Hoe LeadsRec omgaat met persoonsgegevens — voor onze klanten en voor de bezoekers die via onze formulieren gegevens achterlaten.
1. Wie zijn wij?
LeadsRec is een product van [Bedrijfsnaam B.V.], gevestigd te [Adres], ingeschreven bij de Kamer van Koophandel onder nummer [KvK-nummer]. Wij zijn verantwoordelijk voor de verwerking van persoonsgegevens zoals beschreven in dit privacybeleid.
Voor vragen over privacy kun je contact opnemen via privacy@leadsrec.nl.
2. Twee rollen: verwerker en verwerkingsverantwoordelijke
LeadsRec vervult twee rollen onder de AVG:
- Verwerkingsverantwoordelijke — voor de persoonsgegevens van onze eigen klanten (accounthouders en hun teamleden). Wij bepalen het doel en de middelen van die verwerking.
- Verwerker — voor de persoonsgegevens die bezoekers invullen via de formulieren van onze klanten. Onze klanten zijn daarvoor de verwerkingsverantwoordelijke. Wij verwerken die gegevens uitsluitend in hun opdracht.
3. Welke gegevens verwerken wij?
3.1 Klantgegevens (accounthouders en teamleden)
- Naam, e-mailadres, telefoonnummer
- Bedrijfsnaam, KvK-nummer, BTW-nummer
- Inloggegevens (wachtwoord wordt gehasht opgeslagen, nooit in platte tekst)
- Betalingsgegevens (verwerkt via Mollie, wij slaan geen creditcardnummers of IBAN op)
- IP-adres en browsergegevens bij inloggen (voor beveiliging)
3.2 Leadgegevens (ingevuld door bezoekers via formulieren)
- Alle velden die de klant in zijn formulier configureert (naam, e-mail, telefoon, bedrijf, functie, enzovoort)
- Metadata: tijdstip van invullen, IP-adres, user-agent, bron (QR, kiosk, link, badge scan, offline sync)
- Optioneel: handtekening, foto, bestandsuploads, NPS-score, beoordelingen
- AVG-consent: of de bezoeker toestemming heeft gegeven, de tekst van die toestemming, en het exacte tijdstip
3.3 Gebruiksgegevens
- Formulier-analytics: aantal vertoningen, inzendingen en conversieratio (geaggregeerd, niet per persoon)
- Push-notificatie subscriptions (endpoint, encryptiesleutels)
- A/B-test toewijzingen (anoniem visitor-ID via cookie)
4. Waarvoor gebruiken wij deze gegevens?
| Doel | Gegevens | Grondslag (AVG) |
|---|
| Account aanmaken en beheren | Naam, e-mail, bedrijf | Uitvoering overeenkomst (art. 6.1.b) |
| Abonnement en facturatie | Bedrijf, BTW, betalingsgegevens | Uitvoering overeenkomst (art. 6.1.b) |
| Leads vastleggen namens de klant | Alle formuliervelden | Uitvoering overeenkomst (art. 6.1.b) — wij als verwerker |
| Follow-up e-mails en WhatsApp | E-mail, telefoon, naam | Toestemming van de bezoeker (art. 6.1.a) — klant als verantwoordelijke |
| AI-gegenereerde follow-up concepten | Leadgegevens, notities, tags | Uitvoering overeenkomst (art. 6.1.b) |
| Push-notificaties naar teamleden | Browser push subscription | Toestemming (art. 6.1.a) |
| Beveiliging en fraudepreventie | IP-adres, user-agent | Gerechtvaardigd belang (art. 6.1.f) |
| Productverbetering (A/B-tests) | Anoniem visitor-ID, varianttoewijzing | Gerechtvaardigd belang (art. 6.1.f) |
5. Met wie delen wij gegevens?
Wij verkopen nooit persoonsgegevens aan derden. Wij delen gegevens uitsluitend met de volgende partijen, en alleen voor zover noodzakelijk:
- Mollie B.V. — betalingsverwerking (iDEAL, creditcard, SEPA). Mollie is een zelfstandige verwerkingsverantwoordelijke voor betalingsgegevens.
- E-mail verzending — via onze eigen SMTP-server of de door de klant geconfigureerde mailserver. Wij gebruiken geen externe e-maildiensten als Mailgun of SendGrid.
- Google Cloud (Vision API) — alleen als de klant de visitekaartscanner gebruikt. De foto wordt eenmalig verstuurd voor tekstherkenning en daarna verwijderd uit het Google-systeem.
- Anthropic / OpenAI — alleen als de klant de AI-follow-up functie gebruikt. Leadgegevens worden verstuurd om een e-mailconcept te genereren. Beide partijen verwerken geen data voor eigen doeleinden onder hun API-voorwaarden.
- Integraties geconfigureerd door de klant — als de klant een Mailchimp-, ActiveCampaign- of webhook-integratie instelt, worden leadgegevens doorgestuurd naar die dienst. De klant is hiervoor zelf verwerkingsverantwoordelijke.
6. Waar worden gegevens opgeslagen?
Alle data wordt opgeslagen op servers binnen de Europese Unie. Wij maken gebruik van een eigen server (of hosting bij [hostingpartij]) in [land, bijv. Nederland / Duitsland].
Voor de AI-functionaliteit worden gegevens tijdelijk verwerkt door Anthropic (VS) of OpenAI (VS). Beide partijen zijn gebonden aan Standard Contractual Clauses (SCC) en verwerken data niet voor eigen doeleinden.
7. Hoe lang bewaren wij gegevens?
- Klantgegevens — zolang het account actief is, plus 12 maanden na opzegging (voor facturatiedoeleinden en wettelijke bewaarplicht).
- Leadgegevens — zolang het account van de klant actief is. De klant kan leads op elk moment zelf verwijderen. Na opzegging van het account worden alle leadgegevens binnen 30 dagen definitief verwijderd.
- Logbestanden — beveiligingslogs worden maximaal 90 dagen bewaard.
- Factuurgegevens — 7 jaar, conform de wettelijke bewaarplicht (fiscale wetgeving).
8. Jouw rechten onder de AVG
Als betrokkene heb je de volgende rechten:
- Inzage — je kunt opvragen welke gegevens wij van je verwerken.
- Rectificatie — je kunt onjuiste gegevens laten corrigeren.
- Verwijdering — je kunt vragen om verwijdering van je gegevens ("recht op vergetelheid").
- Beperking — je kunt vragen om beperking van de verwerking.
- Overdraagbaarheid — je kunt je gegevens in een machineleesbaar formaat opvragen.
- Bezwaar — je kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
Voor het uitoefenen van deze rechten kun je contact opnemen via privacy@leadsrec.nl. Wij reageren binnen 30 dagen.
Voor bezoekers die via een LeadsRec-formulier gegevens hebben ingevuld: je kunt een verwijderverzoek indienen via het formulier op de pagina waar je je gegevens hebt achtergelaten, of rechtstreeks bij de organisatie die het formulier beheert. LeadsRec biedt een zelfbedieningsportal voor verwijderverzoeken.
9. Cookies
LeadsRec gebruikt de volgende cookies:
- Sessiecookie — noodzakelijk voor het inloggen en gebruiken van het dashboard. Vervalt bij het sluiten van de browser.
- CSRF-cookie — beveiligingscookie om cross-site request forgery te voorkomen.
- A/B-test cookies — slaan je varianttoewijzing op zodat je consistent dezelfde versie van een pagina ziet. Bevatten geen persoonsgegevens. Geldig: 1 jaar.
- Push-notificatie cookies — slaan je voorkeur op voor het ontvangen van push-meldingen. Bevatten geen persoonsgegevens.
Wij gebruiken geen tracking cookies van derden, geen Google Analytics, geen Facebook Pixel en geen andere advertentie-trackers.
10. Beveiliging
Wij nemen de bescherming van persoonsgegevens serieus en treffen passende technische en organisatorische maatregelen:
- Alle verbindingen zijn versleuteld via HTTPS/TLS
- Wachtwoorden worden gehasht opgeslagen (bcrypt)
- API-sleutels worden gehasht opgeslagen (niet in platte tekst)
- CSRF-bescherming op alle formulieren
- Rate limiting op publieke endpoints
- Content Security Policy headers
- Rolgebaseerde toegangscontrole (eigenaar, admin, editor, viewer)
11. Dataverwerkerovereenkomst (DPA)
LeadsRec treedt op als verwerker voor de leadgegevens van onze klanten. Klanten met een actief abonnement kunnen een dataverwerkerovereenkomst (DPA) aanvragen via privacy@leadsrec.nl. Wij sturen deze binnen 5 werkdagen toe.
12. Klachten
Als je een klacht hebt over hoe wij met persoonsgegevens omgaan, neem dan eerst contact met ons op via privacy@leadsrec.nl. Komen we er samen niet uit, dan heb je het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).
13. Wijzigingen
Wij kunnen dit privacybeleid van tijd tot tijd aanpassen. Belangrijke wijzigingen worden per e-mail gecommuniceerd aan actieve klanten. De meest recente versie is altijd beschikbaar op deze pagina.
