Privacyverklaring

    Refundely B.V. - Laatst bijgewerkt: februari 2025

    Wie zijn wij?

    Refundely B.V. is een Nederlands bedrijf dat een platform aanbiedt voor het geautomatiseerd verwerken van borgrestituties.

    Refundely B.V.

    KvK-nummer: 42037508

    Adres: Kleine-Gartmanplantsoen 11 3, 1017 RP Amsterdam

    E-mail: info@refundely.com

    Privacy vragen: privacy@refundely.com

    Onze rol: Verwerker én Verwerkingsverantwoordelijke

    Refundely heeft een dubbele rol onder de AVG:

    Als Verwerkingsverantwoordelijke

    Voor de persoonsgegevens van onze directe gebruikers (accounthouders): uw accountgegevens, inloggegevens en gebruiksstatistieken.

    Als Verwerker

    Voor de persoonsgegevens van huurders die via facturen worden verwerkt: namen, IBAN-nummers en borgbedragen. Hierbij is uw organisatie (de verhuurder) de verwerkingsverantwoordelijke.

    Zakelijke klanten sluiten een verwerkersovereenkomst met Refundely waarin de verplichtingen rondom gegevensverwerking zijn vastgelegd.

    Welke gegevens verwerken wij?

    Wij verwerken de volgende categorieën persoonsgegevens:

    1. Accountgegevens (van gebruikers)

    • E-mailadres en naam
    • Wachtwoord (gehasht, nooit in leesbare vorm)
    • Organisatie en rol binnen het team

    2. Bedrijfsgegevens

    • Bedrijfsnaam en vestigingsinformatie
    • KvK-nummer en BTW-nummer
    • IBAN van uw bedrijf (versleuteld opgeslagen)

    3. Huurdergegevens (via facturen)

    • Namen van huurders
    • IBAN-nummers (versleuteld met AES-256)
    • Borgbedragen en factuurnummers
    • E-mailadressen (indien beschikbaar voor notificaties)

    4. Gebruiksgegevens

    • Inlogmomenten en IP-adressen
    • Acties binnen het platform (audit trail)
    • Technische gegevens (browser, apparaat)

    Rechtsgronden voor verwerking (Art. 6 AVG)

    Wij verwerken persoonsgegevens op basis van de volgende rechtsgronden:

    VerwerkingRechtsgrond
    Account aanmaken en beherenUitvoering overeenkomst (Art. 6(1)(b))
    Facturen verwerken en borgen restituerenUitvoering overeenkomst (Art. 6(1)(b))
    AI-extractie van factuurgegevensUitvoering overeenkomst (Art. 6(1)(b))
    SEPA-bestanden genererenUitvoering overeenkomst (Art. 6(1)(b))
    Financiële administratie bewarenWettelijke verplichting (Art. 6(1)(c))
    Audit logs bijhoudenGerechtvaardigd belang (Art. 6(1)(f))
    Platformbeveiliging en fraudepreventieGerechtvaardigd belang (Art. 6(1)(f))
    E-mailnotificaties aan huurdersGerechtvaardigd belang verhuurder (Art. 6(1)(f))

    Gerechtvaardigd belang: Bij verwerkingen op basis van gerechtvaardigd belang hebben wij een belangenafweging gemaakt. U kunt hiertegen bezwaar maken via privacy@refundely.com.

    AI-verwerking en geautomatiseerde besluitvorming

    Refundely maakt gebruik van kunstmatige intelligentie (AI) voor het automatisch uitlezen van factuurgegevens. Hierover informeren wij u als volgt:

    AI-provider: Mistral AI (Frankrijk, EU)

    • Gegevens blijven binnen de Europese Unie
    • Mistral AI gebruikt uw gegevens niet voor het trainen van modellen
    • Verwerking vindt plaats conform AVG/GDPR

    Geen geautomatiseerde besluitvorming

    De AI ondersteunt uitsluitend bij het extraheren van gegevens uit facturen (namen, IBAN-nummers, bedragen). Er vindt geen geautomatiseerde besluitvorming plaats die rechtsgevolgen heeft voor betrokkenen. Een medewerker van uw organisatie controleert en keurt elke verwerking handmatig goed voordat een betaling wordt uitgevoerd.

    Belangrijk: De AI kan fouten maken. Gebruikers zijn verantwoordelijk voor het controleren van geëxtraheerde gegevens. Zie onze Algemene Voorwaarden voor meer informatie.

    Hoe beveiligen wij uw gegevens?

