Ga naar hoofdinhoud
&Sageio

VERWERKERSOVEREENKOMST

De Verwerkersovereenkomst, helder leesbaar.

v1.2.1 · Geldig vanaf publicatiedatum

Zo geschreven dat uw functionaris voor gegevensbescherming hem in één keer kan goedkeuren. Elke bepaling, elke subverwerker en elke waarborg volledig gedocumenteerd. De ondertekende PDF bevat dezelfde inhoud.

DPA downloaden (PDF)

REIKWIJDTE & ROLLEN

Wie doet wat, met wiens gegevens.

Onder deze DPA is de Klant de verwerkingsverantwoordelijke en treedt Sageio op als verwerker namens de Klant. Sageio verwerkt persoonsgegevens uitsluitend om de overeengekomen diensten te leveren — realtime meetingvertaling, transcriptie en samenvatting — en uitsluitend volgens de gedocumenteerde instructies van de Klant. Deze DPA maakt deel uit van de Abonnementsovereenkomst tussen Sageio en de Klant; bij strijdigheid prevaleert de DPA voor aangelegenheden rond de verwerking van persoonsgegevens. Hij geldt voor alle verwerkingsactiviteiten die in verband met het Sageio-platform worden uitgevoerd.

VERWERKTE GEGEVENS

Wat we verwerken, en waarom we dat mogen.

Categorie gegevensDoel van de verwerkingRechtsgrond (GDPR Art. 6)Bewaring
Meeting-audioSpraak-naar-tekst-transcriptie en vertaling tijdens de meeting.Art. 6(1)(b) — uitvoering van de overeenkomst.Gestreamd voor live transcriptie en uitsluitend in het geheugen verwerkt; wordt nooit naar opslag geschreven. Niet gebruikt voor modeltraining.
Meeting-transcripties & vertalingenOpslag en raadpleging door de workspace-leden van de Klant.Art. 6(1)(b) — uitvoering van de overeenkomst.Bewaard tot verwijdering door de Klant of bij verwijdering van het account.
Samenvattingen & actiepuntenDoor AI gegenereerde meetingresultaten, afgeleid van het transcript.Art. 6(1)(b) — uitvoering van de overeenkomst.Volgt de bewaring van het transcript.
Accountkenmerken (naam, e-mail, rol)Authenticatie, workspace-toegang en auditlogging.Art. 6(1)(b) — uitvoering van de overeenkomst.Duur van het account plus 30 dagen na sluiting.
Workspace- & gebruiksmetadataDienstuitvoering, factureringsafstemming en misbruikpreventie.Art. 6(1)(b) en Art. 6(1)(f) — gerechtvaardigd belang bij de integriteit van de dienst.12 maanden vanaf generatie.
AuditlogsBeveiligingsmonitoring en toegangscontrole door de Klant.Art. 6(1)(f) — gerechtvaardigd belang bij de beveiliging.12 maanden vanaf generatie.
FactureringskenmerkenAbonnementsbeheer. Creditcardgegevens worden verwerkt door LemonSqueezy als Merchant of Record en worden niet door Sageio bewaard.Art. 6(1)(b) — uitvoering van de overeenkomst.Duur van het account plus 7 jaar voor belastingadministratie.

SUBVERWERKERS

De volledige keten van bewaring.

SubverwerkerDoelVerwerkingslocatie
Amazon Web ServicesCloudhosting, objectopslag, beheer van versleutelingssleutels.Door de Klant gekozen regio (standaard: Singapore, Azië-Pacific). EU en VS bij Enterprise-abonnementen.
NeonBeheerde PostgreSQL-database voor applicatiegegevens.Regio afgestemd op de primaire AWS-regio van de Klant.
VercelHosting voor de marketingsite en de klantgerichte webapplicatie.Wereldwijd edge-netwerk. Oorsprong: door de Klant gekozen regio.
ClerkAuthenticatie, single sign-on en identiteitsbeheer.Verenigde Staten.
DeepgramSpraak-naar-tekst-transcriptie van meeting-audio.Verenigde Staten.
OpenAIRealtime spraak-naar-tekst-transcriptie van meeting-audio (standaardengine voor nieuwe workspaces) en transcriptie van geüploade audiobestanden.Verenigde Staten.
DeepLVertaling van voorlopige transcriptsegmenten en finale vertaling voor geselecteerde doeltalen.Duitsland (EU).
Google (Gemini API)Verfijning van de vertaling van gefinaliseerde transcriptsegmenten; door AI gegenereerde samenvattingen en actiepunten.Verenigde Staten. Gegevens worden volgens de voorwaarden van de betaalde Gemini API niet gebruikt om Google-modellen te trainen.
ResendBezorging van transactionele e-mails (account- en servicemeldingen; meetingsamenvattings-e-mails op verzoek van de gebruiker).Verenigde Staten.

