Privacybeleid

1. Wie wij zijn

Clozo wordt geëxploiteerd door Andrei Diachenko, eenmanszaak (autónomo), handelend onder de naam 'Clozo' (de 'Verwerkingsverantwoordelijke' in de zin van Article 4(7) GDPR). Geregistreerd adres: Calle Covera 19, 5A, 33012 Oviedo, Asturias, Spanje. Spaans fiscaal identificatienummer (NIF/NIE): Z1579875X. EU btw-identificatienummer: ESZ1579875X. Wij zijn een platform voor offertes en facturatie voor onafhankelijke freelancers en kleine bedrijven gevestigd in de Europese Unie. Dit Privacybeleid licht toe hoe wij uw persoonsgegevens verzamelen, gebruiken, delen en beschermen overeenkomstig Regulation (EU) 2016/679 (GDPR), de ePrivacy Directive 2002/58/EC, de Spaanse Ley Orgánica 3/2018 (LOPDGDD) en de Spaanse Ley 34/2002 (LSSI-CE). Wij zijn niet verplicht een functionaris voor gegevensbescherming aan te wijzen op grond van Article 37(1) GDPR; voor privacy-aangelegenheden kunt u contact opnemen via privacy@useclozo.com. Eerdere versies van dit Privacybeleid zijn op verzoek beschikbaar.

2. Persoonsgegevens die wij verzamelen

Wij verzamelen de volgende categorieën persoonsgegevens, gegroepeerd naar doel:

• Accountgegevens: naam, e-mailadres, gehasht wachtwoord, bedrijfsnaam, btw-nummer, land van verblijf.
• Cliëntgegevens: namen, e-mailadressen, postadressen en btw-nummers van cliënten die u in Clozo invoert om te factureren. U bent de verwerkingsverantwoordelijke van deze gegevens; wij verwerken ze als uw verwerker krachtens Article 28 GDPR.
• Bedrijfsgegevens: offertes, facturen, regelitems, betalingsoverzichten, audittrails van elektronische handtekeningen en geüploade bestanden (bijvoorbeeld logo's).
• Gebruiksgegevens: bezochte pagina's, uitgevoerde acties (klikken, formulierinzendingen), browsertype en -versie, besturingssysteem, apparaattype, schermgrootte, IP-adres. Wij verwerken het volledige IP-adres uitsluitend tijdelijk — voor rate limiting, fraudepreventie en TLS-terminatie door Cloudflare. Voor analysedoeleinden wordt het land afgeleid uit het IP-adres aan de rand van Cloudflare (CF-IPCountry-header) en het IP-adres zelf wordt niet samen met het analyse-event opgeslagen. Volledige IP-adressen verschijnen uitsluitend in de beveiligingslogboeken van de applicatie en worden na 14 dagen verwijderd.
• Betalingsgegevens: abonnementsfacturatie wordt afgehandeld door Stripe — wij bewaren geen creditcardnummers, CVV of volledig PAN. Wij bewaren uitsluitend de Stripe-klantidentificatie en de factuur-/abonnementsmetadata.
• Marketingattributiegegevens: UTM-campagneparameters (utm_source, utm_medium, utm_campaign, utm_content, utm_term) worden als first-party gegevens gelezen uit de URL van de pagina waarop u binnenkwam; advertentieklik-identificatoren (gclid voor Google Ads, fbclid voor Meta, msclkid voor Microsoft Ads, ttclid voor TikTok, li_fat_id voor LinkedIn), de verwijzende URL en host, de URL van de landingspagina, een pseudonieme sessie-identificator (PostHog distinct_id) en de Google Analytics 4 client-identificator (indien gezet door de GA4-cookie) worden uitsluitend verzameld en opgeslagen nadat u via de cookiebanner toestemming heeft gegeven voor de bijbehorende categorie. Voor gebruikers die een betaling voltooien, berekenen wij tevens een SHA-256-hash van uw e-mailadres (en, indien opgegeven, uw telefoonnummer in E.164-formaat) voor identiteitsmatching op advertentieplatforms; de hash is eenwegs en kan niet worden teruggerekend tot de oorspronkelijke waarde.

3. Rechtsgrondslag voor verwerking (GDPR Article 6)

Wij baseren ons op de volgende rechtsgrondslagen, afhankelijk van het doel:

• Uitvoering van een overeenkomst — Article 6(1)(b): om de Clozo-dienst te leveren waarvoor u zich heeft aangemeld, waaronder het aanmaken van een account, authenticatie, het opstellen van offertes/facturen, de verwerking van uw abonnementsbetaling en het versturen van transactionele e-mails (welkom, betalingsbevestiging, kennisgevingen elektronische handtekening).
• Toestemming — Article 6(1)(a) GDPR + Article 5(3) ePrivacy Directive: voor elke vorm van het lezen of schrijven van identificatoren in uw eindapparatuur die verder gaat dan strikt noodzakelijk voor de levering van de dienst. Dit omvat alle productanalyses (PostHog) en alle advertentieattributie (clozo_first_gclid-cookie, GA4 client_id, Google Ads conversie-uploads). U geeft toestemming via onze cookiebanner bij het eerste bezoek en kunt deze op elk moment intrekken zonder dat dit afbreuk doet aan de rechtmatigheid van de eerdere verwerking.
• Gerechtvaardigd belang — Article 6(1)(f): voor beveiliging (fraudepreventie, rate limiting, detectie van afwijkende inlogpogingen), dienstverbetering (geaggregeerde gebruiksstatistieken die geen toegang tot eindapparatuur vereisen krachtens Article 5(3) ePrivacy Directive) en directmarketingmeting (Recital 47 GDPR) van advertentiecampagnes die wij zelf beheren. Wij hebben een gedocumenteerde Legitimate Interests Balancing Test (LIBT, op verzoek beschikbaar via privacy@useclozo.com) uitgevoerd waaruit blijkt dat (i) het meten van de effectiviteit van onze eigen marketing een reëel en noodzakelijk belang is, (ii) wij de gegevens beperken tot attributie-identificatoren en conversie-events zonder gedragsprofilering, zonder cross-site tracking en zonder doelgroepopbouw buiten onze eigen gebruikersbasis, (iii) u te allen tijde bezwaar kunt maken zonder de toegang tot de dienst te verliezen (zie Sectie 8). Elke directmarketingmeting waarvoor het lezen of schrijven van identificatoren op uw apparaat vereist is — bijvoorbeeld de cookie clozo_first_gclid of een GA4-cookie — is niet gebaseerd op gerechtvaardigd belang maar op uw voorafgaande toestemming krachtens Article 5(3) of the ePrivacy Directive en Article 6(1)(a) GDPR.
• Wettelijke verplichting — Article 6(1)(c): voor de bewaring van fiscale en boekhoudkundige gegevens. EU VAT Directive 2006/112/EC Article 247(1) vereist dat facturen worden bewaard gedurende de door elke lidstaat vastgestelde periode, doorgaans 6 tot 10 jaar. Spanje (art. 30 Código de Comercio + art. 165 LIVA) vereist 6 jaar voor boekhouding en 4 jaar voor btw, maar wij hanteren de langste toepasselijke bewaartermijn binnen de EU.

4. Hoe wij uw gegevens gebruiken

Wij verwerken uw gegevens voor de volgende doeleinden:

