Privacybeleid

Gepubliceerd: 15 januari 2025 · Ingangsdatum: 15 januari 2025 · Versie: 1.1.0

1. Inleiding

Zlox B.V. (“Zlox”, “wij”, “ons”) zet zich in voor de bescherming van uw privacy en persoonsgegevens. Dit privacybeleid beschrijft hoe wij gegevens verzamelen, gebruiken, openbaar maken en beveiligen wanneer u ons digitale loyaliteits- en gamificationplatform gebruikt (de “Dienst”).

Dit beleid is in lijn met de Algemene verordening gegevensbescherming (AVG/GDPR) (EU) 2016/679 en overige toepasselijke privacywetgeving in Nederland en de Europese Unie.

Verwerkingsverantwoordelijke: Zlox B.V., ingeschreven in Nederland (KvK: 85823252). Voor vragen: info@zlox.nl.

2. Welke gegevens wij verzamelen

Wij verzamelen verschillende soorten gegevens om onze Dienst te leveren en te verbeteren:

2.1 Persoonsgegevens die u verstrekt:

  • Accountgegevens: naam, voornaam, achternaam, e-mailadres, wachtwoord, profielfoto, geboortedatum, telefoonnummer (incl. landcode), adres, land, stad, tijdzone, taalvoorkeuren, functietitel
  • Bedrijfsgegevens: bedrijfsnaam, bedrijfssector, KvK-nummer, zakelijk adres, locatiecoördinaten (breedte-/lengtegraad), telefoonnummer, e-mail, website-URL, type bedrijf, bedrijfsomschrijving
  • Betalingsgegevens: gegevens betaalmethode, factuuradres, transactiegeschiedenis, abonnementsinformatie, factuurgegevens (veilig verwerkt via Mollie)
  • Communicatiegegevens: berichten, supportverzoeken, feedback en overige communicatie die u naar ons stuurt
  • Inhoudsgegevens: opzet en instellingen loyaliteitsprogramma’s, beloningen, klantengagement, QR-codes, NFC-gegevens, programmabeschrijvingen en overige inhoud die u maakt of uploadt

2.2 Automatisch verzamelen gegevens:

  • Gebruiksgegevens: logbestanden, toegangstijden, bekeken pagina’s, gebruikte functies, clickstream, apparaatgegevens, browsertype, IP-adres, besturingssysteem
  • Locatiegegevens: GPS-coördinaten, gebruik van locatiediensten (indien ingeschakeld), beacon-signalen
  • Technische gegevens: apparaat-ID’s, unieke tokens, mobiele apparaatinformatie, netwerk- en verbindingsgegevens
  • Activiteitsgegevens: tijdstippen aanmelding en laatste activiteit, sessieduur, engagement, punten, ingewisselde beloningen, inschrijvingen in programma’s

2.3 Gegevens van derden:

  • Betalingsaanbieders: transactiestatus, betalingsbevestigingen en terugbetalingsinformatie van Mollie
  • Handelsregistergegevens: bedrijfsinformatie via de KvK-API wanneer u registreert met een KvK-nummer
  • AI-diensten: gegenereerde inhoud via OpenAI (verwerkt volgens het privacybeleid van OpenAI)
  • Afbeeldingsdiensten: metadata van Unsplash bij gebruik van de zoekfunctie voor afbeeldingen

3. Grondslag voor verwerking (AVG artikel 6)

Wij verwerken uw persoonsgegevens op basis van de volgende rechtsgronden:

  • Uitvoering overeenkomst (art. 6 lid 1 onder b): om onze overeenkomst met u uit te voeren, de Dienst te leveren, betalingen te verwerken, uw account te beheren en gevraagde functies te bieden
  • Gerechtvaardigd belang (art. 6 lid 1 onder f): om onze Dienst te verbeteren, fraude te voorkomen, beveiliging te waarborgen, gebruik te analyseren en belangrijke service-updates te communiceren
  • Toestemming (art. 6 lid 1 onder a): voor marketing, analysecookies en optionele functies waarvoor u uitdrukkelijke toestemming heeft gegeven
  • Wettelijke verplichting (art. 6 lid 1 onder c): om te voldoen aan wettelijke eisen, fiscale verplichtingen en toezicht

4. Hoe wij uw gegevens gebruiken

Wij gebruiken de verzamelde gegevens voor de volgende doeleinden:

  • Levering van de Dienst: het aanmaken en beheren van uw account, loyaliteits- en beloningsfuncties, transacties, QR-codes en kernfunctionaliteit van het platform
  • Betalingen: abonnementsbetalingen, facturering, betaalmethoden en terugbetalingen via Mollie
  • Communicatie: dienstgerelateerde meldingen, accountupdates, beveiligingswaarschuwingen, support en belangrijke aankondigingen
  • AI-functies: het genereren en verbeteren van omschrijvingen, vertalingen en andere AI-functies via OpenAI en DeepL
  • Analyse en verbetering: gebruikspatronen, productverbetering, nieuwe functies en gebruikerservaring
  • Beveiliging en fraude: het voorkomen van fraude, ongeautoriseerde toegang, beveiligingsincidenten en misbruik
  • Naleving: wettelijke verplichtingen, verzoeken van autoriteiten, handhaving van onze Algemene voorwaarden en bescherming van onze rechten
  • Marketing (met toestemming): promotionele communicatie, nieuwsbrieven en marketing (altijd uitschakelbaar)

