Solace Care is an AI-driven digital platform that provides end-of-life planning and bereavement support services, integrating with insurance companies and employers across Nordic markets. Founded in January 2025 in Stockholm, it combines digital planning tools, automated guidance, and professional support to help families navigate loss.

What problem does Solace Care solve?

Families spend hundreds of hours on death administration across 40+ institutions. Only 28% of insurers offer bereavement support, yet 89% of policyholders expect holistic support beyond financial payouts. Solace Care bridges this gap.

How does Solace Care work for insurance companies?

Insurers integrate Solace Care as a value-added service for policyholders, reducing claims back-and-forth, accelerating settlement, and improving the overall claims experience.

Where does Solace Care operate?

Solace Care operates across Sweden, Finland, and Norway. Selected for InsurTech Europe Batch 14, positioning for broader European expansion.

Who founded Solace Care?

Founded in 2025 by Valtteri Korkiakoski (CEO) and Josef Karakoca (CTO), with experience from Mindler. Completed SEK 3M convertible note funding.

How is Solace Care different from competitors?

Solace Care uniquely integrates end-of-life planning, bereavement support, and B2B2C distribution through insurers and employers, with AI-driven personalization and deep Nordic regulatory localization.

Addendum Gegevensverwerking

Laatst bijgewerkt:

3 okt 2025

Verwerkersovereenkomst

Deze Verwerkersovereenkomst ("Verwerkersovereenkomst") is aangegaan op de (laatste) dag van ondertekening door en tussen:

1. [vul volledige bedrijfsnaam in], statutair gevestigd in [vul adres en land in] en met ondernemingsnummer [vul ondernemingsnummer in] ("Verwerkingsverantwoordelijken"); en

2. Solace Care, statutair gevestigd te Luntmakargatan 26, 111 37 Stockholm, Zweden, en met ondernemingsnummer 559519-7079 (de "Verwerker");

hierna afzonderlijk aangeduid als de Partij en gezamenlijk als de Partijen.

ACHTERGROND

1. De Verwerkingsverantwoordelijke bepaalt het doel van en de middelen voor de Verwerking van Persoonsgegevens (zoals hierna gedefinieerd).

2. Partijen hebben een dienstenovereenkomst gesloten; in het kader van de levering van de Dienst zal de Verwerker persoonsgegevens verwerken namens de Verwerkingsverantwoordelijke. Partijen zijn overengekomen de Diensten (zoals hierna gedefinieerd) te leveren onder de voorwaarden zoals uiteengezet in de Dienstenovereenkomst (zoals hierna gedefinieerd).

3. Partijen wensen de Dienstenovereenkomst aan te vullen met deze Verwerkersovereenkomst om de voorwaarden die van toepassing zijn op de Verwerking van Persoonsgegevens te formaliseren.

4. Het doel van deze Verwerkersovereenkomst is te voorzien in adequate waarborgen ter bescherming van de persoonlijke levenssfeer en te waarborgen dat de Verwerking van Persoonsgegevens plaatsvindt

1. OVEREENKOMST

1. Naast het hoofddocument van de overeenkomst bevat deze Verwerkersovereenkomst ook de volgende documenten:

Bijlage 3.1 Verwerkingsinstructies

Bijlage 3.2 Technische en organisatorische beveiligingsmaatregelen

Bijlage 3.3 Subverwerkers

1. Indien een bepaling van deze Verwerkersovereenkomst strijdig is met de voorwaarden van de Dienstenovereenkomst, prevaleren de bepalingen van deze Verwerkersovereenkomst. Begrippen met een hoofdletter die hierin niet zijn gedefinieerd (indien van toepassing), hebben de betekenis die daaraan in de Dienstenovereenkomst is gegeven.

1. DEFINITIES

1. Begrippen die zijn gedefinieerd in de Algemene Verordening Gegevensbescherming van de EU (AVG) hebben in deze Overeenkomst de betekenis zoals uiteengezet in de Verordening.

2. In deze Verwerkersovereenkomst hebben de onderstaande begrippen de volgende betekenis:

| Toepasselijk recht | Alle wet- en regelgeving die van toepassing is op de Verwerking van Persoonsgegevens onder deze Verwerkersovereenkomst en de Dienstenovereenkomst, met inbegrip van, maar niet beperkt tot, de AVG. |

| Toegestaan doel | De Verwerking van Persoonsgegevens door de Verwerker conform deze Verwerkersovereenkomst namens de Verwerkingsverantwoordelijke (i) voor zover noodzakelijk ter uitvoering van het doel van de Dienstenovereenkomst of (ii) zoals ad hoc schriftelijk nader gedefinieerd door de contactpersoon van de Verwerkingsverantwoordelijke; |

| Toegestane subverwerkers | Alle subverwerkers vermeld in Bijlage 3.1; |

| Overeenkomst | de Dienstenovereenkomst voor de verlening van bepaalde professionele diensten door de Verwerker aan de Verwerkingsverantwoordelijke, gesloten tussen Partijen op de in Bijlage 3.1 gespecificeerde datum; |

