Privacyverklaring
Hoe AlwaysBooked V.O.F. omgaat met persoonsgegevens, wat we verzamelen, waarom, hoe lang we het bewaren en welke rechten jij hebt.
In deze privacyverklaring leggen wij uit welke persoonsgegevens AlwaysBooked V.O.F. verwerkt, waarom wij dat doen, hoe lang wij gegevens bewaren en welke rechten jij hebt. Wij gaan zorgvuldig om met persoonsgegevens en houden ons aan de Algemene Verordening Gegevensbescherming (AVG).
1. Wie wij zijn en in welke rol
AlwaysBooked V.O.F. is gevestigd aan Sportlaan 5, 3233 AW Oostvoorne, ingeschreven bij de KvK onder nummer 99139669. Voor onze eigen marketing, klantadministratie en website-bezoeken zijn wij verwerkingsverantwoordelijke. Voor gegevens die wij namens onze klanten verwerken in het kader van hun automatiseringsflows en/of het Dashboard-platform treden wij op als verwerker; de betreffende klant is dan verwerkingsverantwoordelijke. Op die verwerkingen is onze Verwerkersovereenkomst (DPA) van toepassing.
Wij hebben geen Functionaris voor de Gegevensbescherming aangewezen omdat de wet ons daartoe niet verplicht. Voor privacy-vragen kun je contact opnemen via privacy@alwaysbooked.nl.
2. Welke gegevens wij verwerken
- Contactgegevens: naam, e-mailadres, telefoonnummer, functie, bedrijfsnaam
- Afspraken- en servicegegevens: geplande afspraken, diensten, voorkeuren en opmerkingen
- Communicatie- en loggegevens die worden gegenereerd in onze tools en automatiseringen
- Marketingvoorkeuren, alleen indien je je aanmeldt voor nieuwsbrieven of communicatie
- Factuurgegevens (alleen zakelijk/klanten): bedrijfsnaam, factuuradres, BTW-nummer, factuurregels
- Websitegegevens via cookies en analytics, na toestemming (zie onze Cookieverklaring)
- Social media en content publishing-gegevens: accountnamen, platform-ID's, paginanamen, OAuth-tokens (versleuteld), content-metadata, performance-statistieken
- Dashboard-platformgegevens (voor onze Dashboard-tenants): orders, klanten, producten, marketing-events en advertentie-statistieken zoals door tenant via OAuth ontsloten
- AI-gegenereerde content: captions, scripts en rapportteksten op basis van klantinstructies
Wat wij niet verwerken
Wij ontvangen of slaan geen creditcard- of bankrekeningnummers op. Alle betaalverwerking voor abonnementen geschiedt via Stripe Payments Europe Limited; wij ontvangen uitsluitend een transactiebevestiging zonder kaartgegevens. Wij verwerken geen bijzondere categorieën persoonsgegevens (zoals gezondheidsgegevens) en geen gegevens over strafrechtelijke veroordelingen.
3. Doeleinden en rechtsgronden
3.1 Uitvoering van de overeenkomst
Het inrichten en leveren van onze AI-gestuurde automatiseringen en aanverwante Diensten, waaronder workflow-automatisering, content scheduling en publicatie, AI-captiongeneratie, klantrapportages, leadopvolging, review automation, offerte- en administratiebeheer, alsmede afspraakbevestigingen, herinneringen en service-updates. Rechtsgrond: uitvoering overeenkomst (artikel 6(1)(b) AVG).
3.2 Social media en content beheer namens klanten
Het ophalen, verwerken en publiceren van content (video's en captions) op social media platforms namens onze klanten en hun eindklanten. Rechtsgrond: uitvoering overeenkomst tussen AlwaysBooked en klant; klant heeft op zijn beurt een grondslag (overeenkomst, gerechtvaardigd belang of toestemming) richting de eindgebruikers.
3.3 Cold outreach en B2B-marketing
Het benaderen van zakelijke prospects per e-mail of telefoon op basis van sector-relevantie, met afmeldmogelijkheid in iedere communicatie. Voor bestaande klanten geldt de soft opt-in voor vergelijkbare diensten. Rechtsgrond: gerechtvaardigd belang van AlwaysBooked bij B2B-bedrijfsuitbreiding (artikel 6(1)(f) AVG), met passende belangenafweging en opt-out.
