Privacybeleid van Evnyo

Welkom bij het Evnyo-platform, een pay-per-event SaaS-oplossing voor Europese MKB-ondernemingen voor het beheer van hun evenementen. De bescherming van uw persoonsgegevens is onze absolute prioriteit. Dit privacybeleid legt transparant uit hoe Evnyo uw gegevens verwerkt, in volledige naleving van Verordening (EU) 2016/679 (AVG) en toepasselijke nationale wetten. Opgesteld met de hoogste juridische standaarden, weerspiegelt dit beleid ons engagement op het gebied van privacy en beveiliging. We beschrijven de doeleinden van gegevensverwerking, onze rechtsgronden, de verwerkers die we gebruiken, de geïmplementeerde beveiligingsmaatregelen, uw rechten en hoe deze uit te oefenen.

Evnyo verplicht zich ertoe de beginselen van rechtmatigheid, eerlijkheid, transparantie, gegevensminimalisatie en doelbinding zoals voorzien door de AVG na te leven. We zorgen ook voor verantwoordingsplicht (accountability) door onze naleving rigoureus te documenteren. Door gebruik te maken van ons platform, behoudt u de controle over uw gegevens: we gebruiken ze alleen voor de expliciete doeleinden die hieronder worden beschreven en commercialiseren ze nooit.

De verwerkingsverantwoordelijke voor gegevens die via het Evnyo-platform worden verzameld is MACK, een Franse besloten vennootschap met een maatschappelijk kapitaal van € 246.389,00, maatschappelijke zetel APPARTEMENT 6 2 ALL SAINT MICHEL 59890 QUESNOY SUR DEULE, ingeschreven in het Handels- en Vennootschapsregister van Lille Métropole onder nummer 852 895 747, SIRET 85289574700032 (hierna "Evnyo" of "wij"). Als verwerkingsverantwoordelijke bepalen wij de doeleinden en middelen van verwerkingen betreffende het beheer van de site en klantaccounts. Bovendien, wanneer we deelnemersgegevens verwerken namens onze klanten (evenementorganisatoren), handelen we als verwerker conform artikel 28 van de AVG (zie sectie "Verwerking" hieronder).

Aanstelling van een Referent Gegevensbescherming: Als MKB heeft Evnyo geen wettelijke verplichting om een functionaris voor gegevensbescherming aan te stellen in de zin van artikel 37 van de AVG en equivalente nationale wetgeving, omdat onze kernactiviteit niet bestaat uit grootschalige verwerking die regelmatige en systematische monitoring van betrokkenen vereist, noch grootschalige verwerking van bijzondere categorieën gegevens. Deze beoordeling is uitgevoerd conform de richtlijnen van de Europese Commissie voor Gegevensbescherming (EDPB) en nationale autoriteiten. Echter, voor transparantie en voortdurende verbetering van onze praktijken, hebben we gekozen voor het aanstellen van een referent gegevensbescherming. Deze referent heeft niet de status van functionaris voor gegevensbescherming in de zin van artikel 37 AVG.

Bevoegde toezichthoudende autoriteiten: Afhankelijk van uw woonplaats is de bevoegde toezichthoudende autoriteit:

• Frankrijk: Commission Nationale de l'Informatique et des Libertés (CNIL)
• Verenigd Koninkrijk: Information Commissioner's Office (ICO)
• Duitsland: Länder gegevensbeschermingsautoriteiten en Bundesbeauftragte für den Datenschutz
• Spanje: Agencia Española de Protección de Datos (AEPD)
• Italië: Garante per la protezione dei dati personali
• Portugal: Comissão Nacional de Proteção de Dados (CNPD)
• Polen: Urząd Ochrony Danych Osobowych (UODO)
• Roemenië: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
• Nederland: Autoriteit Persoonsgegevens (AP)
• België: Autorité de protection des données (APD/GBA)
• Oostenrijk: Datenschutzbehörde (DSB)

Voor vragen betreffende dit beleid of om uw rechten uit te oefenen (hieronder gedetailleerd), kunt u contact opnemen met onze referent gegevensbescherming:

• Dominique PRASIVORAVONG – Referent Gegevensbescherming van Evnyo
• Contact: privacy@evnyo.com (of per post naar ons kantooradres, ter attentie van de referent gegevensbescherming)

We verzamelen en verwerken persoonsgegevens alleen voor bepaalde, expliciete en legitieme doeleinden. Hieronder vindt u de gedetailleerde lijst van onze verwerkingsdoeleinden, evenals de overeenkomstige rechtsgrond voor elk van hen, conform artikel 6 van de AVG:

• Versturen van uitnodigingen en herinneringen voor evenementen: Evnyo stelt organisatoren in staat uitnodigingen per e-mail (via Postmark) en SMS (via Twilio) naar deelnemers te sturen, mensen die niet hebben gereageerd op te volgen of hen herinneringen te sturen vóór het evenement. Deze verwerking is noodzakelijk voor de uitvoering van het contract dat ons bindt aan onze organisator-klanten (artikel 6(1)(b) AVG) – we handelen op instructie van onze klanten om gasten te contacteren in het kader van evenementorganisatie. De organisator, als verantwoordelijke voor uitnodigingen, zorgt er zelf voor dat hij beschikt over een adequate rechtsgrond (bijvoorbeeld zijn gerechtvaardigde belang om zijn professionele contacten uit te nodigen).

• Deelname tracking en check-in beheer: Ons platform verwerkt gastresponsen (bevestigde deelname, weigering, enz.), houdt inschrijvingen bij en beheert toegang tot het evenement. Deze gegevens stellen de organisator in staat om opkomst in real-time te volgen en aanwezigheid van deelnemers op de dag zelf te beheren. De verwerking wordt uitgevoerd in het kader van de geleverde dienst (evenementbeheer), op contractuele basis (artikel 6(1)(b)).

• Contact import: Evnyo biedt een contact import functionaliteit om onze klanten te helpen hun gastenlijsten eenvoudig te integreren (bijvoorbeeld uit een adresboek). Deze operatie, geactiveerd op verzoek van de gebruiker, behelst de verwerking van contactgegevens (bijv. namen, e-mails, nummers) van uw contacten om ze toe te voegen als gasten. Het gebruik van ruwe of afgeleide gebruikersgegevens die zijn ontvangen van Workspace API's zal voldoen aan het Google-beleid voor gebruikersgegevens, inclusief de vereisten voor beperkt gebruik. De rechtsgrond is contractuitvoering en het gerechtvaardigde belang van de organisator om het toevoegen van deelnemers te vereenvoudigen (artikel 6(1)(b) of (f) afhankelijk van het geval). De klant verplicht zich ertoe alleen contacten te importeren die hij mag gebruiken en deze personen indien nodig te hebben geïnformeerd.

• Gegevenscorrectie en AI-beeldgeneratie: Om de gebruikerservaring te verbeteren, bieden we AI-ondersteunde functionaliteiten. Concreet kan Evnyo fragmenten van door de klant verstrekte gegevens naar OpenAI sturen (bijvoorbeeld een slecht gestructureerd CSV-bestand of een gekopieerde lijst van deelnemers) om het formaat te corrigeren of automatisch een afbeelding (evenement visual) te genereren op verzoek. Deze verwerkingen hebben als doel het faciliteren van evenementvoorbereiding (geüniformeerde gegevens, aantrekkelijke visuals). De rechtsgrond is gebaseerd op contractuitvoering – deze functionaliteiten worden alleen geactiveerd op uw verzoek om u te dienen. Opmerking: Gegevens overgedragen naar OpenAI zijn beperkt tot het strikt noodzakelijke (minimalisatiebeginsel) en onderhevig aan geautomatiseerde verwerking. Conform OpenAI's gebruiksvoorwaarden worden gegevens ingediend via hun API niet gebruikt om hun modellen te trainen (behalve expliciete opt-in van onze kant, wat we niet doen) en worden automatisch verwijderd uit hun systemen binnen maximaal 30 dagen na verwerking. Belangrijk: Google Workspace-contactgegevens worden uitsluitend gebruikt voor evenementuitnodigingen. Geen enkel AI- of ML-model gebruikt gegevens van Google Workspace API's. Onze AI-functies werken volledig onafhankelijk van Google-gegevensbronnen.

• Geanonimiseerde statistieken: Evnyo kan globale en geanonimiseerde statistieken ontwikkelen uit evenementgegevens (bijv. gemiddelde responspercentage, totaal aantal deelnemers, enz.) om organisatoren indicatoren te geven over het succes van hun evenementen en onze diensten te verbeteren. Geen persoonsgegevens verschijnen in deze statistieken (resultaten zijn onomkeerbaar geaggregeerd). De productie van dergelijke statistieken heeft geen impact op privacy (niet-identificerende gegevens), kan worden uitgevoerd op basis van ons gerechtvaardigde belang om onze diensten te evalueren en verbeteren (artikel 6(1)(f) AVG).

