Privacyverklaring IT Compliant Scanner

1. Wie is verantwoordelijk

IT-Compliant B.V. (hierna: "wij", "ons" of "onze") is bij gebruik van de IT-Compliant Scanner verwerkingsverantwoordelijke voor de persoonsgegevens van haar klanten, contactpersonen en gebruikers van het portaal.

Voor de scan-data afkomstig uit Microsoft 365- of Microsoft Entra ID-omgevingen van een klant treden wij op als verwerker in de zin van de Algemene Verordening Gegevensbescherming (AVG). De klant of de eigenaar van de tenant blijft voor die data de verwerkingsverantwoordelijke. De afspraken hierover zijn vastgelegd in een Verwerkersovereenkomst die als bijlage hoort bij de Algemene Voorwaarden.

Algemeen contact: info@it-compliant.nl. Specifieke privacy-vragen: privacy@it-compliant.nl. Bedrijfsgegevens zijn opgenomen in artikel 11.

2. Welke persoonsgegevens verwerken wij

Wij verwerken de volgende categorieën persoonsgegevens:

• Account- en contactgegevens: naam, e-mailadres, telefoonnummer (optioneel), bedrijfsnaam, KvK-nummer (optioneel), bedrijfsdomein (optioneel).
• Authenticatie-data: Microsoft Entra-object-id, user-principal-name, sessie-tokens (kortlevend, server-side opgeslagen, HttpOnly cookies).
• Configuratie- en scan-data: compliance-status van Microsoft 365- of Entra ID-instellingen van de klant-tenant. Deze data kan indirect persoonsgegevens bevatten (bijvoorbeeld user-counts, MFA-status, gedeelde mailboxen, security-groepsleden).
• Audit-log: wie heeft welke handeling wanneer in het portaal verricht — voor security en compliance-traceability.
• Facturatiegegevens: aantal actieve klant-tenants per maand, factuuradres, contactpersoon facturatie, IBAN (via Mollie), KvK-nummer en btw-nummer.
• Akkoord-bewijs op de Algemene Voorwaarden: versie van de voorwaarden, tijdstip van akkoord, IP-adres en User-Agent bij akkoord, identiteit van de Owner die akkoord gaf — uitsluitend voor juridisch bewijs.
• Technische data: IP-adres, user-agent, request-logs voor beveiliging, foutdiagnose en misbruikdetectie.

3. Doelen en rechtsgrond

Wij verwerken persoonsgegevens voor de volgende doelen, op basis van de daarbij genoemde rechtsgrond uit artikel 6 AVG:

• Uitvoering van de overeenkomst (art. 6 lid 1 onder b): account-aanmaak, scan-uitvoering, rapportage, facturatie, support.
• Wettelijke verplichting (art. 6 lid 1 onder c): fiscale bewaarplicht voor facturen (7 jaar conform art. 52 AWR), meldplicht datalekken aan de Autoriteit Persoonsgegevens.
• Gerechtvaardigd belang (art. 6 lid 1 onder f): beveiliging van de Dienst, fraudepreventie, audit-logging, anti-spam-rate-limits, productverbetering en analyses op geanonimiseerde data, juridisch bewijs van akkoord op de Algemene Voorwaarden. Wij maken hierbij steeds een afweging tegen het privacybelang van betrokkenen.
• Toestemming (art. 6 lid 1 onder a): waar van toepassing en altijd intrekbaar (bijvoorbeeld opt-in voor productupdates per e-mail).

4. Subverwerkers en doorgifte

Voor de uitvoering van de Dienst maken wij gebruik van de onderstaande Subverwerkers. Met al deze partijen zijn verwerkersovereenkomsten afgesloten conform AVG-eisen. De actuele lijst is tevens opgenomen in Bijlage A van de Algemene Voorwaarden.

Subverwerker	Doel	Locatie
Microsoft Ireland Operations Ltd. (Azure App Service, Functions, Static Web Apps, Key Vault, Application Insights)	Hosting van applicatie en infrastructuur	West Europe (Amsterdam)
Microsoft Ireland Operations Ltd. (Microsoft Entra ID)	Authenticatie via OAuth 2.0 / OpenID Connect	EU
Microsoft Ireland Operations Ltd. (Azure Communication Services)	Verzending transactionele e-mail	EU Data Boundary
Supabase Inc.	Persistente opslag van applicatiedata (PostgreSQL + Storage)	EU Central (Frankfurt)
Mollie B.V.	Verwerking van betalingen en SEPA-mandaten	Nederland

Verwerking vindt in principe binnen de Europese Economische Ruimte (EER) plaats. Indien een Subverwerker noodgedwongen support of telemetrie buiten de EER uitvoert, is dit gedekt door de standaardcontractbepalingen (SCC) van de Europese Commissie en aanvullende technische maatregelen.

Wijzigingen in de lijst van Subverwerkers worden minimaal 30 dagen vooraf aangekondigd aan klanten via e-mail of via een banner in het MSP Dashboard.

5. Bewaartermijnen

• Account-data van actieve klanten: zolang het account actief is, plus 90 dagen uitloopperiode na beëindiging.
• Account-data van afgewezen MSP-aanvragen: 90 dagen na afwijzing, waarna het record wordt verwijderd en de bijbehorende audit-entries worden geanonimiseerd.
• E-mail-verificatietokens: 24 uur (verlopen tokens worden automatisch opgeruimd).
• Owner-activatie-tokens: 14 dagen.
• Sessie-tokens: sliding-window met hard-cap van 30 dagen; revocatie binnen één request mogelijk.
• Audit-log security-events: minimaal 2 jaar voor security-incident-onderzoek; identificerende velden van afgewezen accounts worden na 90 dagen geanonimiseerd.
• Scan-resultaten en audit-bundles: bewaard zolang de tenant-membership actief is en daarna 90 dagen voor history-toegang.
• Facturen en facturatie-gegevens: 7 jaar (fiscale bewaarplicht, art. 52 AWR).
• Akkoord op de Algemene Voorwaarden (incl. IP-adres en User-Agent): 7 jaar als bewijs van overeenkomst.
• Technische logs (IP, user-agent, requests) zonder PII: 30 dagen, daarna geaggregeerd of verwijderd.
• Application Insights operationele logs: minimaal 90 dagen, archief tot 2 jaar voor security-events.

6. Beveiligingsmaatregelen

Wij treffen passende technische en organisatorische maatregelen, waaronder:

• authenticatie via Microsoft Entra ID (OAuth 2.0 / MSAL) met aanbeveling tot multi-factor-authenticatie aan klantzijde;
• TLS 1.2 of hoger voor alle datatransport, met HSTS-preload op alle publieke domeinen;
• opslag van geheimen en credentials in versleutelde Azure Key Vault (AES-256-GCM);
• rate-limits, body-size-caps en anti-enumeration-maatregelen op publieke endpoints;
• append-only audit-log met SECURITY DEFINER RPC voor PII-anonimisering bij purging;
• multi-tenant-isolatie via row-level-security en perspective-middleware;
• hash-only opslag van mailtokens (SHA-256) zodat plaintext nooit in de database staat;
• periodieke security-reviews en pre-push code-review bij elke release;
• geautomatiseerde dependency-scanning en patch-management.

Een uitgebreide beschrijving van onze technische en organisatorische maatregelen is beschikbaar in ons Security Overview-document, dat op verzoek beschikbaar wordt gesteld via security@it-compliant.nl.

7. Datalekken

Indien zich een datalek voordoet dat een hoog risico oplevert voor de rechten en vrijheden van betrokkenen, melden wij dit binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens conform artikel 33 AVG. Voor zover wij optreden als verwerker informeren wij de betreffende verwerkingsverantwoordelijke binnen 48 uur, zoals vastgelegd in de Verwerkersovereenkomst. Betrokkenen worden geïnformeerd zodra de wet dat vereist.

Verantwoorde-disclosure-meldingen kunnen worden ingediend via security@it-compliant.nl.

8. Uw rechten als betrokkene

U heeft op grond van de AVG de volgende rechten:

• Inzage in de persoonsgegevens die wij van u verwerken;
• Correctie van onjuiste of onvolledige gegevens;
• Verwijdering ("recht om vergeten te worden"), voor zover dit niet conflicteert met wettelijke bewaarplicht;
• Beperking van de verwerking;
• Overdraagbaarheid van uw gegevens in een gangbaar machine-leesbaar formaat (JSON of CSV);
• Bezwaar tegen verwerking op basis van gerechtvaardigd belang;
• Intrekken van toestemming waar de verwerking op toestemming is gebaseerd, zonder dat dit afbreuk doet aan de rechtmatigheid van eerdere verwerking.

Verzoeken kunt u indienen via privacy@it-compliant.nl. Wij reageren binnen 30 dagen, conform art. 12 AVG. U heeft tevens het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

9. Geautomatiseerde besluitvorming

Wij maken geen gebruik van geautomatiseerde besluitvorming of profiling met rechtsgevolgen voor betrokkenen in de zin van art. 22 AVG. Goedkeuring of afwijzing van MSP-aanvragen gebeurt door menselijke beoordeling van een medewerker van IT-Compliant.

10. Cookies

Wij gebruiken uitsluitend functionele cookies die noodzakelijk zijn voor het inloggen en het bewaren van de portal-sessie. Concreet:

• msp_session — HttpOnly, Secure, SameSite=Strict, host-only, beperkt tot pad /api/msp. Bevat alleen een sessie-UUID en gebruikers-UUID; geen persoonlijke claims.

Wij gebruiken geen tracking-, advertising- of analytics-cookies en plaatsen geen cookies van derden.

11. Bedrijfsgegevens en contact

• Verwerkingsverantwoordelijke: IT-Compliant B.V.
• Vestigingsadres: Henegouwenlaan 21, 9501 RX Stadskanaal, Nederland
• KvK-nummer: 99849941
• Btw-identificatienummer: NL869158910B01
• Algemeen contact: info@it-compliant.nl · 085-0606980
• Privacy-vragen en betrokkenenrechten: privacy@it-compliant.nl
• Security-meldingen / verantwoorde disclosure: security@it-compliant.nl
• Website: it-compliant.nl

12. Wijzigingen

Wij kunnen deze privacyverklaring wijzigen, bijvoorbeeld bij wijzigingen in wet- en regelgeving, in onze dienstverlening of in onze Subverwerkers. Materiële wijzigingen worden minimaal 30 dagen vooraf gecommuniceerd via het primaire contactadres van Klant. Het versienummer en de inwerkingtredingsdatum bovenaan deze verklaring geven aan welke versie van toepassing is.