IntrICT
Privacybeleid & GDPR
Hoe wij uw persoonsgegevens verwerken en beschermen, inclusief onze verwerkingsovereenkomst
Inleiding en toepassingsgebied
IntrICT respecteert de persoonlijke levenssfeer van haar bezoekers, klanten en contactpersonen en verwerkt persoonsgegevens in overeenstemming met de Europese Algemene Verordening Gegevensbescherming (AVG/GDPR, Verordening EU 2016/679) en de Belgische Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
Dit privacybeleid is van toepassing op alle verwerkingen van persoonsgegevens door IntrICT, zowel in het kader van de eigen bedrijfsvoering als in het kader van de dienstverlening aan klanten. Voor de dienstverlening waarbij IntrICT optreedt als verwerker in opdracht van een klant-verwerkingsverantwoordelijke verwijzen wij naar artikel 10 (Verwerkingsovereenkomst).
Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in het kader van de eigen website en bedrijfsactiviteiten is:
IntrICT heeft geen wettelijke verplichting tot aanstelling van een Functionaris voor Gegevensbescherming (DPO), gelet op de omvang en aard van de verwerkingen. Voor privacygerelateerde vragen kunt u ons rechtstreeks contacteren via legal@intrict.com.
Welke gegevens verwerken wij?
Websitebezoekers
- Technische gegevens: IP-adres, browsertype, besturingssysteem, bezochte pagina's, tijdstip van bezoek (via Vercel Analytics — geanonimiseerd)
- Cookie-voorkeuren: uw gekozen instellingen opgeslagen in localStorage
Contactformulier en offerte-aanvragen
- Naam, e-mailadres, telefoonnummer (indien opgegeven)
- Inhoud van het bericht of de offerte-aanvraag
- Tijdstip van inzending
Klanten en opdrachtgevers
- Naam en contactgegevens van de contactpersoon(en)
- Bedrijfsgegevens (naam, BTW-nummer, adres)
- Facturatie- en betalingsgegevens
- Projectgerelateerde communicatie en documentatie
- Accountgegevens voor het klantportaal (e-mail, wachtwoord gehashed)
Nieuwsbrief
- E-mailadres (enkel met uitdrukkelijke opt-in toestemming)
Rechtsgrondslagen voor verwerking
IntrICT verwerkt persoonsgegevens uitsluitend op basis van één van de volgende wettelijke grondslagen:
| Verwerking | Rechtsgrondslag |
|---|---|
| Uitvoering van een overeenkomst (dienstverlening, facturatie) | Art. 6(1)(b) AVG — contractuitvoering |
| Contactformulier en offerte-aanvragen | Art. 6(1)(b) AVG — precontractuele maatregelen |
| Verplichte bewaring van boekhoudkundige documenten | Art. 6(1)(c) AVG — wettelijke verplichting |
| Verbeteren van de website (analytics) | Art. 6(1)(a) AVG — toestemming |
| Nieuwsbrief | Art. 6(1)(a) AVG — uitdrukkelijke toestemming |
| Klantenbeheer en relatieopvolging | Art. 6(1)(f) AVG — gerechtvaardigd belang |
Doeleinden van verwerking
- Beantwoorden van vragen en verzoeken via het contactformulier
- Opmaak en opvolging van offertes en projectovereenkomsten
- Uitvoering van ICT-dienstverlening, webontwikkeling en adviesopdrachten
- Facturatie, boekhouding en betalingsopvolging
- Toegangsbeheer tot het klantportaal (dashboard)
- Verzending van de nieuwsbrief (enkel met toestemming)
- Technische werking en beveiliging van de website
- Naleving van wettelijke verplichtingen (BTW, boekhouding)
- Geanonimiseerde websiteanalyse ter verbetering van de gebruikerservaring
Bewaartermijnen
| Categorie | Bewaartermijn |
|---|---|
| Contactberichten en offertes (niet omgezet naar klant) | 12 maanden na laatste contact |
| Klantgegevens en projectdossiers | 10 jaar na einde overeenkomst (boekhoudkundige bewaarplicht) |
| Facturen en boekhoudkundige documenten | 10 jaar (art. 60 BTW-Wetboek) |
| Accountgegevens klantportaal | Tot verwijdering door de klant, max. 12 maanden na inactiviteit |
| Nieuwsbrief-inschrijving | Tot uitschrijving of intrekking toestemming |
| Analytische cookies (Vercel Analytics) | Geanonimiseerd — geen persoonlijke bewaring |
Doorgifte aan derden
IntrICT deelt persoonsgegevens uitsluitend mee aan derden voor zover dit noodzakelijk is voor de uitvoering van de dienstverlening, op grond van een wettelijke verplichting of met uw uitdrukkelijke toestemming. De volgende sub-verwerkers worden ingezet:
| Sub-verwerker | Doel | Locatie |
|---|---|---|
| Supabase Inc. | Database en authenticatie (klantportaal) | EU (Frankfurt) |
| Vercel Inc. | Hosting en geanonimiseerde analytics | EU/VS (SCCs) |
| Microsoft Corporation | Transactionele e-mails en nieuwsbrief (M365) | EU/VS (SCCs) |
SCCs = Standard Contractual Clauses overeenkomstig art. 46(2)(c) AVG voor doorgifte buiten de EER.
