel.

17.3 Exemplaren

Als de partijen ervoor kiezen om deze DPA in meerdere exemplaren uit te voeren (bijvoorbeeld in verband met een Bestelformulier of een ondernemingsovereenkomst), wordt elk exemplaar als een origineel beschouwd en vormen alle exemplaren samen één en dezelfde overeenkomst.

17.4 Bevoegdheid

Elke partij verklaart en garandeert dat:

(a) zij de wettelijke bevoegdheid en autoriteit heeft om deze DPA aan te gaan;

(b) de persoon die deze DPA namens de partij aanvaardt, daartoe bevoegd is;

Bijlage 1: Beschrijving van de verwerking

Deze Bijlage 1 beschrijft de verwerking van Klantgegevens zoals vereist door artikel 28, lid 3, van de AVG.

A1.1 Onderwerp

Het onderwerp van de verwerking is het leveren van Enigma Labs' cybersecurity SaaS-platformdiensten aan de Klant, waaronder AI-gestuurde dreigingsdetectie, netwerkmonitoring, kwetsbaarheidsscans, identiteits- en toegangsbeheer, compliancerapportage en aanverwante diensten.

A1.2 Duur

De duur van de verwerking is de looptijd van de Hoofdovereenkomst (Algemene Voorwaarden), inclusief eventuele verlengingsperiodes, plus de bewaartermijn voor gegevens zoals gespecificeerd in artikel 12 van deze DPA.

A1.3 Aard en doel van de verwerking

| Element | Details | |---------|---------| | Aard van de verwerking | Verzameling, opslag, analyse, waarschuwing, rapportage en verwijdering van beveiligingsgerelateerde gegevens. | | Doel van de verwerking | Het leveren van de cyberbeveiligingsdiensten die worden beschreven in de Hoofdovereenkomst, waaronder: detectie van en reactie op dreigingen, netwerkmonitoring en -analyse, kwetsbaarheidsbeoordeling, identiteits- en toegangsbeheer, compliancerapportage en automatisering van beveiligingsoperatiecentra. |

A1.4 Soorten Persoonsgegevens

De volgende soorten Persoonsgegevens kunnen in verband met de Diensten worden verwerkt:

| Categorie | Voorbeelden | |-----------|-------------| | Identificatiegegevens van werknemers | Namen, gebruikersnamen, werknemers-ID's, e-mailadressen, functietitels, afdelingsinformatie | | Netwerkidentificatiegegevens | IP-adressen, apparaat-ID's, MAC-adressen, hostnamen, netwerksessie-identificatiegegevens | | Authenticatiegegevens | Inlogtijdstempels, uitlogtijdstempels, sessie-informatie, authenticatietokens, status van meervoudige authenticatie | | Beveiligingsgebeurtenisgegevens | Toegangslogboeken, dreigingswaarschuwingen, gegevens over detectie van afwijkingen, registraties van beveiligingsincidenten, audittrails | | Identiteits- en toegangsbeheersgegevens | Gebruikersrollen, machtigingen, groepslidmaatschappen, toegangsrechten, privilegieniveaus |

A1.5 Categorieën van Betrokkenen

De verwerkte Persoonsgegevens hebben betrekking op de volgende categorieën van Betrokkenen:

| Categorie | Beschrijving | |-----------|--------------| | Medewerkers van de Klant | Medewerkers van de Klant die gebruikmaken van systemen of netwerken die door de Diensten worden bewaakt | | Aannemers en consultants van de Klant | Externe aannemers, consultants en tijdelijke werknemers die toegang hebben tot de systemen van de Klant | | Eindgebruikers van de Klant | Eindgebruikers van de producten of diensten van de Klant, indien van toepassing | | Netwerkgebruikers | Alle personen van wie de gegevens via het door de Klant bewaakte netwerk worden verzonden |

A1.6 Verplichtingen van de Verwerkingsverantwoordelijke

De Klant (Verwerkingsverantwoordelijke) zal:

