1. Verwerkingsverantwoordelijke
Deze sectie in het Engelse origineel lezen ↗De verwerkingsverantwoordelijke voor alle persoonsgegevens die via het ComplianceGuard-platform (complianceguardhq.com) worden verwerkt, is ComplianceGuard. Voor privacyvragen of uitoefening van uw rechten kunt u contact opnemen via admin@complianceguardhq.com.
2. Welke gegevens wij verzamelen
Deze sectie in het Engelse origineel lezen ↗Wij verzamelen alleen wat nodig is om de Dienst te leveren. Wij verkopen geen persoonsgegevens en gebruiken ze niet voor reclame.
2.1 Accountgegevens
Bij het aanmaken van een account verzamelen wij uw e-mailadres en een gehasht wachtwoord (uw klare wachtwoord zien wij nooit — de authenticatie verloopt via onze beheerde authenticatieleverancier). Op uw verzoek bewaren wij ook uw bedrijfsnaam.
2.2 Scangegevens
Wanneer u een URL ter scan indient, verzamelen en bewaren wij: de door u ingediende URL('s); de HTML-broncode, de zichtbare tekst en volledige-paginaschermafbeeldingen van de publiek toegankelijke pagina's op die URL's op het moment van de scan; metagegevens van tijdens de scan waargenomen netwerkverzoeken (bijv. domeinen van trackers van derden die vóór cookietoestemming worden geladen); en de gestructureerde uitkomst van onze algoritmische analyse (bevindingen, risicoscores, herstelaanwijzingen en certificaten).
Belangrijk: wij scannen uitsluitend publiek toegankelijke pagina's. Wij benaderen, bewaren of verwerken geen persoonsgegevens van uw klanten of bezoekers. Geauthenticeerde of afgeschermde pagina's doorzoeken wij niet. Incidentele bezoekersgegevens die in een screenshot van een openbare pagina verschijnen, behandelen wij niet als persoonsgegevens en verwijderen wij volgens schema met het scan-record (zie sectie 6).
Anonieme scaninzendingen: dient u een scan in zonder account, dan verzamelen wij ook het e-mailadres dat u opgeeft om u het resultaat en een optionele magic-link-login te kunnen sturen. Dit adres bewaren wij 30 dagen en wordt daarna automatisch verwijderd, tenzij u een account aanmaakt; in dat geval worden eerdere anonieme scans met dat adres aan uw account gekoppeld.
2.3 Betaalgegevens
Betaal- en factuurgegevens (kaartnummers, factuuradres) worden rechtstreeks verwerkt door onze betalingsverwerker (PCI-DSS-Level-1-gecertificeerd). Volledige kaartgegevens ontvangen of bewaren wij niet. Wij houden alleen uw abonnement, abonnementsstatus en een klantreferentie-ID bij voor facturatiebeheer.
2.4 Gebruiks- en technische gegevens
Wij bewaren standaard serverlogs met IP-adressen, browsertype, verwijzende URL en de op ons platform bezochte pagina's, voor beveiligingsmonitoring, ratebegrenzing en misbruikbestrijding. Deze gegevens worden niet voor reclamedoeleinden aan uw account gekoppeld.
2.5 Communicatie
Neemt u contact met ons op via het contactformulier of per e-mail, dan bewaren wij de correspondentie om uw vraag te beantwoorden en voor interne dossiervorming. Abonneert u zich op scanmeldingen, dan bewaren wij uw e-mailadres voor dat doel.
3. Hoe wij uw gegevens gebruiken
Deze sectie in het Engelse origineel lezen ↗Elke verwerkingsdoel wordt afgestemd op de minimaal benodigde gegevens:
| Doel | Gebruikte gegevens |
|---|---|
| Leveren van scan en analyse | Scan-URL's, pagina-inhoud, schermafbeeldingen |
| Authenticatie en sessiebeheer | E-mail, gehasht wachtwoord, sessietoken |
| Versturen van rapporten en certificaten | Scanresultaten, e-mailadres |
| Geautomatiseerde herscan-meldingen (Pro/Growth/Agency) | E-mailadres, scanresultaten |
| Verwerken van abonnementsbetalingen | Klantreferentie-ID, abonnementsstatus |
| Fraudepreventie en ratebegrenzing | IP-adres, gebruiksprotocollen |
| Beantwoorden van supportvragen | E-mailadres, inhoud van de correspondentie |
| Verbeteren van onze detectie (geaggregeerd, niet-identificeerbaar) | Geanonimiseerde scanpatronen |
4. Grondslag voor verwerking (art. 6 AVG)
Deze sectie in het Engelse origineel lezen ↗Voor gebruikers in de EER baseren wij de verwerking op de volgende grondslagen:
Art. 6 lid 1 onder b — Uitvoering van een overeenkomst: de verwerking van account-, scan- en betalingsreferentiegegevens is noodzakelijk voor de Dienst die u heeft afgenomen.
Art. 6 lid 1 onder f — Gerechtvaardigd belang: verwerking van technische en gebruiksgegevens ten behoeve van beveiligingsmonitoring, fraudepreventie en stabiliteit van de Dienst, tenzij uw rechten zwaarder wegen.
