Privacyverklaring
Hoe advocaat.avantwerk.nl persoonsgegevens verwerkt. Informatieplicht op grond van artikel 13 en 14 van de Algemene verordening gegevensbescherming (AVG), aangevuld met de Uitvoeringswet AVG (UAVG).
1. Wie is de verwerkingsverantwoordelijke?
De verwerkingsverantwoordelijke voor de persoonsgegevens die in het kader van de dienst Avantwerk Legal AI worden verwerkt, is:
Bennovate spółka z ograniczoną odpowiedzialnością
ul. Christiana Andersena 25, 94-118 Łódź, Polen
KRS: 0000597272 · NIP: 7272799328 · REGON: 363700466
De dienst wordt in Nederland aangeboden onder de handelsnaam Avantwerk Legal AI.
E-mail: legal@avantwerk.com
(hierna: de "verwerkingsverantwoordelijke", "wij", "ons" of "onze")
2. Functionaris voor gegevensbescherming
Wij hebben een functionaris voor gegevensbescherming (FG) aangesteld. U kunt bij de FG terecht voor alle vragen over de verwerking van uw persoonsgegevens en over het uitoefenen van uw rechten:
E-mail: dpo@avantwerk.com
Het benaderen van de FG is geen voorwaarde om uw rechten uit te oefenen. U kunt een verzoek ook rechtstreeks indienen volgens de werkwijze in hoofdstuk 11.
3. Op wie heeft deze verklaring betrekking?
Deze privacyverklaring, gegeven op grond van artikel 13 AVG (informatie bij verzameling bij de betrokkene zelf) en artikel 14 AVG (informatie wanneer de gegevens niet rechtstreeks bij de betrokkene zijn verkregen), geldt voor persoonsgegevens van:
- Contactpersonen van kantoren — personen die een proefaccount aanmaken, een abonnement nemen of als facturatie- of technisch contactpersoon van een afnemend kantoor zijn aangewezen;
- Advocaten en juristen — personen bij een afnemend kantoor die de dienst onder een gebruikersplaats gebruiken;
- Belangstellenden — personen die via onze website, per e-mail of telefonisch contact met ons opnemen met een vraag of voor informatie over de dienst; en
- Mogelijke klanten — personen die van ons commerciële berichten over de dienst ontvangen.
Waar deze verklaring niet over gaat. De verwerking van cliëntgegevens en dossierinhoud door het kantoor in het kader van zijn eigen rechtspraktijk is de eigen verantwoordelijkheid van het kantoor als verwerkingsverantwoordelijke. Dossierinhoud blijft op de eigen computer en schijf van het kantoor (local-first-architectuur). Wij zijn geen verwerkingsverantwoordelijke of verwerker van dossierinhoud, noch van de cliënten van het afnemend kantoor.
4. Welke persoonsgegevens verwerken wij?
Wij verwerken uitsluitend de persoonsgegevens die wij nodig hebben om de dienst te leveren en om onze wettelijke en contractuele verplichtingen na te komen. Wij verwerken geen dossierinhoud (zie hoofdstuk 10).
| Categorie | Voorbeelden | Bron |
|---|---|---|
| Accountgegevens | Voor- en achternaam, beroepstitel, naam van het kantoor | Door u verstrekt bij aanmelding |
| Contactgegevens | Zakelijk e-mailadres, telefoonnummer, postadres | Door u verstrekt bij aanmelding of correspondentie |
| Facturatiegegevens | Naam facturatiecontact, factuuradres, betalingsbevestigingen (kaartgegevens worden door de betaaldienstverlener verwerkt) | Verstrekt bij het abonnement |
| Gebruiksgegevens | Inlogtijdstippen, functiegebruik, gebeurtenissen in het controlespoor | Automatisch gegenereerd |
| Technische gegevens | IP-adres, browser, apparaat, besturingssysteem | Automatisch gegenereerd |
| Communicatie | E-mails, supportverzoeken, correspondentie | Door u verstrekt |
| Marketingvoorkeuren | Aan- of afmeldstatus voor commerciële e-mails | Door u verstrekt |
Wij verwerken geen bijzondere categorieën van persoonsgegevens (artikel 9 AVG) als onderdeel van de dienst, tenzij u zulke gegevens uit eigen beweging in een supportbericht deelt. In dat geval verwerken wij ze uitsluitend voor zover nodig om uw bericht te beantwoorden.
5. Waarom verwerken wij uw gegevens en op welke grondslag?
5.1 Uitvoering van de overeenkomst — artikel 6 lid 1 sub b AVG
Wij verwerken accountgegevens, contactgegevens, facturatiegegevens en gebruiksgegevens om: (a) uw account aan te maken en te beheren; (b) toegang tot de dienst onder het abonnement te verlenen; (c) facturen op te maken en betalingen te innen; (d) klantenondersteuning te bieden.
