Privacybeleid

a) Gegevens van de Klant (organisatie)

• Accountgegevens — het e-mailadres van de aangewezen persoon, de naam van de organisatie.
• Publieke versleutelingssleutel — gegenereerd en opgeslagen voor de E2E-versleuteling van meldingen.
• Communicatie — de inhoud van naar ons verzonden e-mails, ondersteuningsverzoeken.

b) Gegevens van de Melder

c) Automatisch verzamelde gegevens (alleen op het dashboard)

• Technische gegevens — IP-adres, browsertype (alleen voor geauthenticeerde gebruikers op het dashboard).
• Sessiecookies — conform het Cookiebeleid.

• Levering van Diensten — aanmaak en beheer van het account, exploitatie van het meldkanaal, versleuteling en opslag van meldingen.
• Dienstgerelateerde communicatie — notificaties over nieuwe meldingen, afloop van wettelijke termijnen, platformupdates.
• Beveiliging — bescherming van de infrastructuur, detectie van misbruik, voorkoming van ongeautoriseerde toegang.
• Wettelijke conformiteit — nakoming van wettelijke verplichtingen (Richtlijn (EU) 2019/1937, GDPR, fiscale wetgeving).

Wij verkopen, verhuren noch delen de persoonsgegevens van gebruikers met derden voor marketingdoeleinden.

Wij verwerken persoonsgegevens op basis van de volgende rechtsgrondslagen (art. 6 GDPR):

• Accountgegevens — gedurende de looptijd van het account en maximaal 30 dagen na het verzoek tot verwijdering.
• Versleutelde meldingen — conform het bewaarbeleid van de Klant en de verplichtingen uit Richtlijn (EU) 2019/1937 (minimaal 5 jaar na de datum van de melding).
• Technische gegevens (dashboard) — maximaal 12 maanden na verzameling.
• Communicatie en ondersteuningsverzoeken — maximaal 3 jaar na de laatste communicatie.
• Facturatiegegevens — 10 jaar conform de Roemeense fiscale wetgeving (Legea 82/1991).

Persoonsgegevens kunnen worden geraadpleegd of verwerkt door de volgende sub-verwerkers:

Voor gegevensoverdrachten buiten de EER baseren wij ons op Standaardcontractbepalingen (SCCs) goedgekeurd door de Europese Commissie.

Belangrijk: De inhoud van meldingen is E2E-versleuteld en is voor geen enkele sub-verwerker toegankelijk.

Conform de GDPR heeft u de volgende rechten:

• Recht van inzage (art. 15) — het verkrijgen van een kopie van de verwerkte persoonsgegevens.
• Recht op rectificatie (art. 16) — correctie van onjuiste of onvolledige gegevens.
• Recht op wissing (art. 17) — verwijdering van gegevens overeenkomstig de wet.
• Recht op beperking (art. 18) — beperking van de verwerking in bepaalde situaties.
• Recht op overdraagbaarheid (art. 20) — ontvangst van gegevens in een gestructureerd formaat (JSON/CSV).
• Recht van bezwaar (art. 21) — bezwaar tegen verwerking op basis van gerechtvaardigd belang.
• Recht op intrekking van toestemming (art. 7) — intrekking op elk moment.
• Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (art. 22) — inclusief profilering.

Stuur voor het uitoefenen van uw rechten een e-mail naar contact@whistle-box.eu met als onderwerp "GDPR-verzoek WhistleBox".

Wij implementeren passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens:

• End-to-end-versleuteling (E2E) van de inhoud van meldingen.
• Versleuteling tijdens overdracht (TLS 1.2+) voor alle communicatie met de server.
• Wachtwoorden worden opgeslagen met behulp van veilige hashalgoritmen (bcrypt met salt).
• Beperkte toegang tot databases en infrastructuur op basis van het principe van minimale bevoegdheden.
• Servers in de Europese Unie (Hetzner Online GmbH, Duitsland).
• Regelmatige en versleutelde back-ups.
• Continue monitoring van toegang en afwijkingen.
• Authenticatie via JWT-tokens met beperkte geldigheid.
• De meldpagina's (/r/) plaatsen geen cookies en verzamelen geen identificatiegegevens.

De Beheerder kan dit beleid periodiek bijwerken. Gebruikers worden per e-mail en/of via een aankondiging op het Platform minimaal 15 dagen vóór de inwerkingtreding van significante wijzigingen geïnformeerd.