Privacybeleid — Face Up

1) Inleiding en gegevensbeheerder

In dit privacybeleid wordt uitgelegd hoe wij uw persoonlijke gegevens verzamelen, gebruiken, opslaan en beschermen wanneer u het Face Up-platform (de “Service”) gebruikt, beschikbaar op https://face-up.fr.

De gegevensbeheerder is DELINKED SA, een bedrijf geregistreerd in Frankrijk (RCS Paris 951 455 559), hoofdkantoor: 67 boulevard Serrurier, 75019 Parijs, Frankrijk.

DPO-contactpersoon: contact@face-up.fr

2) Definities

• Persoonsgegevens: alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (naam, e-mailadres, IP-adres, audio-/video-opnamen, enz.).
• Verwerking: elke handeling die wordt uitgevoerd met betrekking tot persoonsgegevens (verzameling, registratie, opslag, gebruik, verspreiding, verwijdering, enz.).
• Onderaannemer: organisatie die in opdracht van Face Up persoonsgegevens verwerkt (bijvoorbeeld: AWS voor hosting).
• Datalek: een beveiligingsincident dat resulteert in de vernietiging, het verlies, de wijziging of de ongeoorloofde openbaarmaking van persoonsgegevens.

3) Verzamelde persoonlijke gegevens

We kunnen de volgende categorieën gegevens verzamelen:

• Identiteitsgegevens: voornaam, achternaam, gebruikersnaam
• Contactgegevens: e-mailadres, telefoonnummer
• Accountgegevens: wachtwoord (hash), voorkeuren, instellingen
• Sessiegegevens: transcripties van discussies, audio-/video-opnamen (indien ingeschakeld), ingediende scripts
• Prestatiegegevens: onderwijsscores, beoordelingsresultaten, feedback
• Technische gegevens: IP-adres, browsertype, besturingssysteem, verbindingslogboeken, tijdstempels
• Betalingsgegevens: factuurgegevens (verwerkt door onze beveiligde betalingsprovider)
• Gebruikersinhoud: aanwijzingen, afbeeldingen, video's, stemmen die worden ingediend om avatars of simulaties te maken

4) Doeleinden van de verwerking

Wij verwerken uw persoonsgegevens voor de volgende doeleinden:

• Het leveren en exploiteren van de Dienst (aanmaken van een account, toegang tot simulaties, genereren van avatars)
• Analyseer uw onderwijsprestaties en genereer gepersonaliseerde debriefings
• Zorgen voor de veiligheid van de Dienst en voorkomen van misbruik (fraudedetectie, monitoring)
• Contact met u opnemen (klantenondersteuning, belangrijke meldingen, service-updates)
• Onze wettelijke en regelgevende verplichtingen respecteren (boekhouding, belastingen, compliance)
• Verbetering van de Dienst (geanonimiseerde gebruiksanalyse, ontwikkeling van nieuwe functies)
• Marketingcommunicatie (met uw toestemming, mogelijkheid om u af te melden)

5) Rechtsgrondslagen voor verwerking

In overeenstemming met de AVG baseren wij ons op de volgende rechtsgrondslagen:

• Uitvoering van het contract: noodzakelijke verwerking om de door u gevraagde Dienst te leveren (aanmaken van account, simulaties, debriefings).
• Toestemming : voor marketingcommunicatie, niet-essentiële cookies, creatie van gepersonaliseerde avatars met uw afbeelding/stem.
• Gerechtvaardigd belang: veiligheid van de Dienst, fraudepreventie, verbetering van de Dienst (geanonimiseerde analyse), communicatie over onze nieuwe functies.
• Wettelijke verplichting: behoud van boekhoudgegevens, reactie op juridische verzoeken, belastingnaleving.

6) Hosting en datalokalisatie

Veiligheidsmaatregelen:

• Encryptie in rust (AES-256) voor alle opgeslagen gegevens
• Gecodeerde communicatie (TLS 1.3) voor alle uitwisselingen
• Strenge toegangscontroles en sterke authenticatie
• Toegang tot logboekregistratie en monitoring van verdachte activiteiten
• Regelmatige back-ups en bedrijfscontinuïteitsplannen
• Beveiligingsaudits en regelmatige updates

7) Kunstmatige intelligentie en privacy

• Onze conversatie- en avatar-animatiemodellen worden door onszelf gehost op onze AWS France-infrastructuur.
• Voor geavanceerde gespreksanalyse kunnen we onder strikte controle modellen van derden gebruiken die worden gehost bij AWS (in de EER).
• Opnames en transcripties worden gebruikt om uw uitwisselingen te analyseren en debriefings te produceren, maar vormen geen geautomatiseerde besluiten met rechtsgevolgen.