Bewaartermijn: de duur van het abonnement, vermeerderd met de verjaringstermijn van rechtsvorderingen (in beginsel vijf jaar, artikel 3:307 BW).
5.2 Wettelijke verplichting — artikel 6 lid 1 sub c AVG
Wij verwerken facturatiegegevens, transactiegegevens en bepaalde beveiligingslogs om te voldoen aan: (a) administratieve en fiscale verplichtingen (de fiscale bewaarplicht van artikel 52 Algemene wet inzake rijksbelastingen en de bewaarplicht uit Boek 2 BW); (b) verplichtingen ter voorkoming van witwassen en financieren van terrorisme, voor zover van toepassing; (c) verplichtingen om betrokkenen en de toezichthouder bij te staan.
Bewaartermijn: financiële en fiscale gegevens — zeven jaar na afloop van het betreffende boekjaar (fiscale bewaarplicht). Beveiligingslogs — 90 dagen bij regulier gebruik; langer wanneer ze verband houden met een bevestigd incident.
5.3 Gerechtvaardigd belang — artikel 6 lid 1 sub f AVG
Wij verwerken technische gegevens (IP-adressen, browserinformatie) en gebruiksgegevens op grond van een gerechtvaardigd belang: (a) het waarborgen van de beveiliging, integriteit en beschikbaarheid van de dienst; (b) het opsporen en voorkomen van fraude en ongeoorloofde toegang; (c) het verbeteren van de dienst aan de hand van geanonimiseerde, geaggregeerde gebruiksanalyse. Wij hebben hiervoor een belangenafweging gemaakt.
Bewaartermijn: technische gegevens — 90 dagen, behalve wanneer ze langer worden bewaard voor een lopend beveiligingsonderzoek.
5.4 Toestemming — artikel 6 lid 1 sub a AVG
Voor zover u toestemming hebt gegeven, verwerken wij: (a) uw e-mailadres voor commerciële berichten; (b) eventuele aanvullende persoonsgegevens die u uit eigen beweging verstrekt in enquêtes of feedback.
U kunt uw toestemming op elk moment intrekken via de afmeldlink of door te schrijven naar dpo@avantwerk.com. Het intrekken van toestemming laat de rechtmatigheid van de verwerking vóór de intrekking onverlet.
Bewaartermijn van toestemmingsregistraties: drie jaar na de toestemming of de intrekking.
6. Cookies en vergelijkbare technieken
Ons gebruik van cookies valt onder artikel 11.7a van de Telecommunicatiewet en de AVG. De volledige toelichting vindt u in onze Cookieverklaring. Voor strikt noodzakelijke cookies is geen toestemming vereist. Voor alle overige cookies vragen wij vooraf om uw vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming.
7. Wie ontvangt uw persoonsgegevens?
Wij delen persoonsgegevens uitsluitend wanneer dat nodig is en op een passende grondslag. Het inschakelen van verwerkers gebeurt op grond van een schriftelijke verwerkersovereenkomst zoals artikel 28 AVG voorschrijft.
| Ontvanger | Rol | Vestiging | Doorgiftemechanisme |
|---|---|---|---|
| Hetzner Online GmbH | Hosting van de webtoepassing | Duitsland (EU/EER) | Binnen de EER — geen doorgifte naar een derde land |
| Onze CRM-leverancier | Relatiebeheer (klantadministratie) | Verwerker; doorgifte naar een derde land afgedekt met EU-modelcontractbepalingen | Modelcontractbepalingen (art. 46 AVG) |
| Onze betaaldienstverlener | Afhandeling van abonnementsbetalingen | Verwerker | Modelcontractbepalingen waar van toepassing |
| Onze e-mailleverancier | Account- en factuurberichten | Verwerker | Modelcontractbepalingen waar van toepassing |
| Zelf-gehoste e-handtekeningoplossing | Opdrachtbevestigingen en verwerkersovereenkomsten bij onboarding | Duitsland (onze eigen server) | Geen doorgifte naar een derde partij |
Wij kunnen persoonsgegevens daarnaast verstrekken aan: rechters, toezichthouders en opsporingsinstanties wanneer de wet dat voorschrijft, en aan onze adviseurs onder een geheimhoudingsplicht.
Noot over de AI-aanbieder. Wij ontvangen, versturen of verwerken geen dossierinhoud namens het kantoor. Wanneer het kantoor de functie met de eigen sleutel (bring-your-own-key, BYOK) inschakelt en dossieruittreksels aan de gekozen AI-aanbieder voorlegt, vindt die verwerking plaats binnen de eigen relatie van het kantoor met die AI-aanbieder. De AI-aanbieder is de eigen verwerker van het kantoor — geen subverwerker van Bennovate. Zie de AI-bijlage aan het slot van deze verklaring.
