Privacyverklaring
1. Wie zijn wij?
Vordero is een product van Doable AI, een eenmanszaak gevestigd in Groningen, Nederland, opgericht door Vincent Smets. Doable AI is de exploitant van het Vordero-platform.
Doable AI
Groningen, Nederland
E-mail: hallo@vordero.nl
Privacy-specifieke vragen: privacy@vordero.nl
Voor vragen over deze verklaring of over de verwerking van uw persoonsgegevens kunt u contact met ons opnemen via bovenstaande e-mailadressen.
2. Verwerkingsverantwoordelijke vs. verwerker
Vordero vervult twee verschillende rollen onder de Algemene Verordening Gegevensbescherming (AVG), afhankelijk van welke gegevens het betreft:
a) Verwerkingsverantwoordelijke, voor accountgegevens van klanten (tenants)
Wanneer een bedrijf of ondernemer (de "tenant") een account aanmaakt bij Vordero, verwerken wij de contactgegevens van die tenant om de dienst te kunnen leveren. Voor deze verwerking is Doable AI de verwerkingsverantwoordelijke: wij bepalen het doel en de middelen van de verwerking.
b) Verwerker, voor gegevens die tenants invoeren over hun debiteuren
Tenants voeren zelf gegevens in over hun debiteuren (klanten van de tenant) in Vordero. Voor de verwerking van die debiteurengegevens is de tenant de verwerkingsverantwoordelijke, en is Doable AI de verwerker. Wij verwerken deze gegevens uitsluitend op instructie van de tenant, in overeenstemming met een verwerkersovereenkomst (zie artikel 10).
3. Welke gegevens verwerken wij?
Accountgegevens van tenants (als verwerkingsverantwoordelijke)
- Naam en e-mailadres van de accounthouder
- Bedrijfsnaam
- Facturatiegegevens (voor betaalde abonnementen)
Debiteurengegevens ingevoerd door tenants (als verwerker)
- Bedrijfsnaam van de debiteur
- Naam van de contactpersoon
- E-mailadres en telefoonnummer
- Adresgegevens
- Factuurbedragen, factuurnummers en vervaldatums
Technische gegevens (als verwerkingsverantwoordelijke)
- IP-adressen (uitsluitend voor beveiligings- en anti-fraudedoeleinden)
- Login-logs en sessiedata
- Technische logs van de applicatie
Wij verzamelen geen bijzondere categorieën persoonsgegevens (zoals gezondheids- of strafrechtelijke gegevens). Wij verwerken ook geen gegevens van personen jonger dan 16 jaar.
4. Grondslag voor verwerking
| Verwerking | Rechtsgrond (AVG art. 6) |
|---|---|
| Levering van de dienst aan tenants | Uitvoering van een overeenkomst (art. 6 lid 1 sub b) |
| Facturatie en betalingsverwerking | Uitvoering van een overeenkomst (art. 6 lid 1 sub b) |
| Beveiligingslogs en IP-adressen | Gerechtvaardigd belang, beveiliging platform (art. 6 lid 1 sub f) |
| Bewaring van factuurgegevens | Wettelijke verplichting, fiscale bewaarplicht (art. 6 lid 1 sub c) |
| Verwerking debiteurengegevens namens tenant | Instructie verwerkingsverantwoordelijke (tenant), AVG art. 28 |
5. Verwerkers en doorgifte buiten de EER
Voor het leveren van onze dienst maken wij gebruik van de volgende sub-verwerkers. Waar gegevens worden doorgegeven buiten de Europese Economische Ruimte (EER), hebben wij passende waarborgen getroffen in de vorm van Standaardcontractbepalingen (SCCs) zoals bedoeld in AVG art. 46 lid 2 sub c.
| Verwerker | Dienst | Locatie data | Waarborg |
|---|---|---|---|
| Supabase Inc. | Database & authenticatie | EU – Frankfurt (aws eu-central-1) | Dataresidentie EU, SOC 2 Type II, SCCs |
| Vercel Inc. | Hosting & CDN | VS (Edge: globaal) | SCCs (EU–VS Data Privacy Framework) |
| Resend Inc. | E-mailverzending (herinneringen) | VS | SCCs |
Wij geven geen persoonsgegevens door aan andere derden, tenzij wij daartoe wettelijk verplicht zijn (bijv. op vordering van een toezichthouder of rechterlijke instantie).
