FarontoBeta

Privacybeleid

Hoe Tairi B.V. omgaat met persoonsgegevens wanneer u Faronto gebruikt.

Ingangsdatum: 21 mei 2026 · Laatst bijgewerkt: 24 mei 2026

Deze vertaling wordt verstrekt om de inhoud begrijpelijk te maken. Bij verschillen of tegenstrijdigheden tussen deze vertaling en de Engelse versie is de Engelse versie van dit document leidend.

Dit Privacybeleid beschrijft hoe Tairi B.V. ("Faronto", "wij", "ons") persoonsgegevens verwerkt in verband met het Faronto-coachingplatform - onze marketingwebsites (faronto.com en onze landspecifieke domeinen) en de applicatie op app.faronto.com.

Faronto is een business-to-business dienst voor professionele coaches. U kunt twee rollen hebben wanneer u met ons platform omgaat, en onze verantwoordelijkheden verschillen per rol:

Coaches: wanneer u een coach bent die zich bij ons heeft aangemeld voor een account, is Faronto de verwerkingsverantwoordelijke voor de persoonsgegevens die wij over u verzamelen (de gegevens beschreven in paragraaf 4.1).

Coachees (cliënten van coaches): wanneer een coach Faronto gebruikt om zijn werkzaamheden met u te beheren, is de coach de verwerkingsverantwoordelijke voor uw persoonsgegevens en treden wij op als verwerker namens de coach, op grond van de Verwerkersovereenkomst. Als u een coachee bent met vragen over de wijze waarop een specifieke coach uw gegevens verwerkt, neem dan rechtstreeks contact op met uw coach. De informatie over cookies, beveiliging en onze subverwerkers in dit beleid blijft op u van toepassing.

Wij hebben dit beleid geschreven om te voldoen aan Verordening (EU) 2016/679 (de AVG) en de Nederlandse Uitvoeringswet AVG (UAVG).

1. Wie wij zijn

De verwerkingsverantwoordelijke voor de persoonsgegevens beschreven in dit beleid (in onze rol als verwerkingsverantwoordelijke) is:

  • Tairi B.V.
  • Keizersgracht 520h, 1017 EK Amsterdam, Nederland
  • Handelsregister (KvK): 86626264
  • BTW: NL864027692B01
  • Privacycontact: privacy@faronto.com

1.1 Functionaris voor gegevensbescherming

Wij hebben geen functionaris voor gegevensbescherming aangesteld omdat onze verwerkingsactiviteiten dit op grond van artikel 37 AVG niet vereisen. Alle privacyvragen worden behandeld door het hierboven genoemde privacycontact.

1.2 Betrokkenen in het Verenigd Koninkrijk

Voor betrokkenen die in het Verenigd Koninkrijk gevestigd zijn, gelden gelijkwaardige rechten en verplichtingen op grond van de UK GDPR en de UK Data Protection Act 2018. Verwijzingen naar de AVG in dit beleid worden geacht mede de UK GDPR te omvatten wanneer de betrokkene zich in het Verenigd Koninkrijk bevindt. De toezichthoudende autoriteit van het Verenigd Koninkrijk is het Information Commissioner's Office (ico.org.uk); zie ook paragraaf 11.2.

2. Reikwijdte van dit beleid

Dit beleid heeft betrekking op persoonsgegevens die wij verwerken wanneer u:

  • Onze marketingwebsites bezoekt (faronto.com en onze landspecifieke domeinen)
  • Zich aanmeldt voor, inlogt op of de Faronto-applicatie gebruikt op app.faronto.com
  • Met ons communiceert via e-mail of andere kanalen
  • Door een Faronto-coach als cliënt (coachee) wordt toegevoegd

3. Onze aanpak

Wij verwerken persoonsgegevens rechtmatig, behoorlijk en transparant. Wij verzamelen alleen wat wij nodig hebben voor duidelijk omschreven doeleinden, bewaren deze niet langer dan noodzakelijk en beschermen deze met passende technische en organisatorische maatregelen.

Waar wij ons baseren op toestemming, kunt u deze op elk moment intrekken; waar wij ons baseren op gerechtvaardigde belangen, heeft u het recht om bezwaar te maken. Zie paragraaf 11 voor meer informatie.

4. De persoonsgegevens die wij verwerken

Wij verwerken de volgende categorieën persoonsgegevens, afhankelijk van of u een coach (onze klant) of een coachee (een cliënt van een van onze coaches) bent.

