Legaal

Verwerkersovereenkomst

Laatst bijgewerkt: 20 mei 2026 CallMama Limited · Hong Kong · CR-nr. 77766807

Deze Gegevensverwerkingsovereenkomst ("DPA") maakt deel uit van de Servicevoorwaarden tussen CallMama Limited ("CallMama", "Verwerker") en de zakelijke klant die ermee akkoord gaat ("Klant", "Verwerkingsverantwoordelijke"). Dit is van toepassing wanneer CallMama persoonlijke gegevens namens de klant verwerkt - in de praktijk wanneer een zakelijke klant het CallMama-webportaal gebruikt om communicatie met zijn eigen bellers en contactpersonen te routeren, op te slaan of op te nemen.

Voor normaal consumentengebruik van de CallMama is CallMama de controller en deze DPA is niet van toepassing - zie de Privacybeleid. Deze DPA is alleen van toepassing op zakelijke klanten die de gegevens van hun eigen eindgebruikers verwerken via CallMama.

1. Rollen

Voor de persoonsgegevens die de Klant via de Dienst verwerkt over zijn eigen bellers en contacten (“Persoonsgegevens van de Klant”) is de Klant de verwerkingsverantwoordelijke en is CallMama de verwerker. CallMama verwerkt Persoonsgegevens van Klanten uitsluitend volgens de gedocumenteerde instructies van de Klant, waaronder de Servicevoorwaarden, deze DPA en het gebruik door de Klant van de functies van de Service.

2. Onderwerp en details van de verwerking

ItemDetail
OnderwerpLevering van de CallMama bel-, berichten-, nummer-, routerings- en (webportal) opnameservice
DuurDe looptijd van de Servicevoorwaarden
Aard en doelOm de Services aan de Klant en zijn eindgebruikers te leveren, inclusief het hosten, verzenden, routeren, opslaan en (indien de Klant dit mogelijk maakt) het opnemen van de communicatie van de Klant; en om de veiligheid en integriteit van de Dienst te behouden
Soorten persoonlijke gegevensContactnummers, namen, metagegevens en inhoud van oproepen en berichten, voicemail, oproepopnamen en andere gegevens die de Klant besluit te verwerken
Categorieën van betrokkenenDe bellers, contacten, klanten en medewerkers van de Klant

Bewaartermijnen: Oproepgegevens worden bewaard gedurende de periodes die vereist zijn door de toepasselijke telecommunicatie- en belastingwetgeving (doorgaans 90 dagen tot 12 maanden, afhankelijk van het rechtsgebied). Alle andere Persoonsgegevens van de Klant worden bewaard totdat de Klant om verwijdering verzoekt, de DPA wordt beëindigd of de toepasselijke bewaartermijn afloopt, afhankelijk van wat zich het eerst voordoet.

3. Verplichtingen van CallMama

  • Verwerk de Persoonsgegevens van de Klant alleen volgens de gedocumenteerde instructies van de Klant, tenzij anders vereist door de wet (in welk geval CallMama de Klant zal informeren tenzij de wet dit verbiedt).
  • Zorg ervoor dat personen die bevoegd zijn om de gegevens te verwerken, gebonden zijn aan vertrouwelijkheid.
  • Implementeer passende technische en organisatorische beveiligingsmaatregelen (bijlage hieronder).
  • De Klant assisteren, rekening houdend met de aard van de verwerking, met verzoeken van betrokkenen, beveiliging, melding van inbreuken en effectbeoordelingen op het gebied van gegevensbescherming.
  • Binnen 30 dagen na beëindiging van de Servicevoorwaarden of schriftelijk verzoek verwijdert u alle Persoonsgegevens van de Klant of retourneert u deze en bevestigt u de verwijdering schriftelijk, behalve voor zover de toepasselijke wetgeving voortdurende bewaring vereist, in welk geval CallMama de Klant op de hoogte zal stellen van de wettelijke basis en de verwachte verwijderingsdatum.
  • Informatie beschikbaar stellen die nodig is om de naleving van deze DPA aan te tonen, en audits en inspecties door de Klant of zijn bevoegde auditor toestaan, met inachtneming van: (i) een voorafgaande schriftelijke kennisgeving van 60 werkdagen; (ii) zich tijdens kantooruren te gedragen zonder onnodige verstoring; (iii) auditor gebonden aan vertrouwelijkheid; (iv) De Klant draagt ​​de kosten, tenzij uit de audit een materiële inbreuk blijkt. CallMama kan een ISO 27001- of SOC 2-rapport verstrekken in plaats van een directe audit.
  • Registratie van verwerking: CallMama houdt gegevens bij van alle verwerkingscategorieën die namens de Klant worden uitgevoerd onder artikel 30, lid 2 van de AVG, en is op schriftelijk verzoek beschikbaar.
  • DPIA-ondersteuning: Wanneer voor gespreksopname of andere verwerking een DPIA vereist is op grond van artikel 35 van de AVG, zal CallMama redelijke hulp bieden, inclusief informatie over beveiligingsmaatregelen, subverwerkers en verwerkingsactiviteiten.