8. Doorgifte naar landen buiten de EER
De webtoepassing en de e-handtekeningoplossing draaien binnen de EER (Duitsland), zodat daar geen sprake is van doorgifte naar een derde land. Voor zover een verwerker persoonsgegevens buiten de Europese Economische Ruimte verwerkt, gebeurt dat uitsluitend op grond van een van de waarborgen uit hoofdstuk V AVG (artikel 44 e.v.):
- Adequaatheidsbesluit — doorgifte naar een land waarvoor de Europese Commissie een passend beschermingsniveau heeft vastgesteld (artikel 45 AVG);
- Modelcontractbepalingen — de door de Europese Commissie vastgestelde standaardbepalingen inzake gegevensbescherming (artikel 46 lid 2 sub c AVG), aangevuld met aanvullende maatregelen waar nodig.
9. Bewaartermijnen — overzicht
| Categorie | Bewaartermijn | Grondslag |
|---|---|---|
| Account- en overeenkomstgegevens | Duur abonnement + verjaringstermijn (in beginsel 5 jaar) | Art. 3:307 BW · art. 6 lid 1 sub b + c |
| Facturatie- en financiële gegevens | 7 jaar na afloop van het boekjaar | Art. 52 AWR · art. 6 lid 1 sub c |
| Beveiligingslogs (regulier) | 90 dagen | Gerechtvaardigd belang · art. 6 lid 1 sub f |
| Beveiligingslogs (incidentgerelateerd) | Tot het incident is afgesloten + claimtermijn | Gerechtvaardigd belang |
| Toestemmingsregistraties (marketing) | 3 jaar na toestemming of intrekking | Verantwoordingsplicht · art. 5 lid 2 |
| Proefgegevens (niet omgezet) | 30 dagen na afloop van de proef | Art. 6 lid 1 sub b |
10. Onze local-first-architectuur — wat wij niet bewaren
De dienst is zo ontworpen dat dossierinhoud (cliëntdossiers, onder de geheimhouding vallende stukken, correspondentie, processtukken en ander juridisch werkproduct) op de eigen computer en schijf van het kantoor blijft. Dossierinhoud passeert de servers van Bennovate niet. Dat betekent:
- wij zijn geen verwerkingsverantwoordelijke of verwerker van dossierinhoud;
- de verwerkersovereenkomst ziet niet op dossierinhoud, omdat wij die nooit onder ons hebben;
- het kantoor houdt de persoonsgegevens in dossierinhoud als verwerkingsverantwoordelijke, onderworpen aan zijn eigen beroeps- en gegevensbeschermingsverplichtingen; en
- verlies van of ongeoorloofde toegang tot dossierinhoud valt buiten de gegevensbeschermingsverantwoordelijkheid van Bennovate — het kantoor is verantwoordelijk voor de beveiliging op zijn eigen apparaat en opslag.
Dit is een structurele maatregel van gegevensbescherming door ontwerp (artikel 25 AVG).
11. Uw rechten als betrokkene
Op grond van hoofdstuk III AVG hebt u de volgende rechten:
| Recht | Wettelijke grondslag | Wat het inhoudt |
|---|---|---|
| Recht op inzage | Art. 15 | Een kopie van uw persoonsgegevens opvragen. Antwoord binnen één maand. |
| Recht op rectificatie | Art. 16 | Onjuiste persoonsgegevens laten corrigeren. |
| Recht op gegevenswissing | Art. 17 | Uw gegevens laten verwijderen wanneer er geen grondslag meer is voor verdere verwerking (behoudens wettelijke bewaarplichten). |
| Recht op beperking | Art. 18 | De verwerking in bepaalde gevallen laten beperken. |
| Recht op overdraagbaarheid | Art. 20 | Uw gegevens ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat. |
| Recht van bezwaar | Art. 21 | Bezwaar maken tegen verwerking op grond van een gerechtvaardigd belang. |
| Geautomatiseerde besluitvorming | Art. 22 | Wij nemen geen besluiten uitsluitend op basis van geautomatiseerde verwerking met rechtsgevolgen. AI-uitvoer wordt altijd door een mens getoetst. |
| Recht om toestemming in te trekken | Art. 7 lid 3 | Toestemming op elk moment intrekken; dit raakt de eerdere rechtmatigheid niet. |
Hoe u uw rechten uitoefent: dien een schriftelijk verzoek in bij dpo@avantwerk.com. Wij reageren binnen één kalendermaand. Wij kunnen u vragen uw identiteit aan te tonen. Een eerste verzoek binnen een periode van twaalf maanden is kosteloos.
