AVG & Gegevensverwerking

Deze pagina is bedoeld voor compliance-managers, inkoopteams en functionarissen voor gegevensbescherming die QRStandard als leverancier evalueren. Hier behandelen wij onze dataresidentiearchitectuur, de subverwerkerlijst, Art. 28-conformiteit en hoe u een verwerkersovereenkomst (VOK) kunt aanvragen.

Verwerkingsverantwoordelijke

Contenza K/S
CVR: 43349023 · BTW-nr.: DK43349023
Denemarken
Contact: qrstandard.eu/contact

Contenza K/S is de verwerkingsverantwoordelijke voor alle persoonsgegevens die via QRStandard worden verwerkt. Wij benoemen geen gezamenlijke verwerkingsverantwoordelijke. Wanneer u als zakelijke klant QRStandard gebruikt om persoonsgegevens van uw eigen gebruikers of klanten te verwerken (bijv. scananalyses die zijn gekoppeld aan identificeerbare personen), handelt u als onafhankelijke verwerkingsverantwoordelijke en handelen wij als uw verwerker conform Art. 28 AVG.

Dataresidentie

Alle persoonsgegevens die door QRStandard worden verwerkt, worden uitsluitend opgeslagen op servers in Neurenberg, Duitsland, beheerd door Hetzner Online GmbH. Er worden geen persoonsgegevens doorgegeven buiten de Europese Economische Ruimte voor opslag of verwerking.

Dit betekent:

• Uw accountgegevens, QR-codeconfiguraties en omleidingsrecords worden opgeslagen in Duitsland.
• Scananalyses worden verwerkt en opgeslagen in Duitsland.
• Back-ups worden opgeslagen op dezelfde infrastructuur in Duitsland.
• Er worden geen Amerikaanse clouddiensten (AWS, GCP, Azure) gebruikt voor persoonsgegevens.

Subverwerkers

Wij maken gebruik van de volgende subverwerkers. Wij onderhouden verwerkersovereenkomsten met elk van hen conform Art. 28(4) AVG.

Verwerker	Land	Doel	Overdrachtsmechanisme
Hetzner Online GmbH	Duitsland	Serverinfrastructuur, database, objectopslag	EER — geen overdracht
Stripe, Inc.	VS	Betalingsverwerking en abonnementsbeheer	EU-VS Gegevensbeschermingskader + SCC
Resend, Inc.	VS	Transactionele e-mails (authenticatie, betalingsbevestigingen)	Standaardcontractbepalingen (Art. 46(2)(c))

Wij informeren klanten over wezenlijke wijzigingen in onze subverwerkerlijst met minimaal 14 dagen voorafgaande kennisgeving, met de mogelijkheid om bezwaar te maken voordat de wijziging van kracht wordt.

Welke gegevens wij namens u verwerken (Art. 28)

Wanneer u QRStandard als zakelijke klant gebruikt, verwerken wij de volgende gegevenscategorieën namens u:

• QR-code scangebeurtenissen: Tijdstempel, globaal land (IP-afgeleid, IP niet opgeslagen), apparaattype, verwijzende URL. Deze kunnen worden gekoppeld aan personen wanneer uw QR-codes worden ingezet in contexten waarbij de scanner identificeerbaar is (bijv. medewerkersgerelateerde codes of geauthenticeerde klantpaden).
• Bestemmings-URL's: De URL's waarnaar uw QR-codes verwijzen en die u verstrekt en beheert.
• Auditlogboekentries: Vastleggingen van wie welk QR-code-doel wanneer heeft gewijzigd, gebaseerd op gebruikersaccounts die u beheert binnen ons platform.

Technische en organisatorische maatregelen (TOM's)

Wij implementeren de volgende maatregelen ter bescherming van persoonsgegevens:

• Versleuteling tijdens overdracht: Alle verbindingen maken gebruik van TLS 1.2 of hoger. Certificaten worden automatisch beheerd via Let's Encrypt.
• Versleuteling in rust: Databaseback-ups zijn versleuteld. Applicatiesecrets worden opgeslagen in omgevingsvariabelen, niet in broncode of versiebeheer.
• Toegangscontrole: Databasetoegang is beperkt tot applicatieprocessen die op dezelfde server draaien. Geen directe externe databasetoegang is toegestaan. Beheerderstoegang tot de server vereist SSH-sleutelauthenticatie — wachtwoorden zijn uitgeschakeld.
• Authenticatie: Uitsluitend magic link-authenticatie — er worden geen wachtwoorden opgeslagen. Sessietokens zijn cryptografisch ondertekend, eenmalig en verlopen na 15 minuten.
• Monitoring: Systeemstatus en foutpercentages worden continu bewaakt. Er zijn meldingen ingesteld voor servicestoringen en ongewone foutpatronen.
• Dataminimalisatie: Wij slaan geen IP-adressen op van QR-code scans. Het land wordt afgeleid uit het IP-adres en het IP-adres wordt onmiddellijk verwijderd.
• Bewaartermijnen: Scangebeurtenissen worden na 24 maanden verwijderd. Serverlogs worden na 30 dagen verwijderd. Sessietokens verlopen na 30 dagen.

Uw rechten als betrokkene

Volledige details over de rechten van betrokkenen zijn beschikbaar in ons Privacybeleid. Samenvatting:

• Recht op inzage (Art. 15) — verzoek om alle gegevens die over u zijn opgeslagen
• Recht op verwijdering (Art. 17) — verzoek om verwijdering van account en gegevens
• Recht op gegevensoverdraagbaarheid (Art. 20) — gegevens ontvangen in JSON-formaat
• Recht op rectificatie (Art. 16) — onjuiste gegevens corrigeren
• Recht van bezwaar (Art. 21) — bezwaar maken tegen verwerking op basis van gerechtvaardigd belang

Neem contact met ons op via ons contactformulier. Reactie binnen 30 dagen. U kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl · +31 70 888 85 00, of bij de Deense Datatilsynet: datatilsynet.dk · +45 33 19 32 00.

Regulatoire nalevingscontext

QRStandard is infrastructuur voor EU-digitale etikettering en traceerbaarheidsvereisten. Onze klanten opereren onder regelgevingen zoals EU-MDV/IVDV (2017/745+746), EU-machinesverordening (2023/1230), EU-batterijverordening (2023/1542) en ESPR-vereisten voor Digitale Productpaspoorten. Wij begrijpen dat deze contexten gevoelige toeleveringsketen- en productgegevens omvatten, en onze gegevensarchitectuur is dienovereenkomstig ontworpen.

Als uw regulatoire context specifieke gegevensverwerkingsafspraken vereist — zoals uitgebreide logbewaarperioden, aangepaste auditexportformaten of dedicated infrastructuur — neem dan contact met ons op om enterprise-opties te bespreken.