ISMS Copilot
Juridisch

Gegevensprivacy & AVG-naleving - Bijgewerkt

Overzicht

ISMS Copilot is volledig in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) en volgt strikte principes voor gegevensprivacy. Dit artikel legt uw privacyrechten uit, hoe we met uw gegevens omgaan en welke controle u heeft over uw informatie.

Voor wie is dit?

Dit artikel is bedoeld voor:

  • In de EU gevestigde gebruikers die zich zorgen maken over AVG-naleving

  • Functionarissen voor Gegevensbescherming (FG's) die ISMS Copilot evalueren

  • Compliance-consultants die klantgegevens verwerken onder de AVG

  • Iedereen die zijn privacyrechten wil begrijpen

Overzicht AVG-naleving

Hoe ISMS Copilot voldoet aan de AVG-vereisten

Dataminimalisatie (Artikel 5, lid 1, onder c)

ISMS Copilot verzamelt alleen de minimale gegevens die nodig zijn om de dienst te leveren:

  • E-mailadres voor accountidentificatie, authenticatie en essentiële communicatie

  • Authenticatiegegevens (gehashte wachtwoorden of OAuth-tokens)

  • Gespreksgeschiedenis om contextbewuste AI-antwoorden te geven

  • Geüploade documenten voor analyse en beoordeling van compliance-tekortkomingen

  • Gebruiksmetadata voor facturering en serviceverbetering

  • Gegevens over e-mailbetrokkenheid (opens, clicks) voor onboarding en e-mails over productupdates (gebruikers kunnen zich afmelden)

ISMS Copilot verzamelt geen onnodige persoonlijke informatie zoals telefoonnummers, adressen of demografische gegevens. Alleen essentiële gegevens voor de dienstverlening worden opgeslagen.

Doelbinding (Artikel 5, lid 1, onder b)

Uw gegevens worden uitsluitend gebruikt voor:

  • Het bieden van AI-gestuurde compliance-ondersteuning

  • Het beheren van uw account en abonnement

  • Het verbeteren van de prestaties en betrouwbaarheid van de dienst

  • Het voldoen aan wettelijke verplichtingen

ISMS Copilot gebruikt uw gegevens nooit voor marketing, reclame of verkoop aan derden. Uw gesprekken en geüploade documenten worden nooit gebruikt om AI-modellen te trainen.

Opslagbeperking (Artikel 5, lid 1, onder e)

U heeft volledige controle over hoe lang uw gegevens worden bewaard:

  • Stel bewaarperiodes in van 1 dag tot 7 jaar, of bewaar ze voor altijd

  • Automatische verwijdering van verlopen gegevens vindt dagelijks plaats

  • Verzoek op elk moment om onmiddellijke verwijdering van account en gegevens

Gegevensbescherming door ontwerp (Artikel 25)

Beveiliging en privacy zijn ingebouwd in elke functie van ISMS Copilot:

  • End-to-end versleuteling voor alle gegevens

  • Beveiliging op rijniveau voorkomt ongeautoriseerde toegang

  • Isolatie van werkruimten houdt klantgegevens gescheiden

  • Veilige authenticatie met OAuth-ondersteuning

Uw AVG-rechten

Recht op inzage (Artikel 15)

U heeft het recht op inzage in al uw persoonlijke gegevens die in ISMS Copilot zijn opgeslagen.

Waar u inzage in heeft:

  • Uw accountinformatie (e-mail, instellingen)

  • Alle gespreksgeschiedenis in alle werkruimten

  • Geüploade documenten en bestanden

  • Gebruiksmetadata en tijdstempels

Hoe u toegang krijgt tot uw gegevens:

  1. Log in op uw ISMS Copilot-account

  2. Navigeer naar uw werkruimten om gesprekken te bekijken

  3. Bekijk geüploade bestanden in elke gesprekslijn

  4. Voor een volledige gegevensexport kunt u contact opnemen met de ondersteuning via het Helpcentrum

Recht op rectificatie (Artikel 16)

U kunt uw persoonlijke gegevens op elk moment bijwerken of corrigeren.

Hoe u uw gegevens kunt bijwerken:

  1. Klik op het pictogram van het gebruikersmenu (rechtsboven)

  2. Selecteer Settings

  3. Uw e-mailadres wordt weergegeven (neem contact op met de ondersteuning om dit te wijzigen)

  4. Werk uw voorkeuren voor het bewaren van gegevens bij

  5. Klik op Save Settings

Verwacht resultaat: Het dialoogvenster met instellingen sluit en uw wijzigingen worden onmiddellijk opgeslagen.

Recht op gegevenswissing / "Recht om vergeten te worden" (Artikel 17)

U kunt verzoeken om volledige verwijdering van uw account en alle bijbehorende gegevens.

Hoe u uw gegevens kunt verwijderen:

  1. Klik op het pictogram van het gebruikersmenu

  2. Selecteer Help CenterContact Support

  3. Dien een verzoek tot gegevensverwijdering in

  4. De ondersteuning zal uw identiteit verifiëren en het verzoek bevestigen

  5. Alle gegevens worden binnen 30 dagen permanent verwijderd

Het verwijderen van een account is definitief en kan niet ongedaan worden gemaakt. Alle werkruimten, gesprekken, geüploade bestanden en accountinstellingen worden permanent gewist. Zorg ervoor dat u alle benodigde gegevens exporteert voordat u om verwijdering verzoekt.

Wat wordt er verwijderd:

  • Uw account en e-mailadres

  • Alle werkruimten en gespreksgeschiedenis

  • Alle geüploade documenten en bestanden

  • Aangepaste instructies voor werkruimten

  • Gebruiksmetadata en logs

Wat kan worden bewaard:

  • Geanonimiseerde factuurgegevens (vereist voor fiscale en boekhoudkundige naleving)

  • Geanonimiseerde analysegegevens (geen persoonlijk identificeerbare informatie)

Recht op overdraagbaarheid van gegevens (Artikel 20)

U heeft het recht om uw gegevens te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat.

Hoe u uw gegevens kunt exporteren:

  1. Neem contact op met de ondersteuning via het Helpcentrum

  2. Vraag een gegevensexport aan

  3. De ondersteuning verstrekt uw gegevens in JSON-formaat met:

    • Accountinformatie

    • Gespreksgeschiedenis

    • Configuraties van werkruimten

    • Metadata van geüploade bestanden

  4. Download het exportbestand voor gebruik in andere systemen

Gegevensexports worden doorgaans binnen 72 uur verstrekt. Voor grote accounts met een uitgebreide gespreksgeschiedenis kunnen exports tot 5 werkdagen duren.

Recht op beperking van de verwerking (Artikel 18)

U kunt verzoeken om tijdelijke opschorting van de gegevensverwerking terwijl geschillen worden opgelost.

Wanneer u de verwerking kunt beperken:

  • U betwist de juistheid van de persoonsgegevens

  • De verwerking is onrechtmatig, maar u wilt niet dat de gegevens worden verwijderd

  • U heeft de gegevens nodig voor rechtsvorderingen

  • U heeft bezwaar gemaakt tegen de verwerking in afwachting van verificatie

Hoe u om beperking kunt verzoeken:

  1. Neem contact op met de ondersteuning via het Helpcentrum

  2. Leg de reden voor de beperking uit

  3. De ondersteuning zal het verzoek beoordelen en passende beperkingen implementeren

Recht van bezwaar (Artikel 21)

U kunt bezwaar maken tegen bepaalde soorten gegevensverwerking.

Waar u bezwaar tegen kunt maken:

  • Verwerking voor direct marketing (ISMS Copilot voert geen marketingverwerking uit)

  • Verwerking op basis van gerechtvaardigde belangen

  • Geautomatiseerde besluitvorming (momenteel niet gebruikt door ISMS Copilot)

Hoe u bezwaar kunt maken:

  1. Neem contact op met de ondersteuning via het Helpcentrum

  2. Geef aan tegen welke verwerking u bezwaar maakt

  3. De ondersteuning zal dit beoordelen en binnen 30 dagen reageren

Details over gegevensverwerking

Voor gezaghebbende informatie over de routering van AI-providers, lijsten met subverwerkers, bewaarperioden en mechanismen voor gegevensoverdracht verwijzen wij u naar de officiële juridische documenten in ons Trust Center:

Het Trust Center wordt bijgewerkt telkens wanneer de regelingen met AI-providers of de praktijken voor gegevensverwerking wijzigen. Helpcentrum-artikelen vatten deze onderwerpen samen voor het gemak, maar de documenten in het Trust Center zijn de gezaghebbende bron.

Privacy by Design-functies

PII-reductiemodus

ISMS Copilot biedt automatische PII-redactie (Personally Identifiable Information) om gevoelige persoonsgegevens te beschermen voordat ze de AI-verwerking bereiken. Wanneer deze functie is ingeschakeld, detecteert en anonimiseert het systeem veelvoorkomende PII-patronen in uw berichten en geüploade documenten.

Wat wordt geanonimiseerd:

  • Persoonsnamen (bijv. "Jan Janssen" → "[REDACTED_NAME]")

  • Bedrijfs- en organisatienamen

  • E-mailadressen (bijv. "[email protected]" → "[REDACTED_EMAIL]")

  • Telefoonnummers in verschillende formaten

Hoe u PII-reductie inschakelt:

  1. Navigeer naar Settings → Privacy of Data Protection

  2. Schakel "Enable PII Reduction" in

  3. Lees de bevestigingspop-up met uitleg over de beperkingen op basis van patronen

  4. Zoek naar het groene schildpictogram in uw chat-invoer om de activering te bevestigen

Wanneer PII-reductie actief is, ziet u een groen schildpictogram in de chat-invoer als visuele bevestiging dat de anonimisering werkt.

Belangrijke beperkingen:

  • Op patronen gebaseerde detectie: PII-reductie maakt gebruik van regex-patronen en vangt mogelijk niet alle gevoelige informatie op

  • Niet 100% nauwkeurig: Sommige PII kan erdoorheen glippen; sommige legitieme tekst kan onterecht worden geanonimiseerd

  • Geen vervanging voor dataminimalisatie: Controleer gegevens altijd voordat u ze uploadt en vermijd het opnemen van onnodige PII

  • Geldt vóór AI-verwerking: De anonimisering vindt plaats voordat de gegevens AI-providers bereiken

PII-reductie is een privacyverbetering, geen garantie voor volledige anonimisering. Verifieer outputs altijd aan de hand van officiële normen en vermijd het uploaden van onnodige persoonsgegevens. Deze functie werkt het beste als een extra beschermingslaag naast praktijken voor dataminimalisatie.

Gebruiksscenario's:

  • Het verwerken van auditrapporten van klanten die werknemersnamen bevatten

  • Het analyseren van compliance-beleid met contactinformatie

  • Werken met HR-beleid of incidentrapporten

  • Toevoegen van extra privacybescherming bij gebruik van de Advanced Data Protection Mode

Combineren met Advanced Data Protection:

Schakel beide functies in voor maximale privacy:

  • PII Reduction: Anonimiseert persoonsgegevens vóór AI-verwerking

  • Advanced Data Protection Mode: Garandeert verwerking uitsluitend binnen de EU met nul bewaring door AI-providers

Samen bieden deze functies sterke privacywaarborgen voor gevoelig compliance-werk.

Isolatie van werkruimten

Werkruimten bieden gegevensscheiding voor scenario's met meerdere klanten:

  • Elke werkruimte behoudt zijn eigen gespreksgeschiedenis

  • Geüploade bestanden zijn gekoppeld aan specifieke werkruimten

  • Aangepaste instructies zijn werkruimte-specifiek

  • Het verwijderen van een werkruimte verwijdert alle bijbehorende gegevens

Compliance-consultants moeten voor elke klant afzonderlijke werkruimten maken. Dit zorgt ervoor dat klantgegevens geïsoleerd blijven en vereenvoudigt de naleving van geheimhoudingsverplichtingen.

Geen gegevensdeling tussen gebruikers

ISMS Copilot hanteert strikte gegevensgrenzen:

  • Gebruikers hebben geen toegang tot de gegevens van andere gebruikers

  • AI-antwoorden worden onafhankelijk voor elke gebruiker gegenereerd

  • Databasequery's filteren automatisch op geauthenticeerd gebruikers-ID

  • Zelfs systeembeheerders volgen het principe van de minste privileges

Geen AI-training op gebruikersgegevens

Uw gevoelige compliance-gegevens worden nooit gebruikt voor AI-training:

  • Gesprekken worden niet opgeslagen door OpenAI of andere AI-providers

  • Geüploade documenten blijven vertrouwelijk en privé

  • Klantinformatie draagt nooit bij aan modelverbetering

  • Elk gesprek wordt afzonderlijk verwerkt

Dit is een cruciaal verschil met algemene AI-tools zoals het gratis niveau van ChatGPT, die gesprekken kunnen gebruiken voor training. ISMS Copilot garandeert dat uw compliance-gegevens volledig vertrouwelijk blijven.

Verzoeken van betrokkenen

Hoe u een AVG-verzoek kunt indienen

  1. Klik op het pictogram van het gebruikersmenu (rechtsboven)

  2. Selecteer Help CenterContact Support

  3. Beschrijf uw verzoek duidelijk:

    • "Ik verzoek om inzage in al mijn persoonsgegevens onder AVG Artikel 15"

    • "Ik verzoek om verwijdering van mijn account onder AVG Artikel 17"

    • "Ik verzoek om een gegevensexport onder AVG Artikel 20"

  4. De ondersteuning zal uw identiteit verifiëren en het verzoek in behandeling nemen

Reactietermijnen

ISMS Copilot reageert op AVG-verzoeken volgens de wettelijke termijnen:

  • Bevestiging: Binnen 24-48 uur

  • Inzageverzoeken: Binnen 30 dagen (doorgaans binnen 72 uur)

  • Verzoeken tot verwijdering: Binnen 30 dagen

  • Gegevensoverdraagbaarheid: Binnen 30 dagen (doorgaans binnen 72 uur)

  • Rectificatieverzoeken: Onmiddellijk voor velden die de gebruiker zelf kan bijwerken; binnen 30 dagen voor overige velden

Als ISMS Copilot de reactietermijn moet verlengen (bijv. bij complexe verzoeken), wordt u binnen 30 dagen op de hoogte gesteld met een uitleg en een geschatte voltooiingsdatum.

Identiteitsverificatie

Om uw gegevens te beschermen tegen ongeautoriseerde toegang, kan ISMS Copilot uw identiteit verifiëren:

  • U moet verzoeken indienen vanaf uw geregistreerde e-mailadres

  • Voor gevoelige verzoeken kan aanvullende verificatie vereist zijn

  • De ondersteuning kan beveiligingsvragen stellen over uw account

Privacy van kinderen

ISMS Copilot is niet bedoeld voor kinderen onder de 16 jaar:

  • De dienst is ontworpen voor compliance-professionals en bedrijven

  • Er zijn geen mechanismen voor ouderlijke toestemming voorzien

  • Als gebruik door minderjarigen wordt ontdekt, wordt het account beëindigd en worden de gegevens verwijderd

Updates van het privacybeleid

Hoe u op de hoogte wordt gesteld

Wanneer de privacypraktijken wijzigen, zal ISMS Copilot:

  • Een e-mailnotificatie sturen naar uw geregistreerde e-mailadres

  • Een in-app notificatie tonen bij de volgende login

  • Het privacybeleid bijwerken met een datum "Laatst bijgewerkt"

  • Ten minste 30 dagen van tevoren kennisgeving doen van wezenlijke wijzigingen

Uw opties

Als u niet akkoord gaat met wijzigingen in het privacybeleid:

  • Verzoek om accountverwijdering voordat de wijzigingen van kracht worden

  • Exporteer uw gegevens vóór de ingangsdatum

  • Neem contact op met de ondersteuning om uw zorgen te bespreken

Toezichthoudende autoriteit

Als een in de EU gevestigde dienst is ISMS Copilot onderworpen aan toezicht op gegevensbescherming.

