Privacybeleid

Versie 1.0 · Laatst bijgewerkt: 14 mei 2026

Deze vertaling wordt gemakshalve verstrekt. De bindende versie van deze overeenkomst en het toepasselijke recht zijn in het document vermeld; bij verschillen tussen taalversies prevaleren de voorwaarden zoals die met de exploitant zijn overeengekomen.

Dit beleid beschrijft hoe EU AI Comply persoonsgegevens van gebruikers van het platform euaicomply.eu verwerkt, in overeenstemming met Verordening (EU) 2016/679 (AVG) en de toepasselijke Roemeense wetgeving.

1. Identiteit van de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke voor persoonsgegevens die via het Platform worden verzameld, is PFA Marian Matinca, een in Roemenië geregistreerde geautoriseerde eenmanszaak (persoană fizică autorizată), handelend onder het merk EU AI Comply. Betalingen en facturering worden verwerkt door Paddle (Merchant of Record). Voor alle vragen over de verwerking van uw gegevens kunt u contact met ons opnemen via:

2. Categorieën verzamelde persoonsgegevens

a) Gegevens die u rechtstreeks verstrekt:

  • Identificatiegegevens: voornaam, achternaam, zakelijk e-mailadres
  • Organisatiegegevens: bedrijfsnaam, sector, land, btw-nummer (optioneel)
  • Contactgegevens: telefoonnummer (optioneel), contactpersoon
  • Gegenereerde inhoud: berichten verzonden via het contactformulier
  • Documenten geüpload naar de Document Vault (technische handleidingen, FRIA-rapporten, DPIA's enz.) — deze kunnen persoonsgegevens bevatten indien de gebruiker ervoor kiest die op te nemen

b) Automatisch verzamelde gegevens:

  • Technische gegevens: IP-adres, browsertype, besturingssysteem, schermresolutie
  • Navigatiegegevens: bezochte pagina's, sessieduur, handelingen in het Platform
  • Functionele en sessiecookies (details in het Cookiebeleid)
  • Toegangslogbestanden voor beveiligings- en diagnosedoeleinden

EU AI Comply verzamelt of verwerkt geen bijzondere categorieën van persoonsgegevens in de zin van art. 9 AVG (gezondheidsgegevens, raciale of etnische afkomst, politieke opvattingen, religieuze overtuigingen, biometrische gegevens enz.).

3. Verwerkingsdoeleinden en rechtsgrondslag

Doel Beschrijving Rechtsgrondslag
Dienstverlening Aanmaken en beheren van accounts, authenticatie, toegang tot de functies van het Platform. Uitvoering van de overeenkomst (art. 6, lid 1, punt b), AVG)
Facturering en abonnementsbeheer Doorgifte van de noodzakelijke gegevens aan betalingsverwerker Paddle (Merchant of Record) voor de activering en verlenging van abonnementen. Uitvoering van de overeenkomst (art. 6, lid 1, punt b), AVG)
Beveiliging en fraudepreventie Detectie van ongeautoriseerde toegang, monitoring van verdachte activiteit, bescherming van Klantgegevens. Gerechtvaardigd belang van de verwerkingsverantwoordelijke (art. 6, lid 1, punt f), AVG)
Technische ondersteuning Beantwoorden van ondersteuningsverzoeken, diagnose van technische problemen. Uitvoering van de overeenkomst / gerechtvaardigd belang (art. 6, lid 1, punten b) en f), AVG)
Productcommunicatie Meldingen over wetgevingsupdates, nieuwe functies en compliancedeadlines. Gerechtvaardigd belang (art. 6, lid 1, punt f), AVG) — met recht van bezwaar
Verbetering van het Platform Geanonimiseerde analyse van gebruiksgedrag voor de ontwikkeling van nieuwe functies. Gerechtvaardigd belang (art. 6, lid 1, punt f), AVG)
Naleving van wettelijke verplichtingen Voldoen aan toepasselijke wettelijke verplichtingen (fiscaal, archivering, beantwoorden van verzoeken van autoriteiten). Wettelijke verplichting (art. 6, lid 1, punt c), AVG)
Marketing (optioneel) Verzenden van nieuwsbrieven of commerciële communicatie, uitsluitend met uw uitdrukkelijke toestemming. Toestemming (art. 6, lid 1, punt a), AVG) — te allen tijde intrekbaar