Uw rechten als betrokkene
Op basis van de AVG beschikt u over de volgende rechten:
Recht op inzage
U heeft het recht om een kopie te vragen van de persoonsgegevens die wij over u verwerken. (Art. 15 AVG)
Recht op rectificatie
U kunt verzoeken onjuiste of onvolledige gegevens te corrigeren of aan te vullen. (Art. 16 AVG)
Recht op wissing
In bepaalde gevallen kunt u verzoeken uw gegevens te laten verwijderen ("recht op vergetelheid"). (Art. 17 AVG)
Recht op beperking
U kunt vragen de verwerking tijdelijk te beperken, bijv. terwijl een bezwaar wordt beoordeeld. (Art. 18 AVG)
Recht op overdraagbaarheid
U kunt uw gegevens opvragen in een gestructureerd, gangbaar formaat. (Art. 20 AVG)
Recht van bezwaar
U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang of voor direct marketing. (Art. 21 AVG)
Intrekking toestemming
Waar verwerking berust op toestemming, kunt u die te allen tijde intrekken zonder opgave van reden. (Art. 7(3) AVG)
Geen geautomatiseerde besluitvorming
IntrICT neemt geen geautomatiseerde beslissingen met rechtsgevolgen op basis van uw persoonsgegevens.
Verzoeken kunnen worden ingediend via legal@intrict.com. Wij reageren binnen 30 kalenderdagen na ontvangst van uw verzoek. Bij complexe of meervoudige verzoeken kan deze termijn met maximaal 60 dagen worden verlengd, mits kennisgeving.
Technische en organisatorische beveiliging
IntrICT neemt passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, ongeoorloofde toegang, openbaarmaking of vernietiging:
- Versleutelde verbindingen (HTTPS/TLS) op alle pagina's van de website
- Wachtwoorden opgeslagen als gehasht en gezouten waarde (via Supabase Auth — bcrypt)
- Row-Level Security (RLS) in de database: elke gebruiker ziet uitsluitend zijn eigen gegevens
- Toegang tot productiesystemen beperkt via API-sleutels en omgevingsvariabelen
- Regelmatige beveiligingsupdates van gebruikte frameworks en dependencies
- Minimale gegevensverzameling: enkel de gegevens die strikt noodzakelijk zijn voor het doel
- Beveiligde e-mailinfrastructuur via Microsoft 365 met DKIM/SPF-authenticatie
Bij een inbreuk in verband met persoonsgegevens die een risico inhoudt voor de rechten en vrijheden van betrokkenen, zal IntrICT de bevoegde toezichthoudende autoriteit (GBA) informeren binnen 72 uur na vaststelling van de inbreuk, overeenkomstig art. 33 AVG.
Verwerkingsovereenkomst (Data Processing Agreement)
Wanneer IntrICT in het kader van een dienstverleningsovereenkomst persoonsgegevens verwerkt in opdracht van een klant die optreedt als verwerkingsverantwoordelijke, is een verwerkingsovereenkomst (DPA) vereist overeenkomstig artikel 28 AVG. De onderstaande bepalingen vormen de standaard verwerkingsovereenkomst die van toepassing is op de dienstverlening van IntrICT, tenzij partijen een afzonderlijke schriftelijke DPA hebben gesloten.
Art. DPA-1 — Onderwerp en duur
Deze verwerkingsovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens die IntrICT uitvoert in het kader van de hoofdovereenkomst (dienstverlenings- of retainer-overeenkomst) en loopt voor de duur van die overeenkomst, tenzij anders schriftelijk overeengekomen.
Art. DPA-2 — Aard, doel en soort gegevens
IntrICT verwerkt uitsluitend de persoonsgegevens die de opdrachtgever (verwerkingsverantwoordelijke) haar ter beschikking stelt of waartoe zij toegang verleent in het kader van de opdracht. De verwerking beperkt zich tot wat noodzakelijk is voor de uitvoering van de overeengekomen diensten.
