Privacybeleid

ComplyDev ("wij", "ons") zet zich in voor de bescherming van de privacy van zijn gebruikers. Dit Privacybeleid beschrijft hoe wij uw persoonsgegevens verzamelen, gebruiken en beschermen wanneer u ons platform voor cyberbeveiligingsbeoordeling gebruikt.

ComplyDev

Website: https://complydev.com — E-mail: privacy@complydev.com

Wij gebruiken uw gegevens voor:

• Dienstverlening: Het genereren van uw gepersonaliseerde nalevingsrapport
• Communicatie: Toekomstige communicatie (als u uw e-mailadres verstrekt)
• Marketing (alleen met toestemming): Het versturen van nieuwsbrieven en regelgevingsupdates
• Beveiliging: Het voorkomen van misbruik en cyberaanvallen

De gegevensverwerking is gebaseerd op:

• Uitvoering van een overeenkomst (Art. 6.1.b GDPR): Om de gevraagde dienst te leveren
• Toestemming (Art. 6.1.a GDPR): Voor marketingcommunicatie (optioneel)
• Gerechtvaardigd belang (Art. 6.1.f GDPR): Voor beveiliging en fraudepreventie

• Antwoorden op de vragenlijst: Automatisch verwijderd 7 dagen na voltooiing
• Gegenereerd rapport: 7 dagen beschikbaar via ondertekende link, daarna verwijderd
• Bedrijfsgegevens: Bewaard tot intrekking van toestemming of verzoek tot verwijdering
• Technische gegevens (IP, logs): 30 dagen bewaard voor beveiligingsdoeleinden

Uw gegevens kunnen worden gedeeld met:

• AI-provider (DeepSeek): Voor het verwerken van antwoorden (DPA-overeenkomst aanwezig)
• Opslag (Cloudflare R2): Voor het tijdelijk opslaan van PDF's (DPA-overeenkomst aanwezig)
• Database (Supabase): Voor gegevensbeheer (DPA-overeenkomst aanwezig)
• Analytics (Plausible Analytics): Cookieloze, privacyvriendelijke webanalyse (EU-gehost, geen persoonsgegevens verzameld)
• Performance Monitoring (Vercel Analytics): Cookieloze prestatiemetingen (geen persoonsgegevens verzameld)
• Error Monitoring (Sentry): Foutopsporing voor betrouwbaarheid van de dienst (DPA-overeenkomst aanwezig, kan technische context van fouten vastleggen)

Wij verkopen of delen uw gegevens niet met derden voor commerciële doeleinden.

Sommige van onze providers bevinden zich buiten de EU. Met name DeepSeek (onze AI-provider) is gevestigd in China, dat geen EU-adequaatheidsbesluit heeft. Voor dergelijke overdrachten baseren wij ons op door de Europese Commissie goedgekeurde Standaardcontractbepalingen (SCC), aangevuld met aanvullende technische maatregelen (versleuteling tijdens transit, dataminimalisatie, geen permanente opslag door de provider) in overeenstemming met de Schrems II-beslissing. Andere providers (Supabase, Sentry) verwerken gegevens binnen de EU of in landen met adequaatheidsbesluiten.

U heeft het recht om:

• Inzage (Art. 15): Een kopie van uw gegevens te verkrijgen
• Rectificatie (Art. 16): Onjuiste gegevens te corrigeren
• Wissing (Art. 17): Verwijdering van uw gegevens te verzoeken
• Beperking (Art. 18): De verwerking te beperken
• Overdraagbaarheid (Art. 20): Uw gegevens in een gestructureerd formaat te ontvangen
• Bezwaar (Art. 21): Bezwaar te maken tegen verwerking op gerechtvaardigde gronden
• Intrekking van toestemming (Art. 7.3): Marketingtoestemming op elk moment in te trekken

Om uw rechten uit te oefenen, kunt u ons e-mailen op privacy@complydev.com. Wij zullen binnen 30 dagen reageren zoals vereist door de GDPR.

Wij implementeren passende technische en organisatorische maatregelen om uw gegevens te beschermen:

• TLS/SSL-versleuteling voor overdrachten
• Versleuteling in rust voor opslag
• Rolgebaseerde toegangscontroles
• Auditlogs en monitoring
• Regelmatige back-ups en noodherstel

Wij gebruiken uitsluitend strikt noodzakelijke technische cookies: een authenticatie-sessiecookie (Supabase), een CSRF-beschermingstoken en een taalvoorkeurcookie (NEXT_LOCALE). Wij gebruiken geen tracking-, analytics- of advertentiecookies. Onze webanalyses worden verzorgd door Plausible Analytics, dat cookieloos en GDPR-conform by design is.

Onze service is bedoeld voor bedrijven en is niet gericht op minderjarigen onder de 16 jaar. Wij verzamelen niet bewust gegevens van minderjarigen.

Wij kunnen dit Privacybeleid periodiek bijwerken. Voortgezet gebruik van de service na wijzigingen geldt als aanvaarding van het nieuwe beleid.

In het geval van een inbreuk op persoonsgegevens die een risico vormt voor uw rechten en vrijheden, zullen wij de bevoegde Gegevensbeschermingsautoriteit binnen 72 uur informeren zoals vereist door Art. 33 GDPR. Als het datalek waarschijnlijk een hoog risico oplevert, zullen wij ook de getroffen gebruikers zonder onredelijke vertraging informeren (Art. 34 GDPR).

Gezien de aard en omvang van onze gegevensverwerkingsactiviteiten is ComplyDev niet verplicht een Functionaris voor Gegevensbescherming aan te stellen op grond van Art. 37 GDPR. Voor privacygerelateerde vragen kunt u ons rechtstreeks bereiken op privacy@complydev.com.

U heeft het recht om een klacht in te dienen bij uw nationale Gegevensbeschermingsautoriteit. Voor gebruikers in Italië is de bevoegde autoriteit de Garante per la Protezione dei Dati Personali (https://www.garanteprivacy.it).

Onze dienst maakt gebruik van kunstmatige intelligentie (DeepSeek) om uw bedrijfsprofiel te analyseren en toepasselijke cyberbeveiligingsvoorschriften te identificeren. De AI beoordeelt de sector, omvang, het land en de beschrijving van uw bedrijf om te bepalen welke voorschriften van toepassing zijn en een gap-analyserapport te genereren.

Deze verwerking is gebaseerd op geautomatiseerde logica, maar leidt niet tot juridisch bindende beslissingen. De output is informatief en adviserend van aard. U heeft het recht om een menselijke beoordeling van elke door AI gegenereerde evaluatie te verzoeken door contact met ons op te nemen via privacy@complydev.com.

Voor vragen over dit Privacybeleid of de verwerking van uw gegevens, mail ons op privacy@complydev.com.