4. Ontvangers en gegevensdoorgiften

EU AI Comply verkoopt geen persoonsgegevens aan derden. Gegevens kunnen uitsluitend in de volgende situaties worden gedeeld:

Ontvanger Rol Locatie Waarborgen
Paddle.com Inc. / Paddle Payments Ltd. Betalingsverwerker en Merchant of Record. Ontvangt de factureringsgegevens die nodig zijn voor de activering van abonnementen. Paddle treedt op als zelfstandige verwerkingsverantwoordelijke voor betaalgegevens. VS / EU Standaardcontractbepalingen (SCC's), DPF-naleving
Cloudinfrastructuurleveranciers (Hetzner) Serverhosting in de EU — PostgreSQL-database, MinIO-bestandsopslag, Redis. Duitsland (EU) Art. 28 AVG — verwerkersovereenkomst
Monitoringdiensten (Sentry) Vastleggen van technische fouten voor diagnose. Gegevens worden vóór verzending gepseudonimiseerd. EU Art. 28 AVG — verwerkersovereenkomst
Overheidsinstanties Wanneer een uitdrukkelijke wettelijke verplichting of een rechterlijk bevel dit vereist. Roemenië / EU Art. 6, lid 1, punt c), AVG — wettelijke verplichting

Doorgiften van gegevens naar landen buiten de Europese Economische Ruimte (EER) vinden uitsluitend plaats met passende waarborgen krachtens hoofdstuk V van de AVG (door de Europese Commissie vastgestelde standaardcontractbepalingen of het EU-VS Data Privacy Framework).

5. Bewaartermijnen

  • Gegevens van actieve accounts Gedurende de looptijd van het actieve abonnement + 30 dagen na beëindiging (exportvenster)
  • Accountgegevens na beëindiging Onomkeerbaar verwijderd 30 dagen na de effectieve beëindigingsdatum, met uitzondering van gegevens die op grond van wettelijke verplichtingen bewaard moeten worden
  • Factureringsgegevens 10 jaar vanaf de datum van het fiscale document, op grond van de Roemeense Boekhoudwet nr. 82/1991
  • Beveiligingslogbestanden Maximaal 12 maanden, waarna ze worden geanonimiseerd of verwijderd
  • Contact-/supportberichten 3 jaar na de laatste interactie, ter documentatie van de contractuele relatie
  • Marketingtoestemmingen Gedurende de looptijd van de actieve toestemming + 3 jaar voor nalevingsdocumentatie
  • Geanonimiseerde gegevens (productanalyse) Onbeperkt — dit zijn geen persoonsgegevens meer

6. Uw rechten als betrokkene

Overeenkomstig de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

  • Recht van inzage (art. 15)
    U kunt een kopie opvragen van de persoonsgegevens die wij over u bewaren, met informatie over de wijze waarop wij deze verwerken.
  • Recht op rectificatie (art. 16)
    U kunt verzoeken om correctie van onjuiste gegevens of aanvulling van onvolledige gegevens.
  • Recht op gegevenswissing ("recht op vergetelheid") (art. 17)
    U kunt om verwijdering van uw gegevens verzoeken indien er geen rechtsgrondslag meer is voor de verwerking ervan. Dit recht geldt niet voor gegevens die wij wettelijk verplicht zijn te bewaren.
  • Recht op beperking van de verwerking (art. 18)
    U kunt verzoeken om tijdelijke opschorting van de verwerking van uw gegevens in de door de AVG voorziene situaties.
  • Recht op overdraagbaarheid van gegevens (art. 20)
    U kunt de door u verstrekte gegevens ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat (CSV, JSON), voor doorgifte aan een andere verwerkingsverantwoordelijke.
  • Recht van bezwaar (art. 21)
    U kunt bezwaar maken tegen verwerking op basis van het gerechtvaardigd belang van de verwerkingsverantwoordelijke, waaronder het gebruik van gegevens voor direct marketing.
  • Recht om toestemming in te trekken (art. 7, lid 3)
    Wanneer de verwerking op uw toestemming berust, kunt u deze te allen tijde intrekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de eerdere verwerking.
  • Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (art. 22)
    Wij nemen geen besluiten die uitsluitend op geautomatiseerde verwerking berusten en die rechtsgevolgen van betekenis hebben.

Om een recht uit te oefenen, stuurt u een schriftelijk verzoek naar [email protected]. Wij reageren binnen maximaal 30 kalenderdagen (deze termijn kan in complexe gevallen met 60 dagen worden verlengd, waarvan u vooraf in kennis wordt gesteld). De uitoefening van rechten is kosteloos, behalve bij kennelijk ongegronde of buitensporige verzoeken.