(a) ervoor zorgen dat hij een geldige rechtsgrondslag heeft voor de verwerking van Klantgegevens op grond van de Toepasselijke wetgeving inzake gegevensbescherming;

(b) de Betrokkenen passende informatie verstrekken over de verwerking van hun Persoonsgegevens;

(c) ervoor zorgen dat zijn instructies aan Enigma Labs in overeenstemming zijn met de Toepasselijke wetgeving inzake gegevensbescherming;

(d) alle noodzakelijke toestemmingen of machtigingen verkrijgen voor de verwerking van Klantgegevens;

(e) voldoen aan alle andere verplichtingen die op grond van de Toepasselijke wetgeving inzake gegevensbescherming op Verwerkingsverantwoordelijken van toepassing zijn.

A1.7 Verplichtingen van de Verwerker

Enigma Labs (Verwerker) zal:

(a) Klantgegevens alleen verwerken op basis van gedocumenteerde instructies van de Klant;

(b) Passende technische en organisatorische beveiligingsmaatregelen implementeren;

(d) Sub-verwerkers alleen inschakelen in overeenstemming met artikel 6 van deze DPA;

(e) De Klant bijstaan bij het reageren op verzoeken van Betrokkenen;

(f) De Klant bijstaan bij beveiligingsverplichtingen, melding van inbreuken en DPIA's;

(g) Klantgegevens verwijderen of teruggeven aan het einde van de dienstverlening;

(h) Informatie verstrekken om aan te tonen dat artikel 28 van de AVG wordt nageleefd;

(i) Audits en inspecties toestaan en daaraan meewerken.

Bijlage 2: Technische en organisatorische maatregelen

Deze Bijlage 2 beschrijft de technische en organisatorische beveiligingsmaatregelen die Enigma Labs heeft geïmplementeerd om Klantgegevens te beschermen, zoals vereist door artikel 32 van de AVG.

A2.1 Organisatorische maatregelen

| Maatregel | Implementatie | |-----------|---------------| | Beleid inzake informatiebeveiliging | Enigma Labs hanteert een uitgebreid beleid inzake informatiebeveiliging dat is afgestemd op de ISO 27001-normen en dat betrekking heeft op onder meer toegangscontrole, activabeheer, cryptografie, fysieke beveiliging, operationele beveiliging, communicatiebeveiliging en incidentbeheer. | | Beveiligingsrollen en -verantwoordelijkheden | Er zijn duidelijke beveiligingsrollen en -verantwoordelijkheden gedefinieerd, waaronder een aangewezen informatiebeveiligingsfunctionaris die verantwoordelijk is voor het toezicht op het informatiebeveiligingsprogramma. | | Achtergrondcontroles van werknemers | Er worden achtergrondcontroles uitgevoerd bij werknemers die toegang hebben tot Klantgegevens, voor zover dit is toegestaan door de toepasselijke wetgeving en passend is voor hun functie. | | Training in beveiligingsbewustzijn | Alle werknemers die toegang hebben tot Klantgegevens krijgen regelmatig training in beveiligingsbewustzijn en gegevensbescherming, waaronder training in phishing, wachtwoordbeveiliging en het melden van incidenten. | | Vertrouwelijkheidsovereenkomsten | Alle werknemers en contractanten die toegang hebben tot Klantgegevens zijn gebonden aan vertrouwelijkheidsverplichtingen, hetzij contractueel, hetzij wettelijk. | | Procedures voor incidentrespons | Er zijn gedocumenteerde procedures voor incidentrespons om Beveiligingsincidenten op te sporen, erop te reageren en ervan te herstellen. Er worden regelmatig tests en oefeningen uitgevoerd. | | Bedrijfscontinuïteitsplanning | Er worden bedrijfscontinuïteits- en noodherstelplannen bijgehouden en regelmatig getest om de beschikbaarheid van de Diensten en de bescherming van Klantgegevens te waarborgen. | | Risicobeheer van leveranciers | Er is een programma voor risicobeheer van leveranciers om de beveiligingspraktijken van Sub-verwerkers en andere externe dienstverleners te beoordelen en te controleren. | | Regelmatige beveiligingsbeoordelingen | Er worden regelmatig beveiligingsbeoordelingen uitgevoerd, waaronder kwetsbaarheidsscans en penetratietests, om zwakke plekken in de beveiliging op te sporen en aan te pakken. |

