Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Deze verwerkersovereenkomst (hierna "DPA") vult de algemene voorwaarden van Aegirex aan en preciseert de respectievelijke verplichtingen van de Verwerkingsverantwoordelijke (de Klant) en de Verwerker (de Uitgever van Aegirex) in de zin van Verordening (EU) 2016/679 (GDPR).
Verwerker: ARDNTECH EI, ingeschreven in het handelsregister onder nr. 913308706, met statutaire zetel te 24 rue de la Glau 08700 Gespunsart. FG: dpo@aegirex.eu.
Verwerkingsverantwoordelijke: de rechtspersoon of natuurlijke persoon die zich op Aegirex abonneert en de service gebruikt om digitale geheimen op te slaan en te delen.
Aegirex is een end-to-end versleutelde (zero-knowledge) opslagdienst voor geheimen. De Verwerker verwerkt de gegevens namens de Verwerkingsverantwoordelijke uitsluitend voor de volgende doeleinden:
De Verwerker verwerkt de volgende categorieën gegevens, en uitsluitend deze:
| Categorie | Betrokken gegevens | Rechtsgrond (art. 6 GDPR) |
|---|---|---|
| Gebruikersaccount | E-mailadres, Argon2id-hash van het masterwachtwoord, OpenPGP-publieke sleutel, optionele naam. | Uitvoering van het contract (art. 6.1.b) |
| Opgeslagen geheimen | Ondoorzichtige OpenPGP-blobs (versleuteld). De Verwerker kan ze niet lezen. | Uitvoering van het contract (art. 6.1.b) |
| Audit journals | Aanmeldgebeurtenissen, aanmaak/lezen/delen/verwijderen van geheimen, IP, user-agent, HMAC-handtekeningen. | Gerechtvaardigd belang inzake beveiliging (art. 6.1.f) |
| Facturering | Maatschappelijke benaming, KVK/handelsregisternummer, adres, factureringe-mail, betalingsgeschiedenis. | Wettelijke boekhoudverplichting (art. 6.1.c) |
Betrokkenen zijn: (a) de door de Verwerkingsverantwoordelijke geautoriseerde gebruikers om toegang te krijgen tot Aegirex; (b) in voorkomend geval de ontvangers van geheimen-delingen die door deze gebruikers worden geïnitieerd; (c) de op de aan de Verwerkingsverantwoordelijke uitgereikte facturen vermelde contactpersonen.
De gegevens worden bewaard voor de volgende termijnen:
De Verwerkingsverantwoordelijke geeft de Verwerker uitdrukkelijk toestemming om de volgende verdere verwerkers in te zetten:
| Verdere verwerker | Doel | Verwerkingsland |
|---|---|---|
| Brevo SAS | Versturen van transactionele e-mails (notificatie, e-mailverificatie). | FR |
| Stancer SAS | Verwerking van online betalingen. | FR |
| Hoster (in het contract te preciseren) | Hosting van de applicatie-infrastructuur en databanken. | FR / EU |
Elke wijziging van verdere verwerker wordt aan de Verwerkingsverantwoordelijke gemeld met een minimumtermijn van 30 dagen, zodat deze een gemotiveerd bezwaarrecht kan uitoefenen.
De Verwerker implementeert de volgende maatregelen (indicatieve, niet-limitatieve lijst):
Conform artikel 33 GDPR meldt de Verwerker aan de Verwerkingsverantwoordelijke elke inbreuk in verband met persoonsgegevens binnen 48 uur na kennisname. De melding preciseert de aard, omvang, waarschijnlijke gevolgen en genomen of geplande maatregelen.
De Verwerker voorziet de Verwerkingsverantwoordelijke van de tools om verzoeken van betrokkenen (recht op inzage, rectificatie, verwijdering, overdraagbaarheid, bezwaar) rechtstreeks vanuit de gebruikersinterface te beantwoorden. Voor elk verzoek dat niet door de interface wordt afgedekt, ondersteunt de Verwerker de Verwerkingsverantwoordelijke binnen 5 werkdagen.
Bij einde van het contract (beëindiging, niet-verlenging) heeft de Verwerkingsverantwoordelijke 30 dagen om zijn gegevens te exporteren via de native overdraagbaarheids-exportfunctie. Na afloop van deze termijn worden alle gegevens van de Verwerkingsverantwoordelijke onherroepelijk verwijderd uit de productiedatabanken. De versleutelde back-ups worden gewist binnen bijkomende 90 dagen (standaard bewaarrotatie).
Er vindt geen doorgifte van gegevens plaats naar een derde land buiten de EU/EER. De Verwerker maakt geen gebruik van dienstverleners die onder de Amerikaanse CLOUD Act, FISA Section 702 of gelijkwaardige jurisdicties vallen. Mocht een dergelijke doorgifte in de toekomst technisch noodzakelijk zijn, dan dient de Verwerker de uitdrukkelijke en voorafgaande instemming van de Verwerkingsverantwoordelijke te verkrijgen.
De Verwerkingsverantwoordelijke kan een onafhankelijke auditor aanstellen (op eigen kosten) om de naleving door de Verwerker van de verbintenissen van deze DPA te controleren, mits een redelijke termijn van 15 dagen en een vertrouwelijkheidsverbintenis. De Verwerker levert eveneens op verzoek alle documenten die zijn naleving aantonen (verwerkingsregister, pentest-rapporten, enz.). Voor elk verzoek: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