• Betalingsverwerking en facturering: Evnyo gebruikt Stripe voor het verwerken van betalingen van onze organisator-klanten voor het gebruik van ons pay-per-event platform, evenals voor het beheren van terugkerende facturering en abonnementen. Deze functie omvat de veilige verwerking van bankgegevens, betalingsvalidatie, factureringsschema-beheer en transactietracking. De rechtsgrond voor deze verwerking is de uitvoering van het contract dat ons bindt aan onze klanten (artikel 6(1)(b) AVG) – deze betalingsgegevens zijn essentieel om onze betaalde service te leveren en onze contractuele factureringsverplichtingen na te komen.

• Cookie- en toestemmingsbeheer: Op onze website gebruiken we cookies en trackers conform de vereisten van de ePrivacy-richtlijn (2002/58/EG) en de nationale implementaties daarvan, met name de strikte Duitse en Franse cookieregulering. Niet-essentiële cookies (bijvoorbeeld voor doelgroepmetingen of personalisatiefunctionaliteiten) worden alleen geplaatst na het verkrijgen van uw voorafgaande, vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming via onze toestemmingsbanner beheerd door CookieYes. Deze toestemming wordt geregistreerd en gedocumenteerd conform de strengste standaarden. De rechtsgrond voor het gebruik van niet-essentiële cookies is uw expliciete toestemming (artikel 6(1)(a) AVG). Betreffende cookies die strikt noodzakelijk zijn voor de werking van de dienst (bijv. om ingelogd te blijven op uw account), zijn deze gebaseerd op ons gerechtvaardigde belang of de technische noodzaak gekoppeld aan de uitvoering van de gevraagde dienst (artikel 6(1)(b) of (f)). U kunt uw cookievoorkeuren op elk moment beheren dankzij de toestemmingstool (CMP) en uw toestemming zo gemakkelijk intrekken als u deze hebt gegeven. (Zie sectie "Cookies" hieronder.)

• Documentatie van toestemmingen en wettelijke verplichtingen: Om onze regulatoire naleving in alle landen waar we opereren aan te tonen, bewaren we bewijs van eventuele toestemming die u mogelijk hebt gegeven (bijvoorbeeld uw toestemming voor cookies via CookieYes, of voor het ontvangen van communicaties indien van toepassing). Onder de AVG en equivalente nationale wetten moet de verwerkingsverantwoordelijke op elk moment bewijs kunnen leveren dat de persoon heeft toegestemd onder geldige voorwaarden. We documenteren daarom de voorwaarden voor het verzamelen van toestemmingen en houden een register van toestemmingen bij conform de aanbevelingen van Europese gegevensbeschermingsautoriteiten. Deze verwerking is noodzakelijk voor het naleven van een wettelijke verplichting die op ons rust (artikel 6(1)(c) AVG, art. 7(1) AVG – vermogen om toestemming te bewijzen). Bijvoorbeeld, het logboek van toestemmingen verzameld via CookieYes (inclusief de geschiedenis van elke gebruiker's keuzes, een identificator, datum/tijd en geanonimiseerd IP-adres) wordt veilig bewaard om bewijs te vormen in geval van controle of betwisting.

Onder alle omstandigheden verwerkt Evnyo uw persoonsgegevens alleen voor de bovengenoemde doeleinden en zal nooit verdere verwerkingen uitvoeren die incompatibel zijn met deze doeleinden zonder u te informeren en, waar van toepassing, opnieuw uw toestemming te verkrijgen. Bovendien wordt geen geautomatiseerde besluitvorming of profilering in de zin van artikel 22 AVG geïmplementeerd via onze diensten.

In het kader van de bovenstaande doeleinden kan Evnyo verschillende categorieën persoonsgegevens verzamelen:

• Identificatie- en contactgegevens: naam, voornaam, e-mailadres, telefoonnummer van deelnemers uitgenodigd voor een evenement (verstrekt door de organisator of door de deelnemer zelf tijdens inschrijving). Voor klantgebruikers (organisatoren) verzamelen we namen, voornamen, professionele contactgegevens, functie/titel, evenals informatie betreffende het bedrijf (bedrijfsnaam, adres, BTW-nummer indien van toepassing) tijdens accountcreatie en facturering.

• Evenement-gerelateerde gegevens: informatie gekoppeld aan de uitnodiging en deelname van personen – bijv. uitnodigingsstatus (verzonden/geopend), respons (ja/nee/in behandeling), aantal begeleiders, uitgedrukte voorkeuren (bijv. tijdslotkeuze of dieetwensen, als de organisator dit vraagt), effectieve aanwezigheid tijdens check-in. Deze gegevens maken evenementlogistiek tracking mogelijk.

• Geïmporteerde gegevens: als de organisator de contact import functie gebruikt, zal Evnyo gegevens van hun externe adresboek verwerken (bijv. Gmail, Outlook contacten) die zij hebben geselecteerd – typisch naam, e-mail, bedrijf, telefoon van uit te nodigen contacten. Belangrijk: deze import wordt alleen uitgevoerd op initiatief van de gebruiker en met hun expliciete autorisatie om toegang te krijgen tot deze contacten via de externe dienst (die mogelijk de overeenkomstige OAuth-autorisatie kan vragen). Evnyo gebruikt deze gegevens niet verder dan het samenstellen van de gastenlijst.

• Verstrekte inhoud: alle vrije inhoud die u mogelijk invoert op het platform, bijvoorbeeld het gepersonaliseerde uitnodigingsbericht, het evenementlogo of visual (dat een afbeelding kan bevatten, mogelijk iemands gezicht als u het uploadt, enz.), of bestanden die u bijvoegt (bijv. evenementprogramma PDF). Deze inhoud wordt alleen gebruikt in het kader van het evenement (uitnodigingsdistributie, beschikbaar stellen aan deelnemers, enz.). Wanneer Evnyo OpenAI gebruikt om een afbeelding te genereren of verstrekte tekst te herformatteren, kunnen de prompt en/of gegevens verzonden naar de AI bepaalde elementen van deze verstrekte inhoud bevatten (bijv. ruwe tekst met namen). We zorgen er echter voor dat we geen overbodige of zeer gevoelige informatie naar deze externe diensten sturen.

• Technische en browsing gegevens: tijdens uw gebruik van het platform of bezoek aan de site kunnen we bepaalde technische gegevens verzamelen: IP-adres (geanonimiseerd voor doelgroepmetingen), apparaat- en browserinformatie, taalvoorkeuren, verbindingslogs (datums/tijden) en cookies (zie toegewijde sectie). Deze gegevens worden hoofdzakelijk gebruikt voor beveiliging, dienstverlening (bijv. uw sessie open houden) en geaggregeerde statistieken. Ze kunnen ook dienen om misbruik van het platform te detecteren en voorkomen.

Alle verzamelde gegevens worden direct van u verzameld (organisator gebruiker of gast) of komen voort uit uw gebruik van de diensten (bijv. deelnamestatus). In de zeldzame gevallen waarin gegevens aan ons worden overgedragen door een geautoriseerde derde (bijv. een collega schrijft u in voor een evenement via Evnyo), verplicht de organisator zich ertoe de noodzakelijke autorisaties te hebben verkregen. We vragen onze organisator-klanten ervoor te zorgen dat ze deelnemers correct informeren over het gebruik van het Evnyo-platform voor het beheren van uitnodigingen, conform artikel 14 AVG waar van toepassing.

Uw persoonsgegevens zijn toegankelijk voor geautoriseerd Evnyo-personeel in de strikt noodzakelijke mate (beginsel van beperkte toegang – bijvoorbeeld, ons supportteam kan toegang hebben tot informatie van uw account om u te assisteren). Afgezien van deze interne toegangen beschermd door vertrouwelijkheidsverplichtingen, communiceert Evnyo uw gegevens niet naar derden, behalve naar zijn behoorlijk geautoriseerde technische dienstverleners, hieronder vermeld. Deze dienstverleners handelen namens ons en voor onze rekening als verwerkers, volgens onze instructies en met respect voor dit beleid.

