Privacyverklaring
Soveryne B.V. hecht waarde aan uw privacy. In deze verklaring leggen wij uit welke persoonsgegevens wij verwerken, voor welke doeleinden, op welke grondslagen en welke rechten u heeft. Wij verwerken persoonsgegevens in overeenstemming met de AVG (Verordening (EU) 2016/679) en de transparantieverplichtingen van de artikelen 13 en 14 AVG.
1. Wie zijn wij (verwerkingsverantwoordelijke)
- Naam: Soveryne B.V.
- KvK-nummer: 42030650
- Adres: Lange Groenendaal 110A, 2801 LV Gouda
- E-mail: privacy@soveryne.com
- Functionaris voor gegevensbescherming: wij hebben geen FG aangesteld. Vragen over privacy en verzoeken van betrokkenen kunt u sturen aan privacy@soveryne.com.
Soveryne B.V. levert SaaS- en cybersecurity-diensten. Bezoekers van onze website en gebruikers van onze diensten kunnen zakelijke gebruikers (B2B) en particulieren (B2C) zijn.
2. Onze rol: verwerkingsverantwoordelijke en verwerker
Soveryne is zelfstandig verwerkingsverantwoordelijke voor persoonsgegevens die zij verwerkt voor haar eigen website, marketing, administratie en het beheer van de klantrelatie.
Soveryne is verwerker namens de klant voor persoonsgegevens die zij verwerkt bij het leveren van de Diensten, geregeld in een afzonderlijke verwerkersovereenkomst (artikel 28 AVG). Voor threat-intelligence- en beveiligingstelemetriegegevens kan Soveryne verwerkingsverantwoordelijke zijn voor zover zij doel en middelen bepaalt.
3. Welke persoonsgegevens wij verwerken en uit welke bron
Afhankelijk van uw relatie met ons verwerken wij onder meer de volgende categorieën persoonsgegevens:
- contact- en identificatiegegevens (zoals naam, e-mailadres, telefoonnummer, functie, bedrijfsnaam);
- account- en gebruiksgegevens (zoals inloggegevens, voorkeuren, gebruik van onze dienst);
- communicatiegegevens (zoals e-mails, supportverzoeken, formulierinzendingen);
- technische gegevens (zoals IP-adres, apparaat- en browsergegevens, loggegevens);
- gegevens via cookies en vergelijkbare technieken (zie ons cookiebeleid);
- betaal- en facturatiegegevens;
- overige informatie die u aan ons verstrekt.
Bron van de gegevens:
- gegevens die u zelf aan ons verstrekt (bijvoorbeeld via formulieren, e-mail of bij het aangaan van een overeenkomst);
- gegevens die automatisch worden gegenereerd bij gebruik van onze website of dienst;
- gegevens uit andere bronnen, zoals openbaar beschikbare bronnen, openbare registers en partnerverwijzingen (bijvoorbeeld in het kader van OSINT en security-onderzoek).
4. Doeleinden en grondslagen
Wij verwerken persoonsgegevens uitsluitend voor de hieronder genoemde doeleinden en op de daarbij behorende grondslagen uit artikel 6 AVG.
| Doel | Categorieën gegevens | Grondslag (art. 6 AVG) |
|---|---|---|
| Leveren en beheren van onze dienst / uitvoeren van de overeenkomst | Contact-, account- en gebruiksgegevens | Uitvoering overeenkomst |
| Klantenservice en communicatie | Contact- en communicatiegegevens | Uitvoering overeenkomst |
| Beveiliging, fraudepreventie en logging | Technische gegevens, loggegevens | Gerechtvaardigd belang |
| Verbeteren van website en diensten (analytics) | Technische gegevens, gebruiksgegevens | Gerechtvaardigd belang |
| Marketing en nieuwsbrieven | Contactgegevens | Toestemming |
| Facturatie en administratie | Contact- en betaalgegevens | Wettelijke verplichting |
| Voldoen aan wettelijke verplichtingen | Afhankelijk van de verplichting | Wettelijke verplichting |
Waar wij ons baseren op een gerechtvaardigd belang, hebben wij dat belang afgewogen tegen uw privacy. Waar wij ons baseren op toestemming, kunt u die toestemming altijd intrekken (zie Uw rechten).
5. Bent u verplicht uw gegevens te verstrekken?
- Waar gegevens nodig zijn om onze overeenkomst aan te gaan of uit te voeren (bijvoorbeeld contact- en accountgegevens), is verstrekking een contractuele verplichting; verstrekt u deze niet, dan kunnen wij de overeenkomst niet sluiten of uitvoeren.
- Waar wij wettelijk verplicht zijn gegevens te verwerken (bijvoorbeeld facturatie- en administratiegegevens), is verstrekking een wettelijke verplichting; verstrekt u deze niet, dan kunnen wij niet aan onze wettelijke verplichtingen voldoen en kunnen wij de dienst mogelijk niet leveren.
- Waar wij ons baseren op toestemming (bijvoorbeeld bepaalde analytics of marketing), is verstrekking optioneel en heeft weigering of intrekking geen andere gevolgen dan dat wij die specifieke verwerking niet kunnen uitvoeren.
