Privacybeleid
Laatst bijgewerkt: 20 mei 2026
Inleiding
VantarGroup LLC ("Matproof", "wij", "ons" of "onze") respecteert uw privacy en zet zich in voor de bescherming van uw persoonsgegevens. Dit privacybeleid legt uit hoe wij uw gegevens verzamelen, gebruiken, openbaar maken en beschermen wanneer u onze website bezoekt of ons compliance-automatiseringsplatