Privacybeleid

Hoe we uw persoonsgegevens verzamelen, gebruiken en beschermen

Privacybeleid

Laatst bijgewerkt: 27 november 2025

Dit Privacybeleid legt uit hoe Cleero ("Cleero", "wij", "ons", "onze") persoonsgegevens verwerkt wanneer u onze website [object Object], onze webapplicatie op [object Object] (samen: het "Platform") gebruikt, en wanneer u op een andere manier met ons communiceert. Wij zijn toegewijd aan de bescherming van uw privacy en aan de verwerking van persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG") en de toepasselijke Belgische wetgeving inzake gegevensbescherming.

Wie Wij Zijn (Verwerkingsverantwoordelijke)

De Cleero-applicatie en -website worden beheerd door Peakdesigns CommV, handelend onder de merknaam Cleero. Voor de doeleinden die in dit Privacybeleid worden beschreven, treedt Peakdesigns CommV op als de verwerkingsverantwoordelijke voor de persoonsgegevens van gebruikers van het Platform en websitebezoekers.

Peakdesigns CommV ("Cleero")
Voortstraat 72
3580 Beringen
België
BTW: BE 0759.767.742
E-mail: [email protected]

Afhankelijk van hoe u onze diensten gebruikt, kunt u ook optreden als een onafhankelijke verwerkingsverantwoordelijke, bijvoorbeeld wanneer u persoonsgegevens van uw eigen klanten, leveranciers of werknemers uploadt of invoert in het Platform. In die gevallen bent u verantwoordelijk voor het waarborgen dat een dergelijke verwerking voldoet aan de AVG (bijvoorbeeld door uw eigen privacyverklaring aan die betrokkenen te verstrekken).

Toepassingsgebied van Dit Beleid

Dit Privacybeleid is van toepassing wanneer wij persoonsgegevens verwerken van:

  • Bezoekers van onze website cleero.be;
  • Gebruikers van ons Platform (app.cleero.be) zoals ondernemers, bedrijven, accountants en hun personeel;
  • Personen wiens gegevens zijn opgenomen in documenten en gegevens die via het Platform worden verwerkt (bijv. klanten, leveranciers, contactpersonen, werknemers);
  • Mensen die contact met ons opnemen via e-mail, supportkanalen of sociale media;
  • Potentiële klanten en nieuwsbriefabonnees.

Als u informatie wilt over hoe wij cookies en vergelijkbare technologieën gebruiken, raadpleeg dan ons aparte Cookiebeleid.

Categorieën van Persoonsgegevens

Wij verwerken de volgende categorieën persoonsgegevens, afhankelijk van uw relatie met ons en hoe u het Platform gebruikt:

Account- en Profielgegevens

  • Identificatiegegevens: voornaam, achternaam, titel;
  • Contactgegevens: e-mailadres, telefoonnummer;
  • Accountgegevens: gebruikersnaam, wachtwoord (opgeslagen in gehashte vorm), authenticatielogboeken;
  • Taalvoorkeuren en communicatievoorkeuren;
  • Bedrijfsinformatie: bedrijfsnaam, BTW-nummer, bedrijfsadres, sector, rol/functie.

Gegevens in het Platform (Bedrijfs- en Financiële Gegevens)

De kern van onze dienst is het verwerken en opslaan van bedrijfs- en financiële gegevens. Deze gegevens kunnen persoonsgegevens van u en van derden (zoals uw klanten, leveranciers en werknemers) bevatten. Voorbeelden zijn onder meer:

  • Facturen, creditnota's, offertes, aanmaningen en andere documenten;
  • Klant- en leveranciersgegevens (namen, contactgegevens, BTW-nummers, bankgegevens indien relevant);
  • Uitgaven en aankoopgegevens (inclusief geüploade bonnetjes, facturen en soortgelijke documenten);
  • Banktransactiegegevens verkregen via verbonden bankfeeds of geïmporteerde afschriften;
  • Boekhoudkundige en rapportagegegevens afgeleid van bovenstaande.

U bent verantwoordelijk voor de nauwkeurigheid, rechtmatigheid en actualiteit van de persoonsgegevens die u uploadt of invoert in het Platform. Wanneer u persoonsgegevens van derden invoert (bijv. uw klanten), moet u ervoor zorgen dat u een geldige rechtsgrond hebt om dit te doen en dat die personen passend zijn geïnformeerd. Ons Platform is niet ontworpen voor de systematische verwerking van bijzondere categorieën persoonsgegevens in de zin van artikel 9 AVG (zoals gegevens over gezondheid, religieuze overtuigingen of vakbondslidmaatschap). U dient te voorkomen dat dergelijke gevoelige gegevens in documenten of velden worden opgenomen die via het Platform worden verwerkt, tenzij dit strikt noodzakelijk, rechtmatig en in overeenstemming is met uw eigen verplichtingen als verwerkingsverantwoordelijke.