A2.2 Technische maatregelen

Toegangscontrole

| Controle | Implementatie | |----------|---------------| | Op rollen gebaseerde toegangscontrole (RBAC) | Toegang tot Klantgegevens wordt verleend op basis van functies en verantwoordelijkheden, volgens het principe van minimale rechten. | | Principe van minimale rechten | Gebruikers krijgen alleen de minimale toegangsrechten die nodig zijn om hun taken uit te voeren. | | Multi-factor authenticatie (MFA) | MFA is vereist voor alle administratieve toegang tot systemen die Klantgegevens bevatten. | | Unieke gebruikers-ID's | Elke gebruiker heeft een unieke identificatiecode voor toegang tot systemen en applicaties. | | Toegangsbeoordelingen | Er worden regelmatig toegangsbeoordelingen uitgevoerd om ervoor te zorgen dat de toegangsrechten passend blijven en om de toegang voor ontslagen werknemers of gewijzigde functies te verwijderen. | | Beheer van geprivilegieerde toegang | Er zijn verbeterde controles ingesteld voor geprivilegieerde accounts, waaronder aanvullende monitoring en goedkeuringsworkflows. |

Versleuteling

| Controle | Implementatie | |----------|---------------| | Gegevens tijdens verzending | Alle gegevens die tussen de Klant en de systemen van Enigma Labs worden verzonden, worden versleuteld met TLS 1.2 of hoger. | | Gegevens in rust | Klantgegevens die door Enigma Labs worden opgeslagen, worden versleuteld met AES-256 of gelijkwaardige versleuteling. | | Sleutelbeheer | Versleutelingssleutels worden veilig beheerd met behulp van industriestandaardpraktijken, waaronder sleutelrotatie en veilige opslag. | | Certificaatbeheer | SSL/TLS-certificaten worden op de juiste manier beheerd, gecontroleerd op vervaldatum en indien nodig vernieuwd. |

Netwerkbeveiliging

| Controle | Implementatie | |----------|---------------| | Firewalls | Er worden netwerkfirewalls ingezet om het netwerkverkeer te controleren en te monitoren. | | Inbraakdetectie/-preventie | Er zijn inbraakdetectie- en preventiesystemen (IDS/IPS) geïnstalleerd om kwaadwillige activiteiten te identificeren en te blokkeren. | | Netwerksegmentatie | Netwerken zijn gesegmenteerd om kritieke systemen te isoleren en de potentiële impact van Beveiligingsincidenten te beperken. | | DDoS-bescherming | Er zijn DDoS-beschermingsmaatregelen getroffen om de beschikbaarheid van de dienstverlening te waarborgen. | | VPN voor administratieve toegang | VPN is vereist voor externe administratieve toegang tot productiesystemen. |

Applicatiebeveiliging

| Controle | Implementatie | |----------|---------------| | Veilige SDLC | Beveiliging is geïntegreerd in de hele levenscyclus van softwareontwikkeling, inclusief beveiligingsvereisten, ontwerpbeoordelingen en beveiligingstests. | | Codebeoordelingen | Er worden codebeoordelingen uitgevoerd om beveiligingskwetsbaarheden te identificeren en te verhelpen. | | Kwetsbaarheidsscans | Er worden regelmatig kwetsbaarheidsscans uitgevoerd op applicaties en infrastructuur. | | Penetratietesten | Penetratietesten worden periodiek uitgevoerd door gekwalificeerde beveiligingsprofessionals. | | Web Application Firewall (WAF) | WAF wordt ingezet om webapplicaties te beschermen tegen veelvoorkomende aanvallen. | | Invoervalidatie | Invoervalidatie wordt geïmplementeerd om injectieaanvallen en andere op invoer gebaseerde kwetsbaarheden te voorkomen. |

