Privacybeleid

1. Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke voor Ondernemen in de Kempen is:

Voor privacy-vragen en verzoeken kunt u het bovenstaande e-mailadres gebruiken. Wij reageren binnen één maand op uw verzoek (art. 12 AVG).

2. Welke persoonsgegevens verwerken wij

Afhankelijk van hoe u de site gebruikt, verwerken wij:

Bedrijfsgegevens uit openbare bronnen

• Bedrijfsnaam, KvK-nummer, vestigingsadres, SBI-codes en rechtsvorm (via KvK Open Data en OpenKVK voor Nederlandse bedrijven, KBO Open Data voor Belgische)
• Websiteadres, telefoonnummer en e-mailadres — indien door het bedrijf publiek gemaakt

Voor eenmanszaken kunnen deze bedrijfsgegevens tevens persoonsgegevens zijn (bijv. het huisadres). U kunt altijd bezwaar maken tegen vermelding — zie sectie 9.

Bij zelf aanmelden of profiel in beheer nemen

• Naam en e-mailadres van de contactpersoon
• Telefoonnummer (optioneel)
• Zelf aangeleverde bedrijfsbeschrijving, logo en afbeeldingen
• Wachtwoord (als scrypt-hash opgeslagen — wij kunnen dit niet teruglezen)

Bij contact via inbox, berichten of feedback

• De inhoud van uw bericht en het gesprek
• E-mailadres (als u dat opgeeft bij een rapport of feedback)

Bij gebruik van de site

• Analytics (eigen): paginabezoeken en zoektermen. IP-adres, user-agent en datum worden samen gehasht (SHA-256) tot een sessie-identifier die niet terug te herleiden is naar het oorspronkelijke IP. Wij slaan geen ruwe IP-adressen op.
• Rate limiting en beveiliging: tijdelijk IP-adres voor het tegenhouden van misbruik (in-memory, vluchtig; niet langdurig opgeslagen).
• Google Analytics 4: geanonimiseerde bezoekstatistieken in cookieless mode (zie sectie 8).
• Sessiecookie: alleen als u inlogt op uw profiel of het admin-gedeelte. Bevat een willekeurig sessietoken; geen persoonsgegevens.

Bij koppelen van Telegram (optioneel)

• Uw Telegram chat-ID en (indien ingesteld) uw Telegram-gebruikersnaam

3. Doelen en rechtsgrondslagen

Voor elke verwerking hebben wij een grondslag op basis van de Algemene Verordening Gegevensbescherming (AVG):

4. Met wie delen wij gegevens (verwerkers)

Voor het functioneren van de site zetten wij enkele externe leveranciers in. Met hen zijn de vereiste verwerkersovereenkomsten gesloten of de door de leverancier aangeboden standaardvoorwaarden geaccepteerd.

• Amazon Web Services — SES (e-mailverzending, EU-regio). Verwerkt: uitgaande e-mailadressen en berichtinhoud.
• Cloudflare (tunnel, DNS en inkomende e-mail via Cloudflare Email Worker). Verwerkt: IP-adressen van bezoekers (alleen vluchtig, voor routing) en inkomende e-mail.
• Google (Google Analytics 4). Verwerkt: geanonimiseerde bezoekstatistieken in cookieless mode — zie sectie 8 en 5.
• Telegram (Telegram Messenger LLP). Verwerkt: Telegram chat-ID van gebruikers die vrijwillig gekoppeld hebben, plus berichtinhoud van notificaties.
• fal.ai / Black Forest Labs (afbeeldingsgeneratie, FLUX Pro 1.1). Ontvangt: tekstprompts die door ons worden samengesteld. Geen persoonsgegevens van bezoekers.
• Anthropic (Claude) (AI-assistentie bij artikelen, code en e-mail). Ontvangt: door ons zelf aangeleverde prompts en teksten. Geen persoonsgegevens van bezoekers tenzij u zelf een bericht stuurt dat wij vervolgens met AI-hulp beantwoorden.
• Server-mini (eigen fysieke server). Alle productie-data (database, uploads) draait op eigen hardware in Nederland.

Wij verkopen uw gegevens niet, delen ze niet met adverteerders en gebruiken ze niet voor advertentieprofilering.