Technische en Gebruiksgegevens

  • IP-adres, browsertype en -versie, besturingssysteem, apparaatinformatie;
  • Datum en tijd van toegang, bezochte pagina's, uitgevoerde acties binnen de applicatie (auditlogboeken), geschatte locatie (op basis van IP-adres);
  • Cookie-identificatoren en vergelijkbare tracking-identificatoren (zoals beschreven in ons Cookiebeleid);
  • Loggegevens met betrekking tot prestaties, fouten en beveiligingsgebeurtenissen.

Communicatie- en Supportgegevens

  • Inhoud van e-mails en berichten die u naar ons stuurt (bijv. supportverzoeken, feedback, klachten);
  • Metadata van supporttickets (tijdstempels, interne notities met betrekking tot uw verzoek);
  • Gespreksnotities (als u telefonisch contact met ons opneemt) voor zover noodzakelijk om uw verzoek af te handelen.

Marketing- en Prospectgegevens

  • Nieuwsbriefabonnementsgegevens (naam, e-mail, taal en interesses, indien verstrekt);
  • Informatie die u verstrekt bij evenementen of via formulieren (bijv. leadformulieren, demoverzoeken);
  • Voorkeuren met betrekking tot het ontvangen van marketingcommunicatie.

Doeleinden en Rechtsgronden van Verwerking

Wij verwerken persoonsgegevens voor de hieronder vermelde doeleinden en vertrouwen op de volgende rechtsgronden onder de AVG:

Leveren en Beheren van het Platform

Wij verwerken persoonsgegevens om:

  • Gebruikersaccounts en organisaties aan te maken en te beheren;
  • Facturering, kostenbeheer en gerelateerde boekhoudkundige functies te bieden;
  • Documenten (bijv. facturen, aanmaningen, offertes) te versturen via e-mail of via Peppol;
  • Verbinding te maken met bankpartners om transacties te synchroniseren (alleen met uw expliciete toestemming en autorisatie);
  • Bankafschriften en boekhoudkundige documenten van externe aanbieders te importeren en af te stemmen wanneer u deze integraties activeert;
  • Samenwerking met accountants of andere geautoriseerde gebruikers mogelijk te maken;
  • Klantenondersteuning en incidentbeheer te bieden.

Rechtsgrond: Artikel 6(1)(b) AVG (uitvoering van een overeenkomst) en, wanneer u optreedt als vertegenwoordiger van een bedrijf, ons gerechtvaardigd belang om te communiceren met onze klanten en gebruikers (Artikel 6(1)(f) AVG).

Naleving van Wettelijke Verplichtingen

Wij verwerken persoonsgegevens om te voldoen aan wettelijke verplichtingen, met name onder de Belgische boekhoudkundige, fiscale en antiwitwaswetgeving. Dit omvat:

  • Bewaring van boekhoudkundige documenten en gegevens voor de wettelijk vereiste periode (doorgaans 7–10 jaar, afhankelijk van de specifieke verplichting);
  • Het verstrekken van informatie aan bevoegde autoriteiten wanneer wij daartoe wettelijk verplicht zijn;
  • Het implementeren van maatregelen om fraude, misbruik en witwassen te voorkomen, waar van toepassing.

Rechtsgrond: Artikel 6(1)(c) AVG (naleving van een wettelijke verplichting).

KYC en Risicocontroles

Voor bepaalde organisaties en gebruikssituaties (bijvoorbeeld in het kader van Peppol-connectiviteit, bankintegraties of abonnementsfacturering) kunnen wij Know Your Customer (KYC) en gerelateerde risicocontroles uitvoeren met behulp van gespecialiseerde externe aanbieders. Dit omvat doorgaans het verifiëren van organisatiegegevens en, indien van toepassing, informatie over vertegenwoordigers of contactpersonen.