12. Klachtrecht bij de toezichthouder
Omdat de verwerkingsverantwoordelijke in Polen is gevestigd, is de Poolse toezichthouder de leidende toezichthoudende autoriteit in de zin van het één-loketmechanisme (artikel 56 AVG):
Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warschau, Polen
uodo.gov.pl
Als u in Nederland verblijft, kunt u uw klacht óók indienen bij de Nederlandse toezichthouder, die uw klacht via het samenwerkingsmechanisme aan de leidende autoriteit voorlegt (artikel 77 AVG):
Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
autoriteitpersoonsgegevens.nl
U hebt daarnaast recht op een doeltreffende voorziening in rechte (artikel 79 AVG). Wij stellen het op prijs als u eerst contact met ons opneemt via dpo@avantwerk.com, zodat wij uw zorg kunnen wegnemen voordat u zich tot de toezichthouder wendt.
13. Beveiliging
Wij treffen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen (artikel 32 AVG):
- versleuteling tijdens transport met TLS 1.2/1.3 en HSTS;
- versleuteling van de BYOK-sleutel in rust in de IndexedDB van de browser;
- toegangscontrole aan de serverzijde en logregistratie op accountgegevens;
- bescherming tegen aanvallen met brute kracht (fail2ban);
- periodieke controle van afhankelijkheden en het scannen op kwetsbaarheden.
14. Wijzigingen in deze privacyverklaring
Wij kunnen deze privacyverklaring van tijd tot tijd aanpassen. Wezenlijke wijzigingen melden wij ten minste 30 dagen vóór hun inwerkingtreding per e-mail aan geregistreerde gebruikers.
AI-bijlage — BYOK-architectuur
A.1 Het BYOK-model
Avantwerk Legal AI is gebouwd op een "bring-your-own-key"-architectuur (BYOK). Wanneer het kantoor de AI-ondersteunde analyse inschakelt, levert het zijn eigen sleutel (API-sleutel) voor een door het kantoor zelf gekozen AI-aanbieder. Die sleutel wordt in de browser van het kantoor versleuteld en wordt nooit naar de servers van Bennovate verstuurd of daarop opgeslagen. Het tokengebruik onder de sleutel van het kantoor wordt rechtstreeks door de gekozen AI-aanbieder aan het kantoor gefactureerd, onder de eigen overeenkomst van het kantoor; Bennovate factureert daar niets voor, brengt geen opslag aan en treedt niet als tussenpersoon op.
A.2 Wie verwerkt de dossierinhoud wanneer AI is ingeschakeld?
Wanneer het kantoor dossieruittreksels aan de gekozen AI-aanbieder voorlegt:
- treedt het kantoor op als verwerkingsverantwoordelijke voor de persoonsgegevens in de aanlevering;
- treedt de AI-aanbieder op als de eigen verwerker van het kantoor, onder de eigen overeenkomst van het kantoor met die AI-aanbieder;
- is Bennovate geen verwerkingsverantwoordelijke of verwerker van die aanlevering — wij ontvangen die nooit;
- blijven de AVG-verplichtingen ten aanzien van die verwerking volledig bij het kantoor.
A.3 De egress-controle (uitgangspoort)
De dienst bevat een technische egress-controle die de inhoud anonimiseert voordat die de browser van het kantoor verlaat. De volledigheid van die anonimisering hangt af van de dossierinhoud. Het kantoor mag de egress-controle niet beschouwen als vervanging van zijn eigen professionele oordeel.
A.4 Checklist gegevensbescherming voor BYOK
Voordat het kantoor BYOK inschakelt, doet het er goed aan om: (a) de verwerkersvoorwaarden van de AI-aanbieder te beoordelen; (b) een schriftelijke verwerkersovereenkomst met de AI-aanbieder te sluiten; (c) te beoordelen of het gebruik een gegevensbeschermingseffectbeoordeling (artikel 35 AVG) vergt; (d) te bezien of toestemming of informatie aan de cliënt vereist is op grond van de beroepsregels; (e) de gevolgen voor doorgifte naar derde landen te beoordelen.
A.5 Geen subverwerkersrelatie van Bennovate voor AI
Omdat dossierinhoud de infrastructuur van Bennovate nooit passeert, staat de AI-aanbieder niet als subverwerker van Bennovate in ons subverwerkersregister. De relatie met de AI-aanbieder is die van het kantoor zelf.
A.6 AI-uitvoer en het advocatenmodel
Elke door de dienst voortgebrachte AI-uitvoer is een concept dat door een bevoegde, in Nederland ingeschreven advocaat moet worden getoetst voordat het wordt gebruikt. Het kantoor mag geen enkele AI-uitvoer als gezaghebbende juridische analyse behandelen. In lijn met het beginsel van menselijk toezicht (artikel 14 van de EU-AI-verordening) blijft de beslissende rol te allen tijde bij de bevoegde mens.