Privacyverklaring — Workflow Visualiser

Org. Verwerkingsverantwoordelijke ⌄

Fluqsus Consultancy
Leiduinstraat 6-3, 1059 EA Amsterdam
KvK-nummer: 99038846
E-mail: info@fluqsus.nl — Telefoon: 06 34 96 66 14
Privacy Officer: Kees van den Bosch

Waar in dit document wordt gesproken over "Fluqsus", wordt Fluqsus Consultancy bedoeld.

Art. 1 Definities ⌄

AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679.
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens.
Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
Dienst: de SaaS-applicatie Workflow Visualiser.
Klant: de rechtspersoon die een abonnement heeft afgesloten op de Dienst.
Beheerder: de door Klant aangewezen gebruiker met toegang tot het admin-paneel.
Sub-verwerker: een derde partij die door Fluqsus wordt ingeschakeld bij de verwerking van persoonsgegevens.

Art. 2 Persoonsgegevens die wij verwerken ⌄

Accountgegevens (Beheerder)

E-mailadres
Wachtwoord (gehashed, nooit leesbaar voor Fluqsus)

Organisatiegegevens (Klant)

Naam van de organisatie
KvK-nummer
Gekozen abonnementsniveau
AFAS-omgevingsnummer
AFAS App Connector token (versleuteld met AES-256-GCM)

Workflow- en procesdata (via AFAS-omgeving)

De Dienst haalt workflowinformatie op uit de AFAS-omgeving van Klant. Deze data kan indirect persoonsgegevens bevatten, zoals namen van medewerkers gekoppeld aan taken of dossiers. Fluqsus verwerkt deze data uitsluitend ten behoeve van de visualisatiefunctionaliteit en slaat deze niet structureel op.

Betalingsgegevens

Betalingen verlopen via Mollie B.V. Fluqsus ontvangt uitsluitend de betaalstatus en transactie-ID. Fluqsus heeft geen toegang tot bankrekening- of kaartgegevens.

Technische gegevens

IP-adressen (tijdelijk, voor beveiliging en rate limiting)
Serverlogboeken (foutmeldingen, toegangslogs)
Uptime- en performancedata (geanonimiseerd na aggregatie)

Fluqsus leest, verwerkt of logt op geen enkel moment persoonlijke gegevens die via URL-parameters worden meegegeven in AFAS InSite of OutSite. Dit is een harde technische en organisatorische maatregel.

Art. 3 Grondslagen en doeleinden ⌄

Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG)

Aanmaken en beheren van accounts
Beschikbaar stellen van de Dienst
Verwerken van betalingen
Verzenden van transactionele e-mails

Gerechtvaardigd belang (art. 6 lid 1 sub f AVG)

Beveiliging van de Dienst (logging, rate limiting, fraudedetectie)
Technische monitoring en stabiliteit
Bescherming van intellectuele eigendomsrechten

Wettelijke verplichting (art. 6 lid 1 sub c AVG)

Bewaren van financiële administratie (7-jarige bewaarplicht)

Art. 4 Bewaartermijnen ⌄

Categorie	Bewaartermijn
Accountgegevens	Duur abonnement + 2 jaar na beëindiging
AFAS-configuratie (token, omgevingsnummer)	Verwijderd direct na beëindiging abonnement
Betalings- en factuurgegevens	7 jaar (fiscale bewaarplicht)
Serverlogboeken	Maximaal 30 dagen
Performancedata (monitor)	7 dagen (rollerend, geanonimiseerd)
Workflow-data uit AFAS	Niet structureel opgeslagen; alleen in geheugencache tijdens sessie

Art. 5 Sub-verwerkers en derde partijen ⌄

Partij	Rol	Vestiging	Doorgiftebasis
Hetzner GmbH	VPS / hosting	Duitsland (EU)	Binnen EER
Mollie B.V.	Betalingsverwerking	Nederland (EU)	Binnen EER
Mailtrap (Railsware)	Transactionele e-mail	VS	SCC
Anthropic PBC	AI-functionaliteit	VS	SCC

Fluqsus deelt geen persoonsgegevens met derden voor commerciële of marketingdoeleinden.

Art. 6 Doorgifte buiten de EU ⌄

Mailtrap (Railsware) en Anthropic PBC zijn gevestigd buiten de Europese Economische Ruimte. Doorgifte vindt uitsluitend plaats op basis van door de Europese Commissie goedgekeurde Standard Contractual Clauses (SCC's).

De gegevens die naar Anthropic worden verzonden betreffen uitsluitend workflowinformatie ten behoeve van de AI-analyse. Geen accountgegevens of AFAS-tokens worden gedeeld met Anthropic.

Art. 7 Beveiliging ⌄

Versleuteling van AFAS-tokens met AES-256-GCM
HTTPS/TLS voor alle communicatie
Toegangscontrole via gehashte wachtwoorden en authenticatietokens
Beperkte toegang tot productieomgeving via SSH-sleutels en Hetzner Firewall
PocketBase-admin afgeschermd achter Traefik Basic Auth
Rate limiting op alle API-eindpunten
Noodstopsysteem voor directe uitschakeling bij incidenten

Bij een datalek dat waarschijnlijk een risico oplevert voor betrokkenen, meldt Fluqsus dit binnen 72 uur aan de Autoriteit Persoonsgegevens.

Art. 8 Rechten van betrokkenen ⌄

Inzage (art. 15 AVG): u kunt opvragen welke gegevens wij van u verwerken.
Rectificatie (art. 16 AVG): u kunt onjuiste gegevens laten corrigeren.
Verwijdering (art. 17 AVG): u kunt verzoeken om verwijdering van uw gegevens, tenzij wettelijke bewaarplichten van toepassing zijn.
Beperking (art. 18 AVG): u kunt verzoeken de verwerking tijdelijk te beperken.
Dataportabiliteit (art. 20 AVG): u kunt uw gegevens in een gangbaar formaat opvragen.
Bezwaar (art. 21 AVG): u kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.

Verzoeken indienen via info@fluqsus.nl. Fluqsus reageert binnen vier weken.

Art. 9 Cookies en tracking ⌄

Workflow Visualiser maakt geen gebruik van tracking cookies of analytische cookies van derden. De applicatie maakt gebruik van functionele sessietokens die technisch noodzakelijk zijn voor de werking van de Dienst. Deze tokens worden niet gedeeld met derden en verlopen na afloop van de sessie of bij uitloggen.

Art. 10 Wijzigingen ⌄

Fluqsus behoudt het recht deze privacyverklaring te wijzigen. Bij wezenlijke wijzigingen wordt Klant geïnformeerd via e-mail of via een melding in de Dienst. De meest actuele versie is altijd beschikbaar op workflowvisualiser.nl.

Art. 11 Contact en klachten ⌄

Voor vragen over deze privacyverklaring: info@fluqsus.nl of 06 34 96 66 14.

U heeft ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens via www.autoriteitpersoonsgegevens.nl.