| Verwerkingsverantwoordelijke | Een entiteit die het doel van en de middelen voor de verwerking van Persoonsgegevens bepaalt. |

| Verwerker | Een entiteit die namens een Verwerkingsverantwoordelijke Persoonsgegevens verwerkt. |

| Verwerkersovereenkomst (DPA) | Deze Verwerkersovereenkomst – inclusief eventuele daaropvolgende wijzigingen – die de voorwaarden van de hoofdtekst van dit document omvat, samen met de bijlagen en eventuele documenten die hierin uitdrukkelijk door middel van verwijzing zijn opgenomen; |

| Betrokkene | De geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben. |

| AVG | De Algemene Verordening Gegevensbescherming van de EU (Verordening (EU) 2016/679); |

| Persoonsgegevens | alle informatie betreffende (i) een geïdentificeerde of identificeerbare natuurlijke persoon en (ii) een geïdentificeerde of identificeerbare rechtspersoon (voor zover dergelijke informatie analoog wordt beschermd als persoonsgegevens of persoonlijk herleidbare informatie onder de toepasselijke wet- en regelgeving inzake gegevensbescherming), waarbij voor zowel (i) als (ii) geldt dat deze gegevens Klantgegevens zijn. |

| Diensten | De Diensten die door de Verwerker moeten worden geleverd onder de Dienstenovereenkomst; |

| Standaardcontractbepalingen | De modelcontractbepalingen van de EU, de door de EU goedgekeurde (Besluit 2010/87/EU) standaardcontractbepalingen voor de doorgifte van Persoonsgegevens van Verwerkingsverantwoordelijken naar Verwerkers die zijn gevestigd in derde landen buiten de Europese Economische Ruimte waar het niveau van gegevensbescherming als ontoereikend wordt beschouwd, inclusief eventuele instrumenten die door de Europese Commissie zijn goedgekeurd ter vervanging of opvolging van dergelijke contractbepalingen; |

1. ALGEMEEN

1. Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke ter uitvoering van de Diensten onder de Dienstenovereenkomst. De Verwerker zal de Persoonsgegevens uitsluitend verwerken voor het Toegestane doeleinde en in overeenstemming met het Toepasselijk recht, deze Verwerkersovereenkomst en de Dienstenovereenkomst. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien een instructie naar zijn oordeel in strijd is met het Toepasselijk recht.

2. De Verwerkingsverantwoordelijke behoudt de formele controle en het eigendom over de Persoonsgegevens. De Verwerker heeft geen andere rechten op de Persoonsgegevens dan het niet-exclusieve, herroepbare en in de tijd beperkte recht om de Persoonsgegevens te verwerken voor het Toegestane doeleinde.

3. Er zijn geen vergoedingen of kosten verbonden aan het nakomen van de verplichtingen van de Verwerker onder deze Verwerkersovereenkomst, behalve de vergoedingen voor de Diensten zoals uiteengezet in de Dienstenovereenkomst of eventuele specifieke serviceaddenda/bijlagen die daaraan zijn gehecht.

1. TOEGESTANE LOCATIES VOOR DE VERWERKING

De Verwerker zal de Persoonsgegevens uitsluitend verwerken voor het Toegestane doeleinde. Verwerking van Persoonsgegevens voor enig ander doel is verboden en wordt beschouwd als een inbreuk op deze Verwerkersovereenkomst en de Dienstenovereenkomst.

1. TOEGESTANE LOCATIES VOOR DE BEHANDELING

1. De verwerking van de Persoonsgegevens mag uitsluitend plaatsvinden in technische omgevingen die worden beheerd door de Verwerkingsverantwoordelijke, de Verwerker en/of de Toegestane subverwerker binnen het Toegestane gebied.

2. Indien Persoonsgegevens toegankelijk zijn vanaf een locatie, wordt dit beschouwd als een doorgifte van Persoonsgegevens naar die locatie. Persoonsgegevens mogen niet toegankelijk zijn vanuit locaties buiten het Toegestane gebied.

1. ASSISTENTIE

1. De Verwerker zal de Verwerkingsverantwoordelijke zonder onnodige vertraging bijstaan en ervoor zorgen dat de subverwerker van de Verwerker de Verwerkingsverantwoordelijke helpt bij het beantwoorden van of verstrekken van informatie aan Betrokkenen en nationale toezichthoudende autoriteiten, met betrekking op de Verwerking die door de Verwerker en zijn Toegestane subverwerkers namens de Verwerkingsverantwoordelijke wordt uitgevoerd. De Verwerker verstrekt de informatie en ondersteuning die de Verwerkingsverantwoordelijke redelijkerwijs verzoekt om te kunnen voldoen aan het Toepasselijk recht en besluiten van relevante autoriteiten.