Art. 6 lid 1 onder a — Toestemming: voor optionele marketingcommunicatie (die wij momenteel niet versturen) baseren wij ons op vrij, specifiek en geïnformeerd gegeven toestemming, die u op elk moment kunt intrekken.
Art. 6 lid 1 onder c — Wettelijke verplichting: waar wij administratie moeten bewaren voor fiscale, boekhoudkundige of wettelijke compliance-doeleinden.
5. Dienstverleners (subverwerkers) op grond van artikel 28 AVG
Deze sectie in het Engelse origineel lezen ↗Wij schakelen een beperkt aantal zorgvuldig beoordeelde dienstverleners in. Met elk daarvan is een schriftelijke verwerkersovereenkomst gesloten die aan artikel 28 AVG voldoet — inclusief geheimhoudings- en beveiligingsverplichtingen, beperkingen voor verdere subverwerkers, auditrechten en bijstand bij uw rechten als betrokkene.
Onze actuele lijst is hieronder gegroepeerd op functie in plaats van op merk. Zo krijgt u een helder beeld van hoe elke functie uw gegevens verwerkt, terwijl operationele details van onze tech-stack om beveiligingsredenen niet gebundeld openbaar zijn — zonder beperking van uw rechten op grond van de artikelen 15 tot en met 22 AVG.
| Categorie | Doel | Locatie en doorgiftemechanisme |
|---|---|---|
| Beheerde clouddatabase en authenticatie-infrastructuur | Opslag van uw account, scangeschiedenis en authenticatie van sessies | Land dat onder een EU-adequaatheidsbesluit valt (uitvoeringsbesluit (EU) 2019/419) |
| Applicatiehosting en edge-CDN | Levering van de openbare website en het klantendashboard | EU- en Amerikaanse infrastructuur; doorgifte naar de VS gedekt door de modelcontractbepalingen van de Europese Commissie (besluit 2021/914/EU) |
| Cloud-headless-browser-rendering | Laden van de openbare websites die u laat scannen en vastleggen van hun inhoud | Verenigde Staten; modelcontractbepalingen |
| Achtergrond-joborkestratie | Coördinatie van elke scan, van inzending tot resultaat | Verenigde Staten; modelcontractbepalingen |
| Inhoudsanalyse door groot taalmodel | Aanvulling van onze deterministische detectie met inhoudsduiding; de leverancier is contractueel verboden uw gegevens te gebruiken voor het trainen van zijn modellen | Verenigde Staten; modelcontractbepalingen |
| Transactionele e-mailbezorging | Versturen van scan-voltooid-meldingen, accountmail en certificaatberichten | Verenigde Staten; modelcontractbepalingen |
| Fout- en prestatiemonitoring | Diagnose van platformproblemen en waarborging van beschikbaarheid | Europese Unie (Frankfurt, Duitsland) |
| Betalingsverwerking | Verwerking van abonnementsfacturen volgens uw gekozen abonnement | Europese Unie |
U kunt op elk moment kosteloos de actuele, met naam genoemde lijst van onze subverwerkers opvragen via admin@complianceguardhq.com. Wij reageren binnen 30 dagen.
Voordat wij een subverwerker toevoegen of vervangen op een wijze die de verwerking van uw gegevens wezenlijk beïnvloedt, kondigen wij de wijziging ten minste 30 dagen vooraf aan, zodat u daar bezwaar tegen kunt maken voordat zij van kracht wordt.
6. Bewaartermijnen
Deze sectie in het Engelse origineel lezen ↗Wij bewaren gegevens niet langer dan strikt nodig voor elk doel:
| Soort gegeven | Bewaartermijn |
|---|---|
| Accountgegevens (e-mail, authenticatie) | Looptijd van het account + 30 dagen na verzoek tot verwijdering |
| Scanresultaten en rapporten | Looptijd van het actieve abonnement + 90 dagen na opzegging |
| Volledige paginaschermafbeeldingen | 90 dagen vanaf de scandatum |
| Ruwe HTML / paginatekst vastgelegd tijdens de scan | 30 dagen vanaf de scandatum |
| Uitgegeven compliance-certificaten | 7 jaar (wettelijke bewaarplicht) |
| Betalingstransactiegegevens | 7 jaar (fiscale/boekhoudkundige verplichtingen) |
| Server- en beveiligingslogs | 90 dagen |
| Supportcorrespondentie | 3 jaar vanaf de laatste interactie |
Bij verwijdering van uw account starten wij de verwijdering binnen 30 dagen. Bepaalde gegevens (certificaten, betalingsgegevens) worden uitsluitend bewaard om aan wettelijke verplichtingen te voldoen en zijn voor u niet toegankelijk noch voor enig ander doel gebruikt.
