Gegevensverwerkingsovereenkomst

Laatst bijgewerkt op: 1 mei 2026

Deze DPA is opgenomen in en maakt deel uit van de Commerciële Servicevoorwaarden of een andere overeenkomst tussen de partijen die het gebruik van de Diensten door de Klant regelt (de "Overeenkomst"). In geval van een conflict tussen de bepalingen van deze DPA en de Overeenkomst, prevaleren de bepalingen van deze DPA met betrekking tot het hierin beschreven onderwerp. Met hoofdletters geschreven termen die in deze DPA worden gebruikt, maar niet gedefinieerd, hebben de betekenis die eraan is gegeven in de Overeenkomst.

1. Definities

"Toepasselijke Gegevensbeschermingswetten" betekent alle toepasselijke wetten inzake gegevensbescherming en privacy, inclusief: (a) de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679) ("AVG"); (b) de Britse AVG en Data Protection Act 2018; (c) de Zwitserse nFADP; en (d) toepasselijke Amerikaanse staatswetten inzake privacy, inclusief de CCPA en vergelijkbare staatswetten, in elk geval zoals van tijd tot tijd gewijzigd.

"Persoonsgegevens van de Klant" betekent alle persoonsgegevens die zijn opgenomen in Klantgegevens die via de Diensten door of namens de Klant of een Klantdochteronderneming worden ingediend.

"Klantdochteronderneming" betekent een entiteit die (a) is toegestaan de Diensten te gebruiken krachtens de Overeenkomst tussen Plaud en de Klant, en (b) direct of indirect zeggenschap heeft over, wordt gecontroleerd door, of onder gemeenschappelijke zeggenschap staat van de Klant, waarbij "zeggenschap" betekent het bezit van meer dan 50% van de stemrechten van de betreffende entiteit.

"Verzoek van Betrokkene" betekent een verzoek van een individu dat rechten uitoefent die beschikbaar zijn onder Toepasselijke Gegevensbeschermingswetten met betrekking tot Persoonsgegevens van de Klant (bijv. toegang, correctie, verwijdering, overdraagbaarheid of beperking).

"SCC's" betekent de Standaard Contractbepalingen gehecht aan Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen overeenkomstig de AVG.

"Beveiligingsincident" betekent een bevestigde inbreuk op de beveiligingsmaatregelen van Plaud die leidt tot de accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van, of ongeoorloofde toegang tot Persoonsgegevens van de Klant.

"Subverwerker" betekent elke derde partij die door Plaud (of de dochterondernemingen van Plaud) is ingeschakeld om Persoonsgegevens van de Klant te verwerken in verband met het leveren van de Diensten.

"Britse Addendum" betekent het International Data Transfer Addendum bij de EU Commissie Standaard Contractbepalingen uitgegeven door het UK Information Commissioner's Office onder Sectie 119A(1) van de Data Protection Act 2018.

De termen "persoonsgegevens", "betrokkene", "verwerking", "verwerkingsverantwoordelijke" en "verwerker" hebben de betekenis die eraan is gegeven door de Toepasselijke Gegevensbeschermingswetten, of, bij afwezigheid van dergelijke definities, door de AVG. De termen "verwerkingsverantwoordelijke" en "verwerker" omvatten respectievelijk "bedrijf" en "dienstverlener", zoals vereist door de Toepasselijke Gegevensbeschermingswetten.

2. Rollen en omvang

2.1 Rollen. Met betrekking tot de persoonsgegevens van de Klant fungeert de Klant als de verwerkingsverantwoordelijke (of het bedrijf) en Plaud als de verwerker (of dienstverlener) namens de Klant. Elke partij zal voldoen aan haar respectieve verplichtingen onder de toepasselijke wetgeving inzake gegevensbescherming.

2.2 Doel en instructies. Plaud zal persoonsgegevens van de Klant alleen verwerken: (a) voor het leveren, onderhouden en ondersteunen van de Diensten; (b) om te voldoen aan de toepasselijke wetgeving; (c) om de veiligheid en integriteit van de Diensten te beschermen; en (d) in overeenstemming met de andere gedocumenteerde instructies van de Klant, zoals schriftelijk wederzijds overeengekomen. De Overeenkomst en deze DPA vormen de gedocumenteerde instructies van de Klant vanaf de ingangsdatum. Plaud zal de Klant onmiddellijk informeren indien een verwerkingsinstructie, naar de redelijke mening van Plaud, in strijd zou zijn met de toepasselijke wetgeving inzake gegevensbescherming.

