Verzoeken van betrokkenen: hoe u uw AVG-rechten uitoefent als Clozo-gebruiker

De zes rechten (elke titel is het AVG-artikelnummer):

- Art. 15 — Recht op inzage: bevestigen of hun persoonsgegevens worden verwerkt en zo ja, een kopie ontvangen plus informatie over doeleinden, categorieën, ontvangers, bewaring en bron. - Art. 16 — Recht op rectificatie: onnauwkeurige gegevens zonder onnodige vertraging corrigeren. - Art. 17 — Recht op wissing ("recht om te vergeten worden"): gegevens verwijderen wanneer de rechtsgrondslag niet langer van toepassing is, met uitzonderingen (wettelijke verplichting, vrijheid van meningsuiting, algemeen belang). - Art. 18 — Recht op beperking van de verwerking: verwerking pauzeren terwijl de juistheid wordt betwist, verwerking onrechtmatig is maar de betrokkene geen wissing wenst, enz. - Art. 20 — Recht op dataportabiliteit: persoonsgegevens ontvangen in een gestructureerd, gangbaar, machineleesbaar formaat en ze overdragen aan een andere verwerkingsverantwoordelijke. - Art. 21 — Recht van bezwaar: bezwaar maken tegen verwerking op basis van gerechtvaardigd belang (Art. 6(1)(f)) of direct marketing.

Antwoorddeadline (Art. 12(3)): één maand na ontvangst. Verlengbaar met twee verdere maanden "indien nodig, rekening houdend met de complexiteit en het aantal verzoeken" — moet de betrokkene binnen de eerste maand op de hoogte stellen van de verlenging met redenen.

Vorm van reactie (Art. 12(1)): beknopt, transparant, begrijpelijk, gemakkelijk toegankelijk, eenvoudige taal. Gratis tenzij verzoeken "kennelijk ongegrond of buitensporig" zijn (Art. 12(5)).

Hoed 1 — U als betrokkene (Clozo bewaart uw gegevens).

Dit is de zelfbedieningsstroom in het product. Open /settings/privacy in Clozo. De eindpunten aan de gebruikerszijde (per BACKEND.md §3 AVG-zelfbediening) zijn:

- Uw gegevens exporteren — GET /api/v1/me/export (Art. 15 + 20). JSON-bundel met account, offertes, klanten, betalingen, handtekeningen, audit. Downloadlink verzonden per e-mail; geldig 7 dagen. - Uw account wissen — POST /api/v1/me/erasure-request → POST /api/v1/me/erasure-confirm (of POST /api/v1/me/erasure-cancel om terug te komen binnen het respijtvenster) (Art. 17). Tweefasige bevestigingsstroom met 7 dagen respijt. Na respijt voert een dagelijkse Celery beat-taak apply_pending_erasures om 02:00 UTC uit: het pseudonimiseert persoonsgegevens op de Gebruikersrij (per [A-023] — behoudt vat_number + company_name omdat EU BTW-richtlijn Art. 226(10) + Art. 244 deze vereisen op bewaarde facturen), deactiveert (verwijdert niet) de Stripe Connect-account zodat AEAT requerimientos in jaren 6–10 nog steeds via stripe_account_id kunnen worden beantwoord (per [A-022]), en schrijft een email_hmac-opzoeksleutel zodat een voormalige gebruiker jaren na anonimisering aan hun rij kan worden gekoppeld. Belastingrelevante gegevens (facturen, bonnen, ondertekende overeenkomsten) worden bewaard per artikel 11.4. - Toestemming beheren — GET /api/v1/me/consent en POST /api/v1/me/consent (Art. 7 + Art. 21). Schakel consent.advertising en consent.marketing uit in Privacy. Effect: Google Ads + GA4 server-side senders controleren deze vlaggen en stoppen met uploaden. - Verwerking beperken (Art. 18) → e-mail privacy@useclozo.com met details. Zelfbediening staat op de roadmap.

Voor rectificatie (Art. 16), bewerk het veld rechtstreeks in /settings/profile of /settings/company. De meeste rectificaties zijn instellingswijzigingen, geen formele verzoeken.

Hoed 2 — U als verwerkingsverantwoordelijke (Clozo verwerkt de gegevens van uw klanten namens u).

Wanneer uw klant u een DSR-verzoek stuurt, bent u verantwoordelijk voor de uitvoering ervan als verwerkingsverantwoordelijke voor hun gegevens. De rol van Clozo is verwerker onder de Standaard Contractuele Clausules (Module 2: Verwerkingsverantwoordelijke-naar-verwerker) opgenomen in de Clozo Voorwaarden — we bewaren de gegevens op uw instructies, maar de reactie op een DSR is uw verplichting als verwerkingsverantwoordelijke.

Er is vandaag geen in-product /clients/{id} "Privacy-acties"-paneel. Client-side DSR's worden buiten het product afgehandeld:

1. Ontvang de e-mail. Registreer de datum, de verzoekende betrokkene en het ingeroepen recht. Uw antwoorddeadline is één maand na ontvangst (Art. 12(3)). 2. Verifieer de identiteit. Vergelijk het verzoekende e-mailadres/details met de gegevens op de klantrecord. Verstrek geen persoonsgegevens aan iemand wiens identiteit u redelijkerwijs niet kunt bevestigen. 3. Stel het antwoord samen met de gegevens die Clozo al aan u blootstelt. De klantrecord (/clients/{id}) toont alles wat u over hen in Clozo heeft — naam, e-mail, land, facturatiegegevens, de offertes en facturen die aan hen zijn gekoppeld. Voor Art. 15 / Art. 20 kunt u dit kopiëren in een schriftelijk antwoord of de relevante factuur-PDF's bijvoegen. 4. Voor wisverzoeken (Art. 17), bewaar belastingrelevante gegevens. Uitgestelde facturen en ondertekende overeenkomsten zijn onveranderlijk onder EU BTW-richtlijn Art. 244 + GoBD §147 AO + nationale equivalenten. Art. 17(3)(b) AVG staat bewaring uitdrukkelijk toe voor wettelijke verplichtingen. U kunt onverzonden concepten bewerken en de klant verwijderen uit nieuwe mailings, maar de factuurinhoud (regelitems, bedragen, datums) blijft. Opmerking: per de pseudonimiseringsrichting van [A-023] zal automatische Client-rij-pseudonimisering volgen naarmate de cascade saga post-launch wordt uitgerold (3-PR-sequentiëring per [A-021]); tot dan is handmatig bewerken van onverzonden concepten de beschikbare controle. 5. E-mail de betrokkene binnen één maand. Bevestig wat u hebt gedaan, citeer het AVG-artikel en verwijs naar de rechtsgrondslag als u gedeeltelijk hebt geweigerd (bijv. belastingrelevante gegevens behouden onder Art. 17(3)(b)). 6. Hulp nodig bij het extraheren van specifieke records? E-mail privacy@useclozo.com met de verzoekgegevens. Wij zullen de gegevensexport bieden die nodig is om uw verplichting als verwerkingsverantwoordelijke te vervullen. Wij reageren niet rechtstreeks op uw klant — u blijft de verwerkingsverantwoordelijke.