Privacybeleid

Dit Privacybeleid beschrijft hoe HDdev (hierna "HDdev", "wij" of "ons") de persoonsgegevens van gebruikers (hierna "u" of "de Gebruiker") van de dienst Finance.HDdev verzamelt, gebruikt, bewaart en beschermt, in overeenstemming met Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens (AVG) en de Belgische wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

Artikel 1 — Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke voor de persoonsgegevens is:

• Benaming: HDdev
• Contact-e-mail: contact@hddev.eu
• Functionaris voor gegevensbescherming (DPO): privacy@hddev.eu
• Voor de volledige juridische informatie kunt u onze juridische vermeldingen raadplegen.

Artikel 2 — Verzamelde Gegevens

2.1 Gegevens rechtstreeks verstrekt door de Gebruiker

• Inschrijvingsgegevens: e-mailadres, naam, voornaam, wachtwoord (opgeslagen in gehashte vorm);
• Profielgegevens: voorkeuren voor taal, valuta, notificatie-instellingen;
• Betaalgegevens: uitsluitend verwerkt door Stripe (HDdev slaat geen enkele bankkaartgegevens op).

2.2 Gegevens verzameld via banksynchronisatie

• Rekeninggegevens: naam van de rekening, IBAN-nummer, saldo, type rekening;
• Transactiegegevens: datum, bedrag, omschrijving, categorie, referentie van de overschrijving;
• Bankidentiteit: naam van de bankinstelling, identificatie voor de bankverbinding (uitsluitend beheerd door Bridge, niet opgeslagen door HDdev).

Belangrijk: HDdev slaat op geen enkel moment uw bankidentificatie (login, wachtwoord, toegangscodes) op. De verbinding met uw rekeningen verloopt uitsluitend via Bridge by Bankin', dienstverlener erkend door de ACPR (Autorité de Contrôle Prudentiel et de Résolution) als rekeninginformatie­dienstverlener krachtens de PSD2-richtlijn (Richtlijn (EU) 2015/2366).

2.3 Automatisch verzamelde gegevens

• Technische gegevens: IP-adres (geanonimiseerd), browsertype, besturingssysteem, schermresolutie;
• Gebruiksgegevens: bezochte pagina's, gebruikte functies, tijdstempel van acties (ter verbetering van de Dienst).

Artikel 3 — Doeleinden en Rechtsgronden van de Verwerking

Uw persoonsgegevens worden verwerkt voor de volgende doeleinden:

• Uitvoering van het contract (Art. 6.1.b AVG): aanmaak en beheer van het gebruikersaccount, levering van de financiële beheerdienst, banksynchronisatie, betalingsverwerking, klantenondersteuning.
• Toestemming (Art. 6.1.a AVG): verzending van marketingcommunicatie (nieuwsbrieven, promotie-aanbiedingen). U kunt uw toestemming op elk moment intrekken.
• Gerechtvaardigd belang (Art. 6.1.f AVG): verbetering van de Dienst, fraudedetectie en beveiliging, geanonimiseerde statistische analyse van het gebruik van de Dienst.
• Wettelijke verplichting (Art. 6.1.c AVG): bewaring van facturatiegegevens conform de Belgische fiscale wetgeving, antwoorden op vorderingen van de bevoegde autoriteiten.

Artikel 4 — Verwerkers en Ontvangers

Uw persoonsgegevens kunnen worden meegedeeld aan de volgende verwerkers, die handelen voor rekening van en volgens de instructies van HDdev:

• public.privacy.article4Li1Rich
• Stripe, Inc. (Verenigde Staten, met Europese verwerking): betalingsdienstaanbieder gecertificeerd PCI-DSS Level 1, die de veilige verwerking van betalingen per bankkaart en SEPA-domiciliëring verzorgt. Stripe is conform het EU-VS Data Privacy Framework.
• Infomaniak Network SA (Zwitserland): leverancier van e-maildiensten, die de verzending van transactionele e-mails en notificaties verzorgt. Infomaniak is onderworpen aan de Zwitserse federale wet op de gegevensbescherming (nLPD), erkend als adequaat door de Europese Commissie.

HDdev verkoopt, verhuurt en deelt uw persoonsgegevens in geen geval met derden voor reclame- of commerciële doeleinden.

Artikel 5 — Hosting en Gegevensoverdracht

De persoonsgegevens worden gehost op een infrastructuur in Europa. Er vindt geen overdracht van gegevens buiten de Europese Economische Ruimte plaats, behalve in het kader van de diensten geleverd door Stripe, dat geniet van het EU-VS Data Privacy Framework en standaardcontract­bepalingen goedgekeurd door de Europese Commissie.