4. Verplichtingen van de klant

  • De Klant is verantwoordelijk voor het beschikken over een wettelijke basis voor de verwerking en voor de rechtmatigheid van zijn instructies.
  • Als de Klant de gespreksopnamefunctie van het webportaal gebruikt, moet de Klant zijn bellers hiervan op de hoogte stellen en de toestemming verkrijgen die de wet vereist – zie de Oproepopnamemelding.
  • De Klant mag CallMama geen gegevens van een speciale categorie of gevoelige gegevens verzenden die verder gaan dan waarvoor de Service is ontworpen.

5. Subverwerkers

De Klant verleent CallMama algemene schriftelijke toestemming om subverwerkers in te schakelen, inclusief degenen die worden vermeld in de Lijst met subverwerkers gepubliceerd op CallMama.com. CallMama legt gegevensbeschermingsverplichtingen op aan elke subverwerker die gelijkwaardig zijn aan de verplichtingen die door deze DPA aan CallMama worden opgelegd, inclusief vertrouwelijkheidsverplichtingen. CallMama blijft verantwoordelijk voor de prestaties van zijn subverwerkers. CallMama zal de Klant minimaal 14 dagen op de hoogte stellen voordat een subverwerker wordt toegevoegd of vervangen. De Klant kan op redelijke, gedocumenteerde gronden van gegevensbescherming bezwaar maken tegen een nieuwe of vervangende subverwerker door CallMama binnen 14 dagen na ontvangst van de kennisgeving schriftelijk op de hoogte te stellen. Als de partijen het bezwaar niet kunnen oplossen, kan de Klant het betreffende deel van de Dienst met schriftelijke kennisgeving beëindigen. Voortgezet gebruik van de Dienst na de bezwaartermijn van 14 dagen houdt aanvaarding van de nieuwe subverwerker in.

6. Internationale overschrijvingen

Wanneer Persoonsgegevens van Klanten worden overgedragen vanuit de EER of het Verenigd Koninkrijk naar een land zonder een adequaatheidsbesluit, wordt de overdracht beheerst door EU SCC's (Uitvoeringsbesluit 2021/914 van de Commissie), Module 2 (Controller-naar-Verwerker) voor EER-overdrachten, en door de Britse IDTA 2022 voor Britse overdrachten. Beide zijn ter referentie opgenomen en aangevuld met de details in Sectie 2. CallMama heeft overdrachtseffectbeoordelingen uitgevoerd voor alle subverwerkers uit derde landen.