4.1 Gegevens over coaches

Wanneer u zich aanmeldt als coach, verzamelen en verwerken wij:

  • Accountgegevens: e-mailadres, volledige naam, profielafbeelding, taalvoorkeur, statusindicatoren van het account. Faronto gebruikt wachtwoordloze authenticatie - wij slaan geen wachtwoorden op.
  • Bedrijfsprofiel: bedrijfsnaam, biografie, specialismen, tijdzone, slug van de boekingspagina, accentkleur, beschikbaarheidsschema, factuurfooter, standaardvaluta.
  • Authenticatiegegevens: sessietokens, magic-link-tokens, OAuth-identifiers (wanneer u inlogt met Google of Microsoft).
  • Facturatie-identifiers: Paddle klant-ID, abonnementsniveau, abonnementsstatus. Kaartnummers worden rechtstreeks door Paddle verwerkt en bereiken nooit onze servers.
  • Identifiers van gekoppelde accounts: Stripe Connect account-ID (voor het factureren van uw cliënten), OAuth-tokens van Google- of Microsoft-agenda's (versleuteld opgeslagen), Zoom OAuth-tokens.
  • AI-voorkeuren: coachingmethodologie, stijl van sessiesamenvattingen, hoeveel uur vóór een sessie een voorbereidende briefing wordt gegenereerd, en of er automatisch om sessiesamenvattingen wordt gevraagd.
  • Gebruiks- en technische gegevens: IP-adres, browser-/apparaatinformatie, loggegevens, paginabezoeken, prestatiemetingen, productanalyse-events, metadata van sessiereplay en gemaskeerde interactiegegevens. Zie paragraaf 7.
  • Verwijzings- en marketinggegevens: verwijzingscode, verwijzingstoekenning, marketingbrondomein, taal, UTM-parameters, verwijzende pagina, handoff-identificatie, uitschrijvingsstatus voor nurture-e-mails, en, wanneer u zich aanmeldt voor productupdates, een registratie van de marketingtoestemming: het tijdstip, het formulier of de instelling waarmee u toestemming hebt gegeven, en de versie van de toestemmingstekst die u is getoond.
  • Supportcorrespondentie: e-mails en andere communicatie die u naar ons stuurt.

4.2 Gegevens over coachees (cliënten van coaches)

Wanneer een coach Faronto gebruikt om zijn werkzaamheden met cliënten te beheren, uploadt of genereert de coach persoonsgegevens over die cliënten. Wij verwerken deze gegevens als verwerker op instructie van de coach, op grond van de Verwerkersovereenkomst.

De gegevens die wij namens de coach kunnen opslaan, omvatten:

  • Identiteit en contact: naam, e-mailadres, telefoonnummer (optioneel), functietitel (optioneel).
  • Coachinginhoud: coachnotities over de cliënt, privénotities alleen voor de coach, sessietranscripten, door AI gegenereerde sessiesamenvattingen en voorbereidende briefings, input van de cliënt vóór de sessie, actiepunten, doelen, voortgangsnotities, bestanden en artikelen gedeeld in de cliëntbibliotheek.
  • Sessiegegevens: geplande sessies, vergaderlinks, ID's van videovergaderingen, agenda-event-ID's, tijdzones, uitkomstbeoordelingen, feedbackopmerkingen.
  • Communicatie: coachingduwtjes en herinneringen verzonden namens de coach.
  • Cliëntportaaltoegang: wanneer een coach portaaltoegang voor een cliënt inschakelt, logt de cliënt in via hetzelfde inlogscherm als coaches; wij slaan sessie- en authenticatiegegevens en tijdstempels van het laatste bezoek op.
  • Facturatie: voor coaches die Stripe Connect gebruiken om hun cliënten te factureren, slaan wij factuurtotalen, status, vervaldata en Stripe factuur-ID's op. De daadwerkelijke factuur wordt aangemaakt op het gekoppelde Stripe-account van de coach.

4.2.1 Bijzondere categorieën van persoonsgegevens (artikel 9 AVG)

Coaching-sessienotities, samenvattingen, doelen, actiepunten en vergelijkbare inhoud kunnen informatie bevatten over de geestelijke of lichamelijke gezondheid, het welzijn of andere bijzondere categorieën van persoonsgegevens van een cliënt. Waar dit het geval is, is de coach verantwoordelijk voor het verkrijgen van een geldige rechtsgrond op grond van artikel 9, lid 2, AVG - doorgaans uitdrukkelijke toestemming van de cliënt.

