AVG-verbintenis

LeadForge treedt in de relatie met haar klanten op als verwerker in de zin van artikel 4 AVG. De klant is verwerkingsverantwoordelijke voor de persoonsgegevens die via het platform worden verwerkt. LeadForge verwerkt deze gegevens uitsluitend op basis van gedocumenteerde instructies van de klant, zoals vastgelegd in de overeenkomst.

LeadForge maakt gebruik van zorgvuldig geselecteerde subverwerkers voor hosting, e-mailbezorging, betaalverkeer en ondersteunende AI-modellen. Een actueel overzicht van alle subverwerkers is te raadplegen op trust.leadforge.nl. Wijzigingen worden ten minste dertig dagen voor inwerkingtreding aangekondigd, waarbij de klant het recht heeft schriftelijk bezwaar te maken.

LeadForge hanteert een uitgebreid pakket aan technische en organisatorische maatregelen (TOMs), waaronder:

• Versleuteling in transit (TLS 1.3) en at rest (AES-256).
• Rolgebaseerde toegangscontrole met principe van least privilege.
• Verplichte multi-factor authenticatie voor alle medewerkers.
• Gedocumenteerd change- en incident-management conform ISO 27001.
• Jaarlijkse penetratietests door onafhankelijke partijen.
• Security awareness trainingen voor alle medewerkers bij indiensttreding en daarna jaarlijks.

Alle klantdata wordt standaard opgeslagen en verwerkt binnen datacenters in de Europese Unie, specifiek in Amsterdam en Frankfurt. Back-ups worden eveneens uitsluitend binnen de EU bewaard. LeadForge draagt er zorg voor dat verwerkingen niet buiten de EER plaatsvinden zonder voorafgaande afspraak met de klant.

Bij een inbreuk in verband met persoonsgegevens informeert LeadForge de betrokken klant zonder onredelijke vertraging en in ieder geval binnen 24 uur na ontdekking. De melding bevat de aard van het lek, de categorieën en omvang van getroffen betrokkenen, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen.

De klant heeft het recht om de naleving van deze verbintenis te toetsen door middel van een audit, maximaal eenmaal per twaalf maanden en op eigen kosten. LeadForge faciliteert deze audit met redelijke voorbereiding en beschikbaarstelling van relevante documentatie. Voor reguliere zekerheid stellen wij onze SOC 2 Type II en ISO 27001 rapporten beschikbaar op verzoek.

Indien in uitzonderlijke gevallen doorgifte naar een derde land noodzakelijk blijkt, gebeurt dit uitsluitend op basis van een adequaatheidsbesluit van de Europese Commissie of door middel van de standaard contractuele bepalingen (SCC's). Voorafgaand voeren wij een Transfer Impact Assessment uit en treffen wij aanvullende waarborgen waar nodig.

Na beëindiging van de overeenkomst verwijdert of retourneert LeadForge, naar keuze van de klant, alle persoonsgegevens binnen dertig dagen. Back-ups worden binnen negentig dagen na beëindiging volledig opgeschoond. Een verklaring van verwijdering wordt op verzoek schriftelijk verstrekt.

Deze verbintenis vormt samen met de ondertekende verwerkersovereenkomst (Data Processing Agreement) een volledige set afspraken die voldoet aan artikel 28 AVG. Klanten kunnen een door beide partijen ondertekende DPA opvragen via hello@leadforge.nl. De DPA prevaleert boven de algemene servicevoorwaarden voor zover het gegevensbescherming betreft.

LeadForge verplicht contractueel al haar subverwerkers tot ten minste dezelfde beschermingsstandaarden als in deze verbintenis zijn vastgelegd. Op de subverwerkers blijft LeadForge volledig aanspreekbaar jegens de klant. Wij controleren onze subverwerkers periodiek op naleving van hun contractuele verplichtingen.

De aansprakelijkheid onder deze verbintenis is beperkt conform het aansprakelijkheidsregime van de servicevoorwaarden. Niets in deze verbintenis beperkt echter de directe aansprakelijkheid van partijen jegens betrokkenen of toezichthouders op grond van dwingend recht zoals artikel 82 AVG.

Voor vragen over gegevensbescherming of over deze verbintenis is onze Data Protection Officer bereikbaar via hello@leadforge.nl. De DPO rapporteert rechtstreeks aan het bestuur en is onafhankelijk in haar taakuitoefening conform artikel 38 AVG.