Journey Studio legal
Verwerking van gegevens
Hoe wij gegevensverwerking voor customer journeys uitvoeren.
Ingangsdatum: 25 februari 2026
Laatst bijgewerkt: 1 mei 2026
Deze verwerkersovereenkomst (“DPA”) maakt deel uit van de overeenkomst tussen GreenRoot Analytics B.V. (“Verwerker”) en de klant (“Verwerkingsverantwoordelijke”) bij gebruik van het GreenRoot Analytics-platform (de “Dienst”).
Transparantie. We willen de Dienst zo transparant mogelijk en met een privacy-first mindset exploiteren. Deze DPA is opgesteld om duidelijk te beschrijven welke verwerking wij als Verwerker uitvoeren en welke waarborgen wij toepassen.
1) Onderwerp en duur
1.1. Verwerker verwerkt persoonsgegevens om de Dienst te leveren gedurende de looptijd van de klantovereenkomst (en een eventuele overgangsperiode die nodig is om gegevens terug te geven of te verwijderen).
2) Aard en doel van de verwerking
2.1. Verwerking kan account-, workspace-, project- en toegangsadministratie omvatten.
2.2. Verwerking kan journey-/enquête- en customer-journey-mapcreatie, configuratie, delen en distributie omvatten.
2.3. Verwerking kan het verzamelen en opslaan van enquêteantwoorden, deelnemerslijsten en door de Verwerkingsverantwoordelijke geïnitieerde uitnodigings- en herinneringsworkflows omvatten.
2.4. Verwerking kan het genereren van analytics, exports, pdf-/rapportartefacten en executive-summaryoutputs omvatten die door de Verwerkingsverantwoordelijke worden aangevraagd of geactiveerd.
2.5. Verwerking kan AI-ondersteunde functies omvatten (bijvoorbeeld extractie van websitecontext uit door gebruikers opgegeven openbare websitecontent, begeleide generatie van journeys/vragen/fasen/KPI's en executive-summarygeneratie) met gebruik van een AI-subverwerker.
2.6. Verwerking kan beveiligings-, logging-, misbruikpreventie- en verwijderings-/opschoningsworkflows omvatten die op instructie van de Verwerkingsverantwoordelijke worden uitgevoerd.
3) Categorieën van betrokkenen en persoonsgegevens
3.1. Typische betrokkenen zijn klantgebruikers (workspacegebruikers).
3.2. Typische betrokkenen zijn enquête-respondenten (eindgebruikers).
3.3. Typische persoonsgegevens omvatten accountidentificatoren (bijv. naam, e-mailadres, voorkeurstaal en rol binnen de workspace).
3.4. Typische persoonsgegevens omvatten antwoorden van respondenten en vrije-tekstantwoorden (zoals geconfigureerd door de Verwerkingsverantwoordelijke), e-mailadressen van deelnemers en metadata rond uitnodigingen/herinneringen, plus project-/map-/journeycontext die door de Verwerkingsverantwoordelijke is ingevoerd.
3.5. Typische persoonsgegevens omvatten operationele metadata die nodig is om de Dienst te exploiteren (bijv. tijdstempels, technische identificatoren, beperkte aflever-/beveiligings-/diagnostische logs en gegenereerde export-/rapportartefacten die door de Verwerkingsverantwoordelijke zijn aangevraagd).
3.6. De Dienst is niet bedoeld voor verwerking van bijzondere persoonsgegevens (artikel 9 AVG/GDPR). De Verwerkingsverantwoordelijke dient de Verwerker niet te instrueren dergelijke gegevens te verwerken en dient het verzamelen ervan in enquêtes te vermijden. Als bijzondere gegevens door respondenten worden ingevoerd (bijv. via vrije-tekstantwoorden), blijft de Verwerkingsverantwoordelijke verantwoordelijk als Verwerkingsverantwoordelijke; de Verwerker zal waar redelijkerwijs mogelijk assisteren bij verwijdering/anonimisering.
4) Verplichtingen van de Verwerkingsverantwoordelijke
4.1. De Verwerkingsverantwoordelijke is verantwoordelijk voor een rechtsgrond voor verwerking van persoonsgegevens en, waar vereist, het verkrijgen van geldige toestemming(en).
4.2. De Verwerkingsverantwoordelijke is verantwoordelijk voor het verstrekken van alle vereiste informatie aan betrokkenen (inclusief respondenten) en het afhandelen van verzoeken van betrokkenen als Verwerkingsverantwoordelijke.
4.3. De Verwerkingsverantwoordelijke is verantwoordelijk voor het configureren van enquêtes/journeys op een manier die passend is voor de doelgroep en die geen bijzondere persoonsgegevens uitvraagt.
4.4. De Verwerkingsverantwoordelijke is verantwoordelijk voor het waarborgen dat uitnodigingen en herinneringen aan deelnemers rechtmatig zijn (inclusief toepasselijke privacy- en anti-spameisen), en dat geuploade deelnemerslijsten rechtmatig zijn verkregen en gebruikt.
4.5. De Verwerkingsverantwoordelijke is verantwoordelijk voor het verstrekken van gedocumenteerde instructies aan de Verwerker waar nodig, inclusief voor verzoeken om verwijdering/teruggave en voor elk gebruik van AI-ondersteunde functies op Klantcontent.
4.6. Wanneer de Verwerkingsverantwoordelijke de Verwerker vraagt om openbare websitecontent te analyseren als onderdeel van een AI-ondersteunde setupflow, is de Verwerkingsverantwoordelijke ervoor verantwoordelijk dat hij gerechtigd is de relevante URL/content voor dat doel aan te leveren.
5) Subverwerkers
Verwerker kan subverwerkers inschakelen om onderdelen van de Dienst te leveren (bijvoorbeeld hosting, e-mailbezorging en AI-ondersteunde functies).
5.1. Verwerker zal een lijst van subverwerkers bijhouden.
5.2. Verwerker blijft onder deze DPA verantwoordelijk voor de prestaties van subverwerkers.
Zie: Subverwerkers (sectie 10).
5.3. Verwerker zal de subverwerkerslijst bijwerken wanneer materiële verwerker-gerelateerde leveranciers wijzigen. Waar redelijkerwijs uitvoerbaar, kan de Verwerkingsverantwoordelijke op redelijke gegevensbeschermingsgronden bezwaar maken tegen een nieuwe subverwerker, waarna partijen te goeder trouw aan een passende oplossing zullen werken.
5.4. Deze DPA en de subverwerkerslijst in sectie 10 zien op diensten die door Verwerker worden gebruikt om Klantcontent namens de Verwerkingsverantwoordelijke te verwerken. GreenRoot kan daarnaast eigen verwerkingsverantwoordelijke-gerelateerde leveranciers gebruiken voor facturatie, betalingen, facturen en accountadministratie (bijvoorbeeld Stripe). Die leveranciers worden niet als DPA-subverwerkers vermeld, tenzij zij Klantcontent namens de Verwerkingsverantwoordelijke verwerken.
6) Internationale doorgiften
6.1. Als persoonsgegevens buiten de EER/VK worden doorgegeven, zal Verwerker zorgen voor passende waarborgen (bijvoorbeeld Standard Contractual Clauses (SCC's), waar van toepassing).
7) Teruggave of verwijdering
7.1. Bij beëindiging van de Dienst en op verzoek van de Verwerkingsverantwoordelijke (waar van toepassing), zal Verwerker persoonsgegevens verwijderen of teruggeven conform instructies van de Verwerkingsverantwoordelijke en toepasselijk recht, met inachtneming van beperkte bewaartermijnen die nodig zijn voor juridische, fraudepreventie- of beveiligingsdoeleinden.
7.2. Wanneer Verwerker exports, pdf's, executive summaries of vergelijkbare artefacten voor de Verwerkingsverantwoordelijke genereert, worden die artefacten als Klantcontent behandeld en vallen zij onder hetzelfde kader voor verwijdering/teruggave, behoudens rechtmatige uitzonderingen voor bewaring.
8) Verplichtingen van de Verwerker (AVG/GDPR artikel 28)
8.1. Verwerker verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructies van de Verwerkingsverantwoordelijke, inclusief met betrekking tot doorgiften van persoonsgegevens aan een derde land, tenzij Verwerker daartoe verplicht is op grond van Unierecht of lidstatelijk recht (in welk geval Verwerker de Verwerkingsverantwoordelijke informeert over die wettelijke verplichting tenzij dat recht dergelijke informatie verbiedt).
8.2. Verwerker zorgt ervoor dat personen die bevoegd zijn om persoonsgegevens te verwerken gebonden zijn aan vertrouwelijkheid.
8.3. Verwerker implementeert passende technische en organisatorische maatregelen om persoonsgegevens te beschermen (AVG/GDPR artikel 32).
8.4. Verwerker schakelt geen andere verwerker in zonder te voldoen aan de vereisten in sectie 5.
8.5. Verwerker assisteert de Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking, met passende technische en organisatorische maatregelen, voor zover mogelijk, bij het voldoen aan de verplichting van de Verwerkingsverantwoordelijke om te reageren op verzoeken van betrokkenen (AVG/GDPR hoofdstuk III).