Wanneer u een KYC-proces start, wordt u doorgestuurd naar een veilige verificatieomgeving die wordt beheerd door een dergelijke aanbieder. In die omgeving kunnen ze u vragen om identiteitsinformatie te verstrekken, inclusief afbeeldingen van uw identiteitsdocument (bijvoorbeeld een identiteitskaart of paspoort), selfie-foto's of korte video's voor levendigheidscontroles, en andere gegevens die nodig zijn om uw identiteit en rol te bevestigen. Dit bewijsmateriaal (dat biometrische gegevens kan bevatten zoals gezichtstemplates of levendigheidsignalen) wordt verzameld en opgeslagen op de infrastructuur van die verificatieaanbieder onder hun eigen voorwaarden en privacyverklaring. Wij ontvangen de uitkomst en relevante statusinformatie (bijvoorbeeld of de verificatie succesvol was, aanvullende informatie nodig heeft of is afgewezen), samen met beperkte metadata die nodig zijn om het resultaat aan uw organisatie en account te koppelen, maar wij slaan de ruwe identiteitsdocumenten of selfie-afbeeldingen niet systematisch op in onze eigen systemen.

Wanneer u personen aan KYC-controles onderwerpt als onafhankelijke verwerkingsverantwoordelijke (bijvoorbeeld uw eigen directeuren of vertegenwoordigers), bent u verantwoordelijk voor het waarborgen dat er een passende rechtsgrond is voor de verwerking (inclusief expliciete toestemming voor biometrische gegevens waar dit wettelijk vereist is) en dat die personen adequate informatie ontvangen over het gebruik van KYC-aanbieders en de mogelijke verwerking van biometrische identificatoren.

Rechtsgrond: Ons gerechtvaardigd belang bij het beschermen van onze diensten en het voldoen aan contractuele en regelgevende vereisten (Artikel 6(1)(f) AVG), en, wanneer controles wettelijk of door onze financiële partners vereist zijn, Artikel 6(1)(c) AVG (wettelijke verplichting).

Beveiliging, Fraudepreventie en Serviceverbetering

Wij verwerken technische en gebruiksgegevens om:

  • Het Platform en de onderliggende infrastructuur te beveiligen (bijv. monitoring, toegangslogboeken, anomaliedetectie);
  • (Pogingen tot) misbruik, fraude of beveiligingsincidenten te voorkomen, detecteren en onderzoeken;
  • De prestaties en betrouwbaarheid van het Platform te monitoren;
  • Bestaande functies te verbeteren en optimaliseren en nieuwe te ontwikkelen (bijv. door geanonimiseerde of geaggregeerde gebruiksgegevens te analyseren).

Rechtsgrond: Ons gerechtvaardigd belang om onze diensten veilig, betrouwbaar en voortdurend verbeterend te houden (Artikel 6(1)(f) AVG).

Marketing en Communicatie

Wij kunnen uw contactgegevens gebruiken om:

  • Dienstgerelateerde communicatie te verzenden (bijv. wijzigingen aan het Platform, beveiligingswaarschuwingen, belangrijke updates);
  • Nieuwsbrieven en marketingcommunicatie over Cleero, nieuwe functies en aanbiedingen te verzenden;
  • U uit te nodigen voor enquêtes, webinars of evenementen.

Rechtsgrond:

  • Voor dienstgerelateerde en transactionele communicatie: ons gerechtvaardigd belang en/of uitvoering van een overeenkomst (Artikel 6(1)(b) en (f) AVG);
  • Voor elektronische direct marketing naar niet-klanten: uw voorafgaande toestemming (Artikel 6(1)(a) AVG en toepasselijke e-privacyregels);
  • Voor marketing naar bestaande klanten over vergelijkbare diensten: ons gerechtvaardigd belang, met een gemakkelijke opt-out in elk bericht (Artikel 6(1)(f) AVG).

Behandelen van Verzoeken, Vragen en Klachten

Wanneer u contact met ons opneemt (bijv. via [email protected] of via de in-app support), verwerken wij de informatie die u verstrekt om te reageren en uw verzoek op te volgen.

Rechtsgrond: Ons gerechtvaardigd belang om uw vragen te beantwoorden en ondersteuning te bieden (Artikel 6(1)(f) AVG) en, indien van toepassing, uitvoering van een overeenkomst (Artikel 6(1)(b) AVG).

Op Toestemming Gebaseerde Verwerking

Wanneer wij vertrouwen op uw toestemming (bijv. voor bepaalde cookies, voor specifieke marketingcommunicatie, of wanneer uitzonderlijk gevoelige gegevens zouden worden verwerkt), kunt u die toestemming te allen tijde intrekken.

