AVG-naleving
Laatst bijgewerkt: 13 maart 2026
Deze pagina is een aanvulling op ons Privacybeleid. Ze biedt uitvoeringsdetails voor naleving (verwerkingsregister, verwerkers, doorgiften, beveiliging, cookies, verzoeken van betrokkenen).
1) Rollen & entiteiten
Verwerkingsverantwoordelijke: Andrii Trush (zelfstandige in België)
Geregistreerd adres: 9200 Dendermonde, België
Ondernemingsnummer (KBO/BCE): BE 1016.452.805
E-mail: contact@isapp.be
DPO: Niet aangesteld.
Betrokken website: isapp.be (de "Site")
2) Register van verwerkingsactiviteiten (ROPA)
| Doel | Gegevenscategorieën | Betrokkenen | Rechtsgrondslag | Gerechtvaardigd belang | Bewaring | Ontvangers/verwerkers | Belangrijkste beveiligingsmaatregelen |
|---|---|---|---|---|---|---|---|
| Contactformulier afhandelen | Naam, e-mail, berichtinhoud; optioneel telefoon/bedrijf | Websitegebruikers, prospects | Overeenkomst (6(1)(b)) of Gerechtvaardigde belangen (6(1)(f)) | Efficiënte afhandeling van vragen | Tot 12 maanden na laatste interactie (tenzij wettelijke bewaring van toepassing is) | Dienstverleners die contactafhandeling ondersteunen (indien van toepassing) | HTTPS/TLS; spamfiltering; toegangscontroles |
| Projectbriefing & voorstellen | Identiteit/contact, bedrijf, projectomvang, vereisten, tijdlijn, budget, geüploade bestanden | Prospects, websitegebruikers | Overeenkomst (6(1)(b)) precontractuele stappen; of Gerechtvaardigde belangen (6(1)(f)) | Efficiënte scoping en offerteaanmaak | Tot 24 maanden na laatste interactie als er geen contract volgt; langer als wettelijke bewaring van toepassing is na contractsluiting | Interne tools (CRM/taken/documenten, indien van toepassing) | Toegangscontroles; bijzondere categorieën vermijden; veilige bestandsopslag |
| Analytics (opt-in) | IP (ingekort/geaggregeerd waar van toepassing), apparaat- en gebruiksgegevens, bekeken pagina's | Websitegebruikers | Toestemming (6(1)(a)) via Cookiebot | — | 2–14 maanden (afhankelijk van analyse-instellingen) | Google Analytics 4, Microsoft Clarity, Cloudflare Web Analytics / RUM, Ahrefs Web Analytics | Toestemmingsgateway; bewaringslimieten; privacyvriendelijke modi waar beschikbaar |
| Beveiliging & foutmonitoring | IP, verzoekmetagegevens, fouttraces/logboeken | Websitegebruikers | Gerechtvaardigde belangen (6(1)(f)) | Beschikbaarheid, integriteit en veilige werking van de Site waarborgen | ~90 dagen | CDN/WAF, foutmonitoring | Netwerkfirewalling, WAF, rate-limiting, RBAC, logging |
| Marketing & remarketing (opt-in) | Cookie-ID's, paginagebeurtenissen, campagneattributie | Gebruikers die toestemming gaven | Toestemming (6(1)(a)) | — | Volgens leveranciersbeleid | Google Ads, Meta Pixel | Toestemmingsgateway, periodieke evaluaties |
3) Verwerkers & subverwerkers
Wij beschikken over verwerkersovereenkomsten met onze verwerkers. Zij handelen volgens onze gedocumenteerde instructies en nemen passende maatregelen. De onderstaande lijst weerspiegelt onze huidige stack voor de Site.
| Leverancier | Doel | Primaire locaties | Doorgiftemechanisme | Verwerkersovereenkomst | Opmerkingen |
|---|---|---|---|---|---|
| Usercentrics (Cookiebot) | Toestemmingsbeheerplatform (CMP) | EU/Wereldwijd | Standaardvoorwaarden / SCC's waar van toepassing | Verwerkersovereenkomst | Blokkeert niet-essentiële scripts tot toestemming |
| Google Tag Manager | Tagbeheer en -levering (activeert tags na Cookiebot-toestemming) | EU/VS | DPF + SCC's | Google Ads-verwerkersvoorwaarden | Alleen infrastructuur; geen eigen cookies bij configuratie zonder analytics |
| Cloudflare (CDN/WAF) | CDN, beveiliging (WAF, DDoS) | Wereldwijd | DPF + SCC's waar van toepassing | Verwerkersovereenkomst | Standaard strikt noodzakelijk |
| Cloudflare Web Analytics / RUM | Website-analyse (opt-in) | EU/Wereldwijd | DPF + SCC's waar van toepassing | Gedekt onder Cloudflare-verwerkersovereenkomst | Draait alleen na Statistieken-toestemming |
| Ahrefs Web Analytics | Privacyvriendelijke website-analyse (opt-in) | EU/Wereldwijd | Standaardvoorwaarden | Dienst | Cookieloze modus ondersteund; onder Statistieken |
| Google Analytics 4 | Website-analyse (opt-in) | EU/VS | DPF + SCC's | Verwerkersvoorwaarden | Draait alleen na toestemming; IP-maskering |
| Microsoft Clarity | Sessie-analyse (opt-in) | EU/VS | DPF + SCC's | Microsoft GDPR & verwerkersovereenkomst | Sessie-opname/heatmaps alleen na toestemming |
| Sentry | Foutmonitoring | EU/VS | DPF + SCC's | Verwerkersovereenkomst | Logminimalisatie; persoonsgegevens beperkt |
| Google Ads | Advertenties & remarketing (opt-in) | EU/VS | DPF + SCC's | Advertentieverwerkersvoorwaarden | Toestemming vereist |
| Meta Pixel | Advertenties & remarketing (opt-in) | EU/VS | DPF + SCC's | Business Tools-voorwaarden | Toestemming vereist |
4) Cookies & toestemmingsbeheer
Wij gebruiken Cookiebot (Usercentrics) als ons CMP. Standaard worden alle niet-essentiële tags en scripts geblokkeerd. Tags worden beheerd via Google Tag Manager en worden pas geactiveerd wanneer de overeenkomstige Cookiebot-toestemmingscategorie is toegestaan. U kunt uw toestemming op elk moment wijzigen of intrekken via Cookievoorkeuren wijzigen.
Cookiecategorieën & tagmapping
| Categorie | Doel | Tools | Toestemming vereist? | Activeringsvereiste (Cookiebot) |
|---|---|---|---|---|
| Noodzakelijk | Beveiliging, load balancing, toestemmingsopslag, taginfrastructuur | Cloudflare (CDN/WAF), Google Tag Manager, Cookiebot core | Nee (gerechtvaardigd belang) | Altijd actief (alleen infrastructuur; geen analytics-/marketingcode) |
| Voorkeuren | Taal-/UX-keuzes onthouden | Site-instellingen | Ja | preferences = true |
| Statistieken | Gebruik en prestaties meten | Google Analytics 4, Microsoft Clarity, Cloudflare Web Analytics / RUM, Ahrefs Web Analytics | Ja | statistics = true (tags vrijgegeven via GTM) |
| Marketing | Remarketing, advertentieprestaties | Google Ads, Meta Pixel | Ja | marketing = true (tags vrijgegeven via GTM) |
5) SEO-crawlers (geen cookies; niet onder CMP)
Wij gebruiken Ahrefs Webmaster Tools voor technische SEO en linkanalyse. De bot (AhrefsBot) crawlt openbaar beschikbare pagina's om de sitegezondheid en links te evalueren. De bot plaatst geen cookies en volgt geen bezoekers, en is niet afhankelijk van uw cookietoestemming.
6) Internationale doorgifte van gegevens
Sommige van onze verwerkers bevinden zich buiten de Europese Economische Ruimte (EER), voornamelijk in de Verenigde Staten. Voor Amerikaanse verwerkers die gecertificeerd zijn onder het EU-VS Data Privacy Framework (DPF) zijn doorgiften gebaseerd op het adequaatheidsbesluit van de Europese Commissie (Uitvoeringsbesluit (EU) 2023/1795). Wanneer een verwerker niet DPF-gecertificeerd is of zich in een ander niet-EER-land bevindt, vertrouwen wij op de Standard Contractual Clauses (SCC's) van de Europese Commissie en nemen wij aanvullende maatregelen waar nodig. Wij evalueren periodiek de doorgiftekaders en de certificeringen van onze leveranciers. De verwerkerstabel hierboven geeft het toepasselijke doorgiftemechanisme per leverancier aan.
7) Beveiligingsmaatregelen (overzicht)
- Versleuteling bij doorvoer (TLS) en in rust waar beschikbaar
- Rolgebaseerde toegangscontrole, least privilege, 2FA voor administratieve toegang
- Regelmatige patching en afhankelijkheidsbeheer
- Back-ups en hersteltests
- Netwerkbescherming (WAF, rate limiting, DDoS-mitigatie)
- Logging/monitoring en waarschuwingen bij afwijkingen
- Geheimenbeheer en omgevingsscheiding
8) Melding van datalekken
Bij een inbreuk op persoonsgegevens volgen wij een gestructureerd reactieproces in overeenstemming met de artikelen 33 en 34 van de AVG:
- Detectie en inperking. Wij nemen onmiddellijk maatregelen om het lek in te perken en de omvang ervan te beoordelen.
- Risicobeoordeling. Wij evalueren de waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokken personen.
- Melding aan de toezichthoudende autoriteit. Indien het lek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen, melden wij dit zonder onnodige vertraging en, indien mogelijk, binnen 72 uur na kennisname aan de Belgische Gegevensbeschermingsautoriteit (GBA). Bij vertraging geven wij de redenen op.
- Melding aan betrokkenen. Indien het lek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, informeren wij hen zonder onnodige vertraging over de aard van het lek, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen.
- Documentatie. Wij documenteren alle inbreuken, inclusief de feiten, de gevolgen en de genomen corrigerende maatregelen, ongeacht of melding aan de GBA vereist was.
9) Gegevensbeschermingseffectbeoordeling (DPIA)
Wij hebben onze verwerkingsactiviteiten getoetst aan de criteria in artikel 35 van de AVG en de lijst van verwerkingen van de Belgische Gegevensbeschermingsautoriteit waarvoor een DPIA vereist is. Op basis van de aard, omvang, context en doeleinden van onze verwerking — die beperkt is tot standaard bedrijfsactiviteiten (contactafhandeling, analytics met toestemming, beveiligingslogboeken) — concluderen wij dat een DPIA momenteel niet vereist is. Wij beoordelen dit opnieuw bij wezenlijke veranderingen in onze verwerkingsactiviteiten.
10) Verzoek van betrokkenen (DSR-workflow)
- Indienen: Stuur een e-mail naar contact@isapp.be vanaf het adres dat u op onze Site hebt gebruikt en beschrijf uw verzoek.
- Verifiëren: Wij kunnen beperkte informatie vragen om uw identiteit te bevestigen.
- Beoordelen: Wij lokaliseren relevante gegevens en beoordelen eventuele wettelijke beperkingen (bijv. wettelijke verplichtingen, rechten van derden).
- Reageren: Wij reageren binnen 30 dagen (verlengbaar waar toegestaan voor complexe verzoeken).
- Escaleren: Als u niet tevreden bent, kunt u een klacht indienen bij de Belgische Gegevensbeschermingsautoriteit (GBA).
GBA: Drukpersstraat 35, 1000 Brussel, contact@apd-gba.be, www.gegevensbeschermingsautoriteit.be.