2. De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij het naleven van Hoofdstuk III van de AVG, in het bijzonder bij het:

* Corrigeren of verwijderen van onjuiste Persoonsgegevens;

* Verstrekken van een kopie van de Persoonsgegevens die zijn opgeslagen in een back-up- of opslagfaciliteit die wordt beheerd door de Verwerker of een Toegestane subverwerker;

* Verstrekken van informatie over de Verwerking van Persoonsgegevens;

* Assisteren bij elk verzoek of kennisgeving, of verwachte verzoeken of kennisgevingen, van of namens een Betrokkene of de nationale toezichthoudende autoriteiten met betrekking tot Persoonsgegevens; en

* Anderszins verlenen van alle passende ondersteuning aan de Verwerkingsverantwoordelijke die noodzakelijk is om te voldoen aan diens wettelijke verplichtingen, zoals de artikelen 32-36 AVG, en het nemen van de passende technische en organisatorische maatregelen om deze ondersteuning te bieden.

1. INZET VAN SUBVERWERKERS

1. De Verwerker mag ter uitvoering van werkzaamheden namens hem onder deze Verwerkersovereenkomst uitsluitend gebruikmaken van subverwerkers die Toegestane subverwerkers zijn. De Verwerker dient in de in artikel 7.2 genoemde subverwerkersovereenkomst te waarborgen dat alle Verwerkingen van Persoonsgegevens door een Toegestane subverwerker voldoen aan de eisen in deze Verwerkersovereenkomst. Dit omvat, maar is niet beperkt tot, de controle dat de door een Toegestane subverwerker geïmplementeerde beveiligingsmaatregelen minimaal een beschermingsniveau bieden dat gelijkwaardig is aan het niveau dat van de Verwerker onder deze Verwerkersovereenkomst wordt vereist.

2. De Verwerker garandeert dat er een subverwerkersovereenkomst wordt gesloten tussen de Verwerker en een Toegestane subverwerker voordat de Toegestane subverwerker Persoonsgegevens verwerkt. De overeenkomst(en) inzake de Verwerking van Persoonsgegevens moeten waarborgen dat deze Toegestane subverwerker onderworpen is aan verplichtingen die ten minste even streng zijn en die de Verwerkingsverantwoordelijke en de Betrokkenen een minimaal gelijkwaardig beschermingsniveau bieden als de eisen die aan de Verwerker worden gesteld onder deze Verwerkersovereenkomst en het Toepasselijk recht met betrekking tot zijn verwerkingsactiviteiten.

3. De Verwerker stelt de Verwerkingsverantwoordelijke op de hoogte van geplande wijzigingen met betrekking tot de toevoeging of vervanging van een subverwerker en neemt daarbij een termijn van dertig (30) dagen in acht om de Verwerkingsverantwoordelijke de gelegenheid te geven bezwaar te maken tegen dergelijke wijzigingen. Indien de Verwerkingsverantwoordelijke bezwaar maakt tegen de wijzigingen, zal de betreffende subverwerker niet deelnemen aan de Verwerking van Persoonsgegevens namens de Verwerkingsverantwoordelijke.

4. De Verwerkingsverantwoordelijke kan een of meer toestemmingen voor het gebruik van een specifieke Toegestane subverwerker herroepen. In dergelijke gevallen verstrekt de Verwerkingsverantwoordelijke een toelichting aan de Verwerker met de reden voor de herroeping. Voor zover de herroeping de Verwerker verhindert de Dienst te leveren, zullen Partijen te goeder trouw overleggen welke alternatieve oplossingen en/of subverwerkers kunnen worden ingezet om de verlening van de Dienst voort te zetten.

2. VERWERKING VAN PERSOONSGEGEVENS IN BEPAALDE JURISDICTIES

1. Indien de Verwerking van Persoonsgegevens niet plaatsvindt

1. binnen de Europese Economische Ruimte, of

2. in een gebied dat door de Europese Commissie is aangewezen als een gebied dat een passend beschermingsniveau waarborgt;

Dan zal die verwerking van Persoonsgegevens worden uitgevoerd in overeenstemming met de toepasselijke modelcontracten van de EU voor de doorgifte van Persoonsgegevens naar derde landen (Standaardcontractbepalingen). Indien de Verwerkingsverantwoordelijke toestemming geeft voor een doorgifte naar of toegang tot Persoonsgegevens vanuit een land buiten de categorieën a of b hierboven, zullen Partijen de Standard Contractual Clauses (SCC) van de EU sluiten voorafgaand aan die doorgifte of toegang. Indien deze doorgifte de doorgifte van Persoonsgegevens aan een Toegestane subverwerker betreft, zorgt de Verwerker ervoor dat de bepalingen van de SCC aan die Toegestane subverwerker worden opgelegd door te vereisen dat de Toegestane subverwerker de bepalingen van de SCC met de Verwerkingsverantwoordelijke als "Exporteur van Persoonsgegevens" ondertekent voorafgaand aan die doorgifte of toegang.

1. De Verwerkingsverantwoordelijke verleent hierbij goedkeuring aan de Verwerker om namens de Verwerkingsverantwoordelijke SCC-overeenkomsten aan te gaan met relevante Toegestane subverwerker voor de bovengenoemde doeleinden.

2. Voor de x-vrijwaring: de verplichting om ervoor te zorgen dat de Toegestane subverwerker een overeenkomst aangaat voor de Verwerking van Persoonsgegevens op basis van de SCC-overeenkomsten wanneer dit op grond van dit artikel 8 vereist is, ontslaat de Verwerker niet van zijn verplichtingen onder artikel 7, inclusief maar niet beperkt tot de verplichting om ervoor te zorgen dat de beveiligingsmaatregelen van de Toegestane subverwerker de Verwerkingsverantwoordelijke en de Betrokkenen minimaal een gelijkwaardig beschermingsniveau bieden als de eisen die aan de Verwerker worden gesteld onder deze Verwerkersovereenkomst.

1. TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN

1. De Verwerker zal zijn verplichtingen en handelingen onder deze Verwerkersovereenkomst uitvoeren met alle vereiste deskundigheid, zorgvuldigheid en nauwkeurigheid. De Verwerker neemt passende technische en organisatorische beveiligingsmaatregelen om schade te voorkomen die kan voortvloeien uit ongeoorloofde of onrechtmatige Verwerking, verlies, vernietiging, beschadiging, wijziging of openbaarmaking van Persoonsgegevens, rekening houdend met de aard van de te beschermen Persoonsgegevens.

2. Bijlage 3.2 "Technische en organisatorische beveiligingsmaatregelen" bevat nadere instructies met betrekking tot technische en organisatorische beveiligingsmaatregelen.

2. VERTROUWELIJKHEID

1. De Verwerker garandeert dat hij, zijn werknemers, zijn subverwerkers en hun werknemers alle Persoonsgegevens vertrouwelijk behandelen en dat de Persoonsgegevens uitsluitend toegankelijk zijn voor werknemers van de Verwerker op basis van het 'need-to-know'-principe. De Verwerker zorgt er in het bijzonder voor dat alle medewerkers die betrokken zijn bij de Verwerking van Persoonsgegevens een training hebben gevolgd.

2. De Persoonsgegevens worden beschouwd als vertrouwelijke informatie van de Verwerkingsverantwoordelijke en worden, in aanvulling op de voorwaarden van deze Verwerkersovereenkomst, vertrouwelijk behandeld in overeenstemming met de vertrouwelijkheidsverplichtingen die partijen zijn overengekomen in de Dienstenovereenkomst of anderszins.

3. De in dit artikel 10 uiteengezette vertrouwelijkheidsverplichtingen, met inbegrip van de verplichting van werknemers, adviseurs etc. om de Persoonsgegevens geheim te houden, blijven ook na het verstrijken of beëindigen van deze Verwerkersovereenkomst van kracht.

3. AUDIT

1. De Verwerkingsverantwoordelijke heeft het recht om, na de Verwerker ten minste tien (10) werkdagen van tevoren te hebben geïnformeerd, de naleving door de Verwerker (en eventuele subverwerkers) van deze Verwerkersovereenkomst te controleren. Indien de Verwerkingsverantwoordelijke een redelijk vermoeden heeft van een inbreuk in verband met Persoonsgegevens, geldt een opzegtermijn van ten minste vierentwintig (24) uur. De Verwerker verstrekt alle informatie die nodig is om de naleving van deze Verwerkersovereenkomst aan te tonen. Indien uit een audit (of andere omstandigheid) blijkt dat deze Verwerkersovereenkomst niet wordt nageleefd, zal de Verwerker dit herstellen.

2. Partijen dragen hun eigen kosten in verband met de in dit artikel 11 uitgevoerde of genoemde audits.

4. MELDING VAN EEN INBREUK IN VERBAND MET PERSOONSGEGEVENS

1. Indien de Verwerker een inbreuk in verband met Persoonsgegevens vermoedt of vaststelt, stelt de Verwerker de Verwerkingsverantwoordelijke hiervan onverwijld (en in ieder geval uiterlijk achtenveertig (48) uur na de vaststelling ervan) op de hoogte via een e-mail aan de in de Dienstenovereenkomst gespecificeerde contactpersoon van de klant. De Verwerker is verplicht mee te werken aan het verhelpen van het probleem zodra dit redelijk en haalbaar is. De melding bevat, voor zover deze informatie beschikbaar is, de volgende gegevens:

1. Een omschrijving van de inbreuk in verband met Persoonsgegevens, met inbegrip van, indien mogelijk, de categorieën en het geschatte aantal betrokken Betrokkenen, een samenvatting van de gebeurtenis die de inbreuk heeft veroorzaakt, de datum en het tijdstip van de betreffende gebeurtenis, de aard en inhoud van de betreffende Persoonsgegevens, evenals de fysieke aard van de inbreuk en de betrokken opslagmedia;

2. Een omschrijving van de aard van de inbreuk in verband met Persoonsgegevens (bijv. verlies, diefstal, kopiëren);

3. Een omschrijving van de waarschijnlijke gevolgen en potentiële risico's die de inbreuk in verband met Persoonsgegevens kan hebben voor de betrokken Betrokkene(n);

4. Een omschrijving van de maatregelen die door de Verwerker en/of een Toegestane subverwerker zijn voorgesteld of genomen om de gevolgen van de inbreuk te beheersen en te beperken;

5. Contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon van de Verwerker.

1. Afhankelijk van de aard van de inbreuk in verband met Persoonsgegevens kan de Verwerkingsverantwoordelijke verplicht zijn een melding te doen bij de toezichthoudende autoriteit in het land waar hij is gevestigd. De Verwerker verstrekt daarom op verzoek van de Verwerkingsverantwoordelijke alle overige informatie die de Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om te voldoen aan de relevante wetgeving inzake gegevensbescherming en/of verzoeken van de toezichthoudende autoriteit.