7. Rol als verwerker voor B2B-klanten

Wanneer Klanten (rechtspersonen) het Platform gebruiken en daarin persoonsgegevens invoeren van hun eigen werknemers, medewerkers of personen die worden geraakt door de daarin beheerde AI-systemen, treedt EU AI Comply op als verwerker in de zin van art. 28 AVG en is de Klant de verwerkingsverantwoordelijke.

In die hoedanigheid: (a) verwerkt EU AI Comply gegevens uitsluitend volgens de gedocumenteerde instructies van de Klant; (b) treft het passende technische en organisatorische beveiligingsmaatregelen; (c) schakelt het geen subverwerkers in zonder toestemming van de Klant; (d) ondersteunt het de Klant bij het nakomen van verplichtingen jegens betrokkenen; (e) verwijdert of retourneert het de gegevens na afloop van de dienstverlening.

Een verwerkersovereenkomst (DPA) conform art. 28 AVG is op verzoek beschikbaar ([email protected]) of is inbegrepen in het Enterprise-plan. Klanten die via het Platform persoonsgegevens verwerken, zijn verplicht een DPA met EU AI Comply te sluiten.

8. Gegevensbeveiliging

EU AI Comply treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies, onbedoelde vernietiging of openbaarmaking, waaronder:

  • Versleuteling tijdens de overdracht: TLS 1.3 voor alle verbindingen met het Platform
  • Versleuteling in rust: gegevens opgeslagen op Hetzner-servers in Duitsland (ISO 27001)
  • Multi-tenant-isolatie: strikte scheiding van gegevens per bedrijf, afgedwongen op applicatieniveau — geen enkele tenant heeft toegang tot de gegevens van een andere tenant
  • Tweefactorauthenticatie (TOTP), beschikbaar en aanbevolen voor alle gebruikers
  • Volledige logging van toegang en handelingen (onveranderlijke audittrail)
  • Virusscans van geüploade bestanden (ClamAV)
  • Bevoorrechte toegang van EU AI Comply-medewerkers: tot het strikt noodzakelijke, op need-to-know-basis
  • Periodieke beveiligingstests en configuratiebeoordelingen

In geval van een beveiligingsincident dat persoonsgegevens treft, meldt EU AI Comply dit binnen 72 uur na kennisname aan de Nationale Toezichthoudende Autoriteit voor de Verwerking van Persoonsgegevens (ANSPDCP) (art. 33 AVG) en informeert het de getroffen betrokkenen wanneer er sprake is van hoge risico's (art. 34 AVG).

9. Cookies en vergelijkbare technologieën

Het Platform gebruikt uitsluitend cookies die strikt noodzakelijk zijn voor de werking (sessie, CSRF-beveiliging, taalvoorkeuren) en gebruikt geen tracking- of advertentiecookies. Volledige details vindt u in het Cookiebeleid op euaicomply.eu/cookies.

10. Wijzigingen van dit beleid

EU AI Comply kan dit beleid bijwerken om wijzigingen in de verwerkingspraktijken, de toepasselijke wetgeving of het Platform te weerspiegelen. De bijgewerkte versie wordt op deze pagina gepubliceerd met de herzieningsdatum. Bij significante wijzigingen informeren wij geregistreerde gebruikers per e-mail ten minste 14 dagen voordat deze van kracht worden. Voortgezet gebruik van het Platform na de ingangsdatum geldt als aanvaarding van het herziene beleid.

11. Klachten en toezichthoudende autoriteit

Indien u van mening bent dat de verwerking van uw persoonsgegevens in strijd is met de AVG, heeft u het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit. In Roemenië is dat:

Nationale Toezichthoudende Autoriteit voor de Verwerking van Persoonsgegevens (ANSPDCP)

B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București

www.dataprotection.ro

U kunt zich ook wenden tot de toezichthoudende autoriteit van de EU-lidstaat waar u gewoonlijk verblijft.

Wij moedigen u aan eerst rechtstreeks contact met ons op te nemen via [email protected] — wij verbinden ons ertoe elk vraagstuk over de verwerking van uw gegevens binnen 30 dagen op te lossen.

Contact gegevensbescherming:
[email protected] · Wij reageren binnen 30 kalenderdagen.