7. Inbreuk op persoonsgegevens

CallMama zal de Klant zonder onnodige vertraging op de hoogte stellen, en waar mogelijk niet later dan 24 uur nadat hij zich bewust werd van een Inbreuk in verband met Persoonsgegevens die van invloed is op de Persoonsgegevens van de Klant. Deze tijdlijn is bedoeld om de Klant in staat te stellen de inbreuk te beoordelen en, indien vereist, de bevoegde toezichthoudende autoriteit op de hoogte te stellen binnen de periode van 72 uur vereist door AVG Artikel 33 en UK AVG Artikel 33. De kennisgeving omvat, voor zover op dat moment bekend: (a) een beschrijving van de aard van de inbreuk, inclusief categorieën en een geschat aantal betrokken betrokkenen en records; (b) de waarschijnlijke gevolgen van de inbreuk; en (c) de maatregelen die zijn genomen of voorgesteld om de inbreuk aan te pakken. Indien informatie niet onmiddellijk beschikbaar is, zal CallMama deze zonder verdere onnodige vertraging in fasen verstrekken.

8. Aansprakelijkheid en looptijd

Deze DPA vormt een aanvulling op en is onderworpen aan de Servicevoorwaarden. In het geval van een conflict tussen deze DPA en de Servicevoorwaarden over enige kwestie met betrekking tot de verwerking van persoonsgegevens, prevaleert deze DPA. Op deze DPA is het recht van de Speciale Administratieve Regio Hongkong van toepassing. Voor geschillen die voortvloeien uit de EU SCC's zijn de toepasselijke wetten en rechtbanken echter zoals gespecificeerd in de toepasselijke SCC's (clausule 17 en 18 van Uitvoeringsbesluit 2021/914 van de Commissie). Deze DPA wordt van kracht wanneer de Klant de Servicevoorwaarden accepteert (of, voor klanten die een medeondertekende DPA nodig hebben, op de datum waarop deze voor het laatst door beide partijen is ondertekend) en blijft van kracht zolang CallMama de Persoonsgegevens van de Klant verwerkt.

Bijlage — Beveiligingsmaatregelen

CallMama implementeert de volgende technische en organisatorische maatregelen, zoals vereist door artikel 32 van de AVG en zoals verder gedetailleerd in de EU SCC's Bijlage II:

A. Encryptie en gegevens onderweg

  • Versleuteling tijdens verzending: alle persoonlijke gegevens die tussen de Dienst en apparaten van eindgebruikers worden verzonden, worden gecodeerd met TLS 1.2 of hoger. Onversleutelde overdracht van persoonsgegevens is verboden.
  • Versleuteling in rust: gevoelige persoonlijke gegevens (inclusief gespreksopnamen en voicemails) worden in rust gecodeerd met AES-256 of gelijkwaardig. Alle back-upmedia zijn gecodeerd.

B. Toegangscontroles en authenticatie

  • Multi-factor authenticatie: vereist voor al het personeel dat toegang heeft tot systemen die persoonlijke gegevens van de klant bevatten, inclusief toegang op afstand.
  • Rolgebaseerde toegangscontrole: de toegang tot Persoonsgegevens van Klanten is beperkt tot personeel wier rol dit vereist. Toegangsrechten worden elk kwartaal beoordeeld en onmiddellijk ingetrokken bij beëindiging of functiewijziging.
  • Unieke gebruikersaccounts: elk personeelslid heeft een unieke identificatie. Gedeelde accounts zijn verboden. Vereisten voor wachtwoordcomplexiteit afgedwongen.
  • Sessiebeheer: inactieve sessies verlopen automatisch. Het maximale aantal mislukte inlogpogingen leidt tot accountblokkering.

C. Monitoring, registratie en respons op incidenten

  • Beveiligingsmonitoring: systemen worden continu gecontroleerd op beveiligingsgebeurtenissen. Er worden inbraakdetectie- en preventiesystemen ingezet.
  • Auditregistratie: alle toegang tot en wijziging van persoonlijke gegevens van klanten wordt geregistreerd. Logboeken worden minimaal 12 maanden bewaard en zijn fraudebestendig.
  • Reactie op incidenten: Er wordt minimaal jaarlijks een gedocumenteerd incidentresponsplan onderhouden en getest. Incidenten worden geclassificeerd, ingeperkt en gerapporteerd in overeenstemming met deze DPA.

D. Fysieke en infrastructurele beveiliging

  • Beveiliging van datacenters: Persoonlijke gegevens van klanten worden gehost in ISO 27001-gecertificeerde datacenters (Hetzner) met fysieke toegangscontroles, CCTV, omgevingscontroles en een ononderbroken stroomvoorziening.
  • Back-up en herstel: Er worden regelmatig back-ups gemaakt en veilig opgeslagen. Procedures voor noodherstel zijn gedocumenteerd en getest. Hersteltijddoelstellingen worden gedefinieerd en beoordeeld.

E. Personeels- en leverancierscontroles

  • Vertrouwelijkheid van het personeel: al het personeel en de contractanten met toegang tot de Persoonsgegevens van de Klant zijn gebonden aan contractuele vertrouwelijkheidsverplichtingen. Antecedentenonderzoek wordt uitgevoerd indien toegestaan ​​door de toepasselijke wetgeving.
  • Beveiligingstraining: al het personeel met toegang tot persoonsgegevens krijgt jaarlijks een bewustwordingstraining op het gebied van gegevensbescherming en beveiliging.
  • Due diligence van leveranciers: Alle subverwerkers worden vóór hun inschakeling beoordeeld op de naleving van gegevensbescherming en beveiliging en worden voortdurend gecontroleerd.

F. Ontwikkeling en verandermanagement

  • Veilige ontwikkeling: beveiliging is opgenomen in de levenscyclus van softwareontwikkeling. Codebeoordelingen omvatten een beveiligingsbeoordeling. Er zijn procedures voor kwetsbaarheidsbeheer en patchbeheer aanwezig.
  • Penetratietesten: Er worden minstens jaarlijks onafhankelijke penetratietesten uitgevoerd. Kritieke kwetsbaarheden worden binnen 30 dagen verholpen.
  • Dataminimalisatie: systemen zijn ontworpen om de verwerkte persoonsgegevens tot een minimum te beperken. Waar nodig wordt gebruik gemaakt van pseudonimisering.

Hoe u deze DPA uitvoert

Een zakelijke klant die een ondertekende DPA nodig heeft, dient contact op te nemen juridisch@CallMama.com. Acceptatie van de Servicevoorwaarden door een zakelijke Klant die via de Dienst de gegevens van zijn eigen eindgebruikers verwerkt, houdt tevens acceptatie van deze DPA in.

9. Aanvullende bepalingen voor specifieke rechtsgebieden

Verenigde Staten — CCPA/CPRA

Waar persoonlijke gegevens van klanten persoonlijke informatie van inwoners van Californië bevatten, is CallMama een "serviceprovider" onder CCPA/CPRA, en geen "derde partij". CallMama zal geen persoonlijke gegevens van klanten verkopen of delen, zal deze niet bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie, en certificeert de naleving van CCPA/CPRA-beperkingen. Subverwerkers die persoonlijke informatie uit Californië verwerken, zijn gebonden aan gelijkwaardige beperkingen voor dienstverleners.

Canada — PIPEDA en wet van Quebec 25

Wanneer persoonlijke gegevens van klanten persoonlijke informatie van Canadese inwoners bevatten:

  • PIJPEN: De Canadese Personal Information Protection and Electronic Documents Act (PIPEDA) vereist dat CallMama veiligheidswaarborgen implementeert die consistent zijn met Principe 7 (Veiligheidsmaatregelen). De Klant blijft verantwoordelijk voor het verkrijgen van zinvolle toestemming en het reageren op verzoeken om toegang en correctie.
  • Wet 25 van Quebec: Voor inwoners van Quebec legt Wet 25 (van kracht vanaf september 2023) een meldingsplicht van 72 uur op aan de Commission d'accès à l'information (CAI). CallMama zal de klant binnen 24 uur na kennisname van een inbreuk op de gegevens van inwoners van Quebec op de hoogte stellen.

Deze pagina maakt deel uit van de nalevingsdocumentatie van de CallMama. Zie ook onze Privacybeleid, Servicevoorwaarden, En contactmogelijkheden.

Ophalen waar je bent
gebleven.

Eén tik om te installeren. Nog eentje om te bellen. Het is echt zo simpel.

Aanpassingen