7. Internationale doorgifte van gegevens
Deze sectie in het Engelse origineel lezen ↗Sommige van de in sectie 5 genoemde functionele dienstverleners zijn buiten de EER gevestigd. Persoonsgegevens kunnen daardoor worden doorgegeven aan: een land dat valt onder een adequaatheidsbesluit van de EU op grond van artikel 45 AVG (concreet het land erkend in uitvoeringsbesluit (EU) 2019/419), waarbij dat besluit de wettelijke grondslag voor doorgifte vormt zonder verdere waarborgen; de Verenigde Staten, waar wij ons baseren op de modelcontractbepalingen die de Europese Commissie heeft vastgesteld op grond van uitvoeringsbesluit (EU) 2021/914 (de „MCB“); en de Europese Unie, waar geen nadere doorgiftegrondslag vereist is.
Waar wij op de MCB steunen, hebben wij een transfer impact assessment uitgevoerd dat hun voortgezet gebruik onderbouwt. Aanvullende maatregelen die wij naast de MCB toepassen, omvatten versleuteling in transit (TLS) en at rest, rolgebaseerde toegangscontroles in interne systemen en het contractuele verbod aan de LLM-leverancier om uw gegevens te gebruiken voor modeltraining.
Kopieën van de gebruikte MCB en een samenvatting van het transfer impact assessment zijn op verzoek beschikbaar via admin@complianceguardhq.com.
8. Uw rechten onder de AVG
Deze sectie in het Engelse origineel lezen ↗Bent u in de EER gevestigd, dan heeft u de volgende rechten met betrekking tot uw persoonsgegevens. Stuur een e-mail naar admin@complianceguardhq.com om ze uit te oefenen. Wij reageren binnen 30 dagen.
- Recht op inzage (art. 15): Een kopie opvragen van alle persoonsgegevens die wij over u bewaren.
- Recht op rectificatie (art. 16): Correctie van onjuiste of onvolledige gegevens vragen.
- Recht op gegevenswissing (art. 17): Verwijdering van uw gegevens vragen („recht om vergeten te worden“), onder voorbehoud van wettelijke bewaarverplichtingen.
- Recht op beperking (art. 18): Beperking van de verwerking vragen tijdens een geschil.
- Recht op gegevensoverdraagbaarheid (art. 20): Uw account- en scangegevens ontvangen in een gestructureerd, machineleesbaar formaat (JSON/CSV).
- Recht van bezwaar (art. 21): Bezwaar maken tegen verwerking gebaseerd op gerechtvaardigd belang.
- Recht om toestemming in te trekken (art. 7 lid 3): Bij op toestemming gebaseerde verwerking op elk moment intrekken, zonder afbreuk te doen aan eerder verrichte verwerkingen.
- Recht een klacht in te dienen: U heeft het recht een klacht in te dienen bij uw nationale toezichthouder. Een lijst van EU-toezichthouders staat op edpb.europa.eu.
Wij kunnen u vragen uw identiteit te verifiëren voordat wij een verzoek in behandeling nemen. Voor standaardverzoeken brengen wij geen kosten in rekening.
10. Gegevens van kinderen
Deze sectie in het Engelse origineel lezen ↗De Dienst is bedoeld voor zakelijke gebruikers (handelaren, ontwikkelaars, bureaus) en niet gericht op personen onder de 18 jaar. Wij verzamelen niet bewust persoonsgegevens van minderjarigen. Vermoedt u dat dit per ongeluk is gebeurd, neem dan contact op via admin@complianceguardhq.com — wij verwijderen de gegevens onmiddellijk.
11. Beveiliging
Deze sectie in het Engelse origineel lezen ↗Wij treffen passende technische en organisatorische beveiligingsmaatregelen, waaronder:
- Versleuteling in transit (TLS 1.2+) voor alle gegevens
- Versleuteling at rest (AES-256) van databasevermeldingen
- Row-Level-Security-beleid waarborgt dat gebruikers alleen hun eigen scangegevens kunnen inzien
- Scheiding van de service-role-key — beheeracties gebruiken een server-side service-role-key die nooit in de browser wordt blootgesteld
- Ratebegrenzing op alle scan- en authenticatie-eindpunten
- API-sleutels uitsluitend opgeslagen in server-side omgevingsvariabelen, nooit in client-bundels
Geen systeem is volledig veilig. Ontdekt u een kwetsbaarheid, meld deze dan verantwoord aan admin@complianceguardhq.com.
12. Wijzigingen in deze verklaring
Deze sectie in het Engelse origineel lezen ↗Wij actualiseren deze privacyverklaring van tijd tot tijd. Bij materiële wijzigingen werken wij de datum „Laatst bijgewerkt“ bovenaan deze pagina bij en, wanneer de wijzigingen uw rechten substantieel raken, informeren wij u ten minste 14 dagen vooraf per e-mail. Voortzetting van het gebruik na de ingangsdatum geldt als aanvaarding van de bijgewerkte versie.
13. Contact en gegevensbeschermingsvragen
Deze sectie in het Engelse origineel lezen ↗Voor elke privacygerelateerde vraag, verzoek of klacht kunt u contact opnemen via admin@complianceguardhq.com. Algemeen contact: complianceguardhq.com/contact.
Bent u niet tevreden met onze reactie, dan heeft u het recht een klacht in te dienen bij uw nationale gegevensbeschermingsautoriteit. Uw bevoegde autoriteit vindt u op edpb.europa.eu.