We selecteren onze verwerkers met de grootste zorg, ervoor zorgend dat ze voldoende garanties bieden op het gebied van gegevensbescherming (expertise, beveiligingsmaatregelen, AVG-naleving). Belangrijk: Evnyo zorgt ervoor dat al zijn verwerkers robuuste contractuele garanties bieden op het gebied van gegevensbescherming, conform artikel 28 van de AVG. Evnyo zorgt ervoor dat alle niet-EU subcontractanten beschikken over gevalideerde overdrachtsmechanismen (BCR, SCC, adequaatheidsbesluit). De gebruikte standaard DPA's voldoen aan de vereisten van artikel 28 van de AVG. Deze standaard DPA's definiëren het onderwerp en de duur van verwerking, de aard van uitgevoerde operaties, de types gegevens en betrokkenen, evenals de vertrouwelijkheids-, beveiligings- en assistentieverplichtingen die op hen rusten. Onze verwerkers zullen uw gegevens nooit gebruiken voor andere doeleinden dan die we hen hebben gespecificeerd volgens hun algemene gebruiksvoorwaarden. Hier is de volledige lijst van onze dienstverleners en hun exacte rol:

• CookieYes – Consent Management Platform (CMP): cookie toestemmingsbeheertool. CookieYes implementeert de cookiebanner op onze site en registreert elke gebruiker's keuzes betreffende cookies. Rol: garanderen dat niet-essentiële trackers alleen worden geactiveerd met toestemming, en bewijs bewaren van de toestemming of weigering van de gebruiker. Locatie: CookieYes Limited is een bedrijf geregistreerd in het Verenigd Koninkrijk. Toestemmingsvoorkeuren kunnen lokaal worden opgeslagen (via een technische cookie op uw browser) en/of op CookieYes-servers. Deze gegevens (anonieme toestemmingsidentificator, datum, type toestemming) zijn puur technisch en gebruikt om naleving van uw keuzes te bewijzen.

• Verklaring over gebruik van Google API-gegevens: Evnyo's gebruik van informatie ontvangen van Google API's voldoet aan het Google API Services User Data Policy, inclusief de Limited Use-vereisten. Voor meer informatie over deze vereisten kunt u bezoeken: Google Workspace API User Data Policy en Google API Services User Data Policy .

• OpenAI – Kunstmatige Intelligentie (AI): geavanceerde AI-dienst die we via API gebruiken voor specifieke functionaliteiten (bijv: correctie van slecht geformatteerde gegevens, beeldgeneratie op aanvraag). Rol: algoritmische verwerking van inhoud die we hen sturen om een resultaat te produceren (gecorrigeerd bestand of gegenereerde afbeelding) teruggegeven aan Evnyo. Locatie: Verenigde Staten (OpenAI, Inc.). Overgedragen gegevens: tekstfragmenten of instructies die u ons verstrekt voor AI-gebruik (die persoonsgegevens kunnen bevatten als u ze hebt opgenomen). Garanties: Conform OpenAI's API-gebruiksvoorwaarden (OpenAI API Data Processing Terms) worden de gegevens die we overdragen niet gebruikt door OpenAI om hun AI-modellen te trainen (behalve expliciete opt-in van onze kant, wat we niet doen) en worden automatisch verwijderd uit hun systemen binnen maximaal 30 dagen na verwerking. OpenAI verplicht zich contractueel om deze gegevens niet te gebruiken voor andere doeleinden dan het leveren van de gevraagde dienst.

• Supabase – Database & Bestandshosting: Supabase is onze applicatie-infrastructuurprovider. Rol: hosting van de PostgreSQL-database met Evnyo-gegevens (accounts, evenementen, uitnodigingen, reacties, enz.), en opslag van bijbehorende bestanden (bijv. afbeeldingen van uw evenementen) in een toegewijde ruimte (bucket). Locatie: Europese Unie. We gebruiken Supabase's Europese servers (EU-regio) zodat alle gegevens en bestanden exclusief in Europa worden gehost. Merk op dat Supabase gebaseerd is op gecertificeerde datacenters (ze gebruiken met name AVG-conforme regionale Cloud-infrastructuren). Gegevens opgeslagen in de database of bucket zijn versleuteld in rust (zie Beveiligingssectie) en zijn alleen toegankelijk voor Evnyo-applicaties en onze geautoriseerde beheerders. Supabase heeft geen toegang tot gegevens in gewone tekst en gebruikt ze niet anders dan voor de technische behoeften van opslag.

• Vercel – Frontend hosting: Vercel is het hostingplatform voor onze applicatie frontend (Evnyo website en gebruikersinterface). Rol: distributie van de webapplicatie en statische inhoud naar eindgebruikers, via een wereldwijd content delivery network (CDN) voor optimale prestaties. Locatie: hoofdzakelijk in de Verenigde Staten (Vercel Inc.), met een CDN wereldwijd (inclusief servers in Europa) om inhoud dichter bij de gebruiker te brengen. Overdrachtsgaranties: Vercel is gecertificeerd voor het EU-US Data Privacy Framework en biedt een standaard Data Processing Agreement conform de AVG. Betreffende gegevens: voornamelijk technische browsinggegevens. Wanneer u Evnyo gebruikt, verbindt uw browser met Vercel-servers om de interface te laden; Vercel kan technische gegevens loggen (bijv. IP-adres, datum, gevraagde resource) voor logging en caching behoeften, maar verwerkt geen opgeslagen applicatie persoonsgegevens (de database blijft bij Supabase). Vercel-logs worden alleen gebruikt voor troubleshooting-doeleinden en worden regelmatig gewist.

• Postmark – Transactionele e-mailverzending: e-mailservice (aangeboden door Wildbit/ActiveCampaign) gebruikt voor het routeren van door Evnyo gegenereerde e-mails. Rol: betrouwbare verzending van transactionele e-mails gerelateerd aan evenementen (bijv. uitnodigingen, inschrijvingsbevestigingen, herinneringen, post-evenement follow-ups) namens de organisator. Locatie: hoofdzakelijk in de Verenigde Staten (Postmark-verzendservers), met redundante infrastructuren. Overdrachtsgaranties: Postmark biedt een standaard Data Processing Agreement (DPA) conform AVG-vereisten en contractuele garanties voor internationale overdrachten. Overgedragen gegevens: e-mailadres van de ontvanger, uitnodiging of berichtinhoud (mogelijk inclusief de gast's naam, evenementdetails, enz.). Postmark handelt als eenvoudige verzendvector en slaat tijdelijk verzendinformatie op (e-maillog, leveringsstatus) voor tracking en bewijs van verzending doeleinden. Deze logs worden voor een beperkte tijd bewaard en vervolgens verwijderd volgens hun retentiebeleid. Postmark is contractueel verplicht om de vertrouwelijkheid van overgedragen gegevens te respecteren.

• Twilio – Transactionele SMS-verzending: platform gebruikt voor SMS-verzending (bijvoorbeeld uitnodigingen of SMS-herinneringen, of verificatieberichten) naar deelnemers die een telefoonnummer hebben verstrekt. Rol: SMS routeren naar telecomoperators van uw contacten. Locatie: Twilio Inc. is een Amerikaans bedrijf, maar heeft aanwezigheidspunten in de EU. Standaard worden SMS-verzoeken van Evnyo gerouteerd via servers gelegen in de EU. Echter, in geval van overbelasting of behoefte aan internationale routering, kan het bericht worden verwerkt door een server buiten de EU (bijv. in de Verenigde Staten) om leveringszekerheid te garanderen – dit is de internationale "fallback". Overdrachtsgaranties: Twilio heeft Binding Corporate Rules (BCR) goedgekeurd door Europese gegevensbeschermingsautoriteiten en biedt een Data Processing Agreement conform de AVG. Overgedragen gegevens: telefoonnummer van de ontvanger, SMS-tekstinhoud (mogelijk inclusief de evenementnaam of een bevestigingslink). Twilio bewaart deze gegevens alleen voor logging en facturering (berichtdetails) en verwijdert ze volgens termijnen conform telecomregulaties.

• Stripe – Betalingsverwerking: betalingsplatform gebruikt voor het verwerken van betalingen van onze klanten evenementenorganisatoren en facturering van onze diensten. Rol: veilige verwerking van creditcardbetalingen, bankoverschrijvingen en andere betaalmethoden, evenals facturerings- en abonnementsbeheer. Locatie: Stripe Europe, Ltd. (Ierland) voor Europese klanten, met infrastructuur verspreid over Europa en SEPA-compliance. Overdrachtsgaranties: Stripe heeft uitgebreide AVG-certificeringen en past Standaardcontractbepalingen (SCC) toe voor overdrachten buiten de EU. Overgedragen gegevens: factureringsgegevens van organisator (naam, adres, email, betalingsinformatie), transactiebedragen, factureringsgeschiedenis. Stripe handelt als verwerkingsverantwoordelijke voor betalingsgerelateerde aspecten en als verwerker voor gegevens die wij hen verstrekken als onderdeel van onze service. Betalingsgegevens zijn versleuteld en beveiligd volgens PCI DSS-normen. Stripe bewaart transactiegegevens volgens hun eigen bewaarbeleid en financiële regelgevingsverplichtingen.

• OVH – Domeinnaam & DNS-beheer: OVHcloud is onze registrar en DNS-host voor het domein evnyo.com. Rol: technisch beheer van de domeinnaam, DNS-records (met name die gekoppeld aan e-mailverzending, zoals SPF/DKIM), en hosting van bepaalde hulpfuncties (bijv. siteredirectie naar Vercel). Locatie: Frankrijk (OVH, Frans bedrijf). Persoonsgegevens: eigenlijk zeer weinig gegevens – OVH verwerkt voornamelijk technische gegevens (DNS-queries van bezoekers, die op zich geen persoonlijk identificeerbare gegevens bevatten behalve mogelijk de IP van degene die de query doet). Voor transparantie vermelden we OVH omdat het een dienstverlener is in onze technische keten, maar het exploiteert geen eindgebruikersgegevens.

Elke hierboven genoemde dienstverlener handelt alleen op instructie van Evnyo en nooit voor eigen rekening. We behouden controle over uw gegevens. Als we in de toekomst nieuwe dienstverleners zouden moeten gebruiken of een van hen zouden veranderen, zouden we deze lijst bijwerken en, waar van toepassing, u vooraf informeren als dit uw gegevens beïnvloedt. U behoudt natuurlijk uw rechten (zie sectie "Uw Rechten") inclusief op gegevens verwerkt via deze verwerkers: Evnyo blijft uw enige contactpunt.

Evnyo zorgt ervoor dat al zijn verwerkers robuuste contractuele garanties bieden op het gebied van gegevensbescherming, conform artikel 28 van de AVG. Dit betekent met name dat:

• We onze verwerkers alleen autoriseren om gegevens te verwerken voor specifieke en gedocumenteerde doeleinden, in verband met onze instructies. Een verwerker kan onder geen enkele omstandigheid uw gegevens hergebruiken voor eigen gebruik (bijv. marketing) of ze overdragen aan derden zonder autorisatie.

• Elke verwerker is gebonden door een strikte vertrouwelijkheidsclausule betreffende de gegevens waartoe hij toegang kan hebben. Het personeel van onze dienstverleners geautoriseerd om uw gegevens te hanteren is onderworpen aan een wettelijke of contractuele vertrouwelijkheidsplicht.

• Onze contracten vereisen dat deze dienstverleners alle beveiligingsmaatregelen implementeren die vereist zijn door artikel 32 van de AVG (zie details in de Beveiligingssectie hieronder), en ons assisteren om de uitoefening van uw rechten mogelijk te maken (bijv: als u verwijdering van uw gegevens zou vragen, moet de verwerker meewerken om ze uit zijn systemen te verwijderen).

• Geen verdere verwerker (genaamd "onderverwerker") kan worden ingeschakeld zonder onze voorafgaande schriftelijke autorisatie. Als een van onze dienstverleners er een andere wil inhuren om een deel van de verwerking uit te voeren, moet hij ons vooraf informeren en met hem identieke verplichtingen contracteren. In elk geval blijft de initiële dienstverlener volledig verantwoordelijk jegens Evnyo voor elke fout van zijn onderverwerker (beginsel van cascaderende verantwoordelijkheid, art. 28(4) AVG).

• Aan het einde van de prestatie bepalen onze contracten dat verwerkers, naar keuze van Evnyo, alle persoonsgegevens moeten verwijderen of aan ons retourneren en elke bestaande kopie vernietigen (behalve tegenstrijdige wettelijke verplichting). Bijvoorbeeld, als u een evenement verwijdert en verwijdering van deelnemersgegevens vraagt, zullen we ervoor zorgen dat deze informatie ook wordt verwijderd uit de systemen van onze dienstverleners (Supabase, back-ups, enz.).

• Ten slotte moeten onze verwerkers ons alle informatie verstrekken die nodig is om naleving van AVG-vereisten aan te tonen en eventuele audits mogelijk te maken. Evnyo voert regelmatige due diligence uit (review van certificeringen, externe audits, beveiligingsrapporten) om voortdurende naleving van deze verplichtingen te verzekeren.

Door zo te werken met een ecosysteem van conforme en contractueel geëngageerde dienstverleners, garandeert Evnyo dat de verwerking van bepaalde operaties het beschermingsniveau toegepast op uw gegevens niet verzwakt.

Evnyo hecht bijzonder belang aan gegevenssoevereiniteit en -lokalisatie. Alle uw bestanden en gegevens worden exclusief binnen de Europese Unie gehost door onze technologiepartner Supabase, wiens Europese infrastructuur strikte gegevenslokalisatie op EU-territorium waarborgt. Deze Europese benadering stelt ons in staat optimale juridische controle over uw informatie te behouden, waarbij de documenten die u importeert en deelnemerslijsten fysiek op Europese servers blijven, onderworpen aan Europese regulatie. De voordelen zijn tweeledig: verminderde latenties dankzij geografische nabijheid tot uw Europese deelnemers en betere juridische controle, waarbij uw gegevens niet worden blootgesteld aan extraterritoriale wetgeving van derde landen. Samengevat geeft Evnyo prioriteit aan Europese hosting conform vereisten van digitale soevereiniteit, waardoor versterkte beveiliging en verscherpte AVG-naleving wordt gegarandeerd.

Evnyo streeft er zoveel mogelijk naar om gegevensoverdrachten buiten de Europese Economische Ruimte (EER) te vermijden. De algemene regel is dat gegevens binnen de EU worden verwerkt en opgeslagen. Echter, omdat sommige van onze verwerkers of tools gebaseerd zijn buiten de EU, kunnen internationale gegevensoverdrachten beperkt voorkomen. We beschrijven hieronder deze gevallen en de geïmplementeerde garanties:

• Geen ongekadreerde overdracht: Geen overdracht van persoonsgegevens wordt uitgevoerd naar een niet-EER-lidland zonder bescherming. Al onze internationale stromen zijn gekaderd om een niveau van gegevensbescherming te verzekeren dat in wezen gelijkwaardig is aan dat van de EU. In de praktijk betekent dit dat als uw gegevens Europese bodem zouden verlaten, Evnyo vertrouwt op een van de mechanismen voorzien door de AVG: bijvoorbeeld, het bestaan van een adequaatheidsbesluit van de Europese Commissie voor het bestemmingsland, of de ondertekening van Standaardcontractbepalingen (SCB) wanneer het een overdracht betreft naar een dienstverlener gelegen in een land zonder adequaatheid.

• Dienstverleners gelegen buiten de EU: Onder onze vermelde verwerkers zijn sommigen gevestigd in de Verenigde Staten (bijv. OpenAI, Postmark, Twilio, Vercel) of in Ierland (Stripe). Als zodanig vormen de gegevens die aan hen worden overgedragen in het kader van hun missie overdrachten buiten het EU-vasteland. Belangrijk: Evnyo zorgt ervoor dat alle niet-EU subcontractanten beschikken over gevalideerde overdrachtsmechanismen (BCR, SCC, adequaatheidsbesluit). De gebruikte standaard DPA's voldoen aan de vereisten van artikel 28 van de AVG. Concreet:
• Stripe: gebaseerd in Ierland (EU) voor Europese klanten, heeft uitgebreide AVG-certificeringen en past Standaardcontractbepalingen (SCC) toe voor overdrachten buiten de EU
• Twilio: heeft Binding Corporate Rules (BCR) goedgekeurd door Europese autoriteiten en houdt zich aan de voorwaarden van hun standaard Data Processing Agreement
• Postmark: biedt een standaard Data Processing Agreement (DPA) conform AVG-vereisten
• Vercel: gecertificeerd voor het EU-US Data Privacy Framework en biedt een standaard DPA
• OpenAI: past de standaard OpenAI API Data Processing Terms toe (retentie ≤ 30 dagen, geen training zonder opt-in)

Deze mechanismen, hoewel niet individueel onderhandeld door Evnyo, bieden juridische garanties gelijkwaardig aan SCB om uw gegevens te beschermen tijdens internationale overdrachten.

• Verenigd Koninkrijk: De dienstverlener CookieYes is gebaseerd in het Verenigd Koninkrijk, het dient opgemerkt te worden dat het Verenigd Koninkrijk profiteert van een adequaatheidsbesluit van de Europese Commissie sinds 28 juni 2021, waardoor gegevensoverdrachten onder dezelfde voorwaarden mogelijk zijn als naar de EER (conform artikel 45 AVG). Echter, het Verenigd Koninkrijk past nu de UK GDPR en de Data Protection Act 2018 toe, die afwijkingen kunnen hebben van de Europese AVG. Evnyo monitort de evolutie van dit adequaatheidsbesluit en Britse regulaties, en zal noodzakelijke maatregelen nemen als de situatie zou veranderen (bijv: conclusie van een UK Addendum aan SCB, enz.).

• Speciaal geval van Twilio (SMS): Zoals vermeld, heeft Twilio juridisch goedgekeurde mechanismen. Twilio heeft met name interne Binding Corporate Rules (BCR) geïmplementeerd gevalideerd door Europese autoriteiten, die hun hoofdoverdragsinstrument vormen. Daarnaast houdt Twilio zich aan SCB voor derde landen niet gedekt door hun BCR. Dus, het gebruik van Twilio om SMS te verzenden (ook als deze worden gerouteerd buiten de EU) blijft conform Europese vereisten.

• Proportionaliteit: We zorgen ervoor dat gegevens verzonden buiten de EU worden geminimaliseerd met betrekking tot het doel. Bijvoorbeeld, wanneer we OpenAI vragen om tekst te corrigeren, versturen we alleen de noodzakelijke tekst, zonder aanvullende metadata. Evenzo zijn bij een SMS via Twilio alleen essentiële informatie (SMS-inhoud, nummer) betrokken. Geen van uw Evnyo-gegevens wordt massaal of systematisch buiten de EU gehost, eventuele overdrachten zijn punctueel en afgebakend.

• Beoordeling van overdrachtsrisico's: Voordat we een dienstverlener gelegen buiten de EU gebruiken, beoordeelt Evnyo de risico's gekoppeld aan de overdracht van persoonsgegevens rekening houdend met:
• De aard en gevoeligheid van de overgedragen gegevens (minimalisatie tot het strikt noodzakelijke)
• Het doel en de duur van verwerking
• De contractuele garanties aangeboden door de dienstverlener (DPA, BCR, Data Privacy Framework-certificering)
• De wetgeving van het bestemmingsland en risico's van gouvernementele toegang
• Aanvullende technische beveiligingsmaatregelen (versleuteling, pseudonimisering)

Deze beoordeling stelt ons in staat om te verzekeren dat elke overdracht profiteert van een adequaat beschermingsniveau, zelfs zonder onderhandeling van gepersonaliseerde SCB.

Samengevat vindt geen overdracht van uw gegevens buiten de EER plaats zonder strikt kader. Evnyo blijft attent voor jurisprudentiële ontwikkelingen (Schrems II-uitspraak, enz.) en autoriteitsaanbevelingen om indien nodig zijn internationale overdrachts mechanismen aan te passen. Ons doel is dat uw gegevens waar ze zich ook bevinden profiteren van een niveau van vertrouwelijkheid en beveiliging conform Europese standaarden.

Evnyo bewaart uw persoonsgegevens alleen voor beperkte termijnen, evenredig aan de doeleinden waarvoor ze werden verzameld, en in overeenstemming met wettelijke vereisten. Hier zijn onze hoofdbewaarbeleiden:

• Evenement- en deelnemer-gerelateerde gegevens: Persoonsgegevens van gasten/deelnemers (namen, contacten, status, enz.) worden bewaard tijdens de levensduur van het evenement en zijn actieve beheer, vervolgens verwijderd of geanonimiseerd 90 dagen na het einde van het evenement of de beëindiging van het contract, afhankelijk van wat zich het eerst voordoet. In de praktijk, zodra een evenement voorbij is en gesloten door de organisator, start een bewaarteller. Na 90 dagen zuiveren we uit onze database alle identificerende details betreffende dit evenement (lijst van deelnemers met hun informatie). Deze periode van 3 maanden na het evenement stelt de organisator in staat om nog toegang te hebben tot rapporten en statistieken, post-evenement follow-ups uit te voeren (anonieme dankbetuigingen, geanonimiseerde rapporten) en eventuele klachten te beheren (bijv. verzoek om deelnamecertificaat) voor verwijdering. Na deze termijn heeft de organisator geen toegang meer tot persoonsgegevens van deelnemers op Evnyo, deze worden definitief verwijderd of bewaard in geaggregeerde/geanonimiseerde vorm voor globale statistieken. (Voorbeeld: een 80% deelnamepercentage kan worden bewaard zonder enige vermelding van wie heeft deelgenomen of niet.)

• Klantaccountgegevens (organisator): Informatie betreffende uw Evnyo-account (gebruikersprofiel, klantbedrijfsinformatie, factureringsgeschiedenis) wordt bewaard zolang u onze diensten gebruikt en een actieve klant bent. Als u besluit uw account te sluiten of bij contractbeëindiging, zullen we uw profielgegevens en eerdere evenementen uiterlijk 30 dagen na het einde van het contract verwijderen of anonimiseren, behalve die we langer moeten bewaren om onze wettelijke verplichtingen na te komen of bewijs van een recht te vestigen. Bijvoorbeeld, factureringsgegevens (uitgebrachte facturen, betalingsinformatie) zullen conform boekhoudkundige en fiscale verplichtingen worden bewaard voor de wettelijke duur (in Nederland, 7 jaar voor boekhoudstukken). Ze zullen daarna worden verwijderd. Evenzo kunnen contractuele uitwisselingen die juridische waarde kunnen hebben worden gearchiveerd voor de tijd van toepasselijke wettelijke verjaringstermijnen.

• Technische logs en browsinggegevens: Systeemactiviteitslogs (verbindingen, uitgevoerde acties) worden bewaard voor beveiliging en traceerbaarheid gedurende een periode van 12 rollende maanden, behalve verschillende wettelijke vereiste. Meer gevoelige logs (bijv. beheerder toegangslogs) kunnen tot 2 jaar worden bewaard. IP-adressen verzameld voor beveiligings- of logdoeleinden worden over het algemeen 3 maanden bewaard (behalve IP's geassocieerd met beheerslogs, 2 jaar bewaard). Browsinggegevens verzameld voor statistische doeleinden (via analytische cookies) worden onmiddellijk geaggregeerd en geanonimiseerd, maar ruwe gegevens geassocieerd met cookies (bijv. cookie-identificator) kunnen maximaal 13 maanden bewaard worden conform aanbevelingen van Europese gegevensbeschermingsautoriteiten, met name de strikte vereisten van de Franse CNIL en Duitse autoriteiten.

• Toestemmingen: Toestemmingsregistraties (bijv. CMP-logs van CookieYes, opt-in bewijs) zullen worden bewaard voor de tijd nodig om naleving in alle landen waar we opereren te kunnen bewijzen. Dus, cookie toestemmingslogs worden gearchiveerd gedurende 6 maanden tot 13 maanden (afhankelijk van of de gebruiker zijn keuzes handhaaft of vernieuwt), in lijn met de strengste nationale cookieregulaties. Bewijs van toestemming om communicaties te ontvangen (als Evnyo een nieuwsbrief of ander aanbiedt) zouden worden bewaard tot stopzetting van verzending + 3 jaar (verjaringstermijn). Over het algemeen wissen we geen bewijs van toestemming zolang de betreffende verwerking gaande is en niet betwist. In geval van toestemmingsintrekking kunnen we de informatie bewaren dat u zich hebt verzet (verzetslijst) zolang noodzakelijk om u niet ten onrechte te benaderen.

• Back-ups: Ons systeem voert regelmatige versleutelde databaseback-ups uit om servicecontinuïteit te verzekeren. Deze back-ups kunnen persoonsgegevens bevatten en worden over het algemeen 30 rollende dagen bewaard voordat ze worden overschreven door nieuwe back-ups. Dus, zelfs na verwijdering van gegevens in de hoofddatabase, kan een kopie blijven bestaan in een back-up tot deze verloopt. Na 30 dagen worden back-ups met deze verouderde gegevens automatisch vernietigd. Back-ups zijn alleen toegankelijk voor hersteldoeleinden door onze beheerders en zijn onderworpen aan dezelfde beveiligings- en vertrouwelijkheidsmaatregelen.

Aan het einde van de bovenstaande termijnen worden gegevens veilig verwijderd of onomkeerbaar anoniem gemaakt. Wanneer gegevens worden geanonimiseerd, vallen ze buiten het bereik van de AVG (geen persoon is meer identificeerbaar) en kunnen langer worden bewaard zonder specifieke beperking, bijvoorbeeld om onze globale statistieken of interne analyses te voeden.

Bijzondere uitzonderingen: Het kan voorkomen dat we bepaalde gegevens langer moeten bewaren in geval van geschillen of onderzoek (bijv. gegevensbevriezing op verzoek van een autoriteit, of bewaring tot oplossing van een geschil). In dit geval zullen we toegang tot de betreffende gegevens blokkeren en ze bewaren voor de tijd nodig voor gerechtelijke of administratieve actie. Uw gegevens kunnen ook langer worden bewaard als de wet dit vereist (bijv. in het kader van een wettelijke bewaar- of publieke archiveringsverplichting).

We herbeoordelen regelmatig onze bewaarbeleiden om het opslaan van persoonsgegevens langer dan nodig te vermijden. Als u meent dat een van uw gegevens ten onrechte wordt bewaard, aarzel niet om uw recht op verwijdering uit te oefenen (zie hieronder "Uw Rechten"), we zullen uw verzoek zorgvuldig analyseren met respect voor de AVG.

Evnyo implementeert rigoureuze technische en organisatorische beveiligingsmaatregelen om uw gegevens te beschermen tegen risico's van verlies, wijziging, openbaarmaking of ongeautoriseerde toegang, conform artikel 32 van de AVG. Onze beveiligingsaanpak is gebaseerd op branche best practices en continue risicobeoordeling. Onder de geïmplementeerde maatregelen:

• Uitwisselingsversleuteling (TLS): Alle communicaties tussen uw browser/apparaat en het Evnyo-platform zijn beschermd door end-to-end TLS 1.3-versleuteling (https). Dit garandeert dat de gegevens die u verstuurt of raadpleegt op Evnyo niet kunnen worden onderschept of gelezen door een derde tijdens transit. U kunt de aanwezigheid van het beveiligingsslot in uw browser verifiëren tijdens servicegebruik.

• Gegevensversleuteling in rust: Persoonsgegevens opgeslagen in onze database evenals bestanden geïmporteerd in de Supabase bucket zijn versleuteld in rust met behulp van geavanceerde algoritmen (bijv. AES-256). Versleuteling in rust betekent dat zelfs bij fysieke toegang of diefstal van opslagmedia, gegevens onleesbaar blijven zonder de juiste ontsleutelingssleutels. Deze versleutelingssleutels worden geheim gehouden en beschermd op beveiligde modules.

• Toegangscontrole en versterkte authenticatie: Intern is toegang tot persoonsgegevens strikt gereserveerd voor personen die het nodig hebben voor hun functies (need-to-know beginsel). We gebruiken fijnmazige rolgebaseerde toegangsbeheer (RBAC – Role-Based Access Control) om machtigingen binnen ons team te segmenteren. Bijvoorbeeld, een supporttechnicus kan bepaalde gegevens van uw account zien om u te helpen, maar heeft geen toegang tot financiële gegevens of gastenlijsten van andere klanten. Bovendien zijn al onze beheerder- en gevoelige accounts beschermd door verplichte multi-factor authenticatie (MFA), waardoor het risico op inbraak via wachtwoorddiefstal wordt verminderd. Klantgebruikersauthenticatie ondersteunt ook beveiligingsstandaarden (gehashte wachtwoorden met salt, complexiteitsvereisten, mogelijkheid van 2FA indien gewenst, enz.).

• Tests, audits en beveiligingsonderhoud: We voeren regelmatig penetratietests en kwetsbaarheidsanalyses uit op ons platform om mogelijke gebreken te identificeren. Elke softwarecomponent of -afhankelijkheid wordt prompt bijgewerkt wanneer een beveiligingspatch beschikbaar is. We volgen OWASP Top 10-aanbevelingen om veelvoorkomende applicatiekwetsbaarheden te voorkomen (injecties, XSS, CSRF, enz.). Bovendien zijn onze kritieke verwerkers (bijv. Supabase, Vercel) gecertificeerd of geauditeerd (ISO 27001, SOC 2 Type II-certificeringen, enz.), wat een hoog niveau van infrastructuurbeveiliging verzekert.

• Integriteit en veerkracht: Onze systemen integreren mechanismen die de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van uw gegevens garanderen. Bijvoorbeeld, we dupliceren gegevens op meerdere redundante servers om verlies bij storing te voorkomen (met regelmatige back-ups zoals vermeld). Toegang tot productiegegevens wordt gelogd en permanent gemonitord. Elke anomalie (ongerechtvaardigde toegangspoging, verdachte verkeersspiek, enz.) activeert real-time beveiligingsalarmen. We hebben ook noodherstellingsprocedures die regelmatig worden getest om service en gegevenstoegang snel te herstellen bij een groot incident (bedrijfscontinuïteitsplan / rampherstellingsplan).

• Ontwikkelingsbeveiliging: Onze teams integreren beveiliging vanaf het ontwerp van nieuwe functionaliteiten (privacy by design & by default, art. 25 AVG). Testomgevingen zijn geïsoleerd van echte gegevens (we gebruiken fictieve datasets voor ontwikkeling om echte gegevens niet bloot te stellen). Elke codewijziging is onderworpen aan reviews (code review) en unit/functionele tests inclusief beveiligingsaspecten.

• Personeelsvertrouwelijkheid en training: Elke Evnyo-medewerker met toegang tot persoonsgegevens is contractueel onderworpen aan een vertrouwelijkheidsverplichting. Bovendien sensibiliseren we regelmatig al het personeel voor goede gegevensbeschermingspraktijken (AVG-trainingen, IT-beveiliging, procedures te volgen bij incidenten, enz.).

• Fysieke en omgevingsmaatregelen: Hoewel Evnyo een cloudoplossing is, zorgen we ervoor dat onze hosts robuuste fysieke beschermingsmaatregelen hebben (24/7 gemonitorde datacenters, biometrische of badge fysieke toegangscontrole, elektrische redundantie, branddetectie, enz.).

In geval van een inbreuk op persoonsgegevens ondanks al deze voorzorgsmaatregelen (bijv. bewezen inbraak, verlies of ongeautoriseerde openbaarmaking van gegevens), verplichten we ons ertoe de wettelijke procedure te volgen: melding aan de AP binnen 72 uur indien vereist (artikel 33 AVG) en communicatie aan betrokkenen wanneer de inbreuk waarschijnlijk een hoog risico voor hen tot gevolg heeft (artikel 34 AVG). We hebben een intern beveiligingsincidentregister en een incidentresponsplan om dit type situatie effectief te beheren. Ons doel is proactief en transparant te zijn: als u wordt getroffen door een ernstig incident, wordt u zo snel mogelijk geïnformeerd, met alle informatie over de aard van het incident en genomen maatregelen.

Conform de AVG heeft u een reeks rechten betreffende uw persoonsgegevens. Evnyo verplicht zich ertoe effectief respect voor deze rechten te garanderen en u eenvoudige modaliteiten te bieden om ze uit te oefenen. Hier is een samenvatting van uw fundamentele rechten:

• Recht om geïnformeerd te worden: u heeft het recht om duidelijk geïnformeerd te worden over de verwerkingen van uw gegevens (dit is precies het doel van dit privacybeleid). We streven ernaar u alle informatie te verstrekken die vereist is door artikelen 13 en 14 AVG (identiteit van de verwerkingsverantwoordelijke, doeleinden, rechtsgronden, ontvangers, bewaartermijnen, enz.).

• Recht van toegang: u kunt ons vragen om bevestiging dat we persoonsgegevens over u bezitten, en indien van toepassing, een kopie verkrijgen evenals informatie over de verwerkingsmodaliteiten (doeleinden, gegevenscategorieën, ontvangers, enz.). Concreet stelt dit u in staat te weten welke gegevens we over u hebben. We zullen deze informatie verstrekken in begrijpelijke vorm en via het communicatiemiddel van uw keuze (elektronisch of papier). Opmerking: voor evenementgasten, voor zover Evnyo handelt als verwerker van de organisator, is het vaak relevanter om eerst de organisator (verwerkingsverantwoordelijke) te benaderen voor toegang tot uw inschrijvingsgegevens. U kunt echter ook direct contact met ons opnemen; we zullen dan coördineren met onze klant om u een volledig antwoord te geven.

• Recht van rectificatie: als u constateert dat gegevens over u onjuist of onvolledig zijn, kunt u hun correctie of update vragen. Bijvoorbeeld, als uw naam verkeerd gespeld is of als u van e-mailadres verandert, zullen we de wijziging zo snel mogelijk doorvoeren. In de praktijk kunnen organisatorgebruikers bepaalde informatie van hun account zelf rectificeren via profielinstellingen. Voor deelnemers kan een verzoek worden gericht aan de organisator of aan ons, en we zullen rectificeren op instructie van de organisator.

• Recht op verwijdering ("recht om vergeten te worden"): u kunt verwijdering van uw persoonsgegevens in onze bestanden verkrijgen, met name als ze niet langer nodig zijn met betrekking tot de doeleinden waarvoor ze werden verzameld, of als u uw toestemming intrekt (wanneer de verwerking gebaseerd was op toestemming). Dit recht is niet absoluut: we moeten mogelijk bepaalde gegevens bewaren als een wettelijke verplichting ons daartoe verplicht of als ze nog nodig zijn om een recht in rechte vast te stellen/uit te oefenen/te verdedigen. Concreet kan voor een gast die niet langer wil verschijnen in de deelnemerslijst, de organisator of wijzelf zijn gegevens verwijderen (wat zal worden uitgevoerd behalve legitieme belemmering). Als Evnyo interveniëert als verwerker, zullen we de organisator informeren over uw verwijderingsverzoek en, behalve legitieme tegenstrijdige instructie van zijn kant, overgaan tot effectieve verwijdering van uw gegevens in onze systemen en de operatie bevestigen.

• Recht op beperking van verwerking: in bepaalde situaties kunt u beperking (tijdelijke bevriezing) van de verwerking van uw gegevens vragen. Bijvoorbeeld, als u de juistheid van gegevens betwist of de rechtmatigheid van een verwerking, terwijl we verifiëren of een akkoord vinden, kunt u vragen dat de gegevens niet langer worden gebruikt (maar eenvoudig bewaard). Wanneer beperking wordt toegekend, verwerken we de gegevens niet meer behalve om ze te bewaren of voor dwingende wettelijke redenen. We zullen u vooraf informeren als de beperking moet worden opgeheven.

• Recht van bezwaar: u heeft het recht om, om redenen betreffende uw bijzondere situatie, bezwaar te maken tegen elke verwerking van uw gegevens gebaseerd op Evnyo's gerechtvaardigd belang (artikel 6(1)(f)). Als u dit recht uitoefent, zullen we de betwiste verwerking stoppen, tenzij er gerechtvaardigde en dwingende redenen bestaan om door te gaan (bijvoorbeeld, de noodzaak om bepaalde gegevens te bewaren voor de verdediging van rechten in rechte) of als de verwerking wettelijk vereist is. U kunt ook op elk moment bezwaar maken tegen de verwerking van uw gegevens voor prospectiedoeleinden (bijv: als Evnyo nieuwsbrieven of marketingcommunicaties zou sturen – wat we alleen doen met toestemming). In dit laatste geval is het bezwaar absoluut: we zullen zonder voorwaarde stoppen met het sturen van verzoeken. Betreffende cookies vertaalt uw recht van bezwaar zich in de mogelijkheid om elke niet-essentiële cookie te weigeren via de CMP (wat een vorm van bezwaar is tegen een advertising profiling verwerking bijvoorbeeld).

• Recht op dataportabiliteit: u heeft het recht uw persoonsgegevens die u ons hebt verstrekt te ontvangen, in een gestructureerd, algemeen gebruikt en machine-leesbaar formaat, en ze over te dragen aan een andere verwerkingsverantwoordelijke als u dat wenst. Dit recht is alleen van toepassing op gegevens die u actief hebt verstrekt (bijv: informatie van uw profiel, geïmporteerde gastenlijsten) of gegenereerd door uw activiteit, en alleen voor geautomatiseerde verwerkingen gebaseerd op uw toestemming of een contract. In de praktijk kunnen organisatoren veel gegevens zelf exporteren via onze interface (bijv. export van de evenementdeelnemerslijst in CSV). Als u wilt dat Evnyo de overdracht naar een andere service faciliteert, zullen we ons best doen (bijv: een bestand verstrekken met uw evenementen en uitgenodigde contacten). Voor deelnemers kan portabiliteit worden uitgeoefend bij de organisator (die verantwoordelijk is voor de verwerking van hun uitnodigingsgegevens) of bij Evnyo die het verzoek zal doorsturen.

• Recht om niet onderworpen te zijn aan geautomatiseerde besluitvorming: Evnyo neemt geen beslissingen met juridische of significante effecten op u op geautomatiseerde wijze (zonder menselijke interventie). Dit recht, voorzien in artikel 22 AVG, richt zich op gevallen zoals automatische profilering die leidt tot serviceverwerping, enz., wat hier niet plaatsvindt. In elk geval zou u het recht hebben om menselijke interventie te vragen, uw standpunt uit te drukken en de beslissing te betwisten.

Naast deze rechten herinneren we u eraan dat als de verwerking van uw gegevens gebaseerd is op uw toestemming, u deze toestemming op elk moment kunt intrekken (zo gemakkelijk als u deze hebt gegeven). Intrekking van toestemming beëindigt de betreffende verwerking voor de toekomst, zonder retroactief effect (dit tast de rechtmatigheid van eerdere verwerking niet aan). Bijvoorbeeld, u kunt zich afmelden van een nieuwsbrief of optionele cookies weigeren, we zullen deze keuze onmiddellijk respecteren.

Uitoefening van uw rechten: Deze rechten kunnen gratis worden uitgeoefend (behalve herhaald misbruik) door contact met ons op te nemen via de contactgegevens aangegeven in de sectie Verwerkingsverantwoordelijke. Om uw procedures te faciliteren, kunt u een e-mail sturen naar privacy@evnyo.com waarin u het doel van uw verzoek specificeert en uw identiteit rechtvaardigt (om te voorkomen dat een derde uw rechten in uw plaats frauduleus uitoefent, zouden we u om bewijs of verificatie kunnen vragen). U kunt ook een postbrief sturen naar ons wettelijke adres (vermeld op onze site) ter attentie van de referent gegevensbescherming. We zullen ontvangst van uw verzoek bevestigen en er zo snel mogelijk gevolg aan geven.

Reactietijd: We verplichten ons ertoe u te antwoorden binnen 1 maand vanaf ontvangst van het verzoek. Als uw verzoek complex is of we er veel ontvangen, kan deze termijn worden verlengd met 2 extra maanden, maar u wordt dan geïnformeerd over de noodzaak van verlenging binnen de eerste maand. In geval van uitzonderlijke weigering om uw verzoek toe te staan (bijvoorbeeld als het duidelijk ongegrond of excessief is, art. 12(5) AVG), zullen we u de redenen uitleggen en u heeft de mogelijkheid om deze beslissing te betwisten.

Evnyo zal er altijd naar streven de uitoefening van uw rechten te faciliteren. Geen redelijk verzoek zal worden genegeerd. Als u meent dat we u niet hebben tevreden gesteld bij de uitoefening van uw rechten, of meer algemeen dat we onze gegevensbeschermingsverplichtingen niet respecteren, heeft u het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit van uw woonland:

• Frankrijk: Commission Nationale de l'Informatique et des Libertés (CNIL) - Website: cnil.fr, sectie "Klachten". Adres: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Verenigd Koninkrijk: Information Commissioner's Office (ICO) - Website: ico.org.uk
• Duitsland: Afhankelijk van uw Land van verblijf, contacteer de bevoegde autoriteit via bfdi.bund.de
• Spanje: Agencia Española de Protección de Datos (AEPD) - Website: aepd.es
• Italië: Garante per la protezione dei dati personali - Website: garanteprivacy.it
• Portugal: Comissão Nacional de Proteção de Dados (CNPD) - Website: cnpd.pt
• Polen: Urząd Ochrony Danych Osobowych (UODO) - Website: uodo.gov.pl
• Roemenië: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) - Website: dataprotection.ro
• Nederland: Autoriteit Persoonsgegevens (AP) - Website: autoriteitpersoonsgegevens.nl
• België: Autorité de protection des données (APD/GBA) - Website: dataprotectionauthority.be
• Oostenrijk: Datenschutzbehörde (DSB) - Website: dsb.gv.at

Als u verblijft in een ander EU/EER-land, kunt u contact opnemen met de gegevensbeschermingsautoriteit van uw land, die waar van toepassing zal doorverwijzen naar de leidende autoriteit (de Franse CNIL voor Evnyo) of in samenwerking met hen zal behandelen volgens het one-stop-shop mechanisme van de AVG.

We nodigen u echter uit om ons eerst te contacteren: we staan open voor dialoog en zullen alles doen wat mogelijk is om elk probleem dat u ons voorlegt direct op te lossen.

(Opmerking: Voor deelnemers uitgenodigd via Evnyo, onthoud dat de evenementorganisator over het algemeen de hoofdverantwoordelijke "verwerkingsverantwoordelijke" is voor uw uitnodigingsgegevens. Evnyo handelt dan als verwerker. Dus, u kunt uw verzoeken richten ofwel direct aan de organisator (die ze indien nodig aan ons zal doorsturen), ofwel aan Evnyo via onze referent gegevensbescherming – we zullen nauw samenwerken met de organisator om u te antwoorden.)

De Evnyo-site en -platform gebruiken cookies en vergelijkbare technologieën voor verschillende doeleinden, conform de vereisten van de ePrivacy-richtlijn (2002/58/EG) en de nationale implementaties daarvan, met name:

• Frankrijk: Artikelen 82 en volgende van de gewijzigde Loi Informatique et Libertés
• Duitsland: Telemediengesetz (TMG) en strikte BGH-vereisten
• Spanje: Ley de Servicios de la Sociedad de la Información (LSSI)
• Italië: Codice Privacy en Garante-richtlijnen
• Verenigd Koninkrijk: Privacy and Electronic Communications Regulations (PECR)
• Nederland: Telecommunicatiewet en strikte richtlijnen van de Autoriteit Persoonsgegevens
• België: Loi du 13 juin 2005 relative aux communications électroniques
• Oostenrijk: Telekommunikationsgesetz (TKG) en strikte DSB-standaarden
• Andere landen: Equivalente nationale regulaties

Versterkte toestemming: Tijdens uw eerste bezoek stelt een toestemmingsbanner (geleverd door CookieYes) u in staat om niet-essentiële cookies granullair per categorie te accepteren of te weigeren. Conform de strengste Europese standaarden verkrijgen we uw voorafgaande, vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming voor elk doel. U kunt uw keuzes op elk moment wijzigen door te klikken op de \"Cookies\"-link of toegewijde icoon beschikbaar op de site, en uw toestemming zo gemakkelijk intrekken als u deze hebt gegeven.

De cookies die we gebruiken zijn met name geclassificeerd in de volgende categorieën:

• Strikt noodzakelijke cookies: onmisbaar voor de werking van de site of levering van de service die u vraagt. Bijvoorbeeld, sessiecookies om u ingelogd te houden, of die dienen om toestemmingskeuzes te onthouden. Deze cookies vereisen geen voorafgaande toestemming volgens de uitzondering in artikel 5(3) van de ePrivacy-richtlijn. U kunt ze niet uitschakelen zonder de service te beïnvloeden, maar ze verwerken geen persoonsgegevens anders dan puur technische.

• Prestatie- en statistiekcookies: deze cookies (Google Analytics of equivalent, geconfigureerd met respect voor de regulatie met IP-anonimisering en beperkte bewaarduur) helpen ons begrijpen hoe de site wordt gebruikt, welke pagina's het meest bezocht worden, enz. We hebben deze tools geconfigureerd om uw IP te anonimiseren en elke individuele tracking te vermijden. Ze worden alleen geplaatst met uw expliciete toestemming. De verzamelde gegevens worden geaggregeerd om onze services en site-ergonomie te verbeteren.

• Functionaliteitscookies: verbeteren uw ervaring (bijv: onthouden van uw weergavevoorkeuren, taal, enz.). Ze zijn optioneel en onderworpen aan voorafgaande toestemming.

• Communicatiecookies: als Evnyo in de toekomst live chat modules, videoconferencing of andere externe services integreert (bijv. voor webinars), zouden deze services hun eigen cookies kunnen plaatsen. Ze zullen ook onderworpen zijn aan toestemming en duidelijk geïdentificeerd in de CMP.

Bewaarduur: Elke cookie heeft een vooraf gedefinieerde levensduur evenredig aan zijn doel (bijv. sessie, 1 maand, 13 maanden maximum voor analytische cookies). U vindt details van elke cookie, zijn doel, uitgever en duur in ons Cookiebeleid toegankelijk via de CMP.

Toestemmingstraceerbaarheid: Evnyo houdt een gedetailleerd register bij van cookietoestemmingen via CookieYes, wat ons in staat stelt bewijs te bewaren van uw akkoord of weigering voor elke cookiecategorie op onze site. Deze traceerbaarheid garandeert dat we uw voorkeuren continu respecteren en stelt ons in staat onze naleving te demonstreren in geval van controle.

Geen gegevensmonetisering: We gaan niet over tot verkoop van browsinggegevens aan adverteerders of andere derden. Als externe cookies zouden worden gebruikt (bijv. ingesloten YouTube, Google Maps), zouden ze ook onderworpen zijn aan uw voorafgaande toestemming en duidelijk geïdentificeerd.

Voor meer informatie over ons gebruik van cookies, en over hoe ze te configureren, raadpleeg onze toegewijde pagina \"Cookiebeheerbeleid\" of neem contact met ons op.

Evnyo stelt evenementdeelnemers in staat om foto's te uploaden naar evenementalbums wanneer deze functie is ingeschakeld door de organisator. Bij het uploaden van foto's naar een evenement moeten gebruikers expliciete toestemming geven en de volgende verantwoordelijkheden erkennen:

Gebruikerstoestemming en verantwoordelijkheden: Voordat ze een foto uploaden, moeten gebruikers bevestigen:

• Dat ze het recht hebben om de geüploade inhoud te delen
• Dat alle identificeerbare personen op de foto's toestemming hebben gegeven om gefotografeerd te worden en voor het delen van de foto's in de context van het evenement
• Dat de evenementorganisator deze foto's mag gebruiken binnen het bereik van het evenement
• Dat ze volledige verantwoordelijkheid accepteren voor de inhoud die ze uploaden

Verantwoordelijkheidsverdeling: Om duidelijke verantwoordelijkheid te waarborgen:

• De uploader is als enige verantwoordelijk voor de inhoud die ze uploaden, inclusief het verkrijgen van de nodige toestemmingen van personen die op de foto's verschijnen
• De evenementorganisator is verantwoordelijk voor het modereren van inhoud als ze moderatie hebben ingeschakeld, en voor het gebruik dat ze maken van geüploade foto's
• Evnyo fungeert als technisch tussenpersoon en is niet verantwoordelijk voor door gebruikers geüploade inhoud, maar zal meewerken aan legitieme verwijderingsverzoeken

Beeldrechten en privacy: Gebruikers die foto's uploaden moeten respecteren:

• De beeldrechten van alle personen die op de foto's verschijnen
• De privacywetten die van toepassing zijn in hun rechtsgebied
• De specifieke context van het evenement en eventuele beperkingen die door de organisator zijn gecommuniceerd

Inhoud verwijderen: Als u op een foto staat en deze wilt laten verwijderen, kunt u:

• Direct contact opnemen met de evenementorganisator
• De rapportagefunctie gebruiken die bij elke foto beschikbaar is
• Contact opnemen met onze functionaris voor gegevensbescherming op privacy@evnyo.com

We zullen verwijderingsverzoeken verwerken in overeenstemming met de toepasselijke wetten en kunnen een identiteitsbewijs vereisen om de legitimiteit van het verzoek te waarborgen.

Technische maatregelen: Voor transparantie registreren we:

• Toestemmingsbevestiging (tijdstempel en geanonimiseerd IP)
• Upload-metadata voor verantwoordelijkheid
• Alle foto's worden verwerkt om GPS-locatiegegevens te verwijderen voor privacy

Dit privacybeleid kan evolueren, met name om veranderingen in onze praktijken te reflecteren of om te voldoen aan mogelijke wettelijke/regulatoire wijzigingen. In geval van substantiële wijziging (bijv. nieuwe doeleinden, nieuwe ontvangers, enz.), zullen we u vooraf informeren, via een kennisgeving op de site of een e-mail, en indien vereist door de wet, zullen we uw toestemming vragen wanneer de wijziging dit vereist. De bijgewerkte versie van het beleid zal altijd toegankelijk zijn op onze site in de sectie "Privacy". We nodigen u uit het regelmatig te raadplegen.

Ingangsdatum: Dit beleid is van kracht vanaf 01/06/2025.

Door Evnyo te kiezen, vertrouwt u uw gegevens toe aan een platform dat privacy en beveiliging centraal stelt in zijn bekommernissen. We hopen dat dit document u alle verwachte transparantie heeft gebracht over onze praktijken. Als u aanvullende vragen heeft over uw gegevens of onze naleving, aarzel niet om contact met ons op te nemen – ons team en onze referent gegevensbescherming zijn er om u deskundige en gepersonaliseerde antwoorden te geven.

Dank voor uw vertrouwen, en succesvolle evenementen met Evnyo!

Voor alle vragen betreffende deze verklaring of de uitoefening van uw rechten, kunt u contact opnemen met ons team en onze referent gegevensbescherming die er zijn om u deskundige en gepersonaliseerde antwoorden te geven.