Artikel 6 — Gegevensbeveiliging

HDdev voert passende technische en organisatorische maatregelen uit om uw persoonsgegevens te beschermen tegen elke ongeoorloofde toegang, wijziging, openbaarmaking of vernietiging:

• Versleuteling: alle gevoelige gegevens worden in rust versleuteld met het Fernet-algoritme (AES + HMAC) en tijdens overdracht via HTTPS/TLS;
• Wachtwoorden: uitsluitend opgeslagen in hash-vorm (bcrypt) met individuele salting;
• Toegang: toegang tot de gegevens beperkt tot uitsluitend gemachtigde medewerkers, volgens het beginsel van minimale rechten;
• Bewaking: continue monitoring van toegangen en detectie van anomalieën;
• Back-ups: regelmatige versleutelde back-ups met bedrijfscontinuïteitsplan;
• Audits: regelmatige beveiligingsevaluaties en penetratietests.

Artikel 7 — Bewaartermijn

• Accountgegevens: bewaard gedurende de hele gebruiksduur van de Dienst. In geval van verwijdering van het account worden de gegevens binnen dertig (30) dagen gewist, onder voorbehoud van wettelijke bewaarplichten.
• Facturatiegegevens: bewaard gedurende een periode van vijf (5) jaar na de laatste transactie, conform de Belgische boekhoudkundige en fiscale verplichtingen (Art. III.86 van het Wetboek van economisch recht).
• Gesynchroniseerde bankgegevens: bewaard gedurende de duur van het account. Verwijderd binnen dertig (30) dagen na ontkoppeling van de bankrekening of verwijdering van het gebruikersaccount.
• Technische logs: bewaard gedurende maximaal twaalf (12) maanden, daarna geanonimiseerd.
• Gegevens na verwijdering: na verwijdering van het account worden de gegevens die niet onder een wettelijke bewaarplicht vallen, geanonimiseerd of gewist binnen dertig (30) dagen. De gegevens die onder een wettelijke verplichting vallen (facturatie) worden gedurende vijf (5) bijkomende jaren bewaard in een beveiligd archief met beperkte toegang.

Artikel 8 — Uw Rechten

Conform de AVG en de Belgische wetgeving beschikt u over de volgende rechten op uw persoonsgegevens:

• Recht op inzage (Art. 15 AVG): bevestiging verkrijgen van de verwerking van uw gegevens en er een kopie van ontvangen;
• Recht op rectificatie (Art. 16 AVG): onjuiste of onvolledige gegevens corrigeren;
• Recht op gegevenswissing (Art. 17 AVG): de verwijdering van uw gegevens vragen, onder voorbehoud van wettelijke verplichtingen;
• Recht op overdraagbaarheid (Art. 20 AVG): uw gegevens ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat;
• Recht van bezwaar (Art. 21 AVG): zich verzetten tegen de verwerking van uw gegevens om legitieme redenen;
• Recht op beperking (Art. 18 AVG): beperking van de verwerking vragen in de gevallen voorzien door de AVG;
• Recht op intrekking van de toestemming (Art. 7.3 AVG): uw toestemming op elk moment intrekken voor de verwerkingen die daarop zijn gebaseerd;
• Recht om een klacht in te dienen: bij de Belgische Gegevensbeschermingsautoriteit (GBA) — www.gegevensbeschermingsautoriteit.be.

Om uw rechten uit te oefenen, richt u uw verzoek per e-mail aan privacy@hddev.eu en voegt u een kopie van uw identiteitsbewijs bij. Wij verbinden ons ertoe binnen een termijn van één maand vanaf de ontvangst van uw verzoek te antwoorden, conform artikel 12.3 van de AVG.

Artikel 9 — Cookies

Voor alle informatie over het gebruik van cookies op Finance.HDdev kunt u ons specifieke Cookiebeleid raadplegen.

Artikel 10 — Bescherming van Minderjarigen

De Dienst is bestemd voor personen van 16 jaar en ouder. HDdev verzamelt niet bewust persoonsgegevens van minderjarigen jonger dan 16 jaar. Indien wij vernemen dat een minderjarige jonger dan 16 jaar ons persoonsgegevens heeft verstrekt zonder de vereiste ouderlijke toestemming, zullen wij deze gegevens zo spoedig mogelijk verwijderen.

Artikel 11 — Gegevenslek

In geval van een datalek dat een risico kan inhouden voor uw rechten en vrijheden, verbindt HDdev zich ertoe de Belgische Gegevensbeschermingsautoriteit binnen 72 uur op de hoogte te brengen overeenkomstig artikel 33 van de AVG. Indien het lek waarschijnlijk een hoog risico met zich meebrengt, wordt u ook rechtstreeks geïnformeerd overeenkomstig artikel 34 van de AVG.

Artikel 12 — Wijziging van het Beleid

HDdev behoudt zich het recht voor om dit Privacybeleid op elk moment te wijzigen. Elke substantiële wijziging zal aan de Gebruikers per e-mail en/of via een melding in de Dienst worden meegedeeld, ten minste dertig (30) dagen voor de inwerkingtreding ervan. De datum van de laatste update staat onderaan deze pagina vermeld.

Artikel 13 — Contact

Voor elke vraag met betrekking tot dit Privacybeleid of de bescherming van uw persoonsgegevens kunt u contact met ons opnemen:

• Algemene e-mail: contact@hddev.eu
• Functionaris voor gegevensbescherming: privacy@hddev.eu