6. Bewaartermijnen
| Gegevenstype | Bewaartermijn |
|---|---|
| Accountgegevens van actieve tenants | Zolang het account actief is |
| Debiteurengegevens na opzegging account | 30 dagen na opzegging (exportmogelijkheid), daarna onomkeerbaar verwijderd |
| Factuur- en betalingsgegevens | 7 jaar (wettelijke fiscale bewaarplicht) |
| Beveiligingslogs | 90 dagen |
Na het verstrijken van de bewaartermijn worden gegevens veilig en onomkeerbaar verwijderd of geanonimiseerd.
7. Rechten van betrokkenen
Onder de AVG heeft u als betrokkene de volgende rechten ten aanzien van uw persoonsgegevens die wij als verwerkingsverantwoordelijke verwerken:
- Inzage, u kunt opvragen welke gegevens wij over u verwerken.
- Rectificatie, u kunt onjuiste of onvolledige gegevens laten corrigeren.
- Verwijdering, u kunt verzoeken uw gegevens te laten verwijderen ('recht op vergetelheid'), tenzij een wettelijke bewaarplicht van toepassing is.
- Beperking van verwerking, u kunt de verwerking van uw gegevens laten beperken in bepaalde omstandigheden.
- Dataportabiliteit, u kunt uw gegevens opvragen in een gestructureerd, veelgebruikt en machineleesbaar formaat.
- Bezwaar, u kunt bezwaar maken tegen verwerking op grond van gerechtvaardigd belang.
Stuur uw verzoek naar hallo@vordero.nl. Wij reageren binnen 30 dagen. Ter verificatie van uw identiteit kunnen wij om aanvullende informatie vragen.
Let op: voor gegevens die een tenant over u heeft ingevoerd als debiteur, dient u zich te wenden tot de betreffende tenant (de verwerkingsverantwoordelijke), niet tot Vordero.
8. Cookies en tracking
Vordero gebruikt uitsluitend functionele sessie-cookies die noodzakelijk zijn voor het correct functioneren van de applicatie (authenticatie en sessiebeheer via Supabase Auth).
Wij gebruiken geen trackingcookies, analytische cookies (zoals Google Analytics), advertentiecookies of vergelijkbare technologieën. Er worden geen gegevens gedeeld met advertentienetwerken.
Voor functionele cookies is geen toestemming vereist op grond van de Telecommunicatiewet (Tw) en de AVG, omdat deze strikt noodzakelijk zijn voor de werking van de dienst.
9. Beveiliging
Wij treffen passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen ongeoorloofde toegang, verlies of vernietiging:
- Versleuteling in transit: alle verbindingen verlopen via TLS 1.2 of hoger (HTTPS).
- Versleuteling at rest: databasegegevens worden versleuteld opgeslagen (AES-256 via Supabase).
- Toegangscontrole per tenant: Row Level Security (RLS) in de database zorgt ervoor dat tenants uitsluitend toegang hebben tot hun eigen gegevens.
- Authenticatie: inloggen via e-mail magic links (geen wachtwoorden opgeslagen).
- Beveiligingslogs: loginpogingen en verdachte activiteiten worden gelogd en gemonitord.
Vermoedt u een datalek of beveiligingsincident? Meld dit zo spoedig mogelijk via privacy@vordero.nl. Wij zijn verplicht datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens indien de inbreuk een risico vormt voor betrokkenen.
10. Verwerkersovereenkomst (DPA)
Tenants die onder de AVG verplicht zijn een verwerkersovereenkomst te sluiten met hun verwerkers, kunnen een standaard Data Processing Agreement (DPA) aanvragen bij Vordero.
De DPA bevat afspraken over het doel en de duur van de verwerking, de aard en het type persoonsgegevens, de verplichtingen en rechten van de verwerkingsverantwoordelijke (tenant), en de door ons ingeschakelde sub-verwerkers.
DPA aanvragen: stuur een e-mail naar hallo@vordero.nl met als onderwerp "DPA aanvraag – [uw bedrijfsnaam]".
11. Klachten
Bent u van mening dat wij uw persoonsgegevens niet conform de AVG verwerken? Dan verzoeken wij u eerst contact met ons op te nemen via hallo@vordero.nl. Wij lossen klachten graag zo snel en direct mogelijk op.
U heeft ook het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit:
Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
www.autoriteitpersoonsgegevens.nl
12. Wijzigingen in deze verklaring
Wij kunnen deze privacyverklaring van tijd tot tijd bijwerken. Bij materiële wijzigingen , dat wil zeggen wijzigingen die van wezenlijke invloed zijn op de manier waarop wij uw gegevens verwerken, informeren wij actieve tenants per e-mail voorafgaand aan de inwerkingtreding van de wijziging.
De datum van de laatste update staat altijd bovenaan deze pagina vermeld. Wij raden u aan deze verklaring periodiek te raadplegen.