5. Doorgifte buiten de EER

Een aantal leveranciers is gevestigd buiten de Europese Economische Ruimte (EER) of heeft moederbedrijven daarbuiten:

• Google (Verenigde Staten) — gegevens van Google Analytics kunnen worden doorgegeven. Google is gecertificeerd onder het EU-US Data Privacy Framework (DPF). Daarnaast hanteren wij cookieless mode met IP-anonimisatie en zonder advertising features.
• Cloudflare (Verenigde Staten, met EU-points-of-presence) — Cloudflare is eveneens DPF-gecertificeerd. Voor EU-bezoekers wordt het verkeer binnen de EU gerouteerd.
• Amazon Web Services (EU-regio) — AWS-diensten draaien in de EU (eu-west), doorgifte is in principe binnen de EER. AWS is eveneens DPF-gecertificeerd voor aanvullende scenario's.
• Anthropic (Verenigde Staten) — AI-verzoeken kunnen in de VS worden verwerkt. Anthropic is DPF-gecertificeerd. De inhoud die wij met Claude delen is door ons zelf aangeleverd en wordt nooit automatisch vanuit gebruikerberichten doorgestuurd.
• fal.ai / Black Forest Labs (Verenigde Staten / Duitsland) — alleen inhoud die wij zelf aanleveren (prompts, geen persoonsgegevens).
• Telegram (Verenigde Arabische Emiraten) — Telegram staat buiten de EER en valt niet onder het DPF. De koppeling is vrijwillig en opt-in; alleen de gegevens die u zelf via Telegram uitwisselt worden door Telegram verwerkt volgens hun eigen voorwaarden.

Voor doorgiftes naar de Verenigde Staten baseren wij ons in eerste instantie op het DPF. Waar dit niet van toepassing is, vertrouwen wij op de door de leverancier gehanteerde standaardcontractbepalingen (SCC's).

6. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan nodig is voor het doel waarvoor ze zijn verzameld. Concrete termijnen:

Wij hebben automatische opschoonscripts draaien die deze termijnen afdwingen. Openstaande (niet-afgehandelde) rapporten en feedback worden niet verwijderd totdat ze afgehandeld zijn.

7. Beveiliging

Wij hebben passende technische en organisatorische maatregelen genomen om persoonsgegevens te beschermen tegen verlies, misbruik en onbevoegde toegang (art. 32 AVG):

• HTTPS (TLS) op de gehele site, inclusief admin- en profiel-gedeelte
• Wachtwoorden opgeslagen als scrypt-hash; sessietokens met SHA-256 gehasht in de database
• Rate limiting op inlogpogingen (5 per 15 minuten), berichten, rapporten en feedback — om geautomatiseerd misbruik tegen te gaan
• CSRF-bescherming via Origin-controle op alle POST-formulieren
• Magic-bytes-validatie op geüploade afbeeldingen + automatische conversie naar WebP om uitvoerbare bestanden tegen te houden
• DKIM, SPF en DMARC op uitgaande e-mail
• Periodieke back-ups van de database en uploads
• Minimale toegang: de eigenaar is de enige die structureel toegang heeft tot het admin-gedeelte en de server

8. Cookies en analytics

Functionele cookies

Als u inlogt op een profielaccount of het admin-gedeelte, plaatsen wij één functionele cookie per gedeelte (profile_session, admin_session). Deze bevat een willekeurig sessietoken en verloopt bij uitloggen of na 24 uur (profiel) / beperkte duur (admin). Zonder deze cookie kunt u niet ingelogd blijven.

Eigen analytics (hash-based)

Op alle publieke pagina's meten wij paginabezoeken en zoekopdrachten. IP-adres, user-agent en datum worden server-side samen gehasht (SHA-256) tot een sessie-identifier. Wij slaan geen ruwe IP-adressen op. Deze gegevens zijn gepseudonimiseerd en worden 90 dagen bewaard. Er worden voor deze eigen analytics geen cookies geplaatst.

Google Analytics 4 (cookieless mode)

Wij gebruiken Google Analytics 4 in cookieless modus: er worden geen _ga- of andere persistente cookies geplaatst. IP-adressen worden geanonimiseerd vóór verwerking (anonymize_ip: true). Advertentie-functies (google_signals, ad_personalization) zijn uitgeschakeld.

Met deze configuratie valt GA4 onder de uitzondering uit de AP-handreiking "Handleiding privacyvriendelijk instellen van Google Analytics" (2024) en is toestemming in principe niet vereist. We gebruiken GA4 uitsluitend voor geaggregeerde statistieken over het gebruik van onze site.

Wilt u toch zeker weten dat er niets aan Google wordt doorgegeven? Gebruik een browser met tracking-blocker of schakel JavaScript uit op deze site.

Geen advertentie- of tracking-cookies

Wij plaatsen geen advertentiecookies en gebruiken geen externe trackers voor advertentiedoeleinden. Er zijn op deze site geen advertenties.

9. Uw rechten

Onder de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

• Inzage (art. 15). U kunt opvragen welke persoonsgegevens wij van u verwerken.
• Rectificatie (art. 16). U kunt onjuiste gegevens laten corrigeren.
• Verwijdering / recht om vergeten te worden (art. 17). U kunt verzoeken om verwijdering van uw gegevens. Voor bedrijfsgegevens uit openbare bronnen geldt dat vermelding op de gids stopt; de bron (KvK, KBO) wordt door ons niet beïnvloed.
• Beperking van de verwerking (art. 18). U kunt verzoeken om tijdelijke beperking terwijl een geschil of correctie loopt.
• Overdraagbaarheid (art. 20). U kunt uw zelf aangeleverde gegevens in een gestructureerd formaat opvragen.
• Bezwaar (art. 21). U kunt bezwaar maken tegen verwerkingen op basis van gerechtvaardigd belang, waaronder uw bedrijfsvermelding uit openbare bronnen.
• Intrekking van toestemming (art. 7 lid 3). Voor verwerkingen op basis van toestemming (nieuwsbrief, Telegram-koppeling) kunt u die op elk moment intrekken — zonder gevolg voor de rechtmatigheid van verwerkingen vóór die intrekking.
• Klacht indienen bij de toezichthouder (art. 77). Bent u van mening dat wij uw rechten niet respecteren? U kunt een klacht indienen bij de Autoriteit Persoonsgegevens.

Om een recht uit te oefenen, stuur een e-mail naar [email protected]. Om misbruik te voorkomen kunnen wij u vragen om uzelf te identificeren — niet meer dan nodig. Wij reageren binnen één maand.

10. Gebruik van kunstmatige intelligentie

Wij gebruiken AI (onder meer Claude van Anthropic en fal.ai voor beeldgeneratie) bij het schrijven van artikelen, het genereren van illustraties, en als hulp bij het opstellen van antwoorden op berichten. AI-gebruik is nooit volledig autonoom — een mens controleert en verstuurt. We nemen geen geautomatiseerde besluiten met rechtsgevolg voor u.

Een volledige uitleg staat op /over-ai.

11. Minderjarigen

Ondernemen in de Kempen richt zich op ondernemers en is niet bedoeld voor gebruikers onder de 16 jaar. Wij verzamelen niet bewust gegevens van minderjarigen. Ontdekt u dat wij toch gegevens van een minderjarige hebben verwerkt zonder geldige toestemming? Laat het ons weten — wij verwijderen die dan zo snel mogelijk.

12. Geautomatiseerde besluitvorming en profilering

Wij nemen geen geautomatiseerde besluiten met aanzienlijke gevolgen voor u. Onder artikelen tonen we soms relevante bedrijven op basis van trefwoord-matching — dat is geen profilering van bezoekers en heeft geen rechtsgevolg.

13. Wijzigingen aan dit beleid

Wij kunnen dit privacybeleid aanpassen als onze dienst of de regelgeving verandert. De meest actuele versie staat altijd op deze pagina, met de datum van laatste wijziging bovenaan. Ingrijpende wijzigingen melden wij via onze nieuwsbrief of een banner op de site.

14. Contact

Voor vragen over dit beleid of het uitoefenen van uw rechten:

E-mail: [email protected]
Post: Theuws Consulting, Bèrschotten 15, 5531 NW Bladel
KvK: 71820132