Faronto verwerkt deze inhoud uitsluitend op instructie van de coach en past verbeterde beveiligingsmaatregelen toe zoals uiteengezet in paragraaf 12.

4.3 Gegevens over websitebezoekers

Wanneer u onze marketingwebsite bezoekt zonder u aan te melden, verzamelen wij beperkte technische gegevens: uw IP-adres, user-agent, verzoekpaden en timinggegevens, geaggregeerde prestatiemetingen via Vercel Analytics en Vercel Speed Insights, en productanalysegegevens via PostHog EU wanneer analyse is ingeschakeld. Als u van een marketingwebsite naar app.faronto.com gaat, kunnen wij een beperkte attributie-envelop doorgeven zodat aanmeldings-, inlog- en verwijzingsstromen correct kunnen worden gemeten. Zie paragraaf 7 voor meer informatie over cookies en vergelijkbare technologieën.

5. Waarom wij uw gegevens verwerken en op welke rechtsgrond

Wij verwerken persoonsgegevens voor de doeleinden en op de rechtsgronden hieronder beschreven. De toepasselijke grondslag uit artikel 6 AVG staat tussen haakjes.

DoelCategorieën van gegevensRechtsgrond
Het leveren van de Faronto-dienst aan coaches: aanmaken van accounts, authenticatie, boekingstool, AI-functies, cliëntbeheer, facturatie, duwtjes.Account, bedrijfsprofiel, authenticatie, AI-voorkeuren, identifiers van gekoppelde accounts, gebruiksgegevens.Uitvoering van een overeenkomst - art. 6, lid 1, onder b
Verwerken van betalingen en beheren van abonnementen via Paddle (de merchant of record voor Faronto-abonnementskosten).E-mail, naam, facturatie-identifiers.Uitvoering van een overeenkomst - art. 6, lid 1, onder b
Bewaren van factuur- en boekhoudkundige gegevens gedurende de wettelijke bewaartermijn.Facturatiegegevens, door ons uitgegeven facturen.Wettelijke verplichting - art. 6, lid 1, onder c (artikel 52 AWR)
Beveiligen van het platform: detecteren en voorkomen van fraude, misbruik, ongeautoriseerde toegang en operationele problemen.Authenticatiegegevens, IP-adres, loggegevens, audit trails.Gerechtvaardigde belangen - art. 6, lid 1, onder f (beveiliging van de dienst)
Versturen van service-e-mails (accountbevestigingen, inloglinks, planwijzigingen, betalingsbevestigingen, factuurherinneringen, systeemmeldingen).Accountgegevens, facturatiegegevens.Uitvoering van een overeenkomst - art. 6, lid 1, onder b
Versturen van productupdates en coachingtips naar coaches die hiervoor toestemming hebben gegeven (met één klik uitschrijven).E-mail, naam, taal, registratie van de marketingtoestemming, uitschrijvingsstatus voor nurture-e-mails.Toestemming - art. 6, lid 1, onder a
Het laten draaien van AI-functies (voorbereidende briefings voor sessies, sessiesamenvattingen, conceptduwtjes) ten aanzien van coachees, wanneer de coach AI-functies heeft ingeschakeld.Coachee-profiel, coachnotities, doelen, actiepunten, sessietranscripten, eerdere sessiesamenvattingen.De coach is verwerkingsverantwoordelijke en verkrijgt waar vereist toestemming op grond van art. 9, lid 2, onder a; wij verwerken als verwerker op grond van de Verwerkersovereenkomst
Verbeteren van het product door middel van analyses, activatiemeting en sessiereplay, zodat wij kunnen begrijpen hoe Faronto wordt gebruikt en het kunnen verbeteren.Paginabezoeken, productevents, prestatiemetingen, apparaat- en browsergegevens, op IP gebaseerd land, accountidentifiers, gemaskeerde interactiegegevens en replay-metadata. Wij leggen niet bewust coachingnotities, doelen, AI-prompts of -uitvoer, betalingsgegevens, authenticatiegeheimen of persoonlijke vrije-tekstinhoud vast in replay.Toestemming waar vereist voor niet-essentiële analyse/replay; anders gerechtvaardigde belangen - art. 6, lid 1, onder f (productverbetering)
Toekennen van aanmeldingen, inlogsessies en verwijzingen over marketingdomeinen en app.faronto.com heen.Verwijzingscode, marketingbrondomein, taal, UTM-parameters, verwijzende pagina, handoff-identificatie en, indien beschikbaar, een anonieme analyse-identifier. Bij inlogsessies van bestaande coaches kan de aanwezigheid van een verwijzingscode worden geregistreerd voor analysedoeleinden, maar wordt standaard geen nieuwe verwijzingsbeloning aangemaakt.Gerechtvaardigde belangen - art. 6, lid 1, onder f (meten van acquisitie en voorkomen van misbruik van verwijzingen)
Voldoen aan juridische verzoeken, naleven van rechterlijke bevelen en het oplossen van geschillen.Wat redelijkerwijs vereist is.Wettelijke verplichting - art. 6, lid 1, onder c; gerechtvaardigde belangen - art. 6, lid 1, onder f

6. AI-functies

Faronto bevat AI-functies die coaches helpen bij het voorbereiden van sessies, het omzetten van sessietranscripten in gestructureerde samenvattingen en het opstellen van gepersonaliseerde duwtjes tussen sessies voor hun cliënten. Deze functies worden mogelijk gemaakt door OpenAI. Wij hebben een Verwerkersovereenkomst met OpenAI en OpenAI traint zijn modellen niet op gegevens die via zijn API worden verzonden.

AI-functies werken alleen wanneer:

  • De coach AI-functies heeft ingeschakeld voor zijn Faronto-account.
  • De coach handmatig een generatie activeert, het systeem een geplande voorbereidende briefing voor een aankomende sessie uitvoert, of het systeem een duwtje opstelt ter beoordeling door de coach.

6.1 Wat wordt naar OpenAI verzonden

Wij verzenden alleen de minimale context die nodig is om de gevraagde uitvoer te produceren:

  • Voorbereidende briefing: voornaam en biografie van de cliënt, de notities van de coach over de cliënt, actieve doelen en recente voortgangsnotities bij doelen, openstaande actiepunten, samenvattingen van de meest recente eerdere sessies, en de aangepaste instructies van de coach (indien van toepassing).
  • Sessiesamenvatting: de tekst van het sessietranscript die de coach aan de sessie heeft toegevoegd, de actieve doelen van de cliënt, en de voorkeur van de coach voor coachingmethodologie.
  • Conceptduwtje: voornaam van de cliënt, actieve doelen en recente voortgang, openstaande actiepunten, samenvattingen van recente sessies, de door de coach gekozen toon en aangepaste instructies (indien van toepassing).

6.2 Wat wordt niet naar OpenAI verzonden

Belangrijke verduidelijking: de vrije-tekstvelden die de coach bewerkt (biografie en doelen van de cliënt, individuele actiepunt-omschrijvingen, sessievoorbereidingsnotities, sessiesamenvattingen en geüploade sessietranscripten) worden bij gebruik van de overeenkomstige functie ongewijzigd naar OpenAI verzonden. Wij parseren of zuiveren deze velden niet vóór verzending. Als een coach in een van die vrije-tekstvelden een telefoonnummer, e-mailadres of factuurbedrag typt, wordt die informatie meegenomen in het verzoek aan OpenAI, ook al hadden wij het overeenkomstige gestructureerde veld niet verzonden. Coaches kunnen het beste AI-functies behandelen alsof alles wat ze in een cliëntdossier typen door OpenAI gelezen kan worden.

  • E-mailadressen, telefoonnummers, facturatiegegevens en facturen als gestructureerde velden.
  • Audio- of video-opnamen; wij nemen geen sessies op.
  • Bestanden, afbeeldingen of bijlagen opgeslagen in de cliëntbibliotheek.

6.3 Geen geautomatiseerde besluitvorming

AI-uitvoer wordt aan de coach getoond als suggesties ter beoordeling. Faronto neemt geen besluiten die rechtsgevolgen of vergelijkbaar significante gevolgen voor coachees hebben uitsluitend op basis van geautomatiseerde verwerking. Artikel 22 AVG is daarom niet van toepassing.

7. Cookies en vergelijkbare technologieën

Wij gebruiken een beperkte set cookies en vergelijkbare technologieën. Strikt noodzakelijke cookies vereisen geen toestemming. Productanalyse, sessiereplay en vergelijkbare niet-noodzakelijke technologieën gebruiken wij alleen wanneer wij de vereiste toestemming of een andere door een advocaat beoordeelde rechtsgrond hebben. Wij gebruiken geen marketing- of advertentiecookies.

NaamDoelTypeLevensduur
authjs.session-tokenAuthenticeert een ingelogde gebruiker (coach of coachee).Strikt noodzakelijkSessie / tot 30 dagen
NEXT_LOCALEOnthoudt uw interfacetaal.Strikt noodzakelijk (voorkeur)1 jaar
faronto_consentOnthoudt of u niet-essentiële cookies hebt geaccepteerd of geweigerd, zodat wij dit niet opnieuw vragen.Strikt noodzakelijk (voorkeur)12 maanden
faronto_refOnthoudt een verwijzingscode zodat de juiste coach de creditering krijgt als u zich aanmeldt.Strikt noodzakelijk (functioneel)7 dagen
faronto_handoff / opslag voor attributiehandoffDraagt een beperkte attributie-envelop over van een marketingdomein naar app.faronto.com voor aanmeldings-, inlog- en verwijzingsattributie.Functioneel / attributieKortdurend, normaal 24 uur of minder
authjs.csrf-tokenBeschermt inlog- en andere authenticatieverzoeken tegen cross-site request forgery.Strikt noodzakelijkSessie
authjs.callback-urlOnthoudt waarheen u na een succesvolle inlog moet worden teruggeleid.Strikt noodzakelijkSessie
oauth_intent, legal_accepted_intent, marketing_consent_intent, pending_coach_signupKortlevende cookies voor de aanmeldstroom die uw aanmeldintentie, uw aanvaarding van de juridische documenten en uw keuze voor marketingtoestemming meedragen door de OAuth-inlogronde (Google of Microsoft) heen zodat deze niet verloren gaan. pending_coach_signup bevat een ondertekend token met de details van de lopende aanmelding.Strikt noodzakelijk (functioneel)Tot 10 minuten
PostHog EU-opslag voor analyse en sessiereplayHelpt ons te begrijpen hoe coaches Faronto gebruiken zodat wij het product kunnen verbeteren. Sessiereplay wordt geconfigureerd om gevoelige velden te maskeren en coachinginhoud, doelen, notities, AI-prompts/-uitvoer, betalingsgegevens en authenticatiegeheimen uit te sluiten.Analyse / sessiereplaySessiegebonden tot de geconfigureerde PostHog-bewaartermijn
Vercel Analytics / Speed InsightsGeaggregeerde, geanonimiseerde prestatie- en gebruiksanalyses. Er worden geen advertentieprofielen opgebouwd.AnalyseSessiegebonden

7.1 Hoe u cookies kunt beheren

Wanneer u onze marketingwebsite voor het eerst bezoekt of inlogt op de applicatie, krijgt u een cookiebanner te zien waarmee u niet-noodzakelijke cookies en trackers (waaronder PostHog-productanalyse, sessiereplay en Vercel Speed Insights) kunt accepteren of weigeren. Strikt noodzakelijke cookies (authenticatie, sessie, taal, verwijzingsattributie) worden zonder toestemming geladen omdat de dienst zonder deze niet kan functioneren. U kunt uw keuzes op elk moment wijzigen via de link "Voorkeuren beheren" in de footer van onze websites en de applicatie. U kunt cookies ook op elk moment in uw browser wissen; het uitschakelen van strikt noodzakelijke cookies verhindert dat u kunt inloggen. Als uw browser een Global Privacy Control- of Do-Not-Track-signaal verzendt, behandelen wij dit als een weigering van niet-essentiële cookies en trackers.

8. Subverwerkers en andere ontvangers

Wij vertrouwen op een klein aantal zorgvuldig geselecteerde dienstverleners om Faronto te exploiteren. Elke dienstverlener is gebonden aan een schriftelijke overeenkomst die voldoet aan de vereisten van artikel 28 AVG, en mag persoonsgegevens uitsluitend verwerken op onze gedocumenteerde instructies.