1. OVERIGE RAPPORTAGES

1. De Verwerker stuurt een verzoek van een Betrokkene om toegang tot diens Persoonsgegevens onverwijld door naar de Verwerkingsverantwoordelijke. De Verwerker verwijst alle vragen van betrokkenen naar de Verwerkingsverantwoordelijke en verleent de Verwerkingsverantwoordelijke redelijke bijstand die deze eventueel nodig heeft met betrekking tot een dergelijke klacht;

2. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld op de hoogte indien hij een verzoek ontvangt van een toezichthoudende autoriteit of overheidsinstantie die de Verwerker of zijn Toegestane subverwerkers verplicht om de toezichthoudende autoriteit of overheidsinstantie toegang te verlenen tot de Persoonsgegevens van de Verwerkingsverantwoordelijke. Deze kennisgeving wordt, indien mogelijk en voor zover wettelijk toegestaan, verstrekt voordat de Verwerker de gegevens openbaar maakt.

3. Indien een wet, regelgeving of overheidsinstantie de Verwerker verplicht documenten of materiaal te bewaren die hij anders op grond van artikel 17 zou moeten retourneren of vernietigen, stelt hij de Verwerkingsverantwoordelijke hiervan, voor zover wettelijk toegestaan, schriftelijk in kennis met vermelding van de details van de te bewaren documenten of materialen. De Verwerker schendt hiermee artikel 17 niet met betrekking tot de bewaarde documenten of materialen, maar artikel 10 blijft hierop onverminderd van toepassing.

2. GELDIGHEIDSDUUR

1. Deze Verwerkersovereenkomst treedt in werking op de datum van de (laatste) ondertekening en blijft van kracht zolang de Verwerker of Toegestane subverwerkers de Persoonsgegevens verwerken of hiertoe toegang hebben (Looptijd).

3. INBREUK

1. Elke niet-naleving van de vereisten van deze Verwerkersovereenkomst wordt beschouwd als een contractbreuk door de Verwerker. De Verwerker zorgt ervoor dat alle inbreuken zo snel mogelijk worden hersteld. De Verwerker houdt de Verwerkingsverantwoordelijke continu op de hoogte van de ontwikkelingen en documenteert alle maatregelen die zijn genomen om de niet-naleving te herstellen.

2. Niettegenstaande het voorgaande kan de Verwerkingsverantwoordelijke met onmiddellijke ingang de Verwerker, inclusief eventuele Toegestane subverwerkers, instrueren om elke verdere Verwerking van de Persoonsgegevens op te schorten of te beëindigen indien er sprake is van een inbreuk op deze Verwerkersovereenkomst.

3. Elke Partij is aansprakelijk voor de administratieve boetes die haar door een toezichthoudende autoriteit of een bevoegde rechter worden opgelegd wegens het niet naleven van haar verplichtingen onder het Toepasselijk recht of het anderszins verwerken van Persoonsgegevens in strijd met het Toepasselijk recht of deze Verwerkersovereenkomst. Indien de Verwerkingsverantwoordelijke echter een boete krijgt opgelegd omdat de Verwerker het Toepasselijk recht of deze Verwerkersovereenkomst heeft geschonden, zal de Verwerker deze kosten en alle daarmee samenhangende schade, verliezen of kosten aan de Verwerkingsverantwoordelijke vergoeden. Deze vergoeding is niet onderworpen aan de aansprakelijkheidsgrenzen zoals bepaald in artikel 14 of de Dienstenovereenkomst.

4. De aansprakelijkheid jegens een Betrokkene die schade heeft geleden als gevolg van een inbreuk op de AVG wordt tussen de Verwerkingsverantwoordelijke en de Verwerker verdeeld conform artikel 82 AVG.

4. RETOURNERING OF VERWIJDERING VAN GEGEVENS

1. Bij beëindiging of afloop van de Dienstenovereenkomst zal de Verwerker alle persoonsgegevens die namens de Verwerkingsverantwoordelijke zijn verwerkt verwijderen en aan de Verwerkingsverantwoordelijke bevestigen dat dit is gebeurd, tenzij Unierecht of lidstatelijk recht opslag van de persoonsgegevens voorschrijft. Als alternatief zal de Verwerker, op instructie van de Verwerkingsverantwoordelijke, de persoonsgegevens in een gangbaar standaardformaat retourneren aan de Verwerkingsverantwoordelijke en/of een derde leverancier.