Rechtsgrond: Artikel 6(1)(a) AVG (toestemming). Intrekking van toestemming laat de rechtmatigheid van verwerking op basis van toestemming vóór de intrekking onverlet.

Peppol en Bankintegraties

Peppol E-Facturering

Cleero ondersteunt het verzenden en ontvangen van e-facturen via het Peppol-netwerk. Wanneer u Peppol inschakelt in uw organisatie-instellingen, verwerken wij persoonsgegevens die in uw facturen en registratiegegevens voorkomen om documenten via de Peppol-infrastructuur te leveren en te ontvangen.

Dit omvat:

  • Het delen van factuurgegevens (inclusief mogelijke persoonsgegevens van contactpersonen) met onze Peppol-toegangspuntaanbieder en het Peppol-eindpunt van de ontvanger;
  • Het verwerken van identificatoren zoals uw Peppol-ID, BTW-nummer en organisatiegegevens;
  • Het ontvangen van statusupdates en leveringsrapporten van het Peppol-netwerk.

Rechtsgrond: Uitvoering van de overeenkomst (Artikel 6(1)(b) AVG) en naleving van wettelijke verplichtingen met betrekking tot e-facturering.

Bankverbindingen

Als u uw bankrekening verbindt of bankfeeds inschakelt, ontvangen wij transactiegegevens van de geselecteerde rekeningen via beveiligde bank-API's of bestanden die u uploadt. Deze gegevens kunnen transactiebeschrijvingen bevatten met persoonsgegevens.

Wij gebruiken deze gegevens om:

  • Banktransacties te synchroniseren en af te stemmen met uw facturen en uitgaven;
  • Bankafschriften en gerelateerde boekhoudkundige documenten van aanbieders zoals Codabox te importeren en te verwerken, als u deze verbindingen inschakelt;
  • Financiële overzichten en rapporten binnen het Platform te genereren;
  • U te ondersteunen bij uw boekhouding en samenwerking met uw accountant.

Rechtsgrond: Uitvoering van de overeenkomst (Artikel 6(1)(b) AVG) en naleving van toepasselijke financiële en boekhoudkundige verplichtingen (Artikel 6(1)(c) AVG).

Gegevensdeling en Ontvangers

Wij verkopen uw persoonsgegevens niet. Wij delen alleen gegevens in de volgende situaties:

Verwerkers (Dienstverleners)

Wij werken samen met zorgvuldig geselecteerde dienstverleners die persoonsgegevens namens ons verwerken ("verwerkers"), bijvoorbeeld voor:

  • Cloud hosting en infrastructuur;
  • Database back-up en monitoring;
  • E-mailbezorging en tracking voor transactionele en notificatie-e-mails (bijvoorbeeld via aanbieders zoals Postmark, die bezorging, opening, bounce en klachtgebeurtenissen verwerken);
  • Betalingsverwerking voor abonnementen (bijvoorbeeld via aanbieders zoals Mollie);
  • Analytics, foutopsporing en logging;
  • Klantenondersteuningtools;
  • OCR- en documentverwerkingsaanbieders die worden gebruikt om gegevens uit facturen en bonnetjes te extraheren (bijvoorbeeld Google Cloud Document AI en Google Cloud Storage in EU-regio's);
  • Peppol-toegangspuntaanbieders en gerelateerde e-factureringsinfrastructuur;
  • Bankconnectiviteitsaanbieders (bijvoorbeeld Ponto) en bankafschrift-/documentaanbieders (bijvoorbeeld Codabox), waar u deze integraties inschakelt;
  • Identiteitsverificatie-, KYC- en complianceaanbieders die wij gebruiken om organisaties en, indien relevant, hun vertegenwoordigers in specifieke gevallen te verifiëren. In die flows kunnen deze aanbieders identiteitsdocumenten en biometrisch bewijs (zoals ID-kaartscans en selfies) verzamelen en hosten in hun eigen omgevingen terwijl ze verificatieresultaten en beperkte metadata met ons delen.

Deze verwerkers mogen persoonsgegevens alleen verwerken volgens onze gedocumenteerde instructies, binnen het kader van een verwerkersovereenkomst zoals vereist door Artikel 28 AVG. Ze mogen de gegevens niet gebruiken voor hun eigen doeleinden.

Accountants en Andere Geautoriseerde Gebruikers

U kunt accountants, collega's of andere derden uitnodigen voor uw organisatie of specifieke documenten met hen delen via het Platform. In dat geval bepaalt u welke gegevens worden gedeeld en met wie. U bent verantwoordelijk voor het waarborgen dat een dergelijke deling rechtmatig is en, waar nodig, gedekt wordt door een passende overeenkomst tussen u en die derde partij.