Gegevensbescherming

| Controle | Implementatie | |----------|---------------| | Gegevensclassificatie | Er zijn beleidsregels voor gegevensclassificatie om gevoelige gegevens op de juiste manier te identificeren en te beschermen. | | Gegevensminimalisatie | Alleen gegevens die nodig zijn voor het leveren van Diensten worden verzameld en bewaard. | | Pseudonimisering | Waar nodig worden pseudonimiseringstechnieken gebruikt om privacyrisico's te verminderen. | | Veilig verwijderen | Wanneer gegevens niet langer nodig zijn, worden veilige verwijderingsmethoden gebruikt om ervoor te zorgen dat de gegevens onherstelbaar zijn. |

Monitoring en logboekregistratie

| Controle | Implementatie | |----------|---------------| | Logboekregistratie van beveiligingsgebeurtenissen | Beveiligingsgebeurtenissen worden geregistreerd, waaronder toegang tot Klantgegevens, administratieve acties en systeemwijzigingen. | | Bescherming van logboekintegriteit | De integriteit van logboeken wordt beschermd om manipulatie of ongeoorloofde wijzigingen te voorkomen. | | Detectie van afwijkingen | Er zijn systemen voor detectie van afwijkingen om verdachte activiteiten te identificeren. | | 24/7 monitoring | Er wordt 24/7 beveiligingsmonitoring uitgevoerd om Beveiligingsincidenten te detecteren en erop te reageren. |

Fysieke beveiliging

| Controle | Implementatie | |----------|---------------| | Toegangscontrole voor datacenters | De fysieke toegang tot datacenters (via Scaleway) wordt streng gecontroleerd met meervoudige authenticatie, beveiligingspersoneel en bewakingssystemen. | | Omgevingscontroles | Er zijn omgevingscontroles om apparatuur te beschermen tegen brand, overstromingen en andere gevaren. | | Beveiliging van apparatuur | Apparatuur die Klantgegevens bevat, wordt fysiek beveiligd en op een veilige manier afgevoerd wanneer deze niet langer nodig is. |

Beschikbaarheid

| Controle | Implementatie | |----------|---------------| | Redundante infrastructuur | Er wordt redundante infrastructuur ingezet om de beschikbaarheid van de Dienst te garanderen. | | Geautomatiseerde back-ups | Er worden regelmatig geautomatiseerde back-ups gemaakt om gegevensherstel mogelijk te maken. | | Noodherstel | Er zijn noodherstelprocedures van kracht die regelmatig worden getest. | | Failover-mogelijkheden | Er zijn failover-mogelijkheden geïmplementeerd om onderbrekingen van de dienstverlening tot een minimum te beperken. |

|--------------------|----------------------| | Overdrachten van Verwerkingsverantwoordelijke naar Verwerker | Module twee | | Overdrachten van Verwerker naar Verwerker | Module drie |

A4.3 Bijlagen bij de SCC's

Bijlage I.A: Lijst van partijen

Gegevensuitvoerder (Verwerkingsverantwoordelijke):

| Veld | Details | |------|---------| | Naam | Klant (zoals gedefinieerd in de Hoofdovereenkomst) | | Adres | Zoals vermeld in de Hoofdovereenkomst | | Contactpersoon | Zoals aangewezen door de Klant | | Activiteiten | Gebruik van de cyberbeveiligingsdiensten van Enigma Labs | | Handtekening en datum | Door ondertekening van de Hoofdovereenkomst of gebruik van de Diensten | | Rol | Verwerkingsverantwoordelijke |

Gegevensimporteur (Verwerker):

| Veld | Details | |------|---------| | Naam | Enigma Labs BV | | Adres | Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Nederland | | Contactpersoon | Functionaris voor Gegevensbescherming, dpo@enigmalabs.nl; Juridische afdeling, legal@enigmalabs.nl | | Activiteiten | Levering van cybersecurity SaaS-diensten | | Handtekening en datum | Door ondertekening van de Hoofdovereenkomst of levering van de Diensten | | Rol | Verwerker |

Bijlage I.B: Beschrijving van de overdracht

De beschrijving van de overdracht is zoals uiteengezet in Bijlage 1 (Beschrijving van de verwerking) bij deze DPA.