5. GELDIGHEIDSDUUR EN BEËINDIGING, ENZ.

1. Deze Verwerkersovereenkomst blijft onverminderd van kracht zolang de Verwerker (of een subverwerker) Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke of totdat deze wordt vervangen door een nieuwe Verwerkersovereenkomst. Wijzigingen in deze Verwerkersovereenkomst zijn slechts geldig indien deze schriftelijk zijn overengekomen en door bevoegde vertegenwoordigers zijn ondertekend.

2. Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het oorspronkelijke doel van de Verwerking conform deze Verwerkersovereenkomst. De Verwerker volgt de processen en procedures voor de opeenvolgende verwijdering van gegevens zoals uiteengezet in Bijlage 3.1.

3. De Verwerker heeft het recht om de Persoonsgegevens dertig (30) dagen na afloop of beëindiging van de Dienstenovereenkomst te verwijderen. De Verwerkingsverantwoordelijke heeft het recht om verlenging van deze Verwerkersovereenkomst te verzoeken voor de Verwerking van Persoonsgegevens voor zolang dit noodzakelijk is om de verplichtingen en rechten van de Verwerkingsverantwoordelijke and/of de Betrokkenen te beschermen.

6. BESLECHTING VAN GESCHILLEN

1. Elk geschil, verschil of vordering die voortvloeit uit of verband houdt met deze Overeenkomst, of de schending, beëindiging of ongeldigheid daarvan, zal worden beslecht in overeenstemming met de voorwaarden van de Dienstenovereenkomst.

BIJLAGE 3.1 - VERWERKINGSINSTRUCTIES Te verwerken persoonsgegevens

De volgende categorieën persoonsgegevens worden verwerkt.

| Erfenisplanning | Gebruikers kunnen documenten uploaden en informatie invullen met betrekking tot hun erfenisplanning die van belang is voor hun familieleden om na het overlijden te weten. | Door gebruikers geüploade documenten en informatie over hun erfenisplanning. | Gebruiker | 10 jaar |

| Delen met familie | Gebruikers kunnen platformtoegang tot hun persoonsgegevens delen met geselecteerde gebruikers. Samenwerken bij het uploaden van informatie naar het platform. | Naam en e-mailadres. | Familieleden | 2 jaar |

BIJLAGE 3.2 - TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN

De Verwerker neemt passende technische en organisatorische maatregelen om de Persoonsgegevens zo te beschermen dat de verwerking voldoet aan de eisen van de wetgeving inzake gegevensbescherming en de bescherming van de rechten van de betrokkenen is gewaarborgd.

De Verwerker garandeert maatregelen die een passend beveiligingsniveau bieden, rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de Verwerking, evenals de waarschijnlijkheid en de ernst van de risico's voor de rechten en vrijheden van de Betrokkenen. Waar nodig omvatten de maatregelen:

1. Maatregelen voor pseudonimisering en versleuteling van persoonsgegevens.

Solace bewaart klantgegevens in een versleuteld formaat in rust met behulp van Advanced Encryption Standard en in transit met behulp van TLS 1.2 of hoger.

1. Maatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.

Solace verplicht zich tot strikte vertrouwelijkheid. Bovendien vereist Solace van elke subverwerker dat deze geheimhoudingsbepalingen ondertekent.

1. Maatregelen om het vermogen te garanderen om in het geval van een fysiek of technisch incident tijdig te handelen.

Solace maakt regelmatig back-ups van klantgegevens, die worden gehost in AWS-datacenters. Back-ups worden over meerdere regio's bewaard en zijn versleuteld in transit en in rust met behulp van de Advanced Encryption Standard (AES-256).

1. Processen voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van de technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.

Solace hanteert een op risicobeoordeling gebaseerd beveiligingsprogramma. Het kader voor het beveiligingsprogramma van Solace omvat administratieve, organisatorische, technische en fysieke waarborgen die redelijkerwijs zijn ontworpen om de Diensten en de vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens te beschermen. Het beveiligingsprogramma van Solace is afgestemd op de aard van de Diensten en de omvang en complexiteit van de bedrijfsactiviteiten van Solace.

1. Maatregelen voor gebruikersidentificatie en -autorisatie.

Werknemers van Solace zijn verplicht unieke gebruikersgegevens en wachtwoorden te gebruiken voor autorisatie. Multifactorauthenticatie is overal in het systeem vereist. Solace volgt de principes van minimale rechten (least privilege) via rolgebaseerde en tijdsgebonden toegangsmodellen bij het verlenen van systeemtoegang. Solace-personeel is geautoriseerd om toegang te krijgen tot Klantgegevens op basis van hun functie, rol, verantwoordelijkheden en senioriteit. Toegang wordt onmiddellijk ingetrokken bij een verandering van rol of beëindiging van het dienstverband.

1. Maatregelen voor de bescherming van gegevens.

Klantgegevens worden versleuteld tijdens transit tussen de klant en Solace met TLS 1.2 of hoger. Klantgegevens worden versleuteld opgeslagen met behulp van de Advanced Encryption Standard.