• Het leveren, onderhouden en verbeteren van het Clozo-platform.
• Het opstellen, ondertekenen en versturen van offertes en facturen namens u, inclusief elektronische factuurformaten (Peppol BIS, Factur-X, FatturaPA, enz.) waar u voor kiest.
• Het verwerken van abonnementsbetalingen via Stripe, het beheren van upgrades en downgrades, het uitvoeren van terugbetalingen.
• Het versturen van transactionele e-mails — welkom, wachtwoordreset, betalingsbevestiging, kennisgeving elektronische handtekening, automatische herinneringen indien u deze heeft ingeschakeld.
• Het naleven van wettelijke en reglementaire verplichtingen (btw-validatie via VIES, fiscale rapportage, bewaring).
• Het meten van de effectiviteit van advertentiecampagnes die wij beheren (Google Ads, Google Analytics 4) door conversie-events te delen — registratie, eerste betaling, planwijziging, terugbetaling — samen met attributie-identificatoren (gclid, gehashte e-mail). Wij delen uw cliëntgegevens, bedrijfsgegevens of de inhoud van uw offertes of facturen niet met advertentieplatforms. Uit uw accountgegevens wordt uitsluitend een eenwegs SHA-256-hash van uw e-mail (en, indien opgegeven, uw telefoonnummer in E.164-formaat) geüpload voor identiteitsmatching, samen met de hieronder vermelde conversie-event-metadata. Het delen van conversies vindt uitsluitend plaats nadat u via de cookiebanner toestemming heeft gegeven voor advertentiecookies.
• Het opsporen en voorkomen van fraude, accountmisbruik en beveiligingsincidenten (rate limiting, detectie van afwijkende inlogpogingen via django-axes).

5. Bewaring van gegevens

Wij bewaren uw persoonsgegevens uitsluitend zo lang als noodzakelijk voor de doeleinden waarvoor zij zijn verzameld, met de volgende categoriespecifieke termijnen:

• Accountgegevens: voor de looptijd van uw account. Na verwijdering van uw account anonimiseren wij deze binnen 30 dagen, behalve waar bewaring wettelijk vereist is (Sectie 5 punt 3).
• Cliënt- en bedrijfsgegevens: voor de looptijd van uw account. U kunt individuele cliënten en offertes op elk moment binnen het platform verwijderen.
• Facturen en betalingsoverzichten: in overeenstemming met Article 247(1) of EU VAT Directive 2006/112/EC en nationale verplichtingen: Spanje (art. 165 LIVA) 4 jaar, Frankrijk (art. L102B LPF) 6 jaar, Nederland (art. 52 AWR) 7 jaar, Duitsland (§147 AO) 10 jaar, Polen (art. 86 §1 OP) 5 jaar. Wij hanteren de langste toepasselijke bewaartermijn: 10 jaar vanaf het einde van het kalenderjaar waarin de factuur is uitgereikt.
• Marketingattributie- en conversiegegevens: anonieme touchpoints zonder gekoppelde gebruiker worden tot 90 dagen bewaard (overeenkomstig het standaard klikattributie-venster van Google Ads); aan uw account gekoppelde conversiegegevens worden bewaard voor de looptijd van het account en daarna geanonimiseerd.
• Back-ups: versleutelde databaseback-ups worden 30 dagen bewaard voor disaster-recovery-doeleinden en daarna automatisch verwijderd.
• Beveiligingslogboeken van de applicatie: volledige IP-adressen en verzoek-metadata gebruikt voor fraude- en misbruikdetectie worden 14 dagen bewaard en daarna verwijderd.

6. Ontvangers en externe verwerkers

Wij delen uw persoonsgegevens uitsluitend met de volgende verwerkers, die ieder contractueel zijn gebonden door een verwerkersovereenkomst (Article 28 GDPR) en, waar van toepassing, Standaardcontractbepalingen voor doorgiften buiten de Europese Economische Ruimte. Wij geven geen persoonsgegevens door aan derden voor hun eigen marketingdoeleinden.