5. Delen van gegevens en diensten van derden

Wij delen gegevens met zorgvuldig geselecteerde aanbieders die onze Dienst mogelijk maken. Contractueel verplichten wij hen uw gegevens te beschermen:

5.1 Betalingen — Mollie B.V.:

  • Gedeelde gegevens: betaalmethode-informatie, bedragen, factuuradressen, klant-identificatoren
  • Doel: betalingen, abonnementen, terugbetalingen en fraudepreventie
  • Locatie: Nederland (EU)
  • Privacybeleid: www.mollie.com/en/privacy

5.2 AI-diensten — OpenAI, L.L.C.:

  • Gedeelde gegevens: teksten, bedrijfsomschrijvingen, programma-informatie (voor generatie en verbetering)
  • Doel: tekstgeneratie, vertalingen en AI-functies
  • Locatie: Verenigde Staten (met passende waarborgen)
  • Privacybeleid: openai.com/policies/privacy-policy
  • Opmerking: OpenAI kan inhoud gebruiken voor modeltraining tenzij u dit uitschakelt; raadpleeg hun privacybeleid.

5.3 Afbeeldingen — Unsplash Inc.:

  • Gedeelde gegevens: zoekopdrachten, keuzes van afbeeldingen
  • Doel: zoeken en integreren van afbeeldingen
  • Locatie: Verenigde Staten
  • Privacybeleid: unsplash.com/privacy

5.4 Vertalingen — DeepL SE:

  • Gedeelde gegevens: tekst voor vertaling
  • Doel: meertalige inhoud
  • Locatie: Duitsland (EU)
  • Privacybeleid: deepl.com/privacy

5.5 Microsoft — Microsoft Corporation:

  • Gedeelde gegevens: e-mail, agendagegevens (bij gebruik van Microsoft Graph-integratie)
  • Doel: e-mail- en agenda-integratie
  • Locatie: verschillend (waaronder EU-dataresidentie mogelijk)
  • Privacybeleid: privacy.microsoft.com

5.6 Handelsregister — Kamer van Koophandel (KvK):

  • Gedeelde gegevens: KvK-nummer
  • Doel: ophalen en verifiëren van bedrijfsgegevens bij registratie
  • Locatie: Nederland (EU)

5.7 Overige gevallen: Wij kunnen gegevens ook delen:

  • met uw uitdrukkelijke toestemming
  • om te voldoen aan wet- en regelgeving, rechterlijke bevelen of verzoeken van overheden
  • om onze rechten, eigendom of veiligheid — of die van gebruikers — te beschermen
  • in het kader van bedrijfsoverdracht, fusie of overname
  • met verwerkers (hosting, analyse, support) onder strikte vertrouwelijkheid

6. Doorgifte buiten de EER

Sommige verwerkers staan buiten de Europese Economische Ruimte (EER). Bij doorgifte zorgen wij voor passende waarborgen:

  • Standaardcontractbepalingen: EU-goedgekeurde modelcontracten met verwerkers buiten de EER
  • Adequaatheidsbesluiten: waar de Europese Commissie een land adequaat heeft verklaard
  • Overige mechanismen: voor VS-diensten gebruiken wij waar nodig erkende overdrachtsmaatregelen
  • Uw rechten: u kunt informatie vragen over de waarborgen voor internationale doorgifte

7. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan nodig voor de in dit beleid beschreven doelen, tenzij de wet een langere termijn voorschrijft:

  • Accountgegevens: zolang het account actief is en daarna tot 3 jaar (wettelijke en fiscale redenen)
  • Transactiegegevens: 7 jaar (Nederlandse fiscale en administratieve verplichtingen)
  • Marketing: tot intrekking van toestemming of uitschrijving
  • Wettelijke verplichtingen: sommige gegevens langer indien vereist door wet, rechter of toezichthouder
  • Verwijdering: op verzoek wissen wij gegevens conform uw AVG-rechten, voor zover geen wettelijke bewaarplicht zich verzet

8. Uw rechten onder de AVG

Als betrokkene heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

8.1 Recht op inzage (art. 15): u mag bevestiging vragen of wij gegevens van u verwerken, die gegevens inzien en informatie krijgen over de verwerking.

8.2 Recht op rectificatie (art. 16): u mag onjuiste of onvolledige gegevens laten corrigeren of aanvullen.

8.3 Recht op verwijdering (‘recht om vergeten te worden’, art. 17): u kunt onder voorwaarden verwijdering vragen, bijvoorbeeld als de gegevens niet meer nodig zijn of u toestemming intrekt.

