Privacybeleid

Ingangsdatum: 1 februari 2026

1. Inleiding

PepCerto ("wij", "ons") hecht belang aan de bescherming van uw privacy. Dit privacybeleid legt uit hoe wij uw gegevens verzamelen, gebruiken, openbaar maken en beveiligen wanneer u onze webapplicatie en diensten gebruikt (de "Dienst").

Dit beleid is opgesteld in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).

2. Onze rol: verwerkingsverantwoordelijke versus verwerker

Het is belangrijk om onze rol ten opzichte van uw gegevens te begrijpen.

  • U als verwerkingsverantwoordelijke: Voor persoons- en financiële gegevens die u over uw onderneming en uw klanten in de Dienst invoert (bijv. namen, adressen en contactgegevens op facturen), bent u de verwerkingsverantwoordelijke. U bent verantwoordelijk voor een rechtmatige grondslag om die gegevens te verzamelen en te verwerken.
  • Wij als verwerker: Wanneer wij de door u aangeleverde gegevens verwerken, treden wij op als verwerker in uw opdracht. Wij verwerken deze gegevens enkel overeenkomstig uw instructies, die voortvloeien uit uw gebruik van de Dienst.

Voor gegevens die wij rechtstreeks van u verzamelen om uw gebruikersaccount aan te maken en te beheren (bijv. uw naam en e-mailadres), treden wij op als verwerkingsverantwoordelijke.

3. Welke gegevens verzamelen wij

Wij verzamelen de volgende soorten gegevens:

  • a) Persoonsgegevens voor accountbeheer: Gegevens die u bij registratie verstrekt, zoals naam, e-mailadres, bedrijfsnaam en betalingsinformatie.
  • b) Door u ingevoerde inhoud: Alle gegevens die u in de Dienst invoert, waaronder factuurgegevens, klantinformatie, productomschrijvingen en financiële gegevens.
  • c) Automatisch verzamelde gegevens: Wij kunnen automatisch informatie over uw apparaat en gebruik van de Dienst verzamelen, waaronder IP-adres, browsertype, besturingssysteem en bezochte pagina's. Dit dient voor beveiliging, analyse en verbetering van de Dienst.

4. Rechtmatige gronden voor verwerking

Wij verwerken uw gegevens enkel wanneer wij daar een rechtmatige grondslag voor hebben onder de AVG:

  • Uitvoering van de overeenkomst met u: Wij verwerken accountgegevens en door u ingevoerde inhoud om de Dienst te leveren, te onderhouden en te factureren zoals beschreven in onze Algemene voorwaarden.
  • Gerechtvaardigde belangen: Wij verwerken technische en gebruiksgegevens voor gerechtvaardigde belangen zoals netwerkbeveiliging, verbetering van de Dienst, analyse en fraudepreventie, voor zover die belangen niet zwaarder wegen dan uw rechten.
  • Toestemming: Indien wij u marketingcommunicatie sturen, doen wij dat enkel met uw uitdrukkelijke toestemming. U kunt die toestemming te allen tijde intrekken.
  • Wettelijke verplichting: Wij kunnen bepaalde gegevens verwerken om te voldoen aan wettelijke, regelgevende of fiscale verplichtingen.

5. Hoe wij uw gegevens delen (onderverwerkers)

Wij verkopen uw persoonsgegevens niet. Wij delen ze enkel met betrouwbare derden die als onderverwerker optreden om de Dienst te leveren. Dit omvat onder meer:

  • Peppol Access Point-aanbieder: Wij moeten uw factuurgegevens delen met ons gecertificeerde externe Access Point om facturen naar het Peppol-netwerk te verzenden.
  • Cloudinfrastructuur: Onze applicatie en uw gegevens worden gehost op servers van cloudproviders binnen de EER.
  • Betalingsverwerker: Voor abonnementsbetalingen maken wij gebruik van betalingsverwerkers. Wij slaan uw volledige kaartgegevens niet op.
  • E-maildienst: Wij gebruiken een externe e-maildienst voor verificatiemails, wachtwoordherstel en servicemeldingen.
  • AI-aanbieder (Anthropic Claude): Voor sommige functies gebruiken wij AI om tekst en afbeeldingen te verwerken, bijvoorbeeld om gegevens uit facturen te halen (zoals bij "AI Genereren" of PDF-upload) of uit bonnetjes. Persoonsgegevens (zoals klantnamen, e-mailadressen, btw-nummers, adressen en factuurnummers) worden waar technisch mogelijk geanonimiseerd voordat ze naar de AI-aanbieder worden gestuurd. Product- of regelomschrijvingen zijn niet noodzakelijk persoonsgegevens en kunnen ongewijzigd worden verstuurd. Voor bonfoto's wordt de afbeelding naar de AI-dienst gestuurd voor extractie. Wij hebben een verwerkersovereenkomst met deze aanbieder (zie ook hun privacybeleid).

Een actuele lijst van onderverwerkers kunnen wij op verzoek verstrekken. Wij hebben verwerkersovereenkomsten met onze onderverwerkers.

6. Internationale doorgifte van gegevens

Het merendeel van uw gegevens wordt verwerkt en opgeslagen op servers binnen de Europese Economische Ruimte (EER). Gegevens kunnen worden doorgegeven aan dienstverleners buiten de EER, waaronder de VS (bijvoorbeeld voor AI-verwerking). Dit gebeurt op basis van de Standaard Contractbepalingen (SCC's) van de Europese Commissie of andere door de AVG toegelaten waarborgen.

7. Gegevensbeveiliging

Wij hebben passende technische en organisatorische maatregelen getroffen om persoonsgegevens te beveiligen, waaronder versleuteling in rust en tijdens transport, toegangscontroles en periodieke beveiligingsreviews.

8. Bewaartermijnen

Wij bewaren uw gegevens zolang uw account actief is of zolang dat nodig is om de Dienst te leveren. Wij bewaren en gebruiken gegevens ook waar nodig om te voldoen aan wettelijke verplichtingen, geschillen op te lossen en overeenkomsten af te dwingen. U kunt te allen tijde verwijdering van uw account en bijbehorende gegevens vragen.

Wanneer u uw account opzegt, heeft u een periode van 30 dagen om in te loggen en uw gegevens te exporteren. Daarna worden uw account en bijbehorende gegevens verwijderd overeenkomstig ons bewaarbeleid. De PEPPOL-identificatie gekoppeld aan uw account wordt na die periode eveneens gedeactiveerd (via ons beheer).

9. Uw privacyrechten onder de AVG

U heeft de volgende rechten met betrekking tot uw persoonsgegevens:

  • Inzage: u kunt een kopie van uw persoonsgegevens opvragen.
  • Rectificatie: u kunt ons vragen onjuiste of onvolledige gegevens te corrigeren.
  • Wissing ("recht om vergeten te worden"): u kunt ons vragen uw persoonsgegevens te wissen.
  • Beperking: u kunt ons vragen de verwerking te beperken.
  • Gegevensoverdraagbaarheid: u kunt ons vragen uw gegevens over te dragen aan een andere organisatie.
  • Bezwaar: u kunt bezwaar maken tegen bepaalde verwerkingen.

Om deze rechten uit te oefenen, neem contact met ons op via support@pepcerto.com.

10. Wijzigingen van dit privacybeleid

Wij kunnen dit privacybeleid van tijd tot tijd bijwerken. De bijgewerkte versie wordt aangeduid met een nieuwe ingangsdatum. Wij raden u aan dit beleid regelmatig te raadplegen.

11. Contact

Vragen of opmerkingen over dit privacybeleid? Neem contact met ons op via support@pepcerto.com.