• Stripe Payments Europe Ltd (Ierland) en Stripe Inc (VS): verwerking van abonnementsbetalingen. Gedeelde gegevens: uw naam, e-mail, factureringsland, abonnementsstatus, betalingsevenementen. Voor creditcardgegevens geldt het eigen privacybeleid van Stripe. Doorgiftemechanisme: adequaatheidsbesluit EU-US Data Privacy Framework (Stripe is DPF-gecertificeerd — verifieerbaar op dataprivacyframework.gov) + Standaardcontractbepalingen. Privacybeleid: stripe.com/privacy.
• Railway Corp (VS): hosting van cloudinfrastructuur. Onze database wordt gehost in de regio europe-west4 (Nederland); het control plane van Railway bevindt zich in de Verenigde Staten. Doorgiftemechanisme: Standaardcontractbepalingen met aanvullende technische maatregelen (TLS 1.2+ tijdens verzending, AES-256-GCM in rust, beperkte IAM-rollen). De productiedatabase bevindt zich fysiek in Nederland.
• Cloudflare Inc (VS): content delivery, DDoS-bescherming, TLS-terminatie, verkeersrouting, privacyvriendelijke webanalyse (Cloudflare Web Analytics — geen cookies, geen tracking-ID's). Cloudflare verwerkt uw volledige IP-adres tijdelijk tijdens verzending. Wij gebruiken de CF-IPCountry-header om uw vermoedelijke land af te leiden voor analyse en rate limiting; daarna wordt het volledige IP-adres niet samen met het analyse-event bewaard. Doorgiftemechanisme: Standaardcontractbepalingen + in de EU gevestigde edge-knooppunten voor Europees verkeer. Cloudflare is DPF-gecertificeerd.
• PostHog Inc (Verenigd Koninkrijk, EU-instantie gehost in Frankfurt, Duitsland): productanalyse — pseudonieme sessie-events, paginanavigatie, knopkliks, vastgelegde UTM-parameters. Gegevens worden uitsluitend verwerkt op de EU-instantie (eu.i.posthog.com). Wordt pas geladen nadat u via de cookiebanner toestemming heeft gegeven voor productanalyse-cookies. Doorgiftemechanisme: adequaatheidsbesluit VK (Commission Implementing Decision (EU) 2021/1772 of 28 June 2021) + Standaardcontractbepalingen naar het hoofdkantoor van PostHog in het VK.
• Google Ireland Limited en Google LLC (VS) — Google Ads: conversiemeting en Smart Bidding-optimalisatie, uitsluitend nadat u toestemming heeft gegeven voor advertentiecookies. Server-side geüploade gegevens: uw Google klik-identificator (gclid) vastgelegd toen u via een Google-advertentie binnenkwam, conversietype (registratie, eerste betaling, plan-upgrade, terugbetaling), conversiewaarde in EUR, valutacode, geanonimiseerd ordernummer. Wanneer de customer-data-terms-functie is ingeschakeld, uploaden wij tevens een SHA-256-hash van uw e-mailadres voor identiteitsmatching (de hash kan niet worden teruggerekend). Doorgiftemechanisme: adequaatheidsbesluit EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795 of 10 July 2023; Google LLC is DPF-gecertificeerd — verifieerbaar op dataprivacyframework.gov) + Standaardcontractbepalingen.
• Google Ireland Limited en Google LLC (VS) — Google Analytics 4: kanaaloverstijgende conversiemeting. Wordt server-side verzonden via het GA4 Measurement Protocol uitsluitend nadat u toestemming heeft gegeven voor advertentiecookies. Geüploade gegevens: pseudonieme sessie-identificator (GA4 client_id uit de _ga-cookie indien aanwezig, anders een PostHog distinct_id), type conversie-event, waarde, valuta en uw numerieke Clozo-gebruiker-ID (niet uw e-mail). Doorgiftemechanisme: adequaatheidsbesluit EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795) + Standaardcontractbepalingen. De DPF-status van Google LLC is verifieerbaar op dataprivacyframework.gov. Wij laden de GA4-webtracker niet op onze pagina's.
• Resend Inc (VS): bezorging van transactionele e-mails (welkom, wachtwoordreset, elektronische handtekening, betalingsbevestiging, automatische factuurherinneringen). Gedeelde gegevens: uw e-mailadres, naam, transactionele inhoud. Doorgiftemechanisme: adequaatheidsbesluit EU-US Data Privacy Framework (Resend Inc is DPF-gecertificeerd — verifieerbaar op dataprivacyframework.gov) + Standaardcontractbepalingen.
• Gotenberg (zelfgehost in europe-west4): PDF-rendering voor offertes en facturen. Draait op onze eigen infrastructuur binnen de EER — geen gegevensoverdracht naar externe partijen.
• Cloudflare R2 (objectopslag, EER-regio): versleutelde opslag van gegenereerde PDF-bestanden en geüploade logo's. Datalocatie: EER. Doorgiftemechanisme: niet van toepassing (geen doorgifte buiten de EER).