8) Houdbaarheid

• Sessie-opnamen en transcripties: standaard 12 maanden (configureerbaar door de klant)
• Actieve accountgegevens: levensduur account + 1 jaar na sluiting
• Factuurgegevens: 10 jaar (wettelijke boekhoudplicht)
• Technische en beveiligingslogboeken: 12 maanden
• Marketinggegevens (toestemming): totdat de toestemming wordt ingetrokken of 3 jaar inactiviteit
• Back-ups: tot 12 maanden (regelmatige rotatie)

Aan het einde van deze termijnen worden de gegevens veilig verwijderd, tenzij er een wettelijke verplichting bestaat om deze langer te bewaren.

9) Gegevens delen en onderaannemers

Wij verkopen of verhuren uw persoonlijke gegevens niet. Wij kunnen uw gegevens delen met:

• Technische onderaannemers:
  • AWS (infrastructuurhosting, regio Frankrijk)
  • Betaalproviders (veilige transactieverwerking)
  • E-maildiensten (met uw toestemming)
  • Monitoring- en analysetools (geanonimiseerde gegevens)
• Klantorganisaties: als u een Geautoriseerde Gebruiker bent, heeft de Klant die u heeft uitgenodigd toegang tot uw Klantgegevens volgens de Klantovereenkomst.
• Juridische autoriteiten: uitsluitend op gerechtelijk verzoek of wettelijke verplichting.

Al onze onderaannemers zijn contractueel verplicht om de AVG na te leven en uw gegevens te beschermen.

10) Uw AVG-rechten

Conform de AVG heeft u de volgende rechten:

• Recht op toegang: een kopie verkrijgen van uw persoonlijke gegevens en informatie over de verwerking ervan.
• Recht op rectificatie: onjuiste of onvolledige gegevens corrigeren.
• Recht op verwijdering: verzoeken om verwijdering van uw gegevens (tenzij er een wettelijke bewaarplicht bestaat).
• Recht op beperking: de verwerking van uw gegevens tijdelijk beperken.
• Recht op bezwaar: bezwaar maken tegen verwerking op basis van legitiem belang of marketingdoeleinden.
• Recht op portabiliteit: uw gegevens in een gestructureerd formaat ontvangen en overdragen aan een andere verwerkingsverantwoordelijke.
• Recht om uw toestemming in te trekken: op elk moment voor verwerking op basis van toestemming (gepersonaliseerde avatars, marketing).
• Recht om postmortemrichtlijnen te definiëren: betreffende de bewaring, verwijdering en mededeling van uw gegevens na uw overlijden.

11) Cookies en trackers

Wij gebruiken cookies en soortgelijke technologieën om uw ervaring te verbeteren en het gebruik van de Dienst te analyseren.

Soorten cookies:

• Essentiële cookies: noodzakelijk voor de werking van de Dienst (authenticatie, beveiliging). Geen toestemming vereist.
• Analytische cookies: doelgroepmeting (Google Analytics, geanonimiseerde gegevens). Onder voorbehoud van uw toestemming.
• Marketingcookies: gerichte reclame (Facebook Pixel, HubSpot). Onder voorbehoud van uw toestemming.

U kunt uw cookievoorkeuren beheren:

• Via de cookiebeheerbanner tijdens uw eerste bezoek
• In uw browserinstellingen
• Door u af te melden voor tools van derden (links in cookies)

12) Beveiligings- en datalekken

Wij implementeren passende technische en organisatorische maatregelen om uw gegevens te beschermen tegen ongeoorloofde toegang, verlies, vernietiging of wijziging.

In het geval van een datalek dat een hoog risico voor uw rechten en vrijheden kan opleveren, zullen wij u, in overeenstemming met de AVG, binnen 72 uur nadat wij van het incident op de hoogte zijn gesteld, op de hoogte stellen.

13) Kleine gebruikers

De Dienst is bedoeld voor personen van 18 jaar en ouder. Als u jonger bent dan 18 jaar, moet u toestemming verkrijgen van uw ouder of wettelijke voogd voordat u de Dienst gebruikt. Wij verzamelen niet bewust persoonsgegevens van kinderen jonger dan 13 jaar.

14) Wijzigingen in het privacybeleid

Wij kunnen dit privacybeleid op elk moment wijzigen. In het geval van een materiële wijziging zullen wij u hiervan op de hoogte stellen per e-mail of via een melding op de Dienst. De datum van de laatste update staat bovenaan deze pagina vermeld. Als u de Dienst na wijziging blijft gebruiken, betekent dit dat u akkoord gaat met het nieuwe beleid.

15) Contact & klachten