Bijlage I.C: Bevoegde Toezichthoudende autoriteit

De bevoegde Toezichthoudende autoriteit voor de toepassing van clausule 13 van de SCC's is:

Autoriteit Persoonsgegevens (Nederlandse gegevensbeschermingsautoriteit)

| Veld | Details | |------|---------| | Adres | Bezuidenhoutseweg 30, 2594 AV Den Haag, Nederland | | Telefoon | +31 70 888 8500 | | Website | https://autoriteitpersoonsgegevens.nl |

Bijlage II: Technische en organisatorische maatregelen

De technische en organisatorische maatregelen die door de gegevensimporteur worden geïmplementeerd, zijn uiteengezet in Bijlage 2 (Technische en organisatorische maatregelen) bij deze DPA.

Bijlage III: Lijst van Sub-verwerkers

De lijst van Sub-verwerkers die bevoegd zijn om Persoonsgegevens te verwerken op grond van de SCC's is opgenomen in Bijlage 3 (Goedgekeurde Sub-verwerkers) bij deze DPA.

A4.4 Keuzes SCC-clausules

De volgende keuzes zijn gemaakt voor de toepassing van de SCC's:

| Clausule | Keuze | |----------|-------| | Clausule 7 (Koppelingsclausule) | Optionele clausule opgenomen | | Clausule 9(a) (Algemene machtiging voor Sub-verwerkers) | Algemene machtiging voor Sub-verwerkers | | Clausule 9(b) (Kennisgevingstermijn voor Sub-verwerkers) | 7 dagen | | Clausule 11(a) (Verhaal) | Optionele clausule opgenomen | | Clausule 17 (Toepasselijk recht) | Nederland | | Clausule 18 (Forumkeuze) | Rechtbanken van Amsterdam, Nederland |

A4.5 Voorrang SCC's

In geval van tegenstrijdigheid tussen de bepalingen van de SCC's en andere bepalingen van deze DPA, prevaleren de bepalingen van de SCC's.

Documentinformatie

| Veld | Details | |------|---------| | Documenttitel | Verwerkersovereenkomst | | Bedrijf | Enigma Labs BV | | Rechtsvorm | Besloten Vennootschap (BV) | | Vestigingsadres | Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Nederland | | KvK-nummer | 99568322 | | Land van vestiging | Nederland | | Website | https://enigmalabs.nl | | URL Verwerkersovereenkomst | https://enigmalabs.nl/dpa | | URL Lijst van Sub-verwerkers | https://enigmalabs.nl/legal/sub-processors | | URL Privacybeleid | https://enigmalabs.nl/privacy | | URL Algemene Voorwaarden | https://enigmalabs.nl/terms | | E-mailadres juridisch | legal@enigmalabs.nl | | E-mailadres FG | dpo@enigmalabs.nl | | E-mailadres beveiliging | security@enigmalabs.nl | | Locatie gegevenshosting | Europese Unie (Scaleway, Parijs/Amsterdam) | | Ingangsdatum | 22 januari 2026 | | Laatst bijgewerkt | 28 januari 2026 | | Versie | 1.1 |

Gerelateerde documenten

| Document | URL | Beschrijving | |----------|-----|--------------| | Privacybeleid | https://enigmalabs.nl/privacy | Hoe Enigma Labs als Verwerkingsverantwoordelijke Persoonsgegevens verwerkt | | Algemene Voorwaarden | https://enigmalabs.nl/terms | Voorwaarden voor het gebruik van de Diensten | | Cookiebeleid | https://enigmalabs.nl/cookies | Hoe Enigma Labs cookies gebruikt op zijn website | | Lijst van Sub-verwerkers | https://enigmalabs.nl/legal/sub-processors | Huidige lijst van goedgekeurde Sub-verwerkers |

Deze Verwerkersovereenkomst is bedoeld om naleving van de Algemene Verordening Gegevensbescherming (AVG) van de EU en andere toepasselijke wetgeving inzake gegevensbescherming te waarborgen. Voor vragen of opmerkingen kunt u contact met ons opnemen via legal@enigmalabs.nl of dpo@enigmalabs.nl.