U kunt een kopie opvragen van een verwerkersovereenkomst, een set Standaardcontractbepalingen of onze samenvatting van de Transfer Impact Assessment door contact op te nemen via privacy@useclozo.com. Wij stellen klanten ten minste 30 dagen schriftelijk vooraf op de hoogte voordat wij een sub-verwerker toevoegen of vervangen; bovenstaande lijst wordt overeenkomstig deze verbintenis bijgewerkt.

7. Internationale doorgifte van gegevens

Uw persoonsgegevens worden voornamelijk binnen de Europese Economische Ruimte opgeslagen, met name in Nederland (Railway europe-west4) en Duitsland (PostHog Frankfurt). Sommige in Sectie 6 vermelde ontvangers bevinden zich buiten de EER, voornamelijk in de Verenigde Staten. Voor elke dergelijke doorgifte waarborgen wij passende waarborgen krachtens Articles 44–49 GDPR: het adequaatheidsbesluit EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795 of 10 July 2023) waar de ontvanger DPF-gecertificeerd is, aangevuld met Standaardcontractbepalingen (Commission Implementing Decision (EU) 2021/914 of 4 June 2021) en aanvullende technische maatregelen (TLS 1.2+ tijdens verzending, AES-256-GCM in rust voor gevoelige velden, pseudonimisering van identificatoren waar mogelijk, toegangscontroles, audit-logging) overeenkomstig de EDPB Recommendations 01/2020 in navolging van het arrest van het CJEU C-311/18 (Schrems II). De geldigheid van het EU-US Data Privacy Framework is momenteel onderwerp van een juridische uitdaging voor het Gerecht van de Europese Unie (Case T-553/23 La Quadrature du Net & Others v Commission en vervolgverwijzingen). Mocht het besluit ongeldig worden verklaard, dan baseren wij ons uitsluitend op Standaardcontractbepalingen met aanvullende maatregelen en moeten wij mogelijk bepaalde doorgiften beëindigen; wij zullen dit Privacybeleid bijwerken en gebruikers waar nodig informeren. U kunt een kopie van de SCC's en onze samenvatting van de Transfer Impact Assessment verkrijgen door contact op te nemen via privacy@useclozo.com.

8. Uw rechten (GDPR Articles 15–22)

Als betrokkene gevestigd in de Europese Economische Ruimte, het Verenigd Koninkrijk of Zwitserland heeft u de volgende rechten ten aanzien van uw persoonsgegevens:

