Privacyverklaring.
Insyte verwerkt persoonsgegevens van operators, hun teamleden, en, namens operators, van hun eindklanten. Hier staat welke gegevens, waarom, hoe lang en wat je rechten zijn. Geen vakjargon waar het niet nodig is.
Korte versie
De juridische versie staat verder in dit document. Voor het overzicht: dit is wat je echt moet weten.
- Voor jouw accountgegevens is Insyte zelf verwerkingsverantwoordelijke. Voor de klantgegevens die via jouw winkel binnenkomen, is Insyte verwerker; jij bent dan verantwoordelijk.
- Wij gebruiken je gegevens om de dienst te leveren, te beveiligen en te factureren. We verkopen niets door en trainen geen generieke AI-modellen op jouw gegevens.
- Subverwerkers (zoals onze hosting in Frankfurt, e-mail infrastructuur en AI-aanbieders) staan met naam genoemd in bijlage A van de verwerkersovereenkomst.
- Vragen, inzage of verwijdering: stuur ons een bericht via privacy@insyte.co. We reageren binnen 30 dagen.
Verwerkingsverantwoordelijke
Voor elke gegevenscategorie staat hieronder vast wie wat is. Het onderscheid bepaalt jouw rechten.
Voor de gegevens die je zelf bij Insyte registreert (naam, e-mail, bedrijfsgegevens, factuurgegevens, inlogactiviteit) is Insyte B.V. de verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG.
Voor de Klantgegevens die via jouw gekoppelde winkels in Insyte komen, ben jij als operator de verwerkingsverantwoordelijke. Insyte handelt dan in jouw opdracht als verwerker. De afspraken daarvoor staan in de verwerkersovereenkomst, die automatisch onderdeel wordt van onze relatie zodra je een winkel koppelt.
Welke gegevens
De volgende categorieën persoonsgegevens kunnen door of namens jou bij Insyte terechtkomen.
| Categorie | Voorbeeld | Bron |
|---|---|---|
| Account | Naam, e-mail, telefoon, bedrijfsnaam, KVK, btw-nummer. | Door jou ingevoerd bij registratie of in instellingen. |
| Inlog en sessie | Hash van wachtwoord, 2FA-token, sessie-cookie, IP-adres, user-agent. | Automatisch gegenereerd bij inloggen. |
| Factuur | Factuuradres, betaalmethode-token, factuurregels, btw-stand. | Door jou en door onze betaalprovider Stripe. |
| Productgebruik | Bezochte routes, klikgedrag, latentie, foutgebeurtenissen. | Automatisch gegenereerd bij gebruik van de dienst. |
| Klantgegevens | Naam, e-mail, telefoon, adres, ordergeschiedenis, ticketberichten van eindklanten. | Vanuit gekoppelde winkels (Shopify, e-mail, chat). |
| Communicatie | E-mails, chatberichten, AI-concepten, automatiseringsregels. | Vanuit jou, je teamleden of je eindklanten. |
Doel en grondslag
Voor iedere verwerking is er een doel en een grondslag uit artikel 6 AVG.
| Doel | Grondslag | Voorbeeld |
|---|---|---|
| Levering van de dienst | Uitvoering van de overeenkomst (art. 6 lid 1 sub b). | Inloggen, orders tonen, tickets routeren. |
| Facturatie en debiteurenbeheer | Uitvoering van de overeenkomst en wettelijke verplichting (art. 6 lid 1 sub b en c). | Factuur sturen, btw aangeven, aanmaning verzenden. |
| Beveiliging en fraudepreventie | Gerechtvaardigd belang (art. 6 lid 1 sub f). | Inlogpogingen monitoren, accountmisbruik detecteren. |
| Productverbetering | Gerechtvaardigd belang (art. 6 lid 1 sub f). | Geaggregeerde gebruiksstatistieken zonder herleidbare inhoud. |
| Klantcommunicatie over de dienst | Gerechtvaardigd belang (art. 6 lid 1 sub f) en, waar vereist, toestemming (art. 6 lid 1 sub a). | Storingsmelding, beveiligingsupdate, productnieuwsbrief (opt-in). |
| Wettelijke bewaarplicht | Wettelijke verplichting (art. 6 lid 1 sub c). | 7 jaar bewaartermijn voor facturatie volgens art. 52 lid 4 AWR. |
Bewaartermijnen
Hoe lang we gegevens bewaren, hangt af van de categorie. Korter waar het kan, langer waar het moet.