1. Maatregelen om de fysieke veiligheid te garanderen van locaties waar persoonsgegevens worden verwerkt.

Het hoofdkantoor en de kantoorruimten van Solace beschikken over een fysiek beveiligingsprogramma om de algehele kantoorbeveiliging te monitoren.

De Diensten worden uitgevoerd op Amazon Web Services (“AWS”) en Google Cloud (“GCS”) en worden beschermd door de respectieve fysieke en omgevingscontroles van Amazon en Google.

Meer informatie over AWS-beveiliging is beschikbaar op [aws.amazon.com/security/](https://aws.amazon.com/security/) en [aws.amazon.com/security/sharing-the-security-responsibility/](http://aws.amazon.com/security/sharing-the-security-responsibility/). Voor AWS SOC-rapporten raadpleegt u [aws.amazon.com/compliance/soc-faqs/](https://aws.amazon.com/compliance/soc-faqs/). Gedetailleerde informatie over GCS-beveiliging is beschikbaar op [cloud.google.com/docs/tutorials#security](https://cloud.google.com/docs/tutorials#security).

1. Maatregelen ter waarborging van de systeemconfiguratie, inclusief de standaardconfiguratie.

Solace vertrouwt op infrastructure-as-code processen en intern ontwikkelde modules om een uniforme en herhaalbare systeemconfiguratie in de gehele infrastructuur te garanderen. Een zorgvuldig Change Management-proces garandeert dat elke wijziging vóór uitrol door domeinexperts wordt beoordeeld. Daarnaast zijn er geautomatiseerde processen ingericht om de naleving van best practices te valideren en te scannen op kwetsbaarheden of andere potentiële veiligheidsrisico's.

1. Maatregelen voor interne IT- en IT-beveiligingsgovernance en -beheer.

Het beveiligingsprogramma van Solace is afgestemd op de aard van de Diensten en de omvang en complexiteit van de bedrijfsactiviteiten van Solace.

Beveiliging wordt beheerd op de hoogste niveaus van het bedrijf, waarbij de Chief Technology Officer en Chief Executive Officer regelmatig samenkomen om kwesties te bespreken en beveiligingsinitiatieven te coördineren. Het informatiebeveiligingsbeleid en de normen worden ten minste jaarlijks door het management beoordeeld en goedgekeurd en ter referentie beschikbaar gesteld aan alle werknemers van Solace.

1. Maatregelen voor certificeringen/borging van processen en producten.

Solace voert audits door derden uit om te verklaren dat wordt voldaan aan het beveiligingskader en voert jaarlijkse penetratietesten op applicaties uit. De beveiligingscontroles en -processen van Solace zijn ingericht conform de ISO27001:2022-certificering.

1. Maatregelen ter waarborging van dataminimalisatie.

Solace hanteert een strikt principe van minimale gegevensverwerking, afgewogen tegen de verplichtingen die voortvloeien uit het gereguleerde karakter van de geleverde dienst.

1. Maatregelen ter waarborging van een beperkte bewaartermijn.

Solace werkt volgens een strikt principe van beperkte dataretentie, afgewogen tegen de verplichtingen die voortvloeien uit de gereguleerde aard van de geleverde dienst.

1. Maatregelen ter waarborging van rekenschap.

Solace heeft maatregelen genomen om de verantwoordingsplicht te waarborgen, zoals het implementeren van een gegevensbeschermingsbeleid binnen de organisatie, het bijhouden van documentatie over verwerkingsactiviteiten en het registreren en melden van Beveiligingsincidenten waarbij Persoonsgegevens betrokken zijn.

1. Maatregelen om gegevensoverdraagbaarheid mogelijk te maken en verwijdering te garanderen.

Solace zal de klant de medewerking verlenen die redelijkerwijs vereist is onder de toepasselijke wetgeving inzake gegevensbescherming om te reageren op verzoeken van individuen om hun rechten uit te oefenen (bijv. rechten op inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar).

1. Beschrijf voor doorgiften aan subverwerkers ook de specifieke technische and organisatorische maatregelen die door de subverwerker moeten worden genomen om assistentie te kunnen verlenen aan de verwerkingsverantwoordelijke en, voor doorgiften van een verwerker aan een subverwerker, aan de gegevensexporteur.

Wanneer Solace onder deze Overeenkomst een subverwerker inschakelt, sluiten Solace en de subverwerker een overeenkomst met bepalingen inzake gegevensbescherming die wezenlijk overeenkomen met de bepalingen in dit document. Elke subverwerkersovereenkomst moet garanderen dat Solace aan haar verplichtingen jegens de klant kan voldoen. Naast het implementeren van technische en organisatorische maatregelen om persoonsgegevens te beschermen, moeten subverwerkers: a) Solace op de hoogte stellen in het geval van een Beveiligingsincident zodat Solace de klant kan informeren; b) gegevens verwijderen wanneer Solace dit opdraagt conform de instructies van de klant aan Solace; c) geen aanvullende subverwerkers inschakelen zonder toestemming; d) de locatie waar gegevens worden verwerkt niet wijzigen; of e) gegevens niet verwerken op een wijze die in strijd is met de instructies van de klant aan Solace.

