Privacyverklaring
Refyou hecht grote waarde aan de bescherming van persoonsgegevens. In deze verklaring leggen wij uit welke gegevens wij verwerken, op welke grondslag, en wat uw rechten zijn conform de Algemene Verordening Gegevensbescherming (AVG/GDPR).
1. Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens via het Refyou-platform is:
RefyouKVK-nummer: 82149569
Adres: Prins Mauritsstraat 62, 2628 SV Delft
E-mail: privacy@refyou.app
Website: refyou.app
2. Wat is Refyou?
Refyou is een SaaS-platform waarmee bedrijven (hierna: Gebruikers) via WhatsApp Business API geautomatiseerde berichten kunnen versturen aan hun eigen klanten (hierna: Eindgebruikers). Refyou treedt op als verwerker ten behoeve van de Gebruiker, die zelf verwerkingsverantwoordelijke is voor de persoonsgegevens van zijn Eindgebruikers.
3. Gegevens die wij verwerken
3.1 Gegevens van Gebruikers (klanten van Refyou)
| Naam en e-mailadres | Aanmaken en beheren van account | Uitvoering overeenkomst |
| Factuurgegevens (bedrijfsnaam, adres, btw-nr) | Facturering en administratie | Wettelijke verplichting / overeenkomst |
| IP-adres en inloggegevens | Beveiliging en authenticatie | Gerechtvaardigd belang |
| Workspace-instellingen en configuraties | Levering van de dienst | Uitvoering overeenkomst |
| Gebruiksstatistieken (verzonden berichten, open rates) | Inzicht en optimalisatie voor de Gebruiker | Uitvoering overeenkomst |
3.2 Gegevens van Eindgebruikers (contacten van klanten)
Refyou verwerkt persoonsgegevens van Eindgebruikers uitsluitend in opdracht van en ten behoeve van de Gebruiker. De Gebruiker is zelf verwerkingsverantwoordelijke voor deze gegevens. Refyou treedt op als verwerker.
| Telefoonnummer (WhatsApp) | Versturen van berichten via WhatsApp Cloud API | Opdracht verwerker |
| Naam (optioneel) | Personalisatie van berichten | Opdracht verwerker |
| Aangepaste velden (optioneel) | Segmentatie en automatisering | Opdracht verwerker |
| Berichthistorie | Weergave in inbox en rapportage | Opdracht verwerker |
4. Toestemming en opt-in – verantwoordelijkheid Gebruiker
- Bij het importeren van contacten vraagt Refyou expliciet of de Gebruiker beschikt over een geldige opt-in van de betreffende contacten. De Gebruiker dient dit te bevestigen voordat de import wordt voltooid.
- Geldige opt-in houdt in: een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting van de Eindgebruiker om WhatsApp-berichten te ontvangen (art. 6 lid 1 sub a AVG).
- Bewijslast: De Gebruiker dient de opt-in te kunnen aantonen. Refyou biedt hiervoor geen bewaarfaciliteit; de Gebruiker is zelf verantwoordelijk voor het bijhouden van bewijs.
- Geen opt-in = geen gebruik: Het is de Gebruiker expliciet verboden Refyou te gebruiken voor het versturen van berichten aan personen die geen toestemming hebben gegeven. Bij overtreding kan de toegang worden opgeschort conform de Gebruiksvoorwaarden.
- Opt-out: Eindgebruikers kunnen te allen tijde bezwaar maken. De Gebruiker dient opt-out verzoeken direct te verwerken en het contact te markeren als uitgeschreven.
5. Grondslagen voor verwerking
Wij verwerken persoonsgegevens op basis van de volgende grondslagen (art. 6 AVG):
- Uitvoering van een overeenkomst – voor het leveren van de Refyou-dienst aan Gebruikers.
- Wettelijke verplichting – voor financiële administratie en fiscale bewaarplicht (7 jaar).
- Gerechtvaardigd belang – voor beveiliging, fraudepreventie en verbetering van de dienst.
- Toestemming – voor marketing aan Gebruikers (nieuwsbrief), altijd herroepbaar.