| Gegeven | Bewaartermijn | Reden |
|---|---|---|
| Accountgegevens | Duur van de overeenkomst plus 60 dagen. | Operationeel nodig; restperiode voor herstel of geschil. |
| Inlog- en auditlog | 24 maanden. | Beveiliging en fraudepreventie. |
| Factuurgegevens | 7 jaar. | Wettelijke bewaarplicht (art. 52 lid 4 AWR). |
| Productgebruikstelemetrie | 13 maanden, daarna geaggregeerd of verwijderd. | Productverbetering en capaciteitsplanning. |
| Klantgegevens (operator als verwerker) | Conform de instructies van de operator. | De operator is verantwoordelijk. |
| Back-ups | 180 dagen na verwijdering uit het actieve systeem. | Hersteltermijn na operationele fout. |
AI en geautomatiseerde besluiten
Insyte AI is het hulpmiddel dat het hardst werkt en dat de meeste vragen oproept. Hier staan de regels.
Insyte gebruikt AI-modellen om klantantwoorden te ontwerpen, automatiseringen voor te stellen en chargeback-bewijs samen te stellen. Bij elke AI-aanroep gaan de prompt en de bijbehorende context naar een door ons gekozen aanbieder en blijven daar alleen voor de duur van de aanroep. Wij geven de aanbieder contractueel geen recht om je gegevens te bewaren of voor eigen training te gebruiken.
Concepten worden nooit zelfstandig verzonden; een mens bevestigt elk bericht. Daardoor is er geen sprake van een geautomatiseerd besluit met juridisch gevolg in de zin van artikel 22 AVG.
Doorgifte buiten de EER
Onze standaard is verwerking binnen de EER. Voor de gevallen waarin dat niet kan, gebruiken wij erkende waarborgen.
Bepaalde AI-modellen draaien op infrastructuur van aanbieders buiten de EER (met name de Verenigde Staten). Voor die doorgifte gebruiken wij de Standard Contractual Clauses uit Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie, aangevuld met aanvullende technische en organisatorische maatregelen waaronder versleuteling tijdens transport en rust, en contractueel verbod op secundair gebruik. Waar mogelijk selecteren wij EU-residentie binnen het aanbod van de aanbieder.
Een transfer impact assessment is per subverwerker beschikbaar op verzoek via privacy@insyte.co.
Jouw rechten
Onder de AVG heb je een aantal rechten. Wij hanteren één afhandeltermijn van maximaal 30 dagen, met een mogelijke verlenging van 60 dagen bij complexe verzoeken.
- Recht op inzage in welke persoonsgegevens van jou worden verwerkt.
- Recht op rectificatie van onjuiste of onvolledige gegevens.
- Recht op verwijdering, voor zover de wettelijke bewaarplicht dat toelaat.
- Recht op beperking van de verwerking in bepaalde gevallen.
- Recht op overdraagbaarheid van de gegevens die je zelf hebt verstrekt, in een gangbaar formaat.
- Recht van bezwaar tegen verwerkingen die gebaseerd zijn op gerechtvaardigd belang.
- Recht om eerder gegeven toestemming in te trekken, zonder gevolg voor verwerkingen die daarvoor plaatsvonden.
- Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).
Verzoeken stuur je naar privacy@insyte.co. Wij verifiëren je identiteit voordat wij persoonsgegevens verstrekken of verwijderen. Voor verzoeken van eindklanten die hun gegevens bij een operator hebben achtergelaten, sturen wij je door naar de betreffende operator.
Beveiliging
Versleuteling tijdens transport (TLS 1.2 of hoger) en in rust (AES-256). Hashing van wachtwoorden met Argon2id. Verplichte 2FA voor de beheerder en aanbevolen voor alle teamleden. Detectie van afwijkende inlogpatronen. Periodieke penetratietests door een onafhankelijke partij. Toegang tot productiedata is alleen mogelijk vanaf goedgekeurde apparaten, met audit-logging op iedere handeling. Een uitgebreidere beschrijving staat op de beveiligingspagina.
Minderjarigen
Insyte is gericht op zakelijke gebruikers en niet op kinderen. Wij verwerken bewust geen persoonsgegevens van personen jonger dan 16 jaar. Als wij vaststellen dat dergelijke gegevens toch zijn binnengekomen, verwijderen wij ze zonder vertraging.
Wijzigingen
Wijzigingen aan deze privacyverklaring publiceren wij hier en sturen wij in samenvatting per e-mail. Materiële wijzigingen kondigen wij ten minste 30 dagen vooraf aan. Eerdere versies blijven raadpleegbaar op verzoek.
Contact
Functionaris voor gegevensbescherming en privacycontact: privacy@insyte.co. Postadres: Insyte B.V., t.a.v. Privacy, Prinsengracht 100, 1015 EA Amsterdam, Nederland.