• Recht op inzage (Art. 15): bevestiging te verkrijgen of wij uw gegevens verwerken en een kopie ervan te ontvangen.
• Recht op rectificatie (Art. 16): onjuiste of onvolledige gegevens laten corrigeren.
• Recht op gegevenswissing (Art. 17): uw gegevens laten verwijderen ('recht op vergetelheid'), met inachtneming van de bewaarverplichtingen krachtens Sectie 5.
• Recht op beperking van de verwerking (Art. 18): de verwerking in specifieke omstandigheden te beperken (bijvoorbeeld terwijl wij de juistheid van betwiste gegevens verifiëren).
• Recht op gegevensoverdraagbaarheid (Art. 20): uw gegevens te ontvangen in een gestructureerde, gangbare en machineleesbare vorm en deze door te zenden aan een andere verwerkingsverantwoordelijke.
• Recht van bezwaar (Art. 21): te allen tijde bezwaar te maken tegen verwerking op basis van een gerechtvaardigd belang (Article 6(1)(f)) — inclusief directmarketingmeting. Indien u bezwaar maakt, zullen wij die verwerking staken, tenzij wij dwingende gerechtvaardigde gronden aantonen die zwaarder wegen dan uw belangen.
• Recht om toestemming in te trekken (Art. 7(3)): toestemming voor cookies en tracking op elk moment in te trekken zonder dat dit afbreuk doet aan de rechtmatigheid van de eerdere verwerking. Klik op 'Cookievoorkeuren beheren' op deze pagina of in de paginavoettekst om de cookiebanner opnieuw te openen.
• Recht om niet onderworpen te worden aan geautomatiseerde besluitvorming (Art. 22): wij maken geen gebruik van uitsluitend geautomatiseerde besluitvorming met rechtsgevolgen voor u in de zin van Article 22 GDPR. Twee geautomatiseerde systemen kunnen de toegang tijdelijk beïnvloeden: (i) Stripe Radar, dat transacties beoordeelt op fraude — afwijzingen kunnen worden aangevochten door een e-mail te sturen naar privacy@useclozo.com voor menselijke beoordeling; (ii) django-axes, dat een account tijdelijk vergrendelt na herhaalde mislukte inlogpogingen — vergrendelingen verlopen automatisch en kunnen op verzoek worden opgeheven. In beide gevallen kunt u menselijke tussenkomst verzoeken.

Om een recht uit te oefenen, mailt u naar privacy@useclozo.com. Wij reageren zonder onnodige vertraging en in elk geval binnen één maand na ontvangst van uw verzoek. Indien een verzoek complex is of indien wij een groot aantal verzoeken ontvangen, kunnen wij de antwoordtermijn verlengen met twee verdere maanden. In dat geval zullen wij u binnen één maand na ontvangst van het verzoek informeren over de verlenging en de redenen voor de vertraging (Article 12(3) GDPR). Wij brengen geen kosten in rekening, tenzij uw verzoek kennelijk ongegrond of buitensporig is (Article 12(5) GDPR), in welk geval wij de grondslag van de kosten zullen toelichten.

9. Cookies en vergelijkbare technologieën

Wij gebruiken cookies en vergelijkbare technologieën op app.useclozo.com en api.useclozo.com. Krachtens Article 5(3) of the ePrivacy Directive (in Spanje omgezet door Article 22.2 of Ley 34/2002 LSSI-CE) mogen uitsluitend strikt noodzakelijke cookies worden geplaatst zonder uw toestemming. Alle overige categorieën worden uitsluitend geplaatst nadat u via de bij het eerste bezoek getoonde cookiebanner granulaire toestemming heeft gegeven. De knoppen 'Alles weigeren', 'Aanpassen' en 'Alles accepteren' worden met gelijke visuele prominentie gepresenteerd, in lijn met de EDPB Guidelines 03/2022 en de AEPD Guía sobre el uso de las cookies (juli 2023).