AanbiederDoelLocatieDoorgiftemechanisme
Vercel Inc.Applicatiehosting en edge-levering.EU-regio (met edge cache)EU-modelcontractbepalingen / EU-US Data Privacy Framework
Neon Inc.Beheerde PostgreSQL-database (primaire gegevensopslag).Frankfurt, EUEU-modelcontractbepalingen
Cloudflare, Inc. (R2)Objectopslag voor avatars, bibliotheekbestanden en bijlagen.EU-jurisdictieEU-modelcontractbepalingen
Resend (Resend.com Inc.)Versturen van transactionele en product-e-mails.Verenigde StatenEU-modelcontractbepalingen / EU-US Data Privacy Framework
OpenAI Ireland Ltd / OpenAI L.L.C.AI-voorbereidende briefings, sessiesamenvattingen en conceptduwtjes.Verenigde StatenEU-modelcontractbepalingen; OpenAI traint niet op API-gegevens
Stripe Payments Europe Ltd / Stripe, Inc.Stripe Connect - coaches gebruiken dit om hun eigen cliënten te factureren. Faronto slaat alleen identifiers van gekoppelde accounts en factuurmetadata op.Ierland / Verenigde StatenEU-modelcontractbepalingen / EU-US Data Privacy Framework
PostHog EUProductanalyse, activatiemeting, sessiereplay en attributieanalyse.Europese Unie (Frankfurt-instance)EU-verwerking volgens de gegevensverwerkingsvoorwaarden van PostHog
Upstash, Inc.Wachtrij voor achtergrondtaken (QStash) en opslag voor rate-limiting (Redis). QStash draagt sessie-, cliënt- en exportidentifiers mee tijdens verzending; Redis slaat IP-adressen en tellers van verzoeken op basis van gehashte e-mailadressen op die worden gebruikt om misbruik te beperken.Europese Unie (AWS eu-central-1, Frankfurt)EU-modelcontractbepalingen / EU-US Data Privacy Framework
Functional Software, Inc. (Sentry)Monitoring van applicatiefouten en prestaties. Ontvangt foutmeldingen met stack traces, verzoekmetadata en diagnostische context wanneer een verzoek mislukt. Geconfigureerd met het vastleggen van persoonsgegevens uitgeschakeld - coachinginhoud, verzoekinhoud en gebruikersidentifiers worden niet aan foutrapporten gekoppeld.Verenigde StatenEU-modelcontractbepalingen / EU-US Data Privacy Framework
Paddle.com Market LtdMerchant of record voor Faronto-abonnementen: betalingsverwerking, belastingafhandeling, facturatie.Verenigd Koninkrijk (adequaatheidsbesluit)VK-adequaatheid
Google LLC (Google Sign-In, Google Calendar)Inloggen voor coaches en coachees die voor Google kiezen; agendasynchronisatie wanneer een coach een Google-agenda koppelt.Verenigde StatenEU-modelcontractbepalingen / EU-US Data Privacy Framework
Microsoft Corporation (Microsoft Entra ID, Microsoft Graph)Inloggen voor coaches en coachees die voor Microsoft kiezen (zakelijke, school- of persoonlijke accounts); agendasynchronisatie wanneer een coach een Microsoft 365-agenda koppelt.Verenigde Staten / EUEU-modelcontractbepalingen / EU-US Data Privacy Framework
Zoom Communications, Inc.Optionele integratie van videovergaderingen wanneer een coach een Zoom-account koppelt.Verenigde StatenEU-modelcontractbepalingen / EU-US Data Privacy Framework

8.1 Wijzigingen in subverwerkers

Wij kunnen na verloop van tijd subverwerkers toevoegen of vervangen. De bovenstaande lijst is de gezaghebbende huidige lijst. Coaches worden ten minste 30 dagen van tevoren per e-mail op de hoogte gesteld van materiële wijzigingen, met het recht om op redelijke gronden bezwaar te maken, zoals uiteengezet in de Verwerkersovereenkomst.

8.2 Andere ontvangers

Wij kunnen persoonsgegevens ook delen met onze professionele adviseurs (advocaten, accountants), en met overheidsinstanties waar de wet dit vereist. Wij verkopen geen persoonsgegevens en delen deze niet voor advertentiedoeleinden.

9. Internationale gegevensoverdracht

De meeste persoonsgegevens die wij verwerken, worden opgeslagen in de Europese Unie. Sommige van onze subverwerkers zijn gevestigd in de Verenigde Staten of verwerken gegevens buiten de EU. Waar dit het geval is, baseren wij ons op:

  • De modelcontractbepalingen van de Europese Commissie (Module 2 of 3, naargelang van toepassing);
  • Het EU-US Data Privacy Framework, waar de ontvanger gecertificeerd is;
  • Adequaatheidsbesluiten waar van toepassing (momenteel het Verenigd Koninkrijk).

9.1 Buiten de EER gevestigde verwerkingsverantwoordelijken

Voor buiten de EER gevestigde verwerkingsverantwoordelijken gelden aanvullende of alternatieve doorgiftemechanismen: het UK Addendum bij de EU-modelcontractbepalingen voor verwerkingsverantwoordelijken in het Verenigd Koninkrijk; de door de FDPIC aangepaste modelcontractbepalingen voor Zwitserse verwerkingsverantwoordelijken; verplichtingen als "service provider" onder de toepasselijke privacywetgeving van Amerikaanse staten (CCPA / CPRA, VCDPA, CPA, CTDPA, UCPA en opvolgende of gelijkwaardige wetten) voor Amerikaanse verwerkingsverantwoordelijken; en andere jurisdictiespecifieke mechanismen die te goeder trouw zijn overeengekomen, zoals uiteengezet in de paragrafen 11.3–11.6 van de Verwerkersovereenkomst.

10. Hoe lang wij uw gegevens bewaren

Wij bewaren persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor wij ze hebben verzameld.

GegevenscategorieBewaartermijn
Coach-accountgegevensVoor de levensduur van uw account, plus 30 dagen na verwijdering (soft-delete buffer), daarna definitieve verwijdering - behalve gegevens die wij om juridische redenen moeten bewaren.
Coachee-gegevens (verwerkt namens de coach)Beheerd door de coach. Wij verwijderen deze wanneer de coach de cliënt verwijdert, of 30 dagen nadat het account van de coach is verwijderd.
Facturen en boekhoudkundige gegevensZeven (7) jaar vanaf het einde van het relevante belastingjaar, conform artikel 52 Algemene wet inzake rijksbelastingen (AWR).
AuthenticatietokensMagic link: 15 minuten, eenmalig bruikbaar. Sessies: rollende JWT van 30 dagen, op elk moment intrekbaar.
ApplicatielogsTot 90 dagen, daarna verwijderd door onze hostingprovider.
Back-upsRollend venster van 30 dagen.
Registraties van nurture-e-mailsWij bewaren een log van de nurture-e-mails die naar uw account zijn verzonden, en een registratie van uw uitschrijvingskeuze, zolang uw account bestaat.
Onderdrukkingslijst voor e-mailbounces/-klachtenWanneer een e-mail aan een adres een harde bounce oplevert of als spam wordt gemeld, registreren wij dat adres op een onderdrukkingslijst zodat onze marketing-/nurture-e-mails niet langer naar dat adres worden verzonden. De vermelding is minimaal, het e-mailadres en de reden (bounce of klacht), en is niet gekoppeld aan een account. Omdat het doel ervan is verdere verzending te voorkomen, wordt zij onafhankelijk van een eventueel bijbehorend account bewaard en kan zij dat account overleven, zolang dit nodig is om de bezorgbaarheid te beschermen. Om ons te vragen een vermelding te beoordelen of te verwijderen, neemt u contact op via privacy@faronto.com.
Rapporten van applicatiefoutenFoutmeldingen met stack traces en diagnostische context die naar onze subverwerker voor foutmonitoring worden verzonden, worden bewaard gedurende het voor dat hulpmiddel geconfigureerde venster (tot 90 dagen) en daarna verwijderd.
Cookies en vergelijkbare technologieënZoals vermeld in paragraaf 7, afhankelijk van de toepasselijke configuratie van het hulpmiddel en de toestemmings-/voorkeursinstellingen.
Productanalyse en sessiereplayBewaard conform de geconfigureerde PostHog EU-bewaartermijn, daarna verwijderd of geaggregeerd. Gevoelige coachinginhoud wordt niet bewust vastgelegd in replay.
Versiegeschiedenis van doelenBewaard gedurende de levensduur van het cliëntdossier; verwijderd bij verwijdering van de cliënt of sluiting van het account.
Registraties van attributie- en verwijzingshandoffsKortdurende lopende handoff-registraties worden normaal gesproken 24 uur of korter bewaard. Gebonden aanmeldings-/verwijzingsattributie wordt bij het account of de verwijzingsregistratie bewaard zolang dit nodig is voor analyse, fraudepreventie en het beheer van verwijzingen.

11. Uw rechten

Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

  • Inzage (art. 15) - bevestiging van de verwerking en een kopie van uw gegevens verkrijgen.
  • Rectificatie (art. 16) - onjuiste gegevens laten corrigeren.
  • Wissing (art. 17) - uw gegevens laten verwijderen, met beperkingen (bijv. wij kunnen geen facturen verwijderen die wij wettelijk moeten bewaren).
  • Beperking (art. 18) - de verwerking laten beperken in bepaalde omstandigheden.
  • Overdraagbaarheid (art. 20) - uw gegevens ontvangen in een gestructureerd, gangbaar, machineleesbaar formaat.
  • Bezwaar (art. 21) - bezwaar maken tegen verwerking op basis van gerechtvaardigde belangen, waaronder direct marketing.
  • Toestemming intrekken (art. 7) - op elk moment, waar de verwerking is gebaseerd op toestemming. Intrekking heeft geen invloed op de rechtmatigheid van de verwerking die vóór intrekking heeft plaatsgevonden.
  • Niet onderworpen worden aan geautomatiseerde besluitvorming (art. 22) - zie paragraaf 6.3.

