Privacyverklaring KAEOM

Versie 1.0 — februari 2026

1. Inleiding

KAEOM (hierna: "wij", "ons", "KAEOM"), hecht grote waarde aan de bescherming van jouw persoonsgegevens. In deze privacyverklaring leggen we uit welke persoonsgegevens we verzamelen, waarom we deze verzamelen, hoe we deze gebruiken en welke rechten je hebt.

Deze privacyverklaring is van toepassing op het gebruik van onze website en onze CRM Software-as-a-Service (SaaS) oplossing.

2. Onze rol: verwerkingsverantwoordelijke en verwerker

KAEOM heeft een dubbele rol bij het verwerken van persoonsgegevens:

Verantwoordelijke voor de gegevensverwerking

3. Welke persoonsgegevens verzamelen wij?

3.1 Gegevens als verwerkingsverantwoordelijke

Bij het gebruik van onze diensten verzamelen we de volgende persoonsgegevens van jou als klant/gebruiker:

• Accountgegevens: Naam, e-mailadres, telefoonnummer, organisatienaam
• Inloggegevens: E-mailadres, versleuteld wachtwoord
• Betalingsgegevens: Factuuradres, betalingsinformatie (via Stripe)
• Communicatie: Correspondentie via e-mail of contactformulieren
• Supportverzoeken: Vragen en opmerkingen aan onze klantenservice

3.2 Gegevens als verwerker (CRM-data)

Via het CRM voer jij als klant gegevens in over jouw cliënten/bewoners. Jij bent hiervoor de verwerkingsverantwoordelijke. Afhankelijk van het gekozen product kan dit onder meer betreffen:

• Contactgegevens (naam, adres, telefoonnummer, e-mailadres)
• Identificerende gegevens (geboortedatum, BSN)
• Gezondheidsgegevens en hulpverleningsnotities
• Trajectgegevens, intakes en voortgangsrapportages
• Communicatielogs en gespreksnotities

Wij nemen geen kennis van de inhoud van deze gegevens, tenzij je ons vraagt om support te verlenen. Zie de Verwerkersovereenkomst voor de volledige afspraken.

3.3 Automatisch verzamelde gegevens

Bij het gebruik van onze diensten verzamelen we automatisch:

• Technische gegevens: IP-adres, browsertype en -versie, tijdzone, besturingssysteem
• Gebruiksgegevens: Hoe je door onze dienst navigeert en welke functies je gebruikt
• Log-gegevens: Datum en tijd van toegang, bekeken pagina's, activiteiten binnen het systeem

4. Bijzondere persoonsgegevens

Via het CRM kunnen bijzondere persoonsgegevens worden verwerkt, waaronder:

• Gezondheidsgegevens: Medische notities, zorgtrajecten en hulpverleningsgegevens die jij als klant invoert over jouw cliënten/bewoners
• BSN (Burgerservicenummer): Als nationaal identificatienummer, indien door jou ingevoerd

Jij bent als verwerkingsverantwoordelijke verantwoordelijk voor het waarborgen van een geldige rechtsgrond voor de verwerking van deze bijzondere persoonsgegevens. KAEOM heeft passende technische maatregelen getroffen, waaronder versleutelde opslag van gevoelige persoonsgegevens op veldniveau.

5. Waarvoor gebruiken wij jouw gegevens?

Wij verwerken jouw persoonsgegevens (als verwerkingsverantwoordelijke) voor de volgende doeleinden:

5.1 Uitvoering van de overeenkomst (Artikel 6 lid 1 sub b AVG)

• Het leveren van onze CRM-diensten
• Het aanmaken en beheren van jouw account
• Het verwerken van betalingen
• Het versturen van service-gerelateerde e-mails
• Het bieden van klantenondersteuning

5.2 Wettelijke verplichting (Artikel 6 lid 1 sub c AVG)

• Voldoen aan boekhoudkundige verplichtingen
• Voldoen aan fiscale wetgeving

5.3 Gerechtvaardigd belang (Artikel 6 lid 1 sub f AVG)

• Verbeteren van onze dienstverlening en gebruikerservaring
• Analyseren van gebruikspatronen om functionaliteit te optimaliseren
• Beveiligen van onze systemen tegen misbruik en fraude

6. Bewaartermijnen

We bewaren jouw persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld:

• Accountgegevens (naam, e-mail, telefoonnummer, organisatie): Zolang je account actief is + 90 dagen na beëindiging
• Inloggegevens (versleuteld wachtwoord, sessiedata): Zolang je account actief is; direct verwijderd bij beëindiging
• Factuur- en betalingsgegevens: 7 jaar na het boekjaar waarin de factuur is opgesteld (fiscale bewaarplicht, artikel 52 AWR)
• CRM-gegevens (als verwerker): Zolang je account actief is + 90 dagen na beëindiging
• Logbestanden: Maximaal 90 dagen
• Support correspondentie: 2 jaar na afhandeling

7. Delen van gegevens met derden

Wij verkopen jouw gegevens nooit aan derden. We delen alleen gegevens met derden wanneer dit noodzakelijk is voor onze dienstverlening.

7.1 Subverwerkers

Wij maken gebruik van de volgende subverwerkers:

Met al deze partijen hebben wij verwerkersovereenkomsten gesloten. Zie de Verwerkersovereenkomst (Bijlage 3) voor details en waarborgen.

7.2 Wettelijke verplichting

We kunnen jouw gegevens verstrekken aan overheidsinstanties als we hiertoe wettelijk verplicht zijn.

