Privacyverklaring

1. Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens is:

Voor vragen over de verwerking van uw persoonsgegevens kunt u contact opnemen via bovenstaand e-mailadres.

2. Welke persoonsgegevens verwerken wij?

Wij verwerken persoonsgegevens in verschillende contexten:

2.1 Accountgegevens (organisaties en gebruikers)

Wanneer een organisatie zich registreert bij Haluso.com verwerken wij:

• Naam en e-mailadres van de registrerende gebruiker
• Naam van de organisatie
• Facturatiegegevens (bedrijfsnaam, adres, btw-nummer, bankgegevens)
• Voorkeurstaal (Nederlands/Engels)
• Acceptatiedatum van de algemene voorwaarden
• Datum en tijdstip van aanmelden en inloggen (toegangslogboek)
• IP-adres en apparaatinformatie (sessie- en beveiligingsdoeleinden)

2.2 Configuratorgegevens

Organisaties maken binnen het platform productconfiguratoren aan. Wij verwerken de door hen ingevoerde configurator- en productdata. Deze data betreft doorgaans geen persoonsgegevens, maar kan dat in bijzondere gevallen wel zijn als een organisatie persoonsgebonden productnamen of -omschrijvingen gebruikt.

2.3 Leadgegevens (eindgebruikers van de configurator)

Wanneer een eindgebruiker een productconfiguratie indient via een configurator van een Haluso-klant, verwerken wij:

• Naam
• E-mailadres
• Telefoonnummer (indien opgegeven)
• De samengestelde productconfiguratie en berekende prijs
• Datum en tijdstip van indiening
• IP-adres (voor fraudepreventie en beveiliging)

Haluso treedt voor de verwerking van leadgegevens op als verwerker namens de betreffende organisatie (de verwerkingsverantwoordelijke). De organisatie is verantwoordelijk voor het informeren van haar eindgebruikers over de verwerking van hun gegevens.

3. Doeleinden en grondslagen voor verwerking

Wij verwerken nooit meer gegevens dan strikt noodzakelijk voor bovengenoemde doeleinden.

4. Ontvangers van persoonsgegevens

Wij delen persoonsgegevens uitsluitend met derden voor zover noodzakelijk voor de uitvoering van onze dienstverlening of op grond van een wettelijke verplichting:

• Hostingprovider: onze servers worden gehost bij een EU-gevestigde aanbieder die persoonsgegevens uitsluitend verwerkt ter uitvoering van de hostingovereenkomst.
• Betalingsprovider (Stripe): voor de verwerking van betalingstransacties. Stripe is gecertificeerd onder PCI-DSS en verwerkt gegevens conform de AVG.
• E-mailprovider (Postmark): voor het verzenden van transactionele e-mails. Postmark verwerkt uitsluitend het e-mailadres en de inhoud van de te verzenden e-mail.
• Boekhoudkundige verwerkers: voor de verwerking van factuurdata, voor zover van toepassing.

Wij verkopen geen persoonsgegevens aan derden. Alle verwerkers zijn gebonden aan een verwerkersovereenkomst conform artikel 28 AVG.

Doorgifte buiten de EER

De door ons ingeschakelde verwerkers (Stripe, Postmark) zijn gevestigd in de Verenigde Staten. Gegevensoverdracht naar de VS geschiedt op basis van de Standard Contractual Clauses (SCC's) die zijn goedgekeurd door de Europese Commissie, dan wel een ander adequaat beschermingsmechanisme.

5. Bewaartermijnen

Na het verstrijken van de bewaartermijn worden gegevens veilig verwijderd of anoniem gemaakt.

6. Uw rechten als betrokkene

Onder de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

• Recht op inzage (art. 15 AVG): u heeft het recht te weten welke persoonsgegevens wij van u verwerken.
• Recht op rectificatie (art. 16 AVG): u heeft het recht onjuiste gegevens te laten corrigeren.
• Recht op verwijdering (art. 17 AVG): u heeft het recht uw gegevens te laten verwijderen, mits er geen wettelijke bewaarplicht van kracht is.
• Recht op beperking van verwerking (art. 18 AVG): u heeft het recht de verwerking van uw gegevens te laten beperken in bepaalde omstandigheden.
• Recht op gegevensoverdraagbaarheid (art. 20 AVG): u heeft het recht uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen.
• Recht van bezwaar (art. 21 AVG): u heeft het recht bezwaar te maken tegen de verwerking van uw gegevens op basis van gerechtvaardigd belang.
• Recht op intrekking van toestemming: voor zover de verwerking berust op uw toestemming, heeft u het recht die toestemming te allen tijde in te trekken.

Om een verzoek in te dienen, stuurt u een e-mail naar privacy@haluso.com. Wij reageren binnen vier weken op uw verzoek. Wij vragen u uw identiteit te verifiëren om misbruik te voorkomen.

Indien u van mening bent dat wij uw rechten niet correct naleven, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

7. Beveiliging

Wij treffen passende technische en organisatorische maatregelen om uw persoonsgegevens te beveiligen tegen verlies, ongeoorloofde toegang, openbaarmaking, wijziging of vernietiging. Deze maatregelen omvatten onder meer:

• Versleutelde verbindingen (TLS/HTTPS) voor alle datatransmissie
• Versleutelde opslag van wachtwoorden (bcrypt)
• Twee-factor-authenticatie voor platformgebruikers
• Rolgebaseerde toegangscontrole (RBAC)
• Regelmatige back-ups en beveiligingsaudits
• Toegangslogboeken voor kritieke systeemhandelingen

Bij een datalek dat een risico vormt voor uw rechten en vrijheden zullen wij dit binnen 72 uur melden aan de Autoriteit Persoonsgegevens en, indien van toepassing, ook aan de betrokken personen.

8. Cookies en tracking

Het platform Haluso.com gebruikt uitsluitend functionele cookies die strikt noodzakelijk zijn voor het functioneren van de dienst (sessiecookies voor authenticatie). Deze cookies vereisen geen toestemming op grond van de Telecommunicatiewet.

De openbare marketingpagina (haluso.com) maakt geen gebruik van tracking cookies, analysediensten van derden of sociale-mediapixels.

9. Verwerkersrol voor leadgegevens

Haluso treedt op als verwerker voor de verwerking van leadgegevens die zijn ingediend via de configuratoren van onze klanten. De klant-organisatie is de verwerkingsverantwoordelijke en is zelf verantwoordelijk voor:

• Het informeren van eindgebruikers (leads) over de verwerking van hun persoonsgegevens, conform artikel 13 AVG.
• Het vastleggen van een geldige verwerkingsgrondslag voor het verwerken van leadgegevens.
• Het opnemen van een eigen privacyverklaring op de configuratorpagina of de website waarop de configurator is geïntegreerd.

Tussen Haluso en elke klant-organisatie is een verwerkersovereenkomst van kracht, die is opgenomen in de algemene voorwaarden.

10. Wijzigingen in deze verklaring

Wij behouden ons het recht voor deze privacyverklaring te wijzigen om te voldoen aan gewijzigde wet- of regelgeving, of als gevolg van wijzigingen in onze dienstverlening. De meest actuele versie is altijd beschikbaar op haluso.com/privacy-statement.

Bij materiële wijzigingen zullen wij u hierover informeren via e-mail of een notificatie binnen het platform, minimaal 14 dagen vóór de wijziging van kracht wordt.

11. Contactgegevens