8.6. Verwerker zal de Verwerkingsverantwoordelijke zonder onredelijke vertraging informeren zodra hij kennis neemt van een inbreuk in verband met persoonsgegevens die persoonsgegevens raakt die onder deze DPA worden verwerkt.
8.7. Verwerker assisteert de Verwerkingsverantwoordelijke bij het waarborgen van naleving van verplichtingen inzake beveiliging, meldingen van datalekken en DPIA-/consultatieverplichtingen (AVG/GDPR artikelen 32-36), rekening houdend met de aard van de verwerking en de informatie waarover Verwerker beschikt.
8.8. Verwerker stelt de Verwerkingsverantwoordelijke informatie ter beschikking die nodig is om naleving van deze DPA aan te tonen en staat audits toe en draagt daaraan bij onder sectie 9.
9) Auditrechten
9.1. De Verwerkingsverantwoordelijke kan informatie opvragen die redelijkerwijs nodig is om naleving door Verwerker van deze DPA aan te tonen.
9.2. De Verwerkingsverantwoordelijke kan ook een audit uitvoeren (inclusief inspecties) niet vaker dan een keer per 12 maanden, met redelijke voorafgaande schriftelijke kennisgeving, tijdens normale kantooruren en onder voorbehoud van beveiligings- en vertrouwelijkheidseisen van Verwerker.
9.3. Waar beschikbaar kan Verwerker auditverzoeken afhandelen door auditrapporten van derden of beveiligingsdocumentatie te verstrekken in plaats van een inspectie op locatie.
9.4. De Verwerkingsverantwoordelijke draagt de kosten van de audit.
10) Subverwerkers
10.1. Bij GreenRoot bouwen en onderhouden we de kerntechnologie achter het platform zelf. Voor aanvullende infrastructuur en gespecialiseerde diensten (zoals e-mailbezorging en AI-ondersteunde functies) maken we gebruik van een klein aantal zorgvuldig geselecteerde subverwerkers zoals hieronder vermeld.
10.2. Laatst bijgewerkt: 1 mei 2026.
| Subverwerker | Doel | Datacategorieën | Locatie/regio | Opmerkingen |
|---|---|---|---|---|
| Namecheap (VPS-hosting / infrastructuur) | Hosting / infrastructuur | Account-, workspace-, project-, map- en journeygegevens, antwoorden, rapport-/exportartefacten, logs | Verenigde Staten (zie opmerkingen) | Huidige primaire VPS-infrastructuurprovider. Domeinregistratie- / DNS-diensten vallen buiten de reikwijdte van deze rij, tenzij zij ook Klantcontent verwerken |
| PrivateEmail | Transactionele e-mailbezorging (SMTP) | E-mailadressen van workspacegebruikers, e-mailadressen van deelnemers, berichtinhoud, beperkte aflevermetadata | Verenigde Staten (zie opmerkingen) | Gebruikt voor verwerker-gerelateerde uitnodigingen, herinneringen, toegangsgerelateerde meldingen en meldingen dat exports/rapporten gereedstaan |
| OpenAI | AI-assistentie | Journey-/project-/mapcontext, enquêteantwoorden die voor samenvattingen worden gebruikt, rapportcontext en door gebruikers opgegeven openbare website-URL's/content wanneer AI-ondersteunde functies worden gebruikt | Wereldwijd (multi-region) | Gebruikt voor websitecontextextractie, begeleide generatie en executive-summarygeneratie wanneer aangeroepen |
10.3. Verwerker-gerelateerde export-/pdf-/rapportartefacten worden momenteel op dezelfde zelfgehoste infrastructuur opgeslagen, tenzij voor een specifieke omgeving een aparte S3-compatibele object-storageprovider is geconfigureerd. Als een aparte object-storageprovider wordt ingeschakeld om Klantcontent te verwerken, dient deze subverwerkerslijst dienovereenkomstig te worden bijgewerkt.
10.4. “Locatie/regio” wordt op hoofdlijnen gegeven en kan variëren per leveranciersconfiguratie en routing. Als u een definitieve locatie nodig heeft voor een specifieke account of omgeving, verifieer dit bij de leverancier.
10.5. Leveranciers die GreenRoot gebruikt voor eigen verwerkingsverantwoordelijke-gerelateerde facturatie, betalingen, analytics/meting en accountadministratie vallen buiten de reikwijdte van deze verwerker-gerelateerde subverwerkerstabel, tenzij zij Klantcontent namens de Verwerkingsverantwoordelijke verwerken.
11) Contact
11.1. Vragen: contact@greenrootanalytics.com