8. Doorgifte buiten de EU

Onze primaire hosting en database bevinden zich in de EU (DigitalOcean Amsterdam/Frankfurt). Sommige subverwerkers zijn gevestigd in de VS. Voor doorgifte buiten de EER zorgen we voor passende waarborgen:

• EU-VS Data Privacy Framework (DPF): Stripe, Resend, Google en Microsoft zijn gecertificeerd onder het DPF.
• Standaard Contractuele Clausules (SCC's): Als aanvullende waarborg waar nodig.

9. Beveiliging van persoonsgegevens

We nemen de bescherming van jouw gegevens serieus en hebben passende technische en organisatorische maatregelen genomen:

• Versleuteling: Alle communicatie is versleuteld in transit (HTTPS). Gevoelige persoonsgegevens worden aanvullend versleuteld opgeslagen op veldniveau
• Datascheiding: Strikte logische scheiding van gegevens tussen klantomgevingen op databaseniveau
• Toegangscontrole: Rolgebaseerde autorisatie waarbij gebruikers uitsluitend toegang hebben tot gegevens die passen bij hun rol
• Beveiligde authenticatie: Sterke wachtwoordvereisten, optionele tweefactorauthenticatie
• Dagelijkse back-ups: Geautomatiseerde back-ups in EU-datacenters
• Netwerkbeveiliging: DDoS-mitigatie en Web Application Firewall

Zie de Verwerkersovereenkomst (Bijlage 2) voor een volledig overzicht van de technische en organisatorische maatregelen.

10. Jouw rechten

Op grond van de AVG heb je de volgende rechten met betrekking tot jouw persoonsgegevens:

10.1 Recht op inzage (Artikel 15 AVG)

Je hebt het recht om te weten welke persoonsgegevens we van je verwerken.

10.2 Recht op rectificatie (Artikel 16 AVG)

Je hebt het recht om onjuiste of onvolledige persoonsgegevens te laten corrigeren.

10.3 Recht op verwijdering / 'recht op vergetelheid' (Artikel 17 AVG)

Je kunt ons verzoeken jouw persoonsgegevens te verwijderen. Dit recht is niet absoluut; we kunnen verplicht zijn bepaalde gegevens te bewaren (bijv. fiscale bewaarplicht).

10.4 Recht op beperking van de verwerking (Artikel 18 AVG)

Je kunt verzoeken om tijdelijke beperking van de verwerking van jouw gegevens.

10.5 Recht op gegevensoverdraagbaarheid (Artikel 20 AVG)

Je hebt het recht jouw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen en over te dragen naar een andere dienstverlener.

10.6 Recht van bezwaar (Artikel 21 AVG)

Je hebt het recht om bezwaar te maken tegen de verwerking van jouw persoonsgegevens op basis van gerechtvaardigd belang.

10.7 Recht om toestemming in te trekken (Artikel 7 lid 3 AVG)

Als de verwerking is gebaseerd op jouw toestemming, kun je deze te allen tijde intrekken.

10.8 Uitoefenen van je rechten

Je kunt je rechten uitoefenen door contact met ons op te nemen via [email protected] We reageren binnen 1 maand op je verzoek. Deze rechten gelden voor de gegevens waarvoor wij verwerkingsverantwoordelijke zijn (jouw accountgegevens). Voor de CRM-gegevens die jij als klant invoert, ben jij zelf de verwerkingsverantwoordelijke en dien je verzoeken van jouw betrokkenen zelf af te handelen.

11. Klachten

Heb je een klacht over de verwerking van jouw persoonsgegevens? Neem dan eerst contact met ons op. We nemen klachten serieus en zullen proberen tot een oplossing te komen.

Je hebt ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens:

12. Gegevens van minderjarigen

Onze diensten zijn niet gericht op personen jonger dan 16 jaar. We verzamelen niet bewust persoonsgegevens van minderjarigen. Als je vermoedt dat we gegevens van een minderjarige hebben verzameld, neem dan contact met ons op.

13. Cookies

Onze website maakt gebruik van cookies. Een cookie is een klein tekstbestand dat bij het bezoek aan onze website wordt opgeslagen in je browser.

13.1 Functionele cookies (noodzakelijk)

Deze cookies zijn noodzakelijk voor het functioneren van de applicatie en kunnen niet worden uitgeschakeld:

13.2 Marketing cookies (Google Ads conversietracking)

KAEOM maakt gebruik van Google Ads conversietracking om te meten of bezoekers die via een Google-advertentie op onze website komen, een actie voltooien (zoals een registratie). Hiervoor worden de volgende cookies geplaatst:

Deze cookies worden uitsluitend gebruikt om de effectiviteit van onze advertentiecampagnes te meten. De gegevens worden verwerkt door Google LLC (VS), gecertificeerd onder het EU-VS Data Privacy Framework. Er worden geen persoonsgegevens uit het CRM gedeeld met Google.

13.3 Beheren van cookies

Functionele cookies zijn noodzakelijk voor het functioneren van de applicatie en kunnen niet worden uitgeschakeld. Marketing cookies (Google Ads) kun je weigeren of uitschakelen via je browserinstellingen. Het uitschakelen van functionele cookies kan de werking van de applicatie beperken.

14. Geautomatiseerde besluitvorming en profilering

We maken geen gebruik van geautomatiseerde besluitvorming of profilering die rechtsgevolgen heeft voor je of je anderszins significant raakt.

15. Wijzigingen in deze privacyverklaring

We behouden ons het recht voor om wijzigingen aan te brengen in deze privacyverklaring. Wijzigingen worden gepubliceerd op deze pagina met een aangepast versienummer.

Bij belangrijke wijzigingen stellen we je hiervan op de hoogte via e-mail of een melding in je account.

16. Contact

Voor vragen over deze privacyverklaring of over de verwerking van jouw persoonsgegevens kun je contact met ons opnemen: