XRechnungs

De verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) is:

Er is geen functionaris voor gegevensbescherming aangesteld, omdat hiertoe geen wettelijke verplichting bestaat.

Wij verwerken persoonsgegevens uitsluitend in overeenstemming met de AVG en de geldende nationale privacywetgeving.

De verwerking vindt plaats voor:

• Het leveren van onze SaaS-diensten
• Uitvoering van de overeenkomst
• Waarborging van IT-beveiliging
• Verbetering van ons aanbod

3.1 Registratie- en accountgegevens

• Naam
• E-mailadres
• Wachtwoord (gehasht opgeslagen)
• Bedrijfsgegevens (bijv. bedrijfsnaam, adres, btw-nummer)

Doel: accountbeheer en gebruik van de applicatie

Rechtsgrondslag: art. 6 lid 1 sub b AVG

3.2 Factuur- en zakelijke gegevens

• Namen en adressen van klanten, leveranciers en zakenpartners
• E-mailadressen en telefoonnummers
• Btw-identificatienummers
• Factuur- en betalingsgegevens (bedragen, bankgegevens, betalingsstatus)
• Omschrijvingen van prestaties en factuurnummers
• Medewerkergegevens (voor zover vermeld op facturen of documenten)

Doel: aanmaken, valideren en leveren van elektronische facturen (XRechnung, ZUGFeRD)

Rechtsgrondslag:

• Art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst met de gebruiker)
• Art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij het leveren van het SaaS-platform)

3.3 Technische gebruiksgegevens

• IP-adres
• Datum en tijdstip van toegang
• Browser- en apparaatinformatie
• Aanmeldingstijdstippen en activiteitslogboeken
• Logbestanden

Doel: operationele beveiliging, foutanalyse, misbruikdetectie

Rechtsgrondslag: art. 6 lid 1 sub f AVG (gerechtvaardigd belang)

De verwerking van persoonsgegevens vindt in beginsel plaats op servers binnen de Europese Unie (EU) of de Europese Economische Ruimte (EER). Voor de technische uitvoering maken wij gebruik van de volgende verwerkers conform art. 28 AVG:

Met alle dienstverleners bestaan schriftelijke verwerkersovereenkomsten. Voor zover aanbieders buiten de EU/EER zijn gevestigd, vindt de gegevensoverdracht uitsluitend plaats op basis van passende waarborgen conform art. 46 AVG, in het bijzonder EU-standaardcontractbepalingen (SCC's).

Bij gebruik van de PDF-naar-XRechnung/ZUGFeRD-conversiefunctie worden geüploade factuurdocumenten (PDF of afbeeldingsbestanden) voor automatische extractie van factuurgegevens doorgestuurd naar de API van OpenAI, Inc., VS.

Daarbij kunnen persoonsgegevens worden overgedragen die in het document zijn opgenomen (bijv. namen, adressen, btw-nummers, betalingsgegevens).

OpenAI gebruikt API-invoer niet voor het verbeteren of trainen van modellen. Volgens eigen opgave van OpenAI worden gegevens na maximaal 30 dagen verwijderd.

De overdracht naar de VS vindt plaats op basis van EU-standaardcontractbepalingen (SCC's) conform art. 46 AVG.

Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst).

Meer informatie: openai.com/policies/privacy-policy

Voor de technische validatie van factuurdocumenten (XRechnung, ZUGFeRD) maken wij gebruik van de KoSIT-validator en de Mustang Validator. De validatie vindt server-zijdig plaats. Daarbij worden de in de factuurdocumenten opgenomen gegevens technisch gecontroleerd.

Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst).

Voor de verwerking van abonnementen en betalingen maken wij gebruik van Stripe Payments Europe Ltd., Ierland.

Betalingsgegevens (bijv. naam, factuuradres, betalingsinformatie) worden rechtstreeks door Stripe verwerkt. XRechnungs slaat geen volledige betalingsgegevens op.

Rechtsgrondslag: art. 6 lid 1 sub b AVG.

Meer informatie: stripe.com/nl/privacy

Voor zover u toestemming hebt gegeven, maken wij gebruik van Google Analytics, een webanalysedienst van Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ierland.

Google Analytics gebruikt cookies die een analyse van het gebruik van onze website mogelijk maken. Wij hebben IP-anonimisering geactiveerd, zodat uw IP-adres binnen de EU wordt ingekort.

Rechtsgrondslag: art. 6 lid 1 sub a AVG en § 25 lid 1 TTDSG (toestemming).

Een gegevensoverdracht naar Google-servers in de VS kan niet worden uitgesloten. Deze vindt plaats op basis van SCC's conform art. 46 AVG. U kunt uw toestemming te allen tijde intrekken via de cookie-instellingen.

Meer informatie: policies.google.com/privacy

Wij gebruiken:

• Technisch noodzakelijke cookies (login, sessie, beveiliging)
• Analyse- of statistiekcookies (alleen na toestemming)

Technisch noodzakelijke cookies: § 25 lid 2 TTDSG; art. 6 lid 1 sub f AVG (gerechtvaardigd belang)

Analyse-/statistiekcookies: § 25 lid 1 TTDSG; art. 6 lid 1 sub a AVG (toestemming)

Persoonsgegevens worden alleen bewaard zolang dit noodzakelijk is voor de uitvoering van de overeenkomst of wettelijke bewaarplichten van toepassing zijn.

Factuur- en accountgegevens worden bewaard zolang een actief account bestaat.

Gegevenswissing na opzegging

Na opzegging van het gebruikersaccount of beëindiging van de gebruiksovereenkomst stellen wij u uw opgeslagen documenten en gegevens gedurende een periode van 30 kalenderdagen ter beschikking voor download.

• Wij informeren u uiterlijk 7 dagen voor het verstrijken van deze termijn per e-mail over de aankomende gegevenswissing.
• Na het verstrijken van de 30-daagse termijn worden alle opgeslagen gegevens en documenten onherroepelijk verwijderd. Herstel is technisch niet mogelijk.
• De wissing wordt intern vastgelegd.

Let op: XRechnungs slaat uw documenten op gedurende de actieve accountperiode. U bent als gebruiker zelf verantwoordelijk voor het naleven van uw fiscaalrechtelijke en handelsrechtelijke bewaarplichten. Wij raden aan regelmatig eigen back-ups te maken buiten het platform.

Voor zover wettelijke bewaarplichten aan onze zijde onmiddellijke wissing in de weg staan, worden de betreffende gegevens bewaard tot het verstrijken van deze plicht en daarna onverwijld gewist.

In het kader van het gebruik van XRechnungs verwerken wij persoonsgegevens in opdracht van onze klanten (art. 28 AVG). De bijbehorende verwerkersovereenkomst (AVV) maakt deel uit van de gebruiksovereenkomst.

Met registratie en gebruik van het platform stemt u elektronisch in met de AVV. De AVV (XRechnungs – Verwerkersovereenkomst (AVV)) is na registratie beschikbaar in het gebruikersgebied van het platform.

De AVV regelt in het bijzonder de aard, omvang en het doel van de verwerking, de ingeschakelde subverwerkers en de technische en organisatorische maatregelen (TOM) conform art. 32 AVG.

U heeft de volgende rechten:

• Inzage (art. 15 AVG)
• Rectificatie (art. 16 AVG)
• Wissing (art. 17 AVG)
• Beperking van de verwerking (art. 18 AVG)
• Gegevensoverdraagbaarheid (art. 20 AVG)
• Bezwaar tegen de verwerking (art. 21 AVG)
• Intrekking van verleende toestemmingen (art. 7 lid 3 AVG)

Om uw rechten uit te oefenen, kunt u contact opnemen via: info@xrechnungs.de

U heeft het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit:

De Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

www.baden-wuerttemberg.datenschutz.de

Wij passen passende technische en organisatorische maatregelen toe conform art. 32 AVG, in het bijzonder:

• TLS/HTTPS-versleuteling van alle gegevensoverdrachten
• Tweefactorauthenticatie (2FA) voor systeemtoegang
• Rolgebaseerde toegangscontrole
• Logische scheiding van gebruikersgegevens per tenant
• Versleutelde gegevensback-ups
• Monitoring en logging van beveiligingsrelevante gebeurtenissen
• Regelmatige beveiligingsupdates

De volledige beschrijving van onze technische en organisatorische maatregelen (TOM) is te vinden in bijlage 3 van de AVV.

Ondanks alle technische en organisatorische maatregelen kan absolute bescherming van gegevens tegen toegang door derden niet volledig worden gegarandeerd.

Er vindt geen geautomatiseerde besluitvorming inclusief profilering conform art. 22 AVG plaats.

Deze privacyverklaring kan indien nodig worden aangepast. De actuele versie is te allen tijde op deze pagina beschikbaar. Bij wezenlijke wijzigingen informeren wij u per e-mail.