3.4 Nieuwsbrieven aan particulieren
Verzenden van marketingcommunicatie aan particulieren, alleen na expliciete aanmelding. Rechtsgrond: toestemming (artikel 6(1)(a) AVG).
3.5 Support, optimalisatie en beveiliging
Klantondersteuning, foutoplossing via loggegevens, kwaliteitsverbetering en beveiliging van onze systemen. Rechtsgrond: gerechtvaardigd belang.
3.6 Wettelijke verplichtingen
Voldoen aan fiscale bewaarplichten en andere wetgeving. Rechtsgrond: wettelijke verplichting.
3.7 Cookies en tracking op de website
Websitestatistieken en marketing na toestemming via onze cookiebanner. Rechtsgrond: toestemming.
4. Bron van gegevens
- Rechtstreeks van jou via contactformulieren, intakeformulieren of afspraken
- Via jouw organisatie of opdrachtgever die jou aanmeldt voor onze Diensten
- Via onze tools en integraties wanneer je ze gebruikt of wanneer een workflow draait
- Via Platform-API's (na uitdrukkelijke OAuth-autorisatie door de accounthouder): accountgegevens, content-metadata en performance-statistieken
- Technisch: systemen genereren automatisch loggegevens zoals tijdstempels, gebruikte functies en leveringsstatus
5. Bewaartermijnen
Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verkregen of zolang wettelijk verplicht. Onze actuele retentietabel is opgenomen in DPA Annex A en wordt op verzoek toegestuurd. De belangrijkste termijnen zijn:
| Type gegevens | Bewaartermijn |
|---|---|
| OAuth-tokens en API-credentials | 7 dagen na einde / intrekking |
| Content (video, foto) | 30 dagen na publicatie of einde dienst |
| Performance-data | 13 maanden, daarna geanonimiseerd |
| Klant- en contactgegevens | 24 maanden na einde opdracht |
| Technische logs | 90 dagen |
| Back-ups | 90 dagen |
| Facturen | 7 jaar (wettelijk) |
6. Delen met verwerkers
Wij delen persoonsgegevens met dienstverleners die ons helpen bij het leveren van onze Diensten. Met deze verwerkers sluiten wij verwerkersovereenkomsten; zij verwerken gegevens uitsluitend volgens onze instructies. Wij verkopen geen persoonsgegevens aan derden.
De volledige sub-verwerkerlijst is opgenomen in DPA Annex B en wordt op verzoek toegestuurd. Onze belangrijkste sub-verwerkers zijn: Brevo, n8n, Airtable, Calendly, Microsoft 365, Moneybird, Tally, OpenAI, Supabase, Stripe, Vercel, Netlify, GitHub, Lovable, ScrapeCreators, Upload-Post.com en Notion. Daarnaast koppelen wij, uitsluitend op uitdrukkelijke instructie van klanten en na OAuth-autorisatie, met social media- en e-commerce-Platforms (waaronder Meta, TikTok, LinkedIn, YouTube, Google Ads, Google Analytics, Shopify, Mollie, Klaviyo, Mailchimp, WooCommerce).
7. Gebruik van Platform-API's
7.1 Welke data wij ophalen
Via de officiële API's van de relevante Platforms halen wij uitsluitend de volgende gegevens op, na expliciete autorisatie door de accounthouder:
- Accountinformatie: paginanaam, account-ID, profielfoto
- Publicatiemogelijkheden en publicatiestatus
- Performance-statistieken: weergaven, likes, reacties, shares, saves, bereik, engagement rate
- Voor Dashboard-platform: orders, klanten, producten, marketing-events, advertentie-statistieken
- Publicatie-ID's en transactie-ID's voor latere statistiek-bevraging
7.2 Hoe wij deze data gebruiken
- Uitsluitend voor het uitvoeren van de Diensten waarvoor de klant ons heeft ingeschakeld
- Voor het genereren van performance-rapportages voor de klant
- Voor het optimaliseren van content-strategie (trendanalyse) op verzoek
- Wij gebruiken Platform-data nooit voor advertentiedoeleinden, profiling of verkoop aan derden
7.3 Hoe wij deze data beschermen
- OAuth-tokens worden versleuteld opgeslagen (AES-256) en zijn alleen toegankelijk voor de betreffende automatiseringsworkflows
- API-credentials worden nooit gelogd, gedeeld of opgenomen in foutmeldingen
- Toegang tot platformdata is beperkt tot de strikte minimum-permissies
- Bij beëindiging van de dienst worden alle tokens, credentials en platformdata binnen 7 dagen verwijderd
7.4 Intrekken van toegang
De accounthouder kan op elk moment de autorisatie intrekken via de instellingen van het betreffende Platform of door contact op te nemen via privacy@alwaysbooked.nl. Na intrekking stoppen alle geautomatiseerde verwerkingen onmiddellijk.