2.3 Geen training. In overeenstemming met artikel 4.4 van de Overeenkomst zal Plaud de Persoonsgegevens van de Klant niet gebruiken om de algemene AI-modellen van Plaud of die van haar subverwerkers te trainen of te verbeteren, tenzij de Klant dit afzonderlijk schriftelijk aangeeft.

3. Verplichtingen van Plaud

3.1 Vertrouwelijkheid van de verwerking. Plaud zal ervoor zorgen dat al het personeel dat geautoriseerd is om Persoonsgegevens van de Klant te verwerken, gebonden is aan passende geheimhoudingsverplichtingen en getraind is in de gegevensbeschermingsvereisten die van toepassing zijn op hun rol.

3.2 Kennisgeving. Plaud zal de Klant onmiddellijk op de hoogte stellen indien zij vaststelt dat zij niet langer kan voldoen aan haar verplichtingen onder deze DPA, en de Klant kan redelijke stappen ondernemen om ongeoorloofde verwerking te stoppen of te herstellen.

3.3 Subverwerkers. Klant verleent Plaud algemene toestemming om de Subverwerkers te betrekken die vermeld staan op https://eu.plaud.ai/pages/trust/ (de "Subverwerkerslijst"), zoals bijgewerkt in overeenstemming met dit Artikel. Plaud zal ten minste dertig (30) dagen van tevoren schriftelijk kennisgeven voordat een nieuwe Subverwerker wordt ingeschakeld die Persoonsgegevens van de Klant zal verwerken. Klant kan binnen vijftien (15) dagen bezwaar maken op redelijke gronden van gegevensbescherming. Indien er geen commercieel haalbaar alternatief beschikbaar is en het bezwaar onopgelost blijft, kan Klant de betreffende Dienst met reden beëindigen en een pro-rata restitutie ontvangen van vooruitbetaalde ongebruikte kosten. Een dergelijk beëindigingsrecht is het enige rechtsmiddel van Klant voor een bezwaar tegen een nieuwe Subverwerker.

Plaud zal gegevensbeschermingsverplichtingen opleggen aan elke Subverwerker die niet minder beschermend zijn dan die in deze DPA en blijft aansprakelijk voor de naleving van elke Subverwerker in dezelfde mate als ware Plaud de diensten rechtstreeks had uitgevoerd.

3.4 Rechten van betrokkenen. Plaud zal redelijke technische en organisatorische bijstand verlenen om de Klant te helpen bij het reageren op Verzoeken van Betrokkenen en, indien vereist door de Toepasselijke Gegevensbeschermingswetten, bij het uitvoeren van gegevensbeschermingseffectbeoordelingen en gerelateerde consultaties met toezichthoudende autoriteiten.

3.5 Beveiliging. Plaud zal de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2 implementeren en handhaven, ontworpen om Persoonsgegevens van de Klant te beschermen tegen ongeoorloofde toegang, vernietiging, verlies, wijziging of openbaarmaking. Plaud mag deze maatregelen bijwerken, mits dergelijke updates het algehele beschermingsniveau niet wezenlijk verminderen.

4. Klantverplichtingen

4.1 Wettelijke basis en toestemmingen. Klant verklaart en garandeert dat zij over alle noodzakelijke rechten, toestemmingen, kennisgevingen en autorisaties beschikt die vereist zijn onder de Toepasselijke Gegevensbeschermingswetten om Persoonsgegevens van de Klant aan de Diensten te verstrekken en om Plaud te autoriseren deze te verwerken zoals beschreven in deze DPA. Zonder het voorgaande te beperken, is Klant uitsluitend verantwoordelijk voor het verkrijgen van alle vereiste opnametoestemmingen en het verstrekken van de vereiste kennisgevingen aan personen wier stem of persoonsgegevens worden vastgelegd via de Diensten of Plaud-apparaten.

4.2 Configuratie. De Klant is verantwoordelijk voor het configureren van de Diensten op een wijze die overeenstemt met zijn wettelijke verplichtingen. De Klant zal geen Persoonsgegevens van de Klant via onbeveiligde kanalen of in technische ondersteuningstickets indienen.

4.3 Samenwerking. De Klant zal redelijkerwijs meewerken met Plaud om Plaud te helpen bij het uitvoeren van haar verplichtingen onder de Toepasselijke Wetgeving inzake Gegevensbescherming met betrekking tot Persoonsgegevens van de Klant.

5. Beveiligingsincidenten

5.1 Kennisgeving. Plaud zal de Klant schriftelijk en zonder onnodige vertraging, en in elk geval binnen tweeënzeventig (72) uur, op de hoogte stellen nadat zij kennis heeft genomen van een Beveiligingsincident. Kennisgeving vormt geen erkenning van schuld of aansprakelijkheid.

5.2 Inhoud. Voor zover informatie beschikbaar is, zal de kennisgeving omvatten: (a) de aard van het Beveiligingsincident en, waar mogelijk, de categorieën en het geschatte aantal getroffen gegevenssubjecten en records; (b) de waarschijnlijke gevolgen; en (c) genomen of voorgestelde maatregelen om het incident aan te pakken. Plaud zal aanvullende details verstrekken zodra deze beschikbaar komen.

5.3 Samenwerking. Plaud zal meewerken aan het onderzoek van de Klant en redelijke stappen ondernemen die door de Klant worden aangegeven om het Beveiligingsincident te mitigeren en de Klant te ondersteunen bij het voldoen aan de toepasselijke wetgeving inzake gegevensbescherming.

6. Audits en Compliance

6.1 Certificeringen. Plaud wordt minstens jaarlijks geauditeerd tegen erkende beveiligingsstandaarden (bijv. SOC 2 Type II) door onafhankelijke externe auditors. Op schriftelijk verzoek van de Klant (niet meer dan eens per periode van 12 maanden, tenzij vereist door toepasselijke wetgeving inzake gegevensbescherming of als reactie op een beveiligingsincident), zal Plaud haar meest recente toepasselijke auditrapport of certificering verstrekken. Huidige certificeringen zijn beschikbaar op https://eu.plaud.ai/pages/trust/.

6.2 Klantcontroles. De Klant mag, op schriftelijk verzoek en met redelijke voorafgaande kennisgeving (niet minder dan dertig (30) dagen), een controle uitvoeren of laten uitvoeren van de naleving van Plaud met deze DPA, onderworpen aan: (a) wederzijdse overeenstemming over de reikwijdte, timing en toepasselijke vertrouwelijkheidscontroles; (b) de controle die tijdens kantooruren wordt uitgevoerd met minimale operationele verstoring; en (c) de Klant die alle bijbehorende kosten draagt. Controlebevindingen zijn vertrouwelijke informatie van beide partijen en mogen alleen worden gebruikt om de naleving van deze DPA te bevestigen.

7. Gegevensretentie en -verwijdering

7.1 Retourneren en Verwijderen. Na beëindiging of afloop van de Overeenkomst zal Plaud, op instructie van de Klant, alle Persoonsgegevens van de Klant, inclusief alle bestaande kopieën daarvan, retourneren of verwijderen.

7.2 Uitzonderingen. Plaud mag persoonsgegevens van de Klant langer bewaren dan de periode genoemd in Sectie 7.1, uitsluitend voor zover vereist door toepasselijke gegevensbeschermingswetten of andere wettelijke verplichtingen, om een geschil tussen de partijen op te lossen, of om schadelijk of frauduleus gebruik van de Diensten te voorkomen. Bewaarde gegevens blijven onderworpen aan deze DPA.

8. Internationale gegevensoverdrachten

8.1 Algemeen. Klant erkent dat Plaud en haar subverwerkers persoonsgegevens van Klanten kunnen verwerken in de Verenigde Staten en andere landen waar Plaud of haar subverwerkers actief zijn. Plaud zal ervoor zorgen dat al deze overdrachten voldoen aan de toepasselijke wetgeving inzake gegevensbescherming, onder meer door passende overdrachtsmechanismen te implementeren.

8.2 EU/EER Overdrachten. Voor zover overdrachten van Klant Persoonsgegevens vanuit de EER naar Plaud een overdrachtsmechanisme vereisen onder de AVG, wordt Module Twee (Verwerkingsverantwoordelijke naar Verwerker) van de SCC's door verwijzing opgenomen in deze DPA en geacht te zijn uitgevoerd door de partijen, met de Klant als gegevensexporteur en Plaud als gegevensimporteur. De SCC's worden ingevuld zoals gespecificeerd in Bijlage 3(A).

8.3 Britse overdrachten. Voor zover overdrachten onderhevig zijn aan de Britse wetgeving inzake gegevensbescherming, wordt het Britse addendum zoals uiteengezet in bijlage 3(B) door middel van verwijzing opgenomen en geacht te zijn uitgevoerd door de partijen.