On this page

Verwerkersovereenkomst

Verwerkersovereenkomst

Samenvatting in begrijpelijke taal

1. Definities

2. Toepassingsgebied en rollen

2.1 Rol van de partijen

2.2 Verwijzing naar de Hoofdovereenkomst

2.3 Enigma Labs als Verwerkingsverantwoordelijke

3. Verwerkingsinstructies

3.1 Gedocumenteerde instructies

3.2 Veronderstelde instructies

3.3 Naleving van instructies

3.4 Rechtmatigheid van instructies

3.5 Aanvullende instructies

4. Verplichtingen van de Verwerker

4.1 Alleen verwerken op basis van gedocumenteerde instructies

4.2 Vertrouwelijkheid van personeel waarborgen

4.3 Passende beveiligingsmaatregelen implementeren

4.4 Voorwaarden voor Sub-verwerkers naleven

4.5 Assisteren bij de rechten van Betrokkenen

4.6 Assisteren bij beveiliging, melding van inbreuken en DPIA's

4.7 Verwijderen of teruggeven van gegevens na beëindiging van de dienstverlening

4.8 De Verwerkingsverantwoordelijke informeren over niet-naleving

5. Beveiligingsmaatregelen

5.1 Algemene beveiligingsverplichting

5.2 Technische en organisatorische maatregelen

5.3 Regelmatige tests en evaluaties

5.4 Personeelsbeveiliging

5.5 Beveiligingsdocumentatie

5.6 Beveiligingscertificeringen

6. Sub-verwerkers

6.1 Algemene machtiging

6.2 Vereisten voor Sub-verwerkers

6.3 Toezicht op Sub-verwerkers

6.4 Wijzigingen in Sub-verwerkers

6.5 Aansprakelijkheid voor Sub-verwerkers

6.6 Huidige Sub-verwerkers

7. Rechten van Betrokkenen

7.1 Hulp bij verzoeken van Betrokkenen

7.2 Kennisgeving van directe verzoeken

7.3 Technische maatregelen

7.4 Reactietermijn en kosten

8. Beveiligingsincidenten

8.1 Definitie van Beveiligingsincident

8.2 Kennisgeving van Beveiligingsincidenten

8.3 Beperkingen van de kennisgeving

8.4 Samenwerking en herstel

8.5 Documentatie en registratie

9. Gegevensbeschermingseffectbeoordelingen

9.1 Hulp bij DPIA's

9.2 Voorafgaand overleg

9.3 Verstrekking van informatie

10. Internationale gegevensoverdrachten

10.1 EU-hostingverplichting

10.2 Overdrachten buiten de EER

10.3 Standaardcontractbepalingen

10.4 Beoordelingen van de gevolgen van de overdracht

10.5 Aanvullende maatregelen

10.6 Voorrang SCC's

11. Auditrechten

11.1 Documentatie en bewijs van naleving

11.2 Primaire auditmethode: rapporten van derden

11.3 Audits ter plaatse

11.4 Voorwaarden voor audits ter plaatse

11.5 Auditrapporten

11.6 Medewerking

12. Bewaring en verwijdering van gegevens

12.1 Duur van de verwerking

12.2 Periode voor gegevensexport

12.3 Verwijdering van gegevens

12.4 Bevestiging van verwijdering

12.5 Teruggave van gegevens

13. Aansprakelijkheid

13.1 Aansprakelijkheidsplafond

13.2 Uitsluitingen van aansprakelijkheidsplafond

13.3 Toewijzing van boetes van Toezichthoudende autoriteiten

13.4 Vrijwaring voor claims van Betrokkenen

13.5 Geen vrijwaring voor boetes van Toezichthoudende autoriteiten

14. Looptijd en beëindiging