Legal

Privacybeleid

Laatst bijgewerkt: 9 februari 2025

1

1. Identiteit Verwerkingsverantwoordelijke

Secure Tenant is de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens zoals beschreven in dit Privacybeleid, tenzij anders vermeld. Onze gegevens:

  • Bedrijf: Secure Tenant
  • KVK (Kamer van Koophandel): 84249242
  • Adres: Diepmeerven 33, 5645KG Eindhoven, Nederland
  • Privacy contact: contact@secure-tenant.com
2

2. Dubbele Rol: Verwerkingsverantwoordelijke en Verwerker

Secure Tenant treedt op in twee hoedanigheden afhankelijk van het type gegevens dat wordt verwerkt:

  • Verwerkingsverantwoordelijke — voor uw accountgegevens, gebruiksgegevens, betalingsgegevens en communicatiegegevens. Wij bepalen de doeleinden en middelen van de verwerking van deze gegevens.
  • Verwerker — voor Microsoft 365 Tenantgegevens (beveiligingsconfiguraties, auditlogs, gebruikersmetadata). U (de Klant) bent de verwerkingsverantwoordelijke van deze gegevens, en wij verwerken deze namens u onder de voorwaarden van onze Verwerkersovereenkomst (DPA).
3

3. Categorieën Persoonsgegevens

3.1 Accountgegevens

  • Naam en e-mailadres
  • Organisatienaam (optioneel)
  • Rol of functietitel
  • Accountgegevens (versleuteld, gehasht)

3.2 Microsoft 365 Tenantgegevens (verwerkt als Verwerker)

  • Beveiligingsconfiguratie-instellingen (read-only)
  • Weergavenamen en e-mailadressen van gebruikers
  • Gebruikersrollen, groepslidmaatschappen en licentie-informatie
  • Multi-Factor Authenticatie (MFA) inschrijvingsstatus
  • Auditloggegevens (tijdstempels, IP-adressen, metadata gebruikersactiviteit)
  • Conditional Access-beleid
  • Mailflowregels (kunnen e-mailadressen bevatten)

3.3 Gebruiksgegevens

  • IP-adres en geschatte locatie
  • Browsertype en apparaatinformatie
  • Bezochte pagina's en gebruikte functies binnen de Dienst
  • Scangeschiedenis en tijdstempels

3.4 Betalingsgegevens

Betalingsinformatie wordt rechtstreeks verwerkt door Stripe, Inc. Wij slaan uw creditcardnummers niet op. Wij bewaren alleen transactie-identificatoren, factuurgeschiedenis en abonnementsstatus.

3.5 Communicatiegegevens

Supporttickets, e-mails en andere communicatie die u naar ons stuurt.

4

4. Doeleinden en Rechtsgrondslag voor Verwerking

Wij verwerken uw persoonsgegevens voor de volgende doeleinden, elk met een specifieke rechtsgrondslag onder Artikel 6 van de AVG:

4.1 Dienstverlening

Verwerking van accountgegevens en tenantgegevens om de scan- en rapportagedienst te leveren. Rechtsgrondslag: Uitvoering van overeenkomst (Art. 6(1)(b)).

4.2 Betalingsverwerking

Verwerking van betalingsgegevens om abonnementen en transacties te beheren. Rechtsgrondslag: Uitvoering van overeenkomst (Art. 6(1)(b)).

4.3 Dienstverbetering en Analyse

Verwerking van gebruiksgegevens om de Dienst te verbeteren, bugs te herstellen en gebruikspatronen te begrijpen. Rechtsgrondslag: Gerechtvaardigd belang (Art. 6(1)(f)). Ons gerechtvaardigd belang is het continu verbeteren van de kwaliteit en beveiliging van de Dienst.

4.4 Beveiliging en Fraudepreventie

Verwerking van gebruiksgegevens en accountgegevens om de Dienst te beschermen en ongeautoriseerde toegang te detecteren. Rechtsgrondslag: Gerechtvaardigd belang (Art. 6(1)(f)).

4.5 Wettelijke Naleving

Bewaring van facturerings- en transactiegegevens zoals vereist door de Nederlandse belastingwetgeving (7 jaar bewaring). Rechtsgrondslag: Wettelijke verplichting (Art. 6(1)(c)).

4.6 Klantcommunicatie

Verzenden van servicemeldingen, beveiligingswaarschuwingen en updates. Rechtsgrondslag: Uitvoering van overeenkomst (Art. 6(1)(b)) voor servicegerelateerde communicatie; Toestemming (Art. 6(1)(a)) voor marketingcommunicatie.

5

5. Ontvangers van Gegevens en Delen

Wij delen uw persoonsgegevens alleen met de volgende categorieën ontvangers, onder passende contractuele waarborgen:

  • Microsoft Corporation — voor OAuth API-toegang tot uw Microsoft 365-tenant (read-only) en voor beveiligingsmonitoring via Microsoft Sentinel.
  • Stripe, Inc. — voor veilige betalingsverwerking.
  • Cloudhosting provider — voor gegevensopslag en computing (EU-regio).
  • Zie onze Subverwerkerlijst voor de volledige en actuele lijst van alle subverwerkers.
6

6. Internationale Gegevensoverdrachten

Uw gegevens worden primair opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER). Wanneer gegevens worden overgedragen buiten de EER (bijv. naar Stripe in de Verenigde Staten), zorgen wij voor passende waarborgen, waaronder: EU Standaard Contractbepalingen (SCC's) zoals vastgesteld door de Europese Commissie, en verificatie van de deelname van de ontvanger aan het EU-VS Data Privacy Framework waar van toepassing. Wij verkopen of verhuren uw persoonsgegevens niet aan derden voor marketingdoeleinden.

7

7. Bewaartermijnen

Wij bewaren persoonsgegevens alleen zolang als noodzakelijk voor de in dit beleid beschreven doeleinden:

  • Accountgegevens: bewaard gedurende de duur van uw actieve account, plus 30 dagen na accountverwijdering.
  • Scanresultaten: 12 maanden voor Premium-gebruikers; 30 dagen voor gratis-tier gebruikers.
  • Auditlogs (platform & beveiligingsmonitoring): 90 dagen.
  • Betalings- en factureringsgegevens: 7 jaar (vereist door de Nederlandse belastingwetgeving / Belastingdienst).
  • Communicatiegegevens (support): 2 jaar na afhandeling.
  • Inactieve gratis accounts: automatisch verwijderd na 12 maanden inactiviteit, na een kennisgeving van 30 dagen.
8

8. Uw Rechten (AVG Artikelen 15-22)

Als betrokkene heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

  • Recht op inzage (Art. 15) — vraag een kopie van uw persoonsgegevens op.
  • Recht op rectificatie (Art. 16) — corrigeer onjuiste of onvolledige gegevens.
  • Recht op verwijdering (Art. 17) — verzoek om verwijdering van uw gegevens ("recht om vergeten te worden").
  • Recht op beperking (Art. 18) — beperk de verwerking van uw gegevens.
  • Recht op gegevensoverdraagbaarheid (Art. 20) — ontvang uw gegevens in een machineleesbaar formaat.
  • Recht van bezwaar (Art. 21) — maak bezwaar tegen verwerking op basis van gerechtvaardigd belang.
  • Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (Art. 22) — wij nemen geen beslissingen uitsluitend op basis van geautomatiseerde verwerking die juridische of vergelijkbare gevolgen voor u hebben.
  • Om deze rechten uit te oefenen, e-mail ons op contact@secure-tenant.com. Wij reageren binnen 30 dagen. Deze termijn kan worden verlengd met 60 dagen voor complexe verzoeken, in welk geval wij u hierover informeren.
9

9. Verzoeken Betrokkenen Tenantgegevens

Als u een persoon bent wiens gegevens zijn opgenomen in de Microsoft 365 Tenantgegevens van een Klant en u uw rechten als betrokkene wilt uitoefenen, neem dan rechtstreeks contact op met de Klant (uw werkgever of de organisatie die de tenant beheert). Als verwerker handelt Secure Tenant uitsluitend op instructie van de Klant met betrekking tot Tenantgegevens. Wij assisteren de Klant bij het afhandelen van verzoeken van betrokkenen zoals vereist door onze DPA.

10

10. Beveiligingsmaatregelen

Wij implementeren passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen, waaronder:

  • Versleuteling tijdens overdracht (TLS 1.2+) en in opslag (AES-256).
  • Strikte toegangscontroles op basis van het principe van minimale bevoegdheden.
  • Multi-Factor Authenticatie voor interne systemen.
  • Regelmatige beveiligingsbeoordelingen en kwetsbaarheidsscanning.
  • Auditlogging van alle gegevenstoegang.
  • Wij gebruiken OAuth 2.0-tokens voor Microsoft 365-toegang — wij slaan nooit uw Microsoft 365-wachtwoorden op. U kunt OAuth-toegang op elk moment intrekken via uw Microsoft 365-beheercentrum.
11

11. Melding Datalekken

In geval van een datalek met persoonsgegevens:

  • Als verwerkingsverantwoordelijke (onze eigen gegevens): wij melden het lek aan de Autoriteit Persoonsgegevens binnen 72 uur na het constateren ervan, voor zover haalbaar. Als het lek waarschijnlijk een hoog risico vormt voor uw rechten en vrijheden, stellen wij u ook zonder onredelijke vertraging op de hoogte.
  • Als verwerker (Tenantgegevens): wij melden het lek aan de Klant (verwerkingsverantwoordelijke) zonder onredelijke vertraging, en in elk geval binnen 48 uur na het constateren ervan, zodat de Klant aan zijn eigen meldingsverplichtingen kan voldoen.
12

12. Kinderen

De Dienst is niet gericht op personen jonger dan 16 jaar (in overeenstemming met de Nederlandse Uitvoeringswet AVG). Wij verzamelen niet bewust persoonsgegevens van kinderen. Als wij constateren dat wij persoonsgegevens van een kind jonger dan 16 jaar hebben verzameld, nemen wij stappen om dergelijke gegevens onverwijld te verwijderen.

13

13. Cookies

Wij gebruiken cookies en vergelijkbare technologieën op onze website. Voor gedetailleerde informatie over de cookies die wij gebruiken, hun doeleinden en hoe u uw voorkeuren kunt beheren, zie ons Cookiebeleid.

14

14. Wijzigingen in dit Beleid

Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken. Bij materiële wijzigingen zullen wij minimaal 30 dagen van tevoren melden via e-mail of via de Dienst. Wij raden u aan deze pagina regelmatig te raadplegen voor de meest recente informatie.

15

15. Klachten

Als u van mening bent dat onze verwerking van uw persoonsgegevens in strijd is met de AVG, heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens:

  • Autoriteit Persoonsgegevens
  • Postbus 93374, 2509 AJ Den Haag
  • Website: www.autoriteitpersoonsgegevens.nl
  • U kunt ook eerst contact met ons opnemen via contact@secure-tenant.com, en wij zullen ons best doen om uw bezorgdheid op te lossen.
16

16. Contact

Voor vragen over dit Privacybeleid of om uw rechten als betrokkene uit te oefenen:

  • Secure Tenant
  • KVK: 84249242
  • Adres: Diepmeerven 33, 5645KG Eindhoven, Nederland
  • E-mail: contact@secure-tenant.com