Door U Geconfigureerde Integraties en Webhooks

U kunt ervoor kiezen om Cleero te verbinden met andere softwaretools (bijvoorbeeld boekhoudkundige, CRM- of betalingsapplicaties) of om uitgaande webhooks te configureren die gebeurtenissen van Cleero naar URL's sturen die u beheert. Wanneer u deze integraties activeert, zullen wij de gegevens die u selecteert (zoals document-, klant- of transactiegegevens) namens u naar die derden verzenden. Die derden verwerken de gegevens onder hun eigen voorwaarden en privacybeleid, en u bent verantwoordelijk voor het configureren en onderhouden van die integraties op een AVG-conforme manier. Voor sommige integraties (bijvoorbeeld Codabox "Sales Invoice – Copy to Accountant") kunt u afzonderlijke voorwaarden rechtstreeks met de integratieaanbieder accepteren. In die gevallen kan die aanbieder optreden als een onafhankelijke verwerkingsverantwoordelijke voor de verwerking die hij onder zijn eigen voorwaarden uitvoert en is hij verantwoordelijk voor zijn eigen naleving van de wetgeving inzake gegevensbescherming.

Autoriteiten en Wettelijke Verplichtingen

Wij kunnen persoonsgegevens openbaar maken aan overheidsinstanties, toezichthouders, wetshandhavingsinstanties of rechtbanken wanneer dit wettelijk vereist is of wanneer wij te goeder trouw van mening zijn dat een dergelijke openbaarmaking redelijkerwijs noodzakelijk is om te voldoen aan juridische processen, om op claims te reageren, of om onze rechten, gebruikers of het publiek te beschermen.

Bedrijfsoverdrachten

In het kader van een bedrijfstransactie (bijv. fusie, overname, herstructurering) kunnen persoonsgegevens worden openbaar gemaakt aan de relevante derden die bij de transactie betrokken zijn, onder voorbehoud van passende vertrouwelijkheidswaarborgen.

Internationale Doorgiften

In principe streven wij ernaar om persoonsgegevens binnen de Europese Economische Ruimte (EER) op te slaan en te verwerken. Als persoonsgegevens worden doorgegeven aan landen buiten de EER die geen adequaat beschermingsniveau bieden, zorgen wij ervoor dat er passende waarborgen aanwezig zijn, zoals de Standaardcontractbepalingen van de Europese Commissie of een ander mechanisme dat door de AVG wordt erkend.

Gegevensbewaring

Wij bewaren persoonsgegevens niet langer dan nodig is voor de doeleinden die in dit Privacybeleid worden beschreven, tenzij een langere bewaartermijn wettelijk vereist of toegestaan is. In het bijzonder:

  • Boekhoudkundige en financiële gegevens (inclusief facturen, ondersteunende documenten en banktransacties): bewaard voor de periode die vereist is door de Belgische boekhoudkundige en fiscale wetgeving (doorgaans 7–10 jaar na het einde van het boekjaar);
  • Accountgegevens: bewaard zolang uw account actief is. Na sluiting bewaren wij beperkte informatie voor een redelijke periode (bijv. tot 3 jaar) voor juridische claims en administratie, en zolang dit wettelijk vereist is;
  • Support- en correspondentiegegevens: bewaard voor de duur die nodig is om uw verzoek af te handelen en voor een redelijke periode daarna voor bewijs en kwaliteitsborging (bijv. tot 3 jaar, tenzij een geschil een langere bewaring vereist);
  • Marketinggegevens: bewaard totdat u uw toestemming intrekt of bezwaar maakt tegen de verwerking, of totdat wij vaststellen dat de gegevens niet langer nauwkeurig of relevant zijn;
  • Technische logboeken: bewaard voor beveiligings- en operationele doeleinden, doorgaans tussen enkele weken en maximaal 12 maanden, tenzij een langere periode vereist is in het kader van een incident of wettelijke verplichting.

Na de toepasselijke bewaartermijnen worden persoonsgegevens verwijderd of onomkeerbaar geanonimiseerd zodat personen niet langer identificeerbaar zijn.