8.4 Zwitserse overdrachten. Voor zover overdrachten onderhevig zijn aan de Zwitserse wetgeving inzake gegevensbescherming (nFADP), wordt het Zwitserse addendum zoals uiteengezet in bijlage 3(C) door middel van verwijzing opgenomen en geacht te zijn uitgevoerd door de partijen.

8.5 Voorrang. In geval van een conflict tussen toepasselijke overdrachtsmechanismen (SCC's, UK Addendum of Zwitserse Addendum), deze DPA en de Overeenkomst, prevaleert het toepasselijke overdrachtsmechanisme, gevolgd door deze DPA.

9. Amerikaanse staatswetgeving inzake privacy

Voor zover de privacywetgeving van de Amerikaanse staten (inclusief de CCPA) van toepassing is, fungeert Plaud als een "dienstverlener" of "verwerker" en certificeert dat zij:

persoonsgegevens van klanten alleen zal verwerken voor de bedrijfsdoeleinden die in deze DPA en de overeenkomst zijn beschreven;
geen persoonsgegevens van klanten zal "verkopen" of "delen" (zoals gedefinieerd door de CCPA);
geen persoonsgegevens van klanten zal bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen de partijen, tenzij dit wettelijk is vereist;
geen persoonsgegevens van klanten zal combineren met persoonsgegevens uit andere bronnen, behalve zoals toegestaan door toepasselijk recht of zoals aangegeven door de klant;
de klant het recht zal bieden om redelijke stappen te ondernemen om ervoor te zorgen dat de verwerking door Plaud in overeenstemming is met de verplichtingen van de klant onder toepasselijk recht; en
de klant onmiddellijk op de hoogte zal stellen indien Plaud vaststelt dat zij niet langer aan dit artikel 9 kan voldoen.

10. Termijn en wijziging

10.1 Termijn. Deze DPA blijft van kracht gedurende de looptijd van de Overeenkomst en blijft van kracht na beëindiging totdat Plaud haar verwijderingsverplichtingen onder Artikel 7 heeft voltooid.

10.2 Wijziging. Plaud mag deze DPA wijzigen met een redelijke voorafgaande schriftelijke kennisgeving indien dit vereist is door wijzigingen in toepasselijke gegevensbeschermingswetten of bindende regelgevende richtlijnen. Materiële wijzigingen die de rechten van de Klant wezenlijk verminderen, kunnen binnen vijftien (15) dagen na kennisgeving worden betwist; indien onopgelost binnen dertig (30) dagen, kan elke partij de Overeenkomst beëindigen met dertig (30) dagen schriftelijke kennisgeving.

Bijlage 1 Details van verwerking

A. Partijen

Gegevensexporteur: Klant en/of Klantdochterondernemingen. Contactgegevens zoals gespecificeerd in het Bestelformulier.

Gegevensimporteur: ROOM 6706 CENTRAL PLAZA 18 HARBOUR ROAD WANCHAI HONG KONG. Contactpersoon gegevensbescherming: privacy@plaud.ai.

B. Beschrijving van de verwerking

Categorieën van betrokkenen. (a) Geautoriseerde gebruikers; (b) individuen van derden wier persoonsgegevens zijn vastgelegd in audio-opnamen of andere Klantgegevens die aan de Diensten zijn verstrekt (bijv. deelnemers aan vergaderingen, klanten, collega's).

Categorieën van persoonsgegevens. Bepaald door de Klant; kunnen omvatten:

Contactgegevens (namen, e-mailadressen)
Audio-opnamen en stemgegevens vastgelegd via Plaud-apparaten (bijv. NotePin, Note) of geüpload door de Klant
Afgeleide gegevens: AI-gegenereerde transcripties, vergadersamenvattingen en actiepunten
Metagegevens van vergaderingen (datum, duur, deelnemers)
Gebruiksgegevens van apparaten en accounts
Alle andere persoonsgegevens die zijn opgenomen in klantgegevens die aan de Services zijn verstrekt

Speciale categorieën. Audio-opnamen en transcripties kunnen incidenteel gegevens van speciale categorieën bevatten (bijv. gezondheidsinformatie of politieke meningen). De klant is als enige verantwoordelijk voor het waarborgen van een rechtmatige basis voor de verwerking van dergelijke gegevens.

Duur. Voortdurende verwerking voor de duur van de Overeenkomst, zoals bepaald door de configuratie en het gebruik van de Services door de Klant.