Lemon Squeezy (een Stripe-onderneming) is geen subverwerker: als Merchant of Record bepaalt het zijn eigen doeleinden voor betaling, belasting en facturering, en treedt het op als zelfstandige verwerkingsverantwoordelijke onder zijn eigen privacybeleid.

Plausible (cookieloze website-analyse) draait alleen op onze marketingsite en verwerkt onder deze DPA geen persoonsgegevens van het platform; het wordt vermeld in het Privacybeleid.

Hoe we subverwerkers beoordelen →

PROCESSOR COMMITMENTS

Article 28, written into the contract.

These commitments form part of the DPA. The English text is the authoritative version; localized translations will follow the signed-off text.

Sub-processor changes
Sageio maintains the current sub-processor list at sageio.net/subprocessors. Sageio will give Customer at least 30 days' notice (by email or in-app notice) before adding or replacing a sub-processor. Customer may object on reasonable data-protection grounds within the notice period; if the parties cannot resolve the objection, Customer may terminate the affected services and receive a pro-rata refund of prepaid fees for the unused period. Sageio imposes data-protection obligations equivalent to this DPA on each sub-processor and remains liable for their performance.
Personal-data breach notification
Sageio will notify Customer without undue delay, and in any event within 24 hours of confirming a personal-data breach affecting Customer personal data, and will provide the information reasonably required for Customer's obligations under Articles 33–34 GDPR, with updates as the investigation proceeds.
Deletion and return
Upon termination or expiry of the services, Sageio will, at Customer's choice, delete or return all Customer personal data within 30 days, and delete remaining copies, except where applicable law requires retention. Personal data in encrypted backups is purged on the standard 30-day backup rotation cycle.
Assistance and audits
Taking into account the nature of the processing, Sageio will assist Customer with appropriate technical and organizational measures in responding to data-subject requests, and with Customer's obligations under Articles 32–36 GDPR, including data-protection impact assessments and prior consultations. Sageio will make available information reasonably necessary to demonstrate compliance with Article 28 — including summaries of penetration tests and, when available, audit reports — and will allow audits, including inspections, by Customer or its mandated auditor, no more than once per twelve months, on 30 days' notice, at Customer's expense and subject to confidentiality.
Confidentiality and instructions
Sageio ensures that persons authorized to process personal data are committed to confidentiality. Sageio will inform Customer without undue delay if, in its opinion, an instruction infringes applicable data-protection law.
Customer warranties
Customer warrants that it has established a lawful basis for the processing it instructs under this DPA, including any notices to and consents from meeting participants required by applicable law and — where meeting content incidentally contains special categories of personal data — a condition under Article 9(2) GDPR. Sageio does not use meeting content to identify any person by voice and creates no biometric templates.
Term, governing law, and liability
This DPA takes effect with, and lasts for the duration of, the Subscription Agreement; it is governed by the same law, and the limitations of liability in the Terms of Service apply to it, except where mandatory data-protection law provides otherwise.

BEVEILIGINGSMAATREGELEN

Techniek ontmoet toezegging.

