1. Partijen
Gegevensbeheerder
U, de klant
Gegevensverwerker
ClientFlow
1.1 Verwerkingsomvang
Deze GVO is van toepassing op de verwerking van persoonsgegevens waarbij:
- ClientFlow persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke als onderdeel van de dienstverlening
- De verwerking betrekking heeft op het beheer van klantrelaties van de Verwerkingsverantwoordelijke
- De betrokkenen klanten en zakelijke contacten van de Verwerkingsverantwoordelijke zijn
Verwerkingsactiviteiten
- Opslag en organisatie van klantcontactgegevens
- Registratie en tracking van betalingstransacties
- Verzending van geautoriseerde communicatie (herinneringen, meldingen)
- Generatie van analyses en rapporten op basis van geaggregeerde gegevens
2. Gegevenscategorieën
| Categorie | Voorbeelden | Doel |
|---|---|---|
| Accountgegevens | E-mail, naam, profielfoto | Servicetoegang |
| Klantgegevens | Klantnamen, telefoons, e-mails | CRM-functionaliteit |
| Betalingsgegevens | Bedragen, datums, statussen | Betalingstracking |
| Gebruiksgegevens | Inlogtijden, functiegebruik | Beveiliging, verbetering |
3. Verplichtingen van de verwerker
Wij zullen:
- Gegevens alleen verwerken volgens uw gedocumenteerde instructies
- Ervoor zorgen dat personeel gebonden is aan vertrouwelijkheid
- Passende beveiligingsmaatregelen implementeren
- Helpen bij verzoeken van betrokkenen
- U binnen 72 uur op de hoogte stellen van datalekken
- Gegevens verwijderen na beëindiging (na bewaartermijn)
4. Beveiligingsmaatregelen
Technisch
- TLS 1.3 (transport)
- AES-256 (in rust)
- OAuth 2.0-authenticatie
- Op rollen gebaseerde toegangscontrole
- Real-time monitoring
Organisatorisch
- Beveiligingsbeleid
- Incidentresponsplan
- Regelmatige audits
- Beveiligingsreviews van leveranciers
- Medewerkerstraining
5. Sub-verwerkers
We gebruiken de volgende geautoriseerde sub-verwerkers:
| Aanbieder | Dienst | Locatie | DPF |
|---|---|---|---|
| Google Cloud | Authenticatie | VS | Ja |
| iyzico | Betalingen | Turkije | SCC's |
| Meta (WhatsApp) | Berichten | VS | Ja |
| Opnieuw verzenden | VS | SCC's | |
| Supabase | Database | EU/VS | SCC's |
| Cloudflare | Caching | EU | SCC's |
DPF = EU-VS Data Privacy Framework gecertificeerd
Wijzigingsmeldingen Sub-verwerkers
Wij zullen u op de hoogte stellen van voorgenomen wijzigingen in subverwerkers:
- Minstens 14 dagen van tevoren voordat subverwerkers worden toegevoegd of vervangen
- Melding via e-mail naar het e-mailadres van uw geregistreerde account
- U kunt binnen 14 dagen bezwaar maken tegen wijzigingen door contact met ons op te nemen
- Als uw bezwaar niet kan worden opgelost, kunt u de betreffende services beëindigen
7. Auditrechten
U heeft het recht om audits uit te voeren of een onafhankelijke auditor te benoemen om onze naleving van deze GVO te verifiëren.
- Auditverzoeken moeten schriftelijk worden ingediend bij contact@clientflow.center
- Wij verstrekken relevante documentatie, certificeringen en auditrapporten
- Audits ter plaatse kunnen maximaal één keer per jaar worden uitgevoerd, op uw kosten
- Alle audits moeten tijdens normale kantooruren worden uitgevoerd
- De auditor moet een geheimhoudingsovereenkomst ondertekenen
Auditomvang
- Beveiligingsmaatregelen en technische waarborgen
- Naleving door subverwerkers
- Procedures voor gegevensverwerking
- Mogelijkheden voor incidentrespons
De kosten voor audits komen voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit materiële niet-naleving aan het licht brengt.
6. Gegevensbewaring en verwijdering
Uw gegevens worden bewaard voor accountherstel en naleving van regelgeving.
| Tijdlijn | Actie |
|---|---|
| Onmiddellijk | Account gedeactiveerd |
| Onbeperkt | Gegevens bewaard (gearchiveerd) |
| Op elk moment | Account kan opnieuw worden geactiveerd |
7. CCPA-bepalingen
Onder de CCPA treden we op als een "Dienstverlener" en:
- Verwerken gegevens alleen voor gespecificeerde zakelijke doeleinden
- Verkopen geen persoonlijke informatie
- Helpen bij verzoeken van consumentenrechten
- Implementeren redelijke beveiligingsmaatregelen
8. Procedure bij datalekken
Bij een datalek volgen we de GDPR-meldingsvereisten.
Meldingstijdlijn
- Binnen 24 uur: Eerste melding per e-mail
- Binnen 72 uur: Gedetailleerde beoordeling van het lek
- Doorlopend: Regelmatige updates over onderzoeksactiviteiten
Meldingsinhoud
- Aard van het lek
- Categorieën en omvang van getroffen gegevens
- Mogelijke gevolgen
- Genomen of voorgestelde maatregelen
- Contactpunt voor meer informatie
Wij werken met u samen bij eventuele onderzoeken of herstelmaatregelen.
9. Internationale gegevensoverdrachten
Primaire gegevensverwerking vindt plaats binnen de EU (Frankfurt, Duitsland).
Overdrachtmechanismen
Data Privacy Framework
Voor subverwerkers in de VS gecertificeerd onder het DPF
Standaard Contractbepalingen
EU SCC's (Module 2: Verantwoordelijke naar Verwerker)
Adequaatheidsbesluiten
Voor landen erkend door de Europese Commissie
Wij passen aanvullende technische en organisatorische beveiligingsmaatregelen toe voor alle overdrachten.
U kunt een kopie van de overdrachtswaarborgen opvragen door contact met ons op te nemen.
10. Aansprakelijkheid en Vrijwaring
Aansprakelijkheid Verwerker
ClientFlow is alleen aansprakelijk voor schade veroorzaakt door verwerking wanneer wij niet voldoen aan verplichtingen specifiek gericht aan verwerkers.
Aansprakelijkheid Verantwoordelijke
De Verantwoordelijke is aansprakelijk voor schade veroorzaakt door instructies en naleving van GDPR-verplichtingen.
Aansprakelijkheidsbeperkingen
- Aansprakelijkheid is onderworpen aan de beperkingen in de Servicevoorwaarden
- Geen van beide partijen is aansprakelijk voor indirecte of gevolgschade
- Totale aansprakelijkheid is beperkt tot de vergoedingen betaald in de voorgaande 12 maanden
Elke partij stemt ermee in de andere partij te vrijwaren tegen claims die voortvloeien uit schending van deze GVO.
11. Beëindiging en Gegevensretournering
GVO Duur
Deze GVO blijft van kracht gedurende de looptijd van de Servicevoorwaarden en totdat alle persoonsgegevens zijn verwijderd.
Bij beëindiging
- Exporteer al uw gegevens binnen 30 dagen na beëindiging
- Reactiveer uw account op elk moment—alle gegevens worden voor onbepaalde tijd bewaard
- Vraag permanente verwijdering van gegevens aan (duurt maximaal 30 dagen)
- Data may be retained where required by applicable law
Bepalingen over vertrouwelijkheid en gegevensbescherming blijven van kracht na beëindiging.