Aard en doel. Het leveren van AI-gestuurde transcriptie, samenvatting en gerelateerde Services. Verwerkingsactiviteiten omvatten het verzamelen, opslaan, transcriberen, samenvatten en verwijderen van Persoonsgegevens van de Klant, voor zover dit nodig is om de Services te leveren.

C. Bevoegde Toezichthoudende Autoriteit

Indien de gegevensexporteur gevestigd is in een EU-lidstaat: de toezichthoudende autoriteit van die lidstaat. Indien de gegevensexporteur niet in de EU gevestigd is, maar binnen het territoriale toepassingsgebied van de AVG valt: de Ierse gegevensbeschermingscommissie.

Schema 2 Technische en Organisatorische Beveiligingsmaatregelen

Plaud onderhoudt een schriftelijk informatiebeveiligingsprogramma dat is ontworpen om Klantpersoonsgegevens te beschermen tegen ongeautoriseerde toegang, vernietiging, verlies, wijziging of openbaarmaking. Plaud kan deze maatregelen bijwerken, mits dergelijke updates de algehele bescherming niet wezenlijk verminderen. Huidige certificeringen en aanvullende informatie zijn beschikbaar op https://ca.plaud.ai/pages/trust/.

Schema 3 Internationale Mechanismen voor Gegevensoverdracht

A. EU-standaardcontractbepalingen (Module twee: Verwerkingsverantwoordelijke aan verwerker)

De EU SCC's zijn door verwijzing opgenomen en worden geacht door de partijen te zijn uitgevoerd, met de volgende keuzes:

• Clausule 7 (Koppelingsclausule): Is niet van toepassing.

• Clausule 9 (Subverwerkers): Optie 2 (Algemene schriftelijke autorisatie); opzegtermijn zoals per Sectie 3.3.

• Clausule 11 (Rechtsherstel): De optionele onafhankelijke formulering voor rechtsherstel is niet van toepassing.

• Clausule 17 (Toepasselijk recht): Optie 1 (wet van de Republiek Ierland).

• Clausule 18 (Forum): Rechtbanken van de Republiek Ierland.

• Bijlage I.A (Partijen): Schema 1, Sectie A.

• Bijlage I.B (Beschrijving van de overdracht): Schema 1, Sectie B.

• Bijlage I.C (Toezichthoudende autoriteit): Schema 1, Sectie C.

• Bijlage II (TOMs): Schema 2.

• Bijlage III (Subverwerkers): https://ca.plaud.ai/pages/trust/.

B. UK Addendum

Het UK Addendum (versie B.1.0) is door verwijzing opgenomen en wordt geacht door de partijen te zijn uitgevoerd. De geselecteerde SCC's zijn die in Schema 3(A). Voor Tabel 4 kan Plaud (als gegevensimporteur) het UK Addendum beëindigen wanneer de Goedgekeurde EU SCC's wijzigen.

C. Zwitsers Addendum

Voor overdrachten die uitsluitend onder het Zwitserse gegevensbeschermingsrecht vallen (nFADP), worden de SCC's in Bijlage 3(A) als volgt gewijzigd: verwijzingen naar de AVG en EU/EER worden vervangen door verwijzingen naar het Zwitserse gegevensbeschermingsrecht en Zwitserland; de bevoegde toezichthoudende autoriteit is de FDPIC; het toepasselijke recht is het Zwitserse recht; en geschillen worden beslecht door Zwitserse rechtbanken. Indien overdrachten onder zowel het Zwitserse recht als de AVG vallen, zijn beide sets regels van toepassing.

Schema 4 Geautoriseerde Subverwerkers

Plaud's huidige lijst van geautoriseerde Subverwerkers (inclusief naam, land en verwerkingsdoel) wordt bijgehouden op https://ca.plaud.ai/pages/trust/.

Plaud Note Pro

Plaud Note

Plaud NotePin S

Plaud NotePin

Plaud Intelligence

Plaud Desktop

Plannen en prijzen

Add-on-extensie

Plaud AI Jaarlijks Pro-abonnement en uitbreiding

App Store

Google Play

Android APK

Downloaden voor pc

Download voor macOS (Intel)

Downloaden voor macOS (M-serie)

Voor Teams

Plaud Ingebed

Zakelijke volumekorting

Word een reseller

Mede-merk

Over ons

Gebruikersverhaal

Nieuws

Pleidooi CES 2026

Ontwikkelaarsplatform

Affiliate-programma