Sageio implementeert technische en organisatorische maatregelen die passen bij het verwerkingsrisico, waaronder versleuteling tijdens verzending (TLS 1.3) en in rust (AES-256-GCM), rolgebaseerde toegangscontrole, auditlogging, regelmatige penetratietests en een gedocumenteerd incidentresponsproces. Productietoegang vereist een uitdrukkelijke zakelijke rechtvaardiging, is tijdgebonden en wordt gelogd. De volledige catalogus van maatregelen, inclusief de actuele status van het complianceprogramma, wordt gepubliceerd op de Beveiligingspagina en bijgewerkt naarmate het programma zich ontwikkelt.

Lees de Beveiligingspagina →

INTERNATIONALE DOORGIFTEN

Grensoverschrijdende gegevens, rechtmatig verplaatst.

Wanneer persoonsgegevens worden doorgegeven buiten de Europese Economische Ruimte, het Verenigd Koninkrijk of andere jurisdicties met gelijkwaardige beperkingen, baseert Sageio zich op de modelcontractbepalingen van de Europese Commissie (Module Twee: Verwerkingsverantwoordelijke-naar-Verwerker) en, waar van toepassing, op het UK International Data Transfer Addendum. Voor doorgiften naar jurisdicties die onder een adequaatheidsbesluit vallen, baseert Sageio zich op dat besluit. Subverwerkers zijn via contractuele doorwerking aan gelijkwaardige verplichtingen gebonden. Voor elke subverwerker die persoonsgegevens buiten de jurisdictie van de gegevensexporteur verwerkt, worden doorgifte-effectbeoordelingen uitgevoerd.

The SCCs (Module Two: Controller-to-Processor) and the UK International Data Transfer Addendum are incorporated into this DPA by reference. Annex I (parties; description of processing) is constituted by the parties' details and the "Data processed" table above, which may incidentally include special categories of data contained in meeting content; Annex II (technical and organizational measures) by the "Security measures" section; Annex III (authorized sub-processors) by the "Sub-processors" table. In case of conflict, the SCCs prevail.

RECHTEN VAN BETROKKENEN

De rechten van uw gebruikers, onze verplichtingen.

  1. Recht op inzage — bevestiging en een kopie van de verwerkte persoonsgegevens.
  2. Recht op rectificatie — correctie van onjuiste of onvolledige gegevens.
  3. Recht op gegevenswissing — verwijdering binnen 30 dagen na een geldig verzoek, behoudens wettelijke bewaarplichten.
  4. Recht op beperking — beperking van de verwerking in bepaalde omstandigheden.
  5. Recht op overdraagbaarheid van gegevens — export in een gestructureerd, machineleesbaar formaat.
  6. Recht van bezwaar — ook tegen verwerking op grond van gerechtvaardigd belang.
  7. Recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit.

CONTACT

Echte mensen, benoemde inboxen.

Sageio wordt geëxploiteerd door 好客網路股份有限公司 (Unified Business No. 29041135), een in Taiwan geregistreerde onderneming. Geregistreerd adres: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Privacycontact: privacy@sageio.net.

Versiegeschiedenis

  • v1.2.1June 14, 2026Bevestiging van de betaalde Gemini-tier afgerond (tussentijdse opmerking verwijderd); de subverwerkertoezegging verwijst nu naar de live /subprocessors-pagina; traditioneel-Chinese vertaling van de verwerkerstoezeggingen en de SCC-opname toegevoegd.
  • v1.2June 13, 2026Correctie van de subverwerkertabel: OpenAI toegevoegd (realtime spraak-naar-tekst, standaardengine voor nieuwe workspaces); DeepL-doel uitgebreid naar finale vertaling voor geselecteerde talen; Resend-doel omvat meetingsamenvattings-e-mails; Gemini-voorwaardengrondslag gecorrigeerd naar de betaalde API (bevestiging loopt). Uitspraken over configureerbare bewaarperiode verwijderd om aan te sluiten op het huidige systeemgedrag.
  • v1.1June 13, 2026Verwerkerstoezeggingen uit Artikel 28 toegevoegd; subverwerkertabel uitgebreid (DeepL, Resend); bewaarvermeldingen gecorrigeerd om aan te sluiten op het systeemgedrag; SCC's en UK Addendum opgenomen met Annex-toewijzing.
  • v1.0Effective from publicationEerste publicatie.