Privacybeleid Bcompliant
1. Wie is verantwoordelijk?
Verwerkingsverantwoordelijke is Vidax BV, handelend onder de naam Bcompliant («wij», «ons»), gevestigd te Waddinxveen, ingeschreven bij de Kamer van Koophandel onder nummer 29043020.
Wij zijn verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens zoals beschreven in dit beleid, voor zover wij zelf het doel en de middelen van de verwerking bepalen.
Contact privacy:
privacy@bcompliant.nl
Algemeen:
info@bcompliant.nl
Wij hebben een functionaris voor gegevensbescherming (FG/DPO) aangesteld. Deze is bereikbaar via privacy@bcompliant.nl
2. Op wie is dit beleid van toepassing?
Dit beleid geldt voor:
- bezoekers van de marketingwebsite bcompliant.nl (en www-variant);
- personen die zich aanmelden voor de proefperiode of een account op app.bcompliant.nl;
- gebruikers die namens een klantorganisatie de Bcompliant-applicatie gebruiken.
Voor persoonsgegevens die klanten in de app verwerken ten behoeve van hun eigen compliance-dossiers (bijv. in DPIA’s, uploads of het AI-register) is de klant in beginsel verwerkingsverantwoordelijke en treden wij op als verwerker. Daarvoor geldt een aparte verwerkersovereenkomst (DPA); zie ook de algemene voorwaarden.
3. Welke persoonsgegevens verwerken wij?
3.1 Account en aanmelding
- Naam, zakelijk e-mailadres, organisatienaam;
- wachtwoord (alleen opgeslagen in gehashte vorm);
- rol binnen de organisatie (beheerder, medewerker, auditor, raadpleger);
- tijdstip en bevestiging van akkoord met voorwaarden/privacy;
- eventuele correspondentie met support.
3.2 Gebruik van de dienst
- Inlog- en sessiegegevens, IP-adres, user agent;
- auditlog: wie welk onderdeel van werkplan, assessments of poorten heeft gewijzigd (inclusief tijdstip);
- door u ingevoerde inhoud in werkplan, assessments en geüploade documenten (kan persoonsgegevens van derden bevatten).
3.3 Technisch en marketing
- Server- en beveiligingslogs;
- websitebezoek: bezochte pagina’s, tijdstip, referrer, user agent, IP-adres en een pseudonieme bezoeker-ID (opgeslagen in localStorage) om terugkerende bezoekers te herkennen;
- cookies en vergelijkbare technieken (zie artikel 10).
Wij vragen niet bewust bijzondere persoonsgegevens aan via het aanmeldformulier.
4. Doeleinden, grondslagen en bewaartermijnen
| Doel | Grondslag (AVG) | Bewaartermijn (richtlijn) |
|---|---|---|
| Aanmelding, proefperiode en uitvoering van de overeenkomst | Art. 6 lid 1 sub b | Duur abonnement + max. 12 maanden daarna |
| Accountbeheer, authenticatie, MFA | Art. 6 lid 1 sub b | Duur account + 12 maanden |
| Facturatie en administratie | Art. 6 lid 1 sub b en c | 7 jaar (fiscale bewaarplicht) |
| Support en communicatie | Art. 6 lid 1 sub b / sub f | 2 jaar na laatste contact |
| Beveiliging, fraudepreventie, audittrail | Art. 6 lid 1 sub f | Tot 24 maanden (logs) |
| Verbetering en foutanalyse van de dienst | Art. 6 lid 1 sub f | Geaggregeerd/anoniem waar mogelijk; anders max. 12 maanden |
| Websitebezoek en statistiek (marketingpagina’s) | Art. 6 lid 1 sub f | Max. 12 maanden (ruwe pageviews); daarna geaggregeerd of verwijderd |
| Wettelijke verplichtingen | Art. 6 lid 1 sub c | Conform wettelijke termijn |
5. Verwerking als verwerker (klantdata)
Wanneer klanten persoonsgegevens van betrokkenen in de app plaatsen, verwerken wij die gegevens uitsluitend op instructie van de klant, voor het leveren van hosting, back-up, opslag en functionaliteit van Bcompliant. Wij gebruiken klantdata niet voor eigen marketingdoeleinden.