11.1 Hoe u uw rechten kunt uitoefenen

Als u een coach bent, kunt u de meeste van deze rechten uitoefenen vanuit uw account, of door contact op te nemen met privacy@faronto.com. Wij reageren binnen één maand en kunnen deze termijn met twee verdere maanden verlengen voor complexe verzoeken, met kennisgeving.

Als u een coachee bent, is de coach de verwerkingsverantwoordelijke voor uw gegevens. Richt uw verzoek rechtstreeks aan uw coach. Als u uw coach niet kunt bereiken, neem dan contact met ons op en wij zullen u helpen het verzoek door te geven.

11.2 Recht om een klacht in te dienen

U heeft het recht om een klacht in te dienen bij een toezichthoudende autoriteit. De Nederlandse autoriteit is de Autoriteit Persoonsgegevens (AP), autoriteitpersoonsgegevens.nl. U kunt ook contact opnemen met de toezichthoudende autoriteit van de EU-lidstaat waar u woont of werkt. Voor betrokkenen die in het Verenigd Koninkrijk gevestigd zijn, is de bevoegde autoriteit het Information Commissioner's Office (ico.org.uk).

12. Beveiliging

Wij passen passende technische en organisatorische maatregelen toe om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking of toegang. Deze maatregelen omvatten:

  • Versleuteling van gegevens tijdens verzending (TLS 1.2+);
  • Versleuteling in rust voor de database, bestandsopslag en velden met een hoge gevoeligheid zoals OAuth-tokens van derden (AES-256-GCM);
  • Wachtwoordloze authenticatie via magic links en Google- of Microsoft-OAuth - wij slaan geen wachtwoorden op. Magic-link-tokens zijn kortlevend (15 minuten) en eenmalig bruikbaar;
  • Op rollen gebaseerd toegangsbeheer en het principe van minimale rechten (least privilege) voor ons personeel;
  • Auditlogging van administratieve handelingen;
  • Regelmatige updates van afhankelijkheden en beveiligingsbeoordelingen;
  • Geheimhoudingsverplichtingen voor al het personeel met toegang tot productiegegevens;
  • Een proces voor incidentrespons bij datalekken, inclusief melding aan de toezichthoudende autoriteit binnen 72 uur waar vereist door artikel 33 AVG.

12.1 Melding van datalekken - wie meldt aan wie

De hierboven genoemde termijn van 72 uur verwijst naar de meldingsplicht van de verwerkingsverantwoordelijke jegens de toezichthoudende autoriteit op grond van artikel 33 AVG. Waar Faronto optreedt als verwerker namens een coach (bijvoorbeeld met betrekking tot coachee-gegevens), stellen wij de verwerkingsverantwoordelijke coach op de hoogte van een inbreuk in verband met persoonsgegevens binnen de termijn die is vastgelegd in paragraaf 9 van de Verwerkersovereenkomst, zodat de coach op zijn beurt tijdig kan voldoen aan zijn eigen meldingsplicht op grond van artikel 33.

13. Kinderen

Faronto is een business-to-business dienst voor professionele coaches. De dienst is niet gericht op kinderen onder de 16 jaar, en wij verzamelen niet bewust persoonsgegevens van kinderen. Als een coach of coachee onder de 16 jaar per vergissing is aangemeld, neem dan contact met ons op zodat wij de gegevens kunnen verwijderen.

14. Wijzigingen in dit beleid

Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken. De "Laatst bijgewerkt"-datum bovenaan de pagina geeft de meest recente versie weer. Bij materiële wijzigingen stellen wij coaches ten minste 30 dagen voor de inwerkingtreding per e-mail op de hoogte. Niet-materiële verduidelijkingen en correcties worden van kracht op de datum waarop het bijgewerkte beleid wordt gepubliceerd. Voortgezet gebruik van de dienst na de ingangsdatum geldt als aanvaarding van het bijgewerkte beleid.

15. Contact

Vragen, verzoeken of klachten met betrekking tot dit Privacybeleid of uw persoonsgegevens:

Naar boven