Privacyverklaring

1. Wie zijn wij?

Digital Duke is een vennootschap onder firma, gevestigd te Reitscheweg 37, 5232 BX 's-Hertogenbosch, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 73926256, BTW-nummer NL859712394B01. Voor privacygerelateerde vragen kun je contact opnemen via privacy@getduke.nl. Voor algemene vragen kun je terecht bij hello@getduke.nl.

2. Rol van Duke: verantwoordelijke en verwerker

Duke verwerkt persoonsgegevens in twee verschillende rollen:

• Als verwerkingsverantwoordelijke: voor de verwerking van persoonsgegevens van bezoekers van getduke.nl, prospects, klanten (contactpersonen bij MKB-bedrijven) en sollicitanten. Op deze verwerkingen is deze privacyverklaring van toepassing.
• Als verwerker: voor persoonsgegevens die onze klanten via het platform laten verwerken, waaronder gesprekken tussen de chatbot ‘Sam’ en eindgebruikers van klanten. Voor deze verwerkingen is onze klant verwerkingsverantwoordelijke en sluiten wij een verwerkersovereenkomst met de klant. Eindgebruikers die hun rechten willen uitoefenen ten aanzien van die verwerkingen, dienen zich primair tot de betreffende klant te wenden.

3. Welke persoonsgegevens verwerken wij?

3.1 Bij bezoek aan getduke.nl

• IP-adres (geanonimiseerd waar mogelijk);
• Browser- en apparaatgegevens (type browser, besturingssysteem, schermresolutie);
• Bezochte pagina's, klikgedrag, verwijzende URL en duur van het bezoek;
• Gegevens die je zelf invult op contact- of aanmeldformulieren (naam, e-mailadres, telefoonnummer, bedrijfsnaam, eventueel bericht).

3.2 Bij aanmaak van een account en gebruik van het platform

• Naam, e-mailadres, telefoonnummer (optioneel);
• Bedrijfsnaam, KvK-nummer, btw-nummer, factuuradres;
• Inloggegevens (gehashed wachtwoord);
• Betalings- en factuurgegevens (verwerkt via Stripe — wij ontvangen geen volledige creditcardgegevens);
• Gebruiksgegevens van het platform (welke functies wanneer worden gebruikt, foutmeldingen, sessieduur);
• Communicatie met onze support.

3.3 Marketing en nieuwsbrief

• E-mailadres, voornaam, achternaam, bedrijfsnaam;
• Gegevens over openen en aanklikken van e-mails;
• Gegevens uit social media advertentieplatformen (Meta, LinkedIn) bij het tonen van advertenties.

4. Doeleinden en rechtsgrondslagen

Wij verwerken jouw persoonsgegevens uitsluitend voor specifieke en duidelijk omschreven doeleinden. Hieronder een overzicht:

5. Geautomatiseerde besluitvorming

Wij maken geen gebruik van geautomatiseerde besluitvorming met rechtsgevolgen of die jou in aanmerkelijke mate treffen, in de zin van artikel 22 AVG. De AI-agents binnen het platform genereren content, maar nemen geen besluiten over personen waaraan rechtsgevolgen verbonden zijn.

6. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld of zoals wettelijk vereist:

• Accountgegevens: gedurende de looptijd van de overeenkomst en 30 dagen daarna ten behoeve van eventuele heractivatie. Daarna worden gegevens definitief verwijderd of geanonimiseerd, behoudens wettelijke bewaarplichten;
• Factuur- en boekhoudgegevens: 7 jaar (fiscale bewaarplicht);
• Gegevens contactformulieren: maximaal 12 maanden na laatste contact;
• Nieuwsbriefgegevens: tot het moment van uitschrijving;
• Chatgesprekken via de chatbot Sam: maximaal 30 dagen, tenzij langer overeengekomen met de klant in zijn rol als verwerkingsverantwoordelijke;
• Loggegevens en analytische gegevens: maximaal 26 maanden;
• Gegevens met betrekking tot rechtsvorderingen: tot het einde van de relevante verjaringstermijn (in beginsel 5 jaar).

7. Wie ontvangen jouw gegevens?

Wij delen persoonsgegevens uitsluitend met derden voor zover dit noodzakelijk is voor de uitvoering van onze diensten of op grond van een wettelijke verplichting. Met deze derden hebben wij verwerkersovereenkomsten gesloten waar de AVG dat vereist.

Wij maken onder meer gebruik van de volgende categorieën verwerkers en partners:

• Hosting en infrastructuur: Railway (servers in Amsterdam, EU);
• AI-modellen: OpenAI (verwerker, EU-US Data Privacy Framework);
• Productontwikkeling op basis van geanonimiseerde / geaggregeerde data: Anthropic (EU-US Data Privacy Framework);
• Betalingen: Stripe (PCI-DSS gecertificeerd);
• Transactionele e-mail: Resend (EU/VS, Standard Contractual Clauses);
• Foutmonitoring: Sentry (EU);
• SEO-data en zoekanalyses: DataForSEO (EU);
• E-mail en marketing: e-mailproviders en marketingautomatiseringsplatformen;
• Integraties op verzoek van klant: Google (Workspace, Calendar, Analytics, Search Console, Google Mijn Bedrijf), Meta (Facebook, Instagram), Microsoft (Calendar, Mail), WordPress;
• Analytics en advertenties op getduke.nl: Google Analytics, Meta Pixel, Hotjar (komt nog), advertentieplatformen Google Ads en Meta Ads;
• Boekhouding, accountant en juridisch adviseurs;
• Toezichthouders, fiscus, justitie of andere overheidsinstanties wanneer wij daartoe wettelijk verplicht zijn.

Een actuele lijst van onze sub-verwerkers is op verzoek beschikbaar via privacy@getduke.nl, of raadpleegbaar in onze Verwerkersovereenkomst (bijlage 3).

8. Doorgifte buiten de Europese Economische Ruimte

Sommige van onze verwerkers, met name OpenAI en Anthropic, zijn gevestigd in de Verenigde Staten. Doorgifte van persoonsgegevens vindt plaats op basis van het EU-US Data Privacy Framework (adequaatheidsbesluit van de Europese Commissie van 10 juli 2023) en/of de Standard Contractual Clauses van de Europese Commissie (Besluit 2021/914). Voor zover nodig nemen wij aanvullende technische en organisatorische maatregelen om een passend beschermingsniveau te waarborgen.

9. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om jouw persoonsgegevens te beschermen tegen verlies, misbruik, onbevoegde toegang, openbaarmaking, wijziging of vernietiging. Onze maatregelen omvatten onder meer: TLS-versleuteling van dataverkeer, versleuteling van wachtwoorden (hashing), toegangscontrole op need-to-know-basis, logging van toegang, periodieke back-ups, securitymonitoring en periodieke evaluatie van onze maatregelen.

Mocht zich onverhoopt een datalek voordoen waarbij jouw persoonsgegevens betrokken zijn, dan handelen wij conform de meldplicht datalekken (artikel 33 en 34 AVG).

10. Jouw rechten onder de AVG

Onder de AVG heb je de volgende rechten:

• Recht op inzage: je kunt opvragen welke persoonsgegevens wij van je verwerken;
• Recht op rectificatie: je kunt onjuiste gegevens laten corrigeren;
• Recht op verwijdering (‘vergetelheid’): in bepaalde gevallen kun je verzoeken jouw gegevens te wissen;
• Recht op beperking van de verwerking: in bepaalde situaties kun je verzoeken de verwerking te beperken;
• Recht op dataportabiliteit: je kunt verzoeken jouw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen;
• Recht van bezwaar: je kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang of voor direct marketing;
• Recht om toestemming in te trekken: indien de verwerking op toestemming berust, kun je deze te allen tijde intrekken zonder dat dit afbreuk doet aan de rechtmatigheid van eerdere verwerking;
• Recht om niet onderworpen te worden aan uitsluitend op geautomatiseerde verwerking gebaseerde besluitvorming (zie artikel 5 hierboven).

Verzoeken kun je richten aan privacy@getduke.nl. Wij reageren binnen vier weken op jouw verzoek. Om te voorkomen dat wij gegevens aan een onbevoegde verstrekken, kunnen wij om aanvullende identificatie vragen.

11. Klachten

Als je het niet eens bent met de wijze waarop wij persoonsgegevens verwerken, willen wij dat graag eerst van je horen via privacy@getduke.nl, zodat wij dit samen kunnen oplossen. Daarnaast heb je altijd het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.

12. Cookies

Onze website maakt gebruik van cookies en vergelijkbare technieken. Hierover lees je meer in onze afzonderlijke Cookieverklaring.

13. Wijzigingen

Wij kunnen deze privacyverklaring van tijd tot tijd aanpassen, bijvoorbeeld bij wijziging van onze diensten of wet- en regelgeving. De meest actuele versie publiceren wij altijd op getduke.nl/privacy. Wij adviseren je deze pagina regelmatig te raadplegen.