8.4 Recht op beperking (art. 18): u kunt in bepaalde situaties vragen de verwerking te beperken.

8.5 Recht op overdraagbaarheid (art. 20): u kunt uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat ontvangen en aan een andere verwerkingsverantwoordelijke doorgeven.

8.6 Recht van bezwaar (art. 21): u kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang of tegen direct marketing.

8.7 Intrekking van toestemming: waar verwerking op toestemming steunt, kunt u die te allen tijde intrekken zonder afbreuk aan de rechtmatigheid van eerdere verwerking.

8.8 Klacht bij de toezichthouder: u kunt een klacht indienen bij een toezichthoudende autoriteit, met name in de lidstaat van uw gewone verblijfplaats, werkplek of plaats van de vermeende inbreuk. In Nederland: Autoriteit Persoonsgegevens (AP): autoriteitpersoonsgegevens.nl.

Om deze rechten uit te oefenen, neem contact op via info@zlox.nl. Wij reageren binnen één maand (voor complexe zaken maximaal twee maanden verlenging mogelijk).

9. Beveiliging van gegevens

Wij treffen passende technische en organisatorische maatregelen:

  • Versleuteling: TLS/SSL voor gegevens tijdens transport; gevoelige gegevens ops in lijn met gangbare standaarden
  • Toegangsbeveiliging: authenticatie, strikte toegangscontrole en rolgebaseerd beheer
  • Monitoring: signalering van dreigingen, ongeautoriseerde pogingen en verdacht gedrag
  • Updates: beveiligingspatches, software-updates en kwetsbaarheidsbeoordelingen
  • Training: bewustwording voor medewerkers met toegang tot persoonsgegevens
  • Incidentrespons: vastleggen, melden en afhandelen van datalekken volgens AVG-eisen
  • Back-up: regelmatige back-ups en herstelprocedures

Geen enkele methode van verzending of opslag is volledig risicoloos; wij streven er desondanks naar uw gegevens zorgvuldig te beschermen.

10. Cookies en vergelijkbare technieken

Wij gebruiken cookies en vergelijkbare technieken voor functionaliteit, analyse en ondersteuning van de Dienst. Zie ons cookiebeleid voor details.

Kort samengevat:

  • essentiële cookies die nodig zijn voor de werking van de Dienst
  • analysecookies (met toestemming)
  • functionele cookies voor voorkeuren en instellingen
  • u kunt voorkeuren beheren via de browser of onze cookiebanner

11. Privacy van minderjarigen

Onze Dienst is niet bedoeld voor personen onder de 18 jaar. Wij verzamelen niet bewust gegevens van kinderen onder 18. Bent u ouder of voogd en denkt u dat uw kind gegevens heeft doorgegeven, neem dan direct contact op via info@zlox.nl. Als wij ontdekken dat wij gegevens van een kind onder 18 hebben verzameld, wissen wij die zo snel mogelijk.

12. Marketingcommunicatie

Met uw toestemming kunnen wij u marketing sturen (nieuwsbrieven, aanbiedingen, nieuwe functies). U kunt zich altijd uitschrijven door:

  • op de uitschrijflink in een marketingmail te klikken
  • uw voorkeuren in de accountinstellingen aan te passen
  • contact op te nemen via info@zlox.nl

Ook na uitschrijving voor marketing kunnen wij u nog berichten sturen die noodzakelijk zijn voor de Dienst (bijv. accountupdates, beveiliging, betalingsbevestigingen).

13. Melding van een datalek

Bij een persoonsgegevenslek dat waarschijnlijk een hoog risico voor uw rechten en vrijheden oplevert, zullen wij:

  • de toezichthouder (Autoriteit Persoonsgegevens) binnen 72 uur na bekendwording informeren, voor zover vereist
  • betrokkenen zonder onnodige vertraging informeren indien het risico daartoe aanleiding geeft
  • duidelijke informatie geven over aard, gevolgen en getroffen maatregelen

14. Wijzigingen van dit privacybeleid

Wij kunnen dit beleid bijwerken (praktijk, techniek, wetgeving). Bij wezenlijke wijzigingen informeren wij u onder meer door:

  • publicatie op deze pagina met een nieuwe datum ‘Laatst bijgewerkt’
  • e-mail naar uw geregistreerde adres bij belangrijke wijzigingen
  • een duidelijke melding in de Dienst

Voortgezet gebruik na wijziging kan uw aanvaarding van het bijgewerkte beleid betekenen. Wij raden aan dit beleid periodiek te raadplegen.

15. Koppelingen en diensten van derden

Onze Dienst kan verwijzen naar websites of diensten van derden. Dit privacybeleid geldt niet voor die partijen. Lees hun privacyverklaringen.

16. Contact en functionaris voor gegevensbescherming

Vragen of verzoeken over dit beleid of onze verwerkingen:

Zlox B.V.

KvK: 85823252
info@zlox.nl

Toezichthouder:
Autoriteit Persoonsgegevens (AP)
autoriteitpersoonsgegevens.nl
Telefoon: +31 88 1805 250

Wij behandelen uw privacyvragen zorgvuldig en transparant en reageren binnen één maand na ontvangst.