    Wij nemen de beveiliging van uw gegevens zeer serieus en hebben de volgende technische en organisatorische maatregelen getroffen:

    • Versleutelde opslag: IBAN-nummers worden versleuteld opgeslagen met AES-256-GCM encryptie. Alleen geautoriseerde gebruikers kunnen deze gegevens ontsleutelen via server-side decryptie.
    • Veilige database: Alle data wordt opgeslagen in Supabase met row-level security (RLS), SSL/TLS-encryptie voor data in transit, en encryptie at rest.
    • Toegangscontrole: Role-based access control (RBAC) zorgt ervoor dat gebruikers alleen toegang hebben tot gegevens binnen hun eigen organisatie.
    • Audit logging: Alle acties worden gelogd voor traceerbaarheid en fraudedetectie.
    • Wachtwoordbeveiliging: Wachtwoorden worden gehasht met bcrypt en nooit in leesbare vorm opgeslagen.

    Internationale gegevensoverdracht

    Wij streven ernaar gegevens binnen de EU/EER te verwerken. Voor zover gegevens buiten de EER worden verwerkt, hebben wij passende waarborgen getroffen:

    PartijLocatieWaarborg
    Mistral AIFrankrijk (EU)Binnen EU, AVG van toepassing
    SupabaseEU regio / VSEU Data Residency + Standard Contractual Clauses (SCC's)
    Vercel (hosting)EU/VSEU-first edge network + SCC's

    Wij verkopen nooit uw gegevens aan derden.

    Bewaartermijnen

    GegevensBewaartermijn
    AccountgegevensTot 30 dagen na account verwijdering
    Factuurbestanden (PDF's)30 dagen na verwerking (automatisch verwijderd)
    Geëxtraheerde factuurgegevensTot verwijdering account of op verzoek
    SEPA-export gegevens7 jaar (wettelijke bewaarplicht)
    Audit logs7 jaar (wettelijke bewaarplicht)
    Geanonimiseerde statistiekenOnbeperkt (geen persoonsgegevens)

    Uw rechten onder de AVG

    U heeft de volgende rechten met betrekking tot uw persoonsgegevens:

    • Recht op inzage (Art. 15): U kunt opvragen welke gegevens wij van u hebben
    • Recht op rectificatie (Art. 16): U kunt onjuiste gegevens laten corrigeren
    • Recht op verwijdering (Art. 17): U kunt verzoeken uw gegevens te verwijderen ("recht op vergetelheid")
    • Recht op beperking (Art. 18): U kunt de verwerking laten beperken
    • Recht op dataportabiliteit (Art. 20): U kunt uw gegevens in een gestructureerd, machineleesbaar formaat ontvangen
    • Recht van bezwaar (Art. 21): U kunt bezwaar maken tegen verwerkingen op basis van gerechtvaardigd belang

    Voor huurders (indirect betrokkenen)

    Bent u een huurder wiens gegevens via een verhuurder in ons systeem staan? Neem contact op met de verhuurder (de verwerkingsverantwoordelijke) om uw rechten uit te oefenen. Zij kunnen uw gegevens inzien, corrigeren of verwijderen via het Refundely platform.

    Om uw rechten uit te oefenen, mail naar privacy@refundely.com. Wij reageren binnen 30 dagen.

    Cookies en tracking

    Refundely maakt gebruik van de volgende cookies:

    TypeDoelBewaartermijn
    Functionele cookiesInloggen, sessie beheren, taalvoorkeurSessie / 1 jaar
    Analytische cookiesAnonieme gebruiksstatistieken26 maanden

    Wij gebruiken geen tracking cookies voor advertenties. U kunt cookies beheren via uw browserinstellingen of via onze cookie-instellingen onderaan de pagina.

    Account en gegevens verwijderen

    U kunt op elk moment uw account en alle bijbehorende gegevens verwijderen via de instellingen in uw account. Bij verwijdering worden:

    • Al uw persoonsgegevens permanent verwijderd
    • Alle geüploade facturen verwijderd
    • Alle geëxtraheerde gegevens (inclusief versleutelde IBAN-nummers) verwijderd
    • Uw SEPA-export geschiedenis verwijderd

    Uitzondering: Geanonimiseerde audit logs kunnen bewaard blijven conform wettelijke bewaarplichten (tot 7 jaar) maar bevatten geen herleidbare persoonsgegevens meer.

    Contact en klachten

    Heeft u vragen over deze privacyverklaring of wilt u een van uw rechten uitoefenen? Neem dan contact met ons op:

    E-mail: privacy@refundely.com

    Reactietijd: Binnen 30 dagen

    Bent u niet tevreden met hoe wij met uw gegevens omgaan? U heeft het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens:

    www.autoriteitpersoonsgegevens.nl

    Deze privacyverklaring kan worden gewijzigd. Bij substantiële wijzigingen informeren wij u per e-mail. Controleer regelmatig deze pagina voor de meest actuele versie.

    Zie ook onze Algemene Voorwaarden en Verwerkersovereenkomst