BIJLAGE 3.3 - LIJST VAN SUBVERWERKERS

Toegestane subverwerkers

Onderstaande tabel geeft een overzicht van de Categorieën Persoonsgegevens, opslaglocaties, gegevensstromen en de wettelijke basis voor de verwerkingsactiviteiten van elke Toegestane subverwerker.

| :------------------------: | :-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------: | :----------------------------------------------------------------------------------------------------------------------------------------------------------: | :--------------------------------------: | :------------------------------------------------------------------------: | :-------------------------------------------------------------------------------------: |

| Amazon Web Services | Dit is een webhostingprovider. Wij gebruiken deze om onze Platformcode en database te hosten. | Contactgegevens, Gegevens uit uw Project, Gegevens die u identificeren | EU & VS | EU-VS Data Privacy Framework | [aws.amazon.com/](https://aws.amazon.com/privacy/) |

| GitHub | GitHub is een website en clouddienst die ons helpt bij het opslaan en beheren van onze CMS-code. Gebruikers gebruiken GitHub ook om bugs en functieverzoeken in te dienen. | Contactgegevens, Gegevens die u identificeren | VS | EU-VS Data Privacy Framework | [docs.github.com/fr/site-policy/privacy-policies/github-privacy-statement](https://docs.github.com/fr/site-policy/privacy-policies/github-privacy-statement) |

| Google Cloud Platform | We definiëren een OAuth 2.0-app op Google om inloggen via Google op Solace Cloud te ondersteunen | Contactgegevens, Gegevens die u identificeren | VS | EU-VS Data Privacy Framework | [cloud.google.com/terms/cloud-privacy-notice](https://cloud.google.com/terms/cloud-privacy-notice) |

| Complianz | Complianz is een WordPress-plugin waarmee we toestemming voor cookies van gebruikers kunnen vragen en verwerken (noodzakelijk om te voldoen aan de AVG-vereisten). | Gegevens die u identificeren | EER | De standaardcontractbepalingen van de Europese Commissie | [complianz.io/legal/privacy-statement/](https://complianz.io/legal/privacy-statement/) |

| Google Analytics | Google levert de zakelijke IT-systemen van Solace. We gebruiken Google Analytics om het websitegebruik te volgen en rapporten op te stellen, en Google Ads om gesponsorde zoekresultaten te plaatsen en de effectiviteit ervan te meten. | Contactgegevens, Gegevens over uw gebruik van Strapi | VS | EU-VS Data Privacy Framework | [policies.google.com/privacy](https://policies.google.com/privacy) |

| Datadog | Monitoring en logging | Inhoudsgegevens, Gebruiks- en interactiegegevens, Apparaat- en technische gegevens, Authenticatie- en toegangsgegevens | EU | EU-VS Data Privacy Framework | [datadoghq.com/legal/terms/2014-12-31/](https://www.datadoghq.com/legal/terms/2014-12-31/) |

| Hotjar | Analyse van websitegedrag en feedback | Gedrags- en interactiegegevens, Apparaat- en technische gegevens, Formulier- en invoergegevens, Identificatie- en analysegegevens, Optionele feedbackgegevens van gebruikers | Ierland | Standaardcontractbepalingen (SCC) | [hotjar.com/legal/policies/terms-of-service/](https://www.hotjar.com/legal/policies/terms-of-service/) |

| Loom | Videoberichten voor asynchrone communicatie | Inhoudsgegevens, Gebruiks- en interactiegegevens, Apparaat- en technische gegevens, Authenticatie- en toegangsgegevens, Optionele feedback- of ondersteuningsgegevens | EU | EU-VS Data Privacy Framework | [atlassian.com/legal/loom/terms-of-service](https://www.atlassian.com/legal/loom/terms-of-service) |

| Open AI | AI-modellen en API's (bijv. ChatGPT, GPT-4) | Gebruikersinvoer, voortgang van de gebruiker in de app | EU | De standaardcontractbepalingen (SCC) van de Europese Commissie | [openai.com/policies/row-terms-of-use/](https://openai.com/policies/row-terms-of-use/) |

| Typeform | Online formulier- en enquêtebouwer | Contactgegevens, Demografische gegevens, Gedragsgegevens, Technische gegevens, Toestemmingsgegevens | EER, Ierland | De standaardcontractbepalingen (SCC) van de Europese Commissie | [admin.typeform.com/to/dwk6gt?typeform-source=www.google.com](https://admin.typeform.com/to/dwk6gt?typeform-source=www.google.com) |

TEN BLIJK HVAN WAARVAN de partijen deze Overeenkomst hebben ondertekend op de Ingangsdatum.

Solace (Verwerker)

Handtekening: ____________________________________

Naam: Persoon

Functie: Persoon

Datum: Datum

Persoon (Verwerkingsverantwoordelijke)

Handtekening: ____________________________________

Naam: Persoon

Functie: Persoon

Datum: Datum