Klant is verantwoordelijk voor een geldige rechtsgrond, informatieplichten en eventueel een DPIA. Op verzoek sluiten wij een DPA met standaardbepalingen conform artikel 28 AVG.
6. Ontvangers en subverwerkers
Wij delen persoonsgegevens alleen met:
- hosting- en infrastructuurpartijen (bijv. server in EU/EER);
- e-mailproviders voor transactionele berichten (bevestiging, wachtwoordreset);
- IT-leveranciers voor beveiliging en monitoring, onder contract.
Met subverwerkers sluiten wij verwerkersovereenkomsten. Een actuele lijst van categorieën subverwerkers verstrekken wij op verzoek via privacy@bcompliant.nl.
7. Doorgifte buiten de EER
Wij streven naar verwerking binnen de Europese Economische Ruimte. Indien gegevens toch buiten de EER worden verwerkt (bijv. door een supporttool), zorgen wij voor passende waarborgen zoals standaardcontractbepalingen (SCC) of een adequaatheidsbesluit, conform hoofdstuk V AVG.
8. Beveiliging
Wij nemen passende technische en organisatorische maatregelen, waaronder:
- versleutelde verbindingen (HTTPS/TLS);
- versleutelde opslag van wachtwoorden;
- toegangsbeheer op basis van rollen binnen de app;
- logging van wijzigingen (audittrail);
- beperkte toegang voor medewerkers op need-to-know-basis.
Geen enkele maatregel biedt absolute veiligheid. Meld vermoedens van een datalek of misbruik via privacy@bcompliant.nl.
9. Uw rechten
Als betrokkene heeft u — voor zover van toepassing — recht op inzage, rectificatie, verwijdering, beperking van de verwerking, dataportabiliteit en bezwaar tegen verwerking op basis van gerechtvaardigd belang.
Verzoeken kunt u richten aan privacy@bcompliant.nl. Wij reageren binnen één maand (verlenging mogelijk bij complexe verzoeken).
Bent u het niet eens met ons antwoord, dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens.
10. Cookies en vergelijkbare technieken
De marketingwebsite gebruikt in beginsel alleen technisch noodzakelijke cookies (indien van toepassing voor sessie of beveiliging). De app gebruikt sessiecookies voor inloggen; die zijn noodzakelijk voor de dienst.
Indien wij analytische of marketingcookies invoeren, passen wij het beleid aan en vragen wij — waar wettelijk vereist — uw toestemming via een cookiebanner.
11. Minderjarigen
Bcompliant is een zakelijke dienst (B2B). Wij richten ons niet op personen jonger dan 16 jaar en verwerken niet bewust gegevens van minderjarigen via het aanmeldformulier.
12. Geautomatiseerde besluitvorming
Wij nemen geen besluiten met uitsluitend geautomatiseerde verwerking die rechtsgevolgen voor u hebben of u op vergelijkbare wijze treffen, zoals bedoeld in artikel 22 AVG. Poorten en percentages in de app zijn hulpmiddelen; zij vervangen geen menselijke of juridische beoordeling.
13. Datalekken
Bij een datalek met een risico voor rechten en vrijheden van betrokkenen melden wij dit aan de AP en, waar nodig, aan betrokkenen, conform de AVG. Klanten die als verwerkingsverantwoordelijke optreden, melden een lek bij ons via privacy@bcompliant.nl zodat wij kunnen assisteren.
14. Wijzigingen
Wij kunnen dit privacybeleid wijzigen. De actuele versie staat op bcompliant.nl/privacybeleid. Bij wezenlijke wijzigingen informeren wij actieve klanten via e-mail of in de app.