Privacy & Gegevensverwerking

Onesurance behandelt privacy als een fundamenteel recht. We verwerken persoons- en verzekeringsgegevens conform de AVG met volledige transparantie, verantwoording en respect voor individuele rechten.

Kernprincipes: Privacy by Design • Transparantie • Verantwoordingsplicht

AVG Compliance

Functionaris Gegevensbescherming (FG)

Contact: dpo@onesurance.ai

Verantwoordelijkheden:

• Monitoring AVG compliance

• Advies over DPIA's

• Training en awareness medewerkers

• Contactpunt voor Autoriteit Persoonsgegevens (AP)

• Behandeling verzoeken betrokkenen

Status: Gecertificeerd, onafhankelijk, rapporteert aan directie

Wettelijke Grondslagen

We verwerken persoonsgegevens alleen met geldige rechtsbasis:

✓ Contractuele noodzaak - Uitvoering contract met klanten
✓ Gerechtvaardigd belang - Dienstverlening, security, fraud prevention
✓ Wettelijke verplichting - Wet- en regelgeving
✓ Toestemming - Specifieke gevallen (marketing, optionele features)

AVG Principes in Praktijk

• Rechtmatigheid & transparantie - Duidelijke communicatie over datagebruik

• Doelbinding - Data alleen voor specifieke, legitieme doelen

• Minimale verwerking - Alleen noodzakelijke gegevens verzameld

• Juistheid - Mechanismes voor correctie onjuiste gegevens

• Opslagbeperking - Gedefinieerde retentieperiodes, automatische verwijdering

• Integriteit & vertrouwelijkheid - Encryptie, toegangscontroles, monitoring

• Verantwoordingsplicht - Demonstreerbare compliance via documentatie & audits

Rechten van Betrokkenen

We respecteren en faciliteren alle AVG-rechten. Response tijd: binnen 1 maand

Contact: dpo@onesurance.ai
Identificatie: Kopie ID vereist voor identiteitsverificatie
Kosten: Eerste aanvraag gratis

Gegevensverwerking

Verwerkingsdoelen

We verwerken persoonsgegevens voor:

• Uitvoering van onze SaaS dienstverlening

• Customer support en product development

• Security en compliance

• Analytics (geanonimiseerd)

Gedetailleerde informatie over verwerkingsactiviteiten en datacategorieën is beschikbaar in onze Data Processing Agreement (DPA) en op aanvraag bij dpo@onesurance.ai.

Bewaartermijnen

Data Protection Impact Assessment (DPIA)

Wanneer Uitgevoerd

• Nieuwe technologie met hoog privacyrisico

• Grootschalige verwerking bijzondere categorieën

• Systematische monitoring

• Geautomatiseerde besluitvorming

Onze DPIA's

Scope: AI modellen, nieuwe verwerkingen met hoog risico
Laatste DPIA: November 2024
Uitkomst: Acceptabel risico met mitigerende maatregelen
Maatregelen: Anonymization, aggregation, human oversight
Review: Bij wijzigingen of jaarlijks

Internationale Gegevensdoorgifte

Gegevenslocatie

✓ Primair: Azure West-Europe (Nederland)
✓ Backup: Azure West-Europe (geografisch redundant binnen EU)
✗ Geen doorgifte buiten EU/EEA

Subverwerkers

Microsoft Azure:

• Locatie: EU datacenters

• Waarborgen: Standard Contractual Clauses

Andere vendors:

• Voorkeur: EU-based

• Nieuwe subverwerkers: Voorafgaande goedkeuring klant mogelijk

• Lijst beschikbaar: Op aanvraag

Privacy by Design & Default

Design Principes

✓ Proactive (niet reactief)
✓ Privacy als default setting
✓ Embedded in design (geen add-on)
✓ End-to-end security
✓ Transparantie voor gebruikers
✓ User-centric

Implementatie

• Minimization: Alleen essentiële datavelden required

• Access controls: Least privilege by default

• Encryption: Default voor gevoelige data

• Audit logging: Transparantie over data access

• Retention: Automatische verwijdering

• Portability: Export functionaliteit ingebouwd

Datalekken & Meldplicht

Detectie & Response

Monitoring: 24/7 security monitoring
Initial assessment: Binnen 4 uur na detectie
Melding AP: Binnen 72 uur (indien vereist)
Betrokkenen: Direct bij hoog risico

Meldcriteria

Melding verplicht bij:

• Waarschijnlijk risico voor rechten betrokkenen

• Mogelijk fysieke, materiële of immateriële schade

• Niet te mitigeren door maatregelen

Contact: Proactieve communicatie naar klanten bij incident

Cookies & Tracking

Cookiecategorieën

Consent management: Granular control per categorie
Withdrawal: Eenvoudig intrekken via instellingen
No selling: We verkopen nooit data aan derden

Verwerkersverantwoordelijkheid

Onesurance als Verwerker

Onze rol:

• Verwerken data alleen op instructie klant

• Assisteren bij AVG-compliance

• Faciliteren rechten betrokkenen

• Assisteren bij DPIA's

• Melden datalekken direct aan klant

Data Processing Agreement (DPA)

Status: Standaard DPA beschikbaar
Conform: Art. 28 AVG
Beschikbaar bij: Contractondertekening of op verzoek

Bevat:

• Onderwerp en duur verwerking

• Type persoonsgegevens en betrokkenen

• Beveiligingsmaatregelen

• Subverwerkers

• Audit rechten

• Verwijdering/retournering data

Register van Verwerkingsactiviteiten (ROPA)

Scope: Alle verwerkingsactiviteiten gedocumenteerd
Update: Bij nieuwe verwerkingen, minimaal jaarlijks review
Beschikbaarheid: Voor toezichthouder op verzoek

Per verwerking gedocumenteerd:

• Doeleinden en categorieën betrokkenen/data

• Ontvangers en doorgifte naar derde landen (n.v.t.)

• Bewaartermijnen

• Technische en organisatorische maatregelen

Contact & Transparantie

Functionaris Gegevensbescherming:
📧 dpo@onesurance.ai
⏱️ Response: Binnen 5 werkdagen

Talen: Nederlands en Engels
Escalatie: Directie bij onvrede met FG response

Toezichthouder

Autoriteit Persoonsgegevens (AP)
🌐 autoriteitpersoonsgegevens.nl

Betrokkenen kunnen klacht indienen bij AP indien ontevreden met onze response.

Privacy Notice

Locatie: Website, in-app, contractdocumentatie
Updates: Versiecontrole, email bij material changes
Archief: Eerdere versies beschikbaar