Uw Rechten Onder de AVG

Onder voorbehoud van de voorwaarden en beperkingen onder de AVG, heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

  • Recht op toegang: u kunt bevestiging vragen of wij uw persoonsgegevens verwerken en een kopie van die gegevens verkrijgen;
  • Recht op rectificatie: u kunt correctie vragen van onjuiste of onvolledige persoonsgegevens;
  • Recht op wissing: u kunt verwijdering van uw persoonsgegevens vragen in bepaalde omstandigheden (bijv. als de gegevens niet langer nodig zijn, als u toestemming intrekt en er geen andere rechtsgrond is, of als de verwerking onrechtmatig is);
  • Recht op beperking: u kunt vragen dat wij de verwerking beperken in bepaalde situaties (bijv. terwijl wij een bezwaar beoordelen of de nauwkeurigheid verifiëren);
  • Recht op gegevensoverdraagbaarheid: voor gegevens die u aan ons heeft verstrekt en die wij geautomatiseerd verwerken op basis van toestemming of een overeenkomst, kunt u een gestructureerde, algemeen gebruikte en machineleesbare kopie aanvragen, of ons vragen deze naar een andere verwerkingsverantwoordelijke over te dragen waar dit technisch haalbaar is;
  • Recht op bezwaar: u kunt bezwaar maken, op gronden die verband houden met uw specifieke situatie, tegen verwerking op basis van onze gerechtvaardigde belangen. U kunt altijd bezwaar maken tegen verwerking voor direct marketing zonder enige reden;
  • Recht om toestemming in te trekken: wanneer verwerking is gebaseerd op uw toestemming, kunt u die toestemming te allen tijde intrekken, zonder afbreuk te doen aan de rechtmatigheid van verwerking vóór intrekking.

U kunt deze rechten uitoefenen door contact met ons op te nemen via [email protected]. Wij kunnen u om aanvullende informatie vragen om uw identiteit te bevestigen waar nodig. Wij streven ernaar om binnen een maand na ontvangst van uw verzoek te reageren, in overeenstemming met Artikel 12 AVG.

Rechten van Betrokkenen met Betrekking tot Door U Beheerde Gegevens

Als u een klant van Cleero bent en u persoonsgegevens van derden in het Platform opslaat (bijv. uw eigen klanten, leveranciers of werknemers), treedt u op als een onafhankelijke verwerkingsverantwoordelijke voor die gegevens. Eventuele verzoeken van betrokkenen die deze personen bij ons indienen met betrekking tot dergelijke gegevens, zullen, waar passend, aan u worden doorgestuurd. U bent verantwoordelijk voor het afhandelen van die verzoeken in overeenstemming met de AVG.

Beveiliging van Persoonsgegevens

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of toegang. Deze maatregelen omvatten onder meer:

  • Versleutelde verbindingen (HTTPS/TLS) tussen uw browser en ons Platform;
  • Versleuteling van data at rest voor kerninfrastructuur waar van toepassing;
  • Toegangscontroles en authenticatiemechanismen, inclusief ondersteuning voor sterke wachtwoorden en aanvullende beveiligingsmaatregelen;
  • Rolgebaseerde toegang binnen onze organisatie zodat alleen geautoriseerd personeel toegang heeft tot gegevens op need-to-know basis;
  • Regelmatige back-ups en mechanismen voor disaster recovery;
  • Monitoring, logging en waarschuwingen om ongebruikelijke activiteit te detecteren;
  • Interne beleidslijnen en personeelstraining over gegevensbescherming en vertrouwelijkheid.

Wij passen ook geautomatiseerde routines en geplande taken toe om onze bewaartermijnen af te dwingen en om soft-deletion en obfuscatie te implementeren waar passend, in overeenstemming met onze wettelijke verplichtingen.

Ondanks deze maatregelen kan geen enkel systeem volledig veilig zijn. Als u vermoedt dat uw persoonsgegevens zijn misbruikt, verloren zijn gegaan of ongeautoriseerd zijn geopend, neem dan onmiddellijk contact met ons op via [email protected].

Datalekken

In het geval van een datalek zullen wij de potentiële risico's voor personen beoordelen en, waar wettelijk vereist, de Belgische Gegevensbeschermingsautoriteit en, indien van toepassing, de getroffen personen op de hoogte stellen, in overeenstemming met de Artikelen 33 en 34 AVG.

Kinderen

Het Platform is niet bedoeld voor gebruik door kinderen onder de 18 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen onder de 18 jaar. Als wij er achter komen dat wij dergelijke gegevens hebben verzameld, zullen wij stappen ondernemen om deze te verwijderen.

