Introduction
This data processing agreement (the "DPA") governs the processing of Personal Data in the course of the provision of the Services provided by Legora or its Affiliates to the Subscriber and forms part of the Agreement between the Parties. This DPA regulates the Subscriber's rights and obligations in its capacity as data controller or processor as well as Legora's rights and obligations in its capacity as data processor or sub-processor when Legora processes Personal Data on behalf of the Subscriber under the Agreement. The purpose of this DPA is to regulate the processing of Personal Data in accordance with the requirements set forth by Applicable Data Protection Laws. Concepts, terms, and expressions in this DPA shall be interpreted in accordance with Applicable Data Protection Laws (as defined below). Capitalized terms that are used but not defined in this document shall have the meaning set out in the Agreement Order Form or the General Terms and Conditions Legora AI.
Processing of Personal Data
Legora undertakes to process Personal Data for purposes set forth in this DPA (including Specification of Data Processing) and in accordance with the Subscriber's written instructions, unless otherwise required by Applicable Data Protection Laws. The Subscriber's instructions to Legora regarding the subject-matter and duration of the processing, the nature and purpose of the processing, the type of Personal Data and categories of data subjects, and the rights and obligations of both Parties are set forth in this DPA and in Specification of Data Processing.
Obligations of the Subscriber
The Subscriber shall ensure that it has a valid legal basis, and all necessary rights, consents, and authorizations, to provide the Personal Data to Legora and to authorize Legora to process that Personal Data in accordance with this DPA, the Agreement and/or other processing instructions provided by the Subscriber to Legora.
Wie zijn wij?
Guus.ai B.V., Wibautstraat 123, 1091 GL Amsterdam, KvK 91234567.
Persoonsgegevens die wij verwerken
Zie verwerkingsregister in AI- & Compliancebeleid.
Waarom verwerken wij uw gegevens?
Voor het leveren van de SaaS-dienst, het beveiligen en verbeteren daarvan en het nakomen van wettelijke verplichtingen.
Delen wij data?
Alleen met onze sub-verwerker Microsoft Azure binnen de EU. Zoekopdrachten via de Bing-API bevatten geen direct herleidbare gegevens – zoektermen worden gepseudonimiseerd.
Bewaartermijnen
Zie AI- & Compliancebeleid §5.
Uw rechten
Inzage • Rectificatie • Wissen • Beperking • Dataportabiliteit • Bezwaar. Stuur e-mail naar compliance@guus.ai. Reactie binnen 30 dagen.
Beveiliging
Versleuteling in transit en at rest, streng toegangsbeheer, jaarlijkse pentesten.
Klachten
U kunt een klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).
Juridisch kader
Algemene Verordening Gegevensbescherming (AVG) en Uitvoeringswet AVG
Telecommunicatiewet (cookiewet)
Ons product voldoet aan de strengste AI-Act-eisen. De bepalingen voor 'high-risk' AI worden strikt gevolgd en geborgd in onze ontwikkel- en beheersprocessen.
EU Artificial Intelligence Act (EU 2024/1689) – wij laten al onze AI-functies voldoen aan de strengste AI-Act-eisen
Richtlijnen van de Nederlandse Orde van Advocaten (NOvA) over vertrouwelijkheid & AI-gebruik
Rolverdeling & verwerkersovereenkomst
Verwerkingsverantwoordelijke
Bepaalt doelen en middelen
De klant (uw organisatie)
Verwerker
Verwerkt namens verantwoordelijke
Guus.ai
Sub-verwerker
Ondersteunt de verwerker
Microsoft Azure (EU), Bing Search API
Guus.ai sluit met iedere klant een Data Processing Agreement (DPA) waarin taken, beveiligingsmaatregelen, audits en sub-verwerkers zijn vastgelegd (art. 28 AVG).
Privacy by design & vertrouwelijkheid
Geen anonimisatie nodig aan uw kant: ons platform pseudonimiseert alle invoer en verwijdert direct identificeerbare gegevens uit logbestanden.
Gegevens blijven te allen tijde in de EU en worden niet gebruikt om modellen te trainen.
Guus.ai respecteert het advocatengeheim: uw dossiers en cliëntgegevens worden vertrouwelijk behandeld en zijn alleen toegankelijk voor geautoriseerd personeel op "need-to-know" basis.
AI-governance & kwaliteitscontrole
Risicoanalyse
DPIA uitgevoerd voor hoog-risico functies
Menselijke controle
Suggesties altijd door gebruiker gecontroleerd
Transparantie
Gebruikers zien duidelijk wanneer AI wordt ingezet
Monitoring & rapportage
Kwartaalrapportages over kwaliteit, bias-tests, klantfeedback
Logging & bewaartermijnen
Gepseudonimiseerde, versleutelde logs | standaard 90 dagen
Logs voor foutanalyse | max. 2 jaar
Klanten kunnen op verzoek inzage krijgen in de audit-log van hun eigen sessies.
Datalek- en incidentprocedure (klantversie)
Guus.ai hanteert een strak protocol: incidenten worden direct onderzocht en – indien meldplichtig – binnen 72 uur aan de Autoriteit Persoonsgegevens gemeld. U wordt tijdig geïnformeerd als uw data is geraakt. Alle incidenten worden geregistreerd en geëvalueerd.
Verwerkingsregister
Guus.ai houdt een intern register van verwerkingsactiviteiten en een AI-functieregister. Voor functies die onder de strengste AI-Act-eisen vallen, documenteren wij extra risicobeheersmaatregelen.
Contact
E-mail privacy & compliance: compliance@guus.ai
Klachtenrecht: u kunt ook terecht bij de Autoriteit Persoonsgegevens