Voorbeelden van verwerkte gegevens: klantgegevens in websites of webapplicaties die IntrICT ontwikkelt of beheert, contactgegevens van eindgebruikers, bestelgegevens in e-commerce-toepassingen.
Art. DPA-3 — Verplichtingen van IntrICT als verwerker
- Verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructie van de verwerkingsverantwoordelijke, tenzij wettelijk verplicht tot verdere verwerking.
- Garandeert dat personen die gemachtigd zijn persoonsgegevens te verwerken, zich tot vertrouwelijkheid hebben verbonden.
- Neemt alle vereiste technische en organisatorische maatregelen overeenkomstig art. 32 AVG.
- Schakelt geen andere verwerker in zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke.
- Verleent medewerking aan de verwerkingsverantwoordelijke bij het beantwoorden van verzoeken van betrokkenen.
- Verwijdert of geeft naar keuze van de verwerkingsverantwoordelijke alle persoonsgegevens terug na afloop van de verwerkingsdiensten.
- Stelt alle informatie ter beschikking die nodig is om de naleving van de verplichtingen van art. 28 AVG aan te tonen.
Art. DPA-4 — Verplichtingen van de verwerkingsverantwoordelijke (klant)
- Zorgt ervoor dat de verwerking van persoonsgegevens een geldige rechtsgrondslag heeft.
- Verleent IntrICT uitsluitend toegang tot de persoonsgegevens die strikt noodzakelijk zijn voor de uitvoering van de opdracht.
- Informeert IntrICT onverwijld over wijzigingen in instructies of verwerkingsdoeleinden.
- Draagt zorg voor de naleving van de rechten van betrokkenen en informeert hen over de verwerking.
Art. DPA-5 — Sub-verwerkers
IntrICT maakt gebruik van de in art. 7 van dit privacybeleid genoemde sub-verwerkers (Supabase, Vercel, Microsoft). De opdrachtgever verleent hiervoor een algemene voorafgaande toestemming door de dienstverleningsovereenkomst aan te gaan. IntrICT informeert de opdrachtgever vooraf over wijzigingen in de lijst van sub-verwerkers. Alle sub-verwerkers zijn contractueel gebonden aan GDPR-conforme voorwaarden.
Art. DPA-6 — Overdracht buiten de EER
IntrICT draagt persoonsgegevens uitsluitend over naar landen buiten de EER indien een passend beschermingsniveau is gewaarborgd via Standard Contractual Clauses (SCCs) of een adequaatheidsbesluit van de Europese Commissie.
Art. DPA-7 — Datalekken
IntrICT meldt een inbreuk in verband met persoonsgegevens onverwijld aan de verwerkingsverantwoordelijke, uiterlijk binnen 48 uur na vaststelling, met vermelding van de aard van de inbreuk, de betrokken categorieën en het geschatte aantal betrokkenen en gegevensrecords, de waarschijnlijke gevolgen, en de genomen of voorgestelde maatregelen.
Art. DPA-8 — Audits en inspectie
IntrICT verleent de verwerkingsverantwoordelijke of diens gemachtigde auditor toegang tot alle informatie die nodig is om de naleving van art. 28 AVG aan te tonen, mits redelijke voorafgaande kennisgeving (minimum 5 werkdagen) en op een niet-verstorende wijze. Alle kosten verbonden aan audits zijn ten laste van de opdrachtgever.
Klachten
Heeft u vragen of klachten over de wijze waarop IntrICT uw persoonsgegevens verwerkt? Neem dan eerst contact op via legal@intrict.com. Wij streven ernaar uw vraag of klacht binnen 30 dagen te beantwoorden.
U heeft ook het recht een klacht in te dienen bij de bevoegde Belgische toezichthoudende autoriteit:
Gegevensbeschermingsautoriteit (GBA)
Drukpersstraat 35, 1000 Brussel
Website: www.gegevensbeschermingsautoriteit.be
E-mail: contact@apd-gba.be
Wijzigingen
IntrICT behoudt zich het recht voor dit privacybeleid te allen tijde te wijzigen. De meest recente versie is steeds raadpleegbaar op https://intrict.com/gdpr. Wezenlijke wijzigingen worden bekendgemaakt via de website of per e-mail aan geregistreerde gebruikers.
Contact Privacyzaken
Voor alle vragen m.b.t. gegevensbescherming: info@intrict.com
Versie 1.0 — AVG/GDPR (EU 2016/679) — Belgische Wet 30 juli 2018 — GBA bevoegd