Wijzigingen in Dit Privacybeleid

Wij kunnen dit Privacybeleid van tijd tot tijd wijzigen, bijvoorbeeld om wijzigingen in de wetgeving of in onze diensten weer te geven. De meest recente versie is altijd beschikbaar op https://cleero.be en binnen het Platform. Wanneer wijzigingen belangrijk zijn, zullen wij een duidelijke kennisgeving verstrekken (bijvoorbeeld via e-mail of een in-app notificatie).

Vragen en Klachten

Als u vragen heeft over dit Privacybeleid of over hoe wij persoonsgegevens verwerken, of als u uw rechten wilt uitoefenen, kunt u contact met ons opnemen via:

E-mail: [email protected]

U heeft ook het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit. In België is dit de Gegevensbeschermingsautoriteit:

Gegevensbeschermingsautoriteit (GBA) / Autorité de protection des données (APD)
Drukpersstraat 35, 1000 Brussel, België
Website: www.gegevensbeschermingsautoriteit.be

Bijlage – Gegevensverwerkingsvoorwaarden (Verwerkingsverantwoordelijke–Verwerker)

Deze Bijlage is van toepassing wanneer wij, in het kader van het leveren van het Platform, persoonsgegevens verwerken als een verwerker namens u als verwerkingsverantwoordelijke in de zin van de AVG. Het maakt deel uit van de overeenkomst tussen u en Cleero en wordt door verwijzing opgenomen in onze Servicevoorwaarden en dit Privacybeleid.

Onderwerp, Duur en Aard van Verwerking

  • Onderwerp: verwerking van persoonsgegevens opgenomen in Klantgegevens die u uploadt of genereert in het Platform (zoals facturen, uitgaven, banktransacties en contactgegevens) met als doel het leveren en ondersteunen van de Cleero-diensten.
  • Duur: voor de duur van uw abonnement of contractuele relatie met ons, plus eventuele bewaartermijn vereist door de wet of het contract zoals beschreven in dit Privacybeleid en onze Servicevoorwaarden.
  • Aard en doel: hosting, opslag, organisatie, bekijken, gebruik, overdracht en andere bewerkingen op persoonsgegevens zoals nodig om het Platform te leveren, onderhouden, beveiligen en verbeteren, om ondersteuning te bieden en om te voldoen aan toepasselijke wettelijke verplichtingen.
  • Types persoonsgegevens: zoals beschreven in Secties 3 en 5 van dit Privacybeleid (bijv. identificatie- en contactgegevens, financiële en transactiegegevens, gegevens in documenten, technische en gebruiksgegevens waar relevant).
  • Categorieën betrokkenen: uw vertegenwoordigers en personeel, uw klanten en leveranciers, en andere personen wiens gegevens zijn opgenomen in de Klantgegevens die u via het Platform verwerkt.

Rollen en Instructies

  • U treedt op als verwerkingsverantwoordelijke met betrekking tot Klantgegevens die in het Platform worden verwerkt voor uw eigen zakelijke doeleinden.
  • Cleero treedt op als verwerker voor dergelijke Klantgegevens en zal deze alleen verwerken op uw gedocumenteerde instructies, die voornamelijk zijn uiteengezet in onze Servicevoorwaarden, dit Privacybeleid, uw configuratie van het Platform en eventuele schriftelijke instructies die u redelijkerwijs van tijd tot tijd aan ons verstrekt (voor zover consistent met het contract en technische mogelijkheden).
  • Als wij verplicht zijn door EU- of lidstaatrecht om persoonsgegevens te verwerken buiten uw instructies, zullen wij u informeren over die wettelijke vereiste vóór verwerking (tenzij dat recht dergelijke informatie verbiedt om belangrijke redenen van algemeen belang).

Vertrouwelijkheid en Beveiliging

  • Wij zorgen ervoor dat personen die gemachtigd zijn om persoonsgegevens namens ons te verwerken, gebonden zijn door een passende vertrouwelijkheidsplicht (contractueel of wettelijk).
  • Wij implementeren passende technische en organisatorische maatregelen om persoonsgegevens te beschermen zoals beschreven in Sectie 11 (Beveiliging van Persoonsgegevens) van dit Privacybeleid, rekening houdend met de stand van de techniek, implementatiekosten en de aard, omvang, context en doeleinden van verwerking.