• Strikt noodzakelijk (geen toestemming vereist): refresh_token (authenticatie, HttpOnly, Secure, SameSite=None, beperkt tot /api/v1/auth/), CSRF-token; clozo_lang (taalvoorkeur van de interface, 1 jaar); clozo_locale_set (markering dat u een uitdrukkelijke taalkeuze heeft gemaakt, 1 jaar). Deze kunnen niet worden uitgeschakeld.
• Productanalyse — uitsluitend geplaatst na toestemming (PostHog): ph_*-cookies en localStorage-vermeldingen die door PostHog worden geplaatst voor pseudoniem sessietracking en het vastleggen van product-events. Wordt pas geladen nadat u op 'Alles accepteren' klikt of de analyse-categorie in de cookiebanner inschakelt. Wij gebruiken ze om te begrijpen welke functies waarde leveren. Gegevens worden uitsluitend verwerkt op de EU-instantie van PostHog (eu.i.posthog.com). Cookielevensduur: tot 1 jaar.
• Advertentieattributie — uitsluitend geplaatst na toestemming: clozo_first_gclid (90 dagen, HttpOnly, Secure, SameSite=Lax) — slaat de Google klik-identificator op van uw eerste betaalde bezoek zodat wij latere conversies kunnen toeschrijven aan de oorspronkelijke advertentiecampagne. De cookie wordt uitsluitend server-side gelezen en uitsluitend doorgegeven wanneer u een conversie-event voltooit (registratie, betaling) en uitsluitend aan Google Ads via de Enhanced Conversions API. De levensduur van 90 dagen komt overeen met het standaard klikattributie-venster van Google. Geen retargeting; geen doelgroepopbouw; geen cross-site tracking. Doel: marketingattributiemeting krachtens Recital 47 GDPR. Ontvanger bij activering: Google Ireland Ltd / Google LLC. Rechtsgrondslag: toestemming (Article 6(1)(a) GDPR + Article 5(3) ePrivacy Directive).

U kunt uw cookievoorkeuren op elk moment beheren door hieronder of in de voettekst van elke Clozo-pagina op 'Cookievoorkeuren beheren' te klikken. Het intrekken van toestemming voor analyse- of advertentiecookies belet u niet om Clozo te gebruiken — uitsluitend de bijbehorende verwerking wordt gestaakt.

10. Beveiliging van gegevens

Wij implementeren passende technische en organisatorische maatregelen, in lijn met Article 32 GDPR: TLS 1.2+ voor gegevens tijdens verzending, AES-256-GCM voor gevoelige gegevens in rust (IBAN, OAuth-refresh-tokens), bcrypt-wachtwoordhashing met per-gebruiker salts, kortstondige JWT-toegangstokens met HttpOnly-refresh-cookies, content-security-policy, rate limiting per echt client-IP, automatische uitlog na inactiviteit, versleutelde off-site back-ups en toegangscontroles die beperken wie productiegegevens mag inzien. Wij loggen alle toegang tot persoonsgegevens en evalueren logs regelmatig. In geval van een inbreuk in verband met persoonsgegevens zullen wij de bevoegde toezichthouder binnen 72 uur op de hoogte stellen waar dit krachtens Article 33 GDPR vereist is, en getroffen gebruikers zonder onnodige vertraging informeren waar dit krachtens Article 34 GDPR vereist is.

11. Contact en recht om een klacht in te dienen

Voor privacyvragen, het uitoefenen van uw rechten of zorgen over de wijze waarop wij uw gegevens verwerken, kunt u contact opnemen via privacy@useclozo.com. U heeft tevens het recht om een klacht in te dienen bij de gegevensbeschermingsautoriteit van uw EU-lidstaat van verblijf, werk of waar de vermeende inbreuk heeft plaatsgevonden. Onze leidende toezichthouder onder het één-loket-mechanisme (Article 56 GDPR) is de Spaanse gegevensbeschermingsautoriteit: Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid, Spanje — www.aepd.es. Een lijst van alle nationale autoriteiten is beschikbaar op edpb.europa.eu/about-edpb/about-edpb/members_en.

12. Gegevens van kinderen

Clozo is een zakelijk hulpmiddel bedoeld voor gebruikers van 18 jaar of ouder, in lijn met Article 8 GDPR (de standaardleeftijd voor toestemming voor diensten van de informatiemaatschappij is in de meeste EU-lidstaten 16 jaar; in Spanje is dit 14 jaar krachtens Article 7 of LOPDGDD 3/2018). Wij verzamelen niet bewust persoonsgegevens van kinderen onder de toepasselijke leeftijdsgrens. Indien u zich ervan bewust wordt dat een kind ons persoonsgegevens heeft verstrekt, neem dan contact op via privacy@useclozo.com en wij zullen deze zonder onnodige vertraging verwijderen.