Recht om een klacht in te dienen

Als u van mening bent dat ISMS Copilot uw privacyrechten heeft geschonden, kunt u:

  1. Contact opnemen met de ondersteuning van ISMS Copilot om het probleem direct op te lossen

  2. Een klacht indienen bij uw lokale toezichthouder voor gegevensbescherming

  3. Een klacht indienen bij de Franse toezichthouder voor gegevensbescherming (CNIL), waar ISMS Copilot is gevestigd

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Website: https://www.cnil.fr/en

  • Adres: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankrijk

  • Telefoon: +33 1 53 73 22 22

Best practices voor naleving

Voor consultants die klantgegevens verwerken

  • Maak afzonderlijke werkruimten voor elke klant

  • Stel passende bewaartermijnen in die overeenkomen met de klantcontracten

  • Anonimiseer gevoelige persoonsgegevens voordat u ze uploadt

  • Informeer klanten dat u ISMS Copilot gebruikt voor compliance-werkzaamheden

  • Neem ISMS Copilot op in uw verwerkersovereenkomsten

  • Schakel Advanced Data Protection Mode in als klanten verwerking uitsluitend binnen de EU vereisen

Voor organisaties

  • Leg ISMS Copilot vast in uw verwerkingsregister (zie ons Register of Processing Activities ter referentie)

  • Neem het op in Data Protection Impact Assessments (DPIA) als u gevoelige gegevens verwerkt

  • Train personeel in de juiste omgang met gegevens binnen ISMS Copilot

  • Configureer bewaartermijnen die overeenkomen met uw gegevensbewaringsbeleid

Hulp nodig bij AVG-compliance-documentatie? ISMS Copilot kan helpen bij het opstellen van verwerkersovereenkomsten, privacybeleid en DPIA-sjablonen die specifiek zijn voor uw organisatie.

Transparantie & Vertrouwen

Beveiligingsdocumentatie

Voor gedetailleerde informatie over de beveiligings- en privacypraktijken van ISMS Copilot kunt u terecht in onze Security Collection:

  • Gedetailleerde beschrijvingen van gegevensverwerking

  • Documentatie van beveiligingsmaatregelen

  • Volledige lijst van subverwerkers met locaties en DPA-status

  • Compliance-certificeringen

  • Beleid voor AI-governance

U kunt ook ons uitgebreide Register of Processing Activities (RopA) raadplegen voor gedetailleerde technische en organisatorische maatregelen.

Systeemstatus

Houd de beschikbaarheid van de dienst en beveiligingsincidenten in de gaten op de Status Page:

  • Real-time uptime-monitoring via BetterStack

  • Incidentmeldingen en statusupdates

  • Geplande onderhoudsschema's

  • Historische uptime-gegevens

  • Transparante classificatie en escalatie van incidenten

Beperkingen

Huidige privacyfuncties

  • Geautomatiseerde gegevensexport is niet beschikbaar (moet via ondersteuning worden aangevraagd)

  • Wijzigingen van e-mailadressen vereisen ondersteuning

  • Geen zelfbediening voor accountverwijdering (moet contact opnemen met ondersteuning)

  • Cookie-toestemmingsbanner niet geïmplementeerd (er worden geen trackingcookies gebruikt)

Wat nu?

  • Meer informatie over beveiligingsmaatregelen en versleuteling

  • Werkruimten instellen om klantgegevens te isoleren

  • Bekijk onze Transfer Impact Assessment

  • Maak een veilig account aan met sterke authenticatie

  • Bekijk onze Security Collection voor gedetailleerde privacydocumentatie

Hulp krijgen

Voor privacy-gerelateerde vragen of AVG-verzoeken:

  • Neem contact op met de ondersteuning via het menu van het Helpcentrum

  • E-mail vanaf uw geregistreerde e-mailadres

  • Vermeld "AVG-verzoek" in de onderwerpregel voor een snellere verwerking

  • Bezoek onze Security Collection voor gedetailleerde documentatie

Was dit nuttig?