Subverwerkers

  • Wij kunnen subverwerkers (andere verwerkers) inschakelen om persoonsgegevens namens ons te verwerken voor de doeleinden beschreven in dit Privacybeleid (bijvoorbeeld hostingproviders, e-mailbezorging, betalingsverwerkers, bankconnectiviteitsaanbieders, OCR/documentverwerkingsaanbieders, Peppol-toegangspunten en KYC-aanbieders).
  • Wij zullen schriftelijke overeenkomsten aangaan met dergelijke subverwerkers die gegevensbeschermingsverplichtingen opleggen die niet minder beschermend zijn dan die uiteengezet in deze Bijlage, zoals vereist door Artikel 28(4) AVG.
  • Wij blijven jegens u verantwoordelijk voor de prestaties van onze subverwerkers met betrekking tot de verplichtingen onder deze Bijlage.

Bijstand en Verzoeken van Betrokkenen

  • Rekening houdend met de aard van de verwerking en de informatie die voor ons beschikbaar is, zullen wij u, op verzoek, redelijke bijstand verlenen bij het vervullen van uw verplichtingen om te reageren op verzoeken van betrokkenen die hun rechten onder de AVG uitoefenen (bijvoorbeeld toegang, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar).
  • Wanneer een betrokkene rechtstreeks contact met ons opneemt met betrekking tot gegevens die u beheert, zullen wij, waar passend, hen naar u doorverwijzen of u op de hoogte stellen zodat u het verzoek kunt afhandelen, tenzij wij wettelijk verplicht zijn om rechtstreeks te reageren.

Bijstand bij Beveiliging, Datalekken en DPIA's

  • Rekening houdend met de aard van de verwerking en de informatie die voor ons beschikbaar is, zullen wij u redelijke bijstand verlenen bij het waarborgen van naleving van uw verplichtingen onder de Artikelen 32 tot 36 AVG (beveiliging van verwerking, meldingen van datalekken, gegevensbeschermingseffectbeoordelingen en voorafgaand overleg), voor zover dergelijke verplichtingen betrekking hebben op de verwerking die wij namens u uitvoeren.
  • Wij zullen u onverwijld op de hoogte stellen nadat wij kennis hebben gekregen van een datalek dat Klantgegevens betreft, in overeenstemming met Sectie 12 van dit Privacybeleid, en u informatie verstrekken die redelijkerwijs vereist is om aan uw wettelijke verplichtingen te voldoen.

Verwijdering of Teruggave van Gegevens

  • Bij beëindiging of afloop van uw abonnement of op uw schriftelijk verzoek, zullen wij de persoonsgegevens die namens u zijn verwerkt verwijderen of aan u teruggeven, in overeenstemming met onze gegevensbewaaractiviteiten beschreven in Sectie 8 van dit Privacybeleid en onze Servicevoorwaarden, tenzij een langere bewaartermijn wettelijk vereist is.
  • Wij kunnen kopieën van persoonsgegevens bewaren voor zover vereist voor naleving van wettelijke verplichtingen, voor bewijs in geval van juridische claims, of zoals anderszins toegestaan door het toepasselijke recht, in welk geval dergelijke gegevens zullen worden behandeld in overeenstemming met dit Privacybeleid.

Internationale Doorgiften

Wanneer wij of onze subverwerkers persoonsgegevens doorgeven aan een land buiten de EER dat geen adequaat beschermingsniveau biedt, zullen wij ervoor zorgen dat een dergelijke doorgifte wordt gedekt door passende waarborgen onder Hoofdstuk V AVG, zoals de Standaardcontractbepalingen van de Europese Commissie of een ander doorgiftemechanisme erkend door de Europese Commissie.

Audits en Informatie

  • Wij zullen aan u alle informatie beschikbaar stellen die redelijkerwijs noodzakelijk is om naleving van de verplichtingen uiteengezet in Artikel 28 AVG en deze Bijlage aan te tonen, bijvoorbeeld door documentatie of beveiligingssamenvatting te verstrekken en, waar passend, te reageren op redelijke vragenlijsten.
  • Waar wettelijk vereist en onder voorbehoud van redelijke kennisgeving, vertrouwelijkheids- en beveiligingsvereisten, kunt u (of een onafhankelijke auditor gemandateerd door u) audits of inspecties uitvoeren van onze relevante verwerkingsactiviteiten, beperkt tot wat noodzakelijk is om naleving van deze Bijlage en Artikel 28 AVG te verifiëren. De omvang, timing en praktische modaliteiten van dergelijke audits zullen van tevoren worden overeengekomen, en audits zullen worden uitgevoerd op een manier die de verstoring van onze activiteiten minimaliseert.