Deze vertaling is uitsluitend bedoeld voor het gemak. In geval van enige discrepantie of inconsistentie tussen deze vertaling en de Engelstalige versie, prevaleert de Engelstalige versie.

Oriora — Gegevensverwerkingsovereenkomst

Laatst bijgewerkt: 2026-05-26 Ingangsdatum: 2026-05-26

1. Inleiding

Deze Gegevensverwerkingsovereenkomst ("DPA") maakt deel uit van de Oriora Terms of Service tussen Orioralabs OÜ ("Oriora", "Verwerker") en de klant ("Klant", "Verwerkingsverantwoordelijke") (gezamenlijk de "Partijen"). Het regelt de verwerking van persoonsgegevens door Oriora namens de Klant in verband met de levering van de diensten van Oriora.

Deze DPA is door verwijzing opgenomen in de Oriora Terms of Service en wordt van kracht bij de acceptatie van de Terms of Service door de Klant bij aanmelding. Er is geen afzonderlijke handtekening vereist.

In geval van strijdigheid tussen deze DPA en de Terms of Service, prevaleert deze DPA met betrekking tot de verwerking van persoonsgegevens.

2. Definities

Termen die niet in deze DPA zijn gedefinieerd, hebben de betekenis die eraan wordt gegeven in de Oriora Terms of Service of de Algemene Verordening Gegevensbescherming (GDPR) van de EU.

• Verwerkingsverantwoordelijke, Verwerker, Subverwerker, Persoonsgegevens, Verwerking, Betrokkene — zoals gedefinieerd in de GDPR.
• Gegevensbeschermingswetgeving — de GDPR en elke toepasselijke nationale uitvoeringswet, inclusief de wetten van Estland.

3. Onderwerp, duur, aard en doel van de verwerking

4. Rollen van de Partijen

Voor verwerking binnen de reikwijdte van deze DPA is de Klant de Verwerkingsverantwoordelijke en Oriora de Verwerker met betrekking tot de Persoonsgegevens van de Klant (zijnde de persoonsgegevens van de eindgebruikers van de Klant of andere betrokkenen namens wie de Klant de diensten van Oriora gebruikt).

Deze DPA creëert geen gezamenlijke verwerkingsverantwoordelijkheidsovereenkomst onder Artikel 26 van de GDPR. De Klant beheert de in aanmerking komende set AI-leveranciers via de configuratie op accountniveau van de Klant — inclusief de Auto routing schakelaar, routeringsprioriteitsvoorkeur, voorkeuren voor uitsluiting van leveranciers, BYOK sleutelconfiguratie, app-selectie, en (indien Auto routing is uitgeschakeld) de geselecteerde leverancierslijst. De routeringsbeslissingen van Oriora werken uitsluitend binnen de grenzen die zijn vastgesteld door de configuratie van de Klant.

Oriora verwerkt Service Data, Log Data, geaggregeerde gegevens en gedeïdentificeerde gegevens als een onafhankelijke verwerkingsverantwoordelijke, uitsluitend voor de doeleinden van het exploiteren, beveiligen, factureren, ondersteunen en verbeteren van de diensten van Oriora. De verwerking van dergelijke gegevens door Oriora wordt beheerst door het Oriora Privacybeleid.

5. Verplichtingen van Oriora als Verwerker

Oriora zal:

• (a) persoonsgegevens uitsluitend verwerken op gedocumenteerde instructies van de Klant, tenzij anders vereist door EU- of lidstaatrecht (in welk geval Oriora de Klant van die wettelijke vereiste op de hoogte zal stellen vóór de verwerking, tenzij die wet dergelijke informatie verbiedt op belangrijke gronden van openbaar belang). De gedocumenteerde instructies van de Klant omvatten de configuratiekeuzes op accountniveau van de Klant die door Oriora beschikbaar zijn gesteld, zoals de Auto routing schakelaar, routeringsprioriteitsvoorkeur, voorkeuren voor uitsluiting van leveranciers, BYOK sleutelconfiguratie, app-selectie, budgetcontroles, en (indien Auto routing is uitgeschakeld) de geselecteerde leverancierslijst. De routering van Oriora werkt binnen de in aanmerking komende leveranciersset die is gedefinieerd door de configuratie van de Klant;
• (b) ervoor zorgen dat personen die gemachtigd zijn om persoonsgegevens te verwerken, onderworpen zijn aan een geheimhoudingsplicht;
• (c) passende technische en organisatorische maatregelen implementeren om een beveiligingsniveau te waarborgen dat passend is voor het risico, inclusief (indien van toepassing) encryptie, toegangscontroles en veilige infrastructuurproviders;
• (d) subverwerkers alleen inschakelen zoals toegestaan in Artikel 6;
• (e) de Klant, rekening houdend met de aard van de verwerking, bijstaan door middel van passende technische en organisatorische maatregelen, bij het nakomen van de verplichtingen van de Klant om te reageren op verzoeken van betrokkenen zoals uiteengezet in Artikel 7;
• (f) de Klant bijstaan bij het waarborgen van de naleving van de verplichtingen met betrekking tot de beveiliging van de verwerking, melding van inbreuken, gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging van toezichthoudende autoriteiten, rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor Oriora;
• (g) aan het einde van de dienstverlening persoonsgegevens verwijderen of retourneren zoals uiteengezet in Artikel 11;
• (h) de Klant de informatie ter beschikking stellen die nodig is om de naleving van deze DPA aan te tonen en audits mogelijk te maken en daaraan bij te dragen zoals uiteengezet in Artikel 9.

Indien de Klant assistentie verzoekt onder deze DPA die verder gaat dan redelijkerwijs kan worden ondergebracht binnen de normale dienstverlening — bijvoorbeeld uitgebreide samenwerking bij een gegevensbeschermingseffectbeoordeling, onderzoek door een toezichthouder of audit buiten Artikel 9 — zal de Klant de redelijke kosten van Oriora voor die assistentie vergoeden tegen tarieven die vooraf tussen de Partijen zijn overeengekomen.

6. Subverwerkers

De Klant machtigt Oriora om de subverwerkers in te schakelen die zijn vermeld in het Oriora Subverwerkersdocument, dat door verwijzing in deze DPA is opgenomen.

Oriora zal de Klant vooraf op de hoogte stellen van elke toevoeging of vervanging van subverwerkers via het mechanisme dat is uiteengezet in het Subverwerkersdocument. De Klant kan bezwaar maken tegen een nieuwe subverwerker op redelijke gronden met betrekking tot gegevensbescherming door Oriora schriftelijk op de hoogte te stellen binnen zeven (7) dagen na een dergelijke kennisgeving. Indien de Klant bezwaar maakt en Oriora niet in staat is om binnen een commercieel redelijke termijn een redelijk alternatief beschikbaar te stellen, kan de Klant het betreffende deel van de dienst beëindigen.

De kennisgevings- en bezwaartermijn van zeven dagen is korter dan de termijn van 30 dagen die gewoonlijk door grotere verwerkers wordt gebruikt, omdat Oriora haar upstream infrastructuurleveranciers niet kan binden aan langere termijnen.

Oriora blijft verantwoordelijk voor de handelingen en nalatigheden van haar subverwerkers in dezelfde mate als Oriora aansprakelijk zou zijn indien zij de diensten van elke subverwerker rechtstreeks onder deze DPA zou uitvoeren. Deze verantwoordelijkheid is onderworpen aan de beperking van aansprakelijkheid zoals uiteengezet in Artikel 12.

7. Rechten van betrokkenen

Oriora zal, rekening houdend met de aard van de verwerking, de Klant bijstaan door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, om te voldoen aan de verplichting van de Klant om te reageren op verzoeken van betrokkenen die hun rechten uitoefenen onder de Gegevensbeschermingswetgeving (inclusief rechten van inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar).

Indien Oriora een verzoek rechtstreeks van een betrokkene ontvangt met betrekking tot de verwerking door de Klant, zal Oriora, tenzij wettelijk verboden, het verzoek zonder onnodige vertraging doorsturen naar de Klant en zal zij niet zelf op het verzoek reageren, behalve op gedocumenteerde instructies van de Klant.

Indien Oriora verplicht is om persoonsgegevens openbaar te maken aan een overheidsinstantie, rechtbank of wetshandhavingsinstantie op grond van toepasselijke wetgeving of een juridisch proces, zal Oriora, indien wettelijk toegestaan, de Klant vooraf op de hoogte stellen en de openbaarmaking beperken tot wat vereist is.

8. Melding van inbreuk in verband met persoonsgegevens

Oriora zal de Klant zonder onnodige vertraging op de hoogte stellen nadat zij kennis heeft genomen van een inbreuk in verband met persoonsgegevens die de persoonsgegevens van de Klant betreft, en daarbij de informatie verstrekken die redelijkerwijs beschikbaar is voor Oriora op het moment van de kennisgeving.

Oriora zal de Klant ook bijstaan, rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor Oriora, bij het nakomen van de eigen meldingsverplichtingen van de Klant inzake inbreuken aan toezichthoudende autoriteiten en aan getroffen betrokkenen onder de Gegevensbeschermingswetgeving.

9. Auditrechten

Oriora exploiteert een cloud-only stateless dienst zonder fysieke gegevensverwerkingsfaciliteit. Oriora bewaart de prompt- of outputinhoud van de Klant niet.

Op redelijk schriftelijk verzoek zal Oriora het volgende verstrekken:

• (a) architectuurdocumentatie die stateless verwerking aantoont, inclusief databaseschema dat de afwezigheid van tabellen voor inhoudsopslag aantoont;
• (b) beveiligingsbeleid;
• (c) de huidige Subverwerkerslijst en toepasselijke Standard Contractual Clauses met subverwerkers;
• (d) accountspecifieke gegevens die Oriora voor de Klant bewaart;
• (e) procedures voor incidentrespons.

Indien de Klant dergelijke informatie redelijkerwijs onvoldoende acht, kan de Klant, met een voorafgaande schriftelijke kennisgeving van ten minste dertig (30) dagen, niet meer dan eens per periode van twaalf maanden een inspectie op afstand uitvoeren (via documentatiebeoordeling en alleen-lezen technische demonstratie), door een onafhankelijke auditor die wederzijds door de Partijen is overeengekomen (geen concurrent van Oriora) en onderworpen is aan geheimhoudingsverplichtingen. Geen fysieke inspectierechten ter plaatse worden verleend gezien de afwezigheid van enige fysieke gegevensverwerkingsfaciliteit.

De Klant draagt alle redelijke kosten van elke audit, inclusief de kosten van haar onafhankelijke auditor en de redelijke kosten van Oriora voor het verlenen van toegang. De kosten van Oriora zullen zijn tegen tarieven die vooraf tussen de Partijen zijn overeengekomen. Indien een audit wordt uitgevoerd op verzoek van een bevoegde toezichthoudende autoriteit, werken de Partijen samen zoals wettelijk vereist.

Kennisgevingstermijnen en frequentielimieten in dit Artikel 9 worden opgeheven indien vereist door een bevoegde toezichthoudende autoriteit.

10. Internationale doorgiften

Voor zover persoonsgegevens die onder deze DPA worden verwerkt, buiten de Europese Economische Ruimte worden doorgegeven, zullen de Partijen zich beroepen op passende waarborgen onder Hoofdstuk V van de GDPR.

Indien de doorgifte Standard Contractual Clauses vereist, nemen de Partijen door verwijzing de Standard Contractual Clauses van de Europese Commissie (Uitvoeringsbesluit (EU) 2021/914 van de Commissie) op:

• Indien de Klant optreedt als verwerkingsverantwoordelijke van persoonsgegevens die worden doorgegeven aan Oriora als verwerker: Module 2 (Verwerkingsverantwoordelijke naar Verwerker), met de Klant als gegevensexporteur en Oriora als gegevensimporteur.
• Indien de Klant optreedt als verwerker van persoonsgegevens die worden doorgegeven aan Oriora als subverwerker (bijvoorbeeld, indien de Klant Managed API BYOK gebruikt om het eigen product van de Klant aan te drijven dat de persoonsgegevens van de eindgebruikers van de Klant verwerkt): Module 3 (Verwerker naar Subverwerker), met de Klant als gegevensexporteur en Oriora als gegevensimporteur.

In elk geval: de optionele dockingclausule is opgenomen; de optionele onafhankelijke geschillenbeslechtingsclausule is uitgesloten; het toepasselijke recht is het recht van Estland; de bevoegde toezichthoudende autoriteit is de Estse Gegevensbeschermingsinspectie.

Indien persoonsgegevens verder worden doorgegeven van Oriora aan een subverwerker buiten de EER, wordt die doorgifte beschermd door Standard Contractual Clauses of een andere passende waarborg die tussen Oriora en de subverwerker is gesloten.

11. Retournering en verwijdering van persoonsgegevens

Aan het einde van de dienstverlening met betrekking tot de verwerking zal Oriora, naar keuze van de Klant, de persoonsgegevens van de Klant verwijderen of retourneren, tenzij EU- of lidstaatrecht verdere opslag vereist.

Accountgegevens en factureringsgegevens die worden bewaard voor wettelijke verplichtingen (zoals het Estse belastingrecht) kunnen niet worden verwijderd voordat de wettelijke bewaartermijn is verstreken.

Promptinhoud, outputinhoud en meerstapsgespreksgeschiedenis worden door Oriora op geen enkel moment onder deze DPA bewaard, in overeenstemming met de stateless architectuur van Oriora.

12. Aansprakelijkheid

De aansprakelijkheid van elke Partij onder deze DPA is onderworpen aan de bepalingen inzake beperking van aansprakelijkheid in de Oriora Terms of Service. Niets in dit Artikel beperkt de aansprakelijkheid van een Partij indien een dergelijke beperking niet is toegestaan onder de toepasselijke Gegevensbeschermingswetgeving.

13. Looptijd en beëindiging

Deze DPA is van kracht op de hierboven vermelde Ingangsdatum en blijft van kracht gedurende de looptijd van het gebruik van de diensten van Oriora door de Klant. Artikelen 9, 10, 11 en alle andere bepalingen die naar hun aard de beëindiging zouden moeten overleven, blijven van kracht.

14. Toepasselijk recht

Deze DPA wordt beheerst door de wetten van de Republiek Estland. Geschillen die voortvloeien uit deze DPA zullen worden opgelost zoals uiteengezet in Artikel 19 van de Oriora Terms of Service.

15. Contact

Voor vragen over deze DPA of om rechten hieronder uit te oefenen, neem contact op met [email protected].