6. Ontvangers en verwerkers
Wij delen persoonsgegevens alleen wanneer dat nodig is voor de bovengenoemde doeleinden. Ontvangers kunnen zijn:
- dienstverleners die namens ons gegevens verwerken (verwerkers), zoals hosting- en cloudleveranciers (waaronder sub-verwerkers). Hieronder vallen Plausible Analytics (Plausible Insights OÜ, EU), Scaleway (Frankrijk) en TransIP (Nederland), en Mollie (Mollie B.V., Nederland) voor betalingen;
- binnen de groep: Little Bit & Bytes B.V. (de holding), voor zover relevant voor gedeelde administratie en beheer;
- bevoegde autoriteiten, wanneer wij daartoe wettelijk verplicht zijn.
Met verwerkers sluiten wij verwerkersovereenkomsten waarin onder meer beveiliging en vertrouwelijkheid zijn geregeld. Wij verkopen uw persoonsgegevens niet.
7. Doorgifte buiten de EER
Onze genoemde verwerkers voor e-mail en communicatie, Scaleway (Frankrijk) en TransIP (Nederland), bevinden zich binnen de Europese Economische Ruimte (EER), zodat voor die diensten geen internationale doorgifte plaatsvindt. Waar wij hosten bij andere cloudleveranciers en persoonsgegevens buiten de EER zouden worden verwerkt, zorgen wij voor passende waarborgen op grond van hoofdstuk V AVG, in de regel door het sluiten van de EU-modelcontractbepalingen met de betrokken partij, waar nodig aangevuld met aanvullende maatregelen.
U kunt een kopie van de gehanteerde waarborgen opvragen via privacy@soveryne.com.
8. Bewaartermijnen
Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld, of zolang wij daartoe wettelijk verplicht zijn.
| Categorie | Bewaartermijn |
|---|---|
| Account- en contractgegevens | Gedurende de looptijd van de overeenkomst; verwijderd binnen 12 maanden na beëindiging |
| Communicatie- en aanvraaggegevens (contactformulier) | 12 maanden |
| Facturen en financiële administratie | 7 jaar (wettelijke fiscale bewaarplicht, art. 52 AWR) |
| Beveiligingslogs | 12 maanden |
| Gegevens verwerkt op basis van toestemming | Tot intrekking van de toestemming, en maximaal 24 maanden |
Na afloop van de bewaartermijn worden de gegevens verwijderd of geanonimiseerd.
9. Beveiliging
Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking, in overeenstemming met artikel 32 AVG. Als aanbieder van cybersecurity-diensten hechten wij hier bijzonder belang aan. Bijvoorbeeld:
- versleuteling tijdens transport (TLS 1.2+/1.3) en in rust (LUKS-volumeversleuteling en Fernet op applicatieniveau);
- op rollen gebaseerde toegang met meerfactorauthenticatie voor beheertoegang;
- centrale logging en monitoring;
- regelmatige, geteste back-ups.
Onze organisatorische en technische maatregelen zijn afgestemd op ISO 27001. Soveryne is momenteel niet ISO 27001-gecertificeerd en claimt geen certificering.
10. Uw rechten
Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:
- recht op inzage
- recht op rectificatie (correctie)
- recht op gegevenswissing (vergetelheid)
- recht op beperking van de verwerking
- recht op overdraagbaarheid van gegevens (dataportabiliteit)
- recht van bezwaar tegen de verwerking
- recht om gegeven toestemming in te trekken (zonder dat dit afbreuk doet aan de rechtmatigheid van eerdere verwerking)
U kunt deze rechten uitoefenen door een verzoek te sturen aan privacy@soveryne.com. Wij kunnen u vragen om uw identiteit te bevestigen. Wij reageren binnen de wettelijke termijn.
11. Klacht bij de toezichthouder
Bent u het niet eens met hoe wij met uw persoonsgegevens omgaan, dan kunt u een klacht indienen bij de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). Wij stellen het op prijs als u eventuele zorgen eerst met ons deelt via privacy@soveryne.com.
12. Geautomatiseerde besluitvorming en AI
Wij maken geen gebruik van uitsluitend geautomatiseerde besluitvorming, met inbegrip van profilering, die rechtsgevolgen voor u heeft of u anderszins in aanmerkelijke mate treft (artikel 22 AVG).
Wij gebruiken wel AI en geautomatiseerde hulpmiddelen om onze diensten te leveren, bijvoorbeeld AI-ondersteunde generatie van beveiligingsmaatregelen, beleid en richtlijnen, geautomatiseerde penetratietests, phishing-bewustwordingssimulaties en tegenstander- (cybercrimineel-)simulaties. Deze activiteiten vormen geen geautomatiseerde besluiten met rechtsgevolgen of vergelijkbaar aanzienlijke gevolgen voor u in de zin van artikel 22 AVG. Ons gebruik van AI is geregeld in ons AI-gebruiksbeleid en de Product AI-risicobeoordeling, en AI-gegenereerde output wordt gelabeld waar vereist op grond van artikel 50 AI-verordening.
13. Wijzigingen in deze privacyverklaring
Wij kunnen deze privacyverklaring van tijd tot tijd wijzigen. De meest actuele versie staat altijd op onze website. Bij belangrijke wijzigingen informeren wij u op passende wijze, bijvoorbeeld via onze website of per e-mail.
14. Contact
Heeft u vragen over deze privacyverklaring of over de verwerking van uw persoonsgegevens? Neem contact op via privacy@soveryne.com.