6. Bewaartermijnen
| Categorie | Termijn |
|---|---|
| Accountgegevens Gebruiker | Duur abonnement + 1 jaar na opzegging |
| Factuurgegevens | 7 jaar (wettelijke bewaarplicht) |
| Berichthistorie Eindgebruikers | Maximaal 2 jaar, tenzij Gebruiker eerder verwijdert |
| Contactgegevens Eindgebruikers | Totdat Gebruiker verwijdert of account opzegt |
| Logbestanden / IP-adressen | 90 dagen |
7. Derde partijen en sub-verwerkers
Refyou maakt gebruik van de volgende sub-verwerkers. Met elk van hen is een verwerkersovereenkomst gesloten:
| Sub-verwerker | Doel | Locatie |
|---|---|---|
| Supabase Inc. | Databaseopslag en authenticatie | VS (adequaatheidsbesluit / SCCs) |
| Vercel Inc. | Hosting en CDN | VS (SCCs) |
| Meta Platforms (WhatsApp Cloud API) | Verzenden van WhatsApp-berichten | VS (SCCs) |
| Twilio Inc. | Telefoonnummers en SMS-verificatie | VS (SCCs) |
| Mollie B.V. | Betaalverwerking | Nederland (EU) |
| Google LLC (Places API / Calendar API) | Reviewdata en agenda-integratie | VS (SCCs) |
SCCs = Standard Contractual Clauses (art. 46 lid 2 sub c AVG).
8. Beveiliging
- Alle data wordt versleuteld opgeslagen (AES-256) en versleuteld verstuurd (TLS 1.2+).
- Toegang tot workspace-data is beperkt tot geautoriseerde workspace-leden via role-based access control.
- API-sleutels en tokens worden versleuteld opgeslagen en nooit in plaintext gelogd.
- Wij voeren regelmatig beveiligingsaudits uit en monitoren op ongeautoriseerde toegangspogingen.
- Bij een datalek conform art. 33 AVG melden wij dit binnen 72 uur bij de Autoriteit Persoonsgegevens.
9. Uw rechten als betrokkene
Op grond van de AVG heeft u de volgende rechten:
| Recht | Beschrijving |
|---|---|
| Inzage (art. 15) | Opvragen welke gegevens wij van u verwerken |
| Rectificatie (art. 16) | Onjuiste gegevens laten corrigeren |
| Verwijdering (art. 17) | Verwijdering van uw gegevens ('recht op vergetelheid') |
| Beperking (art. 18) | Verwerking tijdelijk beperken |
| Overdraagbaarheid (art. 20) | Uw gegevens in machineleesbaar formaat ontvangen |
| Bezwaar (art. 21) | Bezwaar maken tegen verwerking op grond van gerechtvaardigd belang |
| Intrekken toestemming (art. 7 lid 3) | Eerder gegeven toestemming altijd herroepen |
Verzoeken kunt u indienen via privacy@refyou.app. Wij reageren binnen 30 dagen. U kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens.
10. Verwerkersovereenkomst (DPA)
Gebruikers die persoonsgegevens van Eindgebruikers via Refyou verwerken zijn verplicht een verwerkersovereenkomst (DPA) met Refyou te sluiten. Door akkoord te gaan met de Gebruiksvoorwaarden accepteert de Gebruiker tevens de standaard Verwerkersovereenkomst van Refyou, die beschikbaar is op refyou.app/dpa.
De Verwerkersovereenkomst omvat onder andere:
- Het doel en de aard van de verwerking
- Geheimhoudingsverplichtingen
- Beveiligingsmaatregelen (art. 32 AVG)
- Regels voor het inschakelen van sub-verwerkers
- Ondersteuning bij uitoefening van rechten van betrokkenen
- Melding van datalekken
11. Cookies
Refyou gebruikt functionele cookies voor authenticatie (sessie) en technische cookies voor beveiliging (CSRF-bescherming). Er worden geen tracking- of advertentiecookies geplaatst zonder toestemming.
12. Wijzigingen
Wij kunnen deze privacyverklaring periodiek aanpassen. Bij materiële wijzigingen informeren wij Gebruikers via e-mail of een melding in het platform. De meest actuele versie is altijd beschikbaar op refyou.app/privacy.
13. Contact
Voor vragen over deze privacyverklaring of de verwerking van persoonsgegevens kunt u contact opnemen via:
Refyou – PrivacyE-mail: privacy@refyou.app
Website: refyou.app