8. Doorgifte buiten de EER
Sommige verwerkers verwerken gegevens buiten de Europese Economische Ruimte (EER), bijvoorbeeld in de Verenigde Staten. Dit geldt onder andere voor Meta, LinkedIn, TikTok, Google, OpenAI, Stripe, Vercel, Netlify, GitHub, Lovable, Notion en Supabase. In die gevallen gebruiken wij passende waarborgen, zoals het EU-US Data Privacy Framework (DPF), Standard Contractual Clauses (SCC's) en aanvullende technische maatregelen (versleuteling, dataminimalisatie, MFA).
9. Beveiliging
Wij treffen technische en organisatorische maatregelen conform artikel 32 AVG. De volledige TOMs zijn opgenomen in DPA Annex C. De belangrijkste maatregelen zijn: TLS-versleuteling, encryptie at rest, multi-factor authenticatie, rolgebaseerd toegangsbeheer, periodieke toegangsreviews en een patch-beleid voor kritieke beveiligingsupdates binnen 14 dagen. Bij een datalek schakelen wij binnen 48 uur het Hiscox Incident Response Team in en informeren wij betrokkenen en de Autoriteit Persoonsgegevens conform de wettelijke termijnen.
10. Geautomatiseerde besluitvorming en AI-content
Wij nemen geen besluiten uitsluitend op basis van geautomatiseerde verwerking met aanzienlijke gevolgen voor personen. AI-gegenereerde content (zoals captions en rapportteksten) wordt standaard volautomatisch verwerkt en gepubliceerd. Indien een klant menselijke review vóór publicatie wenst, wordt dit in de offerte vastgelegd en uitgevoerd.
11. Kinderen
Onze Diensten zijn gericht op zakelijke klanten en niet bedoeld voor kinderen jonger dan 16 jaar. Wij verzamelen niet bewust gegevens van kinderen. Als je meent dat wij toch gegevens van kinderen hebben verwerkt, neem dan contact op via privacy@alwaysbooked.nl.
12. Jouw rechten
Op basis van de AVG heb je de volgende rechten: inzage, rectificatie, verwijdering, beperking, dataportabiliteit, bezwaar en het recht om gegeven toestemming in te trekken. Stuur jouw verzoek naar privacy@alwaysbooked.nl. Wij reageren binnen 1 maand. Bij complexe verzoeken mogen wij dit met maximaal 2 maanden verlengen; je hoort dat dan op tijd. Wij kunnen om identificatie vragen. Verzoeken zijn gratis, tenzij ze kennelijk ongegrond of buitensporig zijn.
13. Klachten
Heb je een klacht over hoe wij met jouw gegevens omgaan? Neem dan eerst contact op via privacy@alwaysbooked.nl. Komen wij er samen niet uit, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.
14. Berichten via e-mail, WhatsApp en telefoon
Automatische berichten via e-mail en WhatsApp verlopen via onze providers en worden daar tijdelijk verwerkt. Afmelden voor marketing kan via elke e-mail (unsubscribe) of per verzoek. Serviceberichten die nodig zijn voor afspraken vallen onder uitvoering van de overeenkomst en kunnen niet worden uitgeschakeld zonder de dienstverlening te beëindigen.
15. Cookies en tracking
Voor cookie-gebruik verwijzen wij naar onze aparte Cookieverklaring en onze cookiebanner. Niet-essentiële cookies worden pas geladen na jouw toestemming.
16. Wijzigingen
Wij kunnen deze privacyverklaring aanpassen. De meest recente versie staat altijd op alwaysbooked.nl/privacybeleid met de datum van de laatste wijziging. Bij materiële wijzigingen doen wij ons best je hiervan tijdig op de hoogte te stellen.
17. Contact
Vragen over privacy? privacy@alwaysbooked.nl · AlwaysBooked V.O.F., Sportlaan 5, 3233 AW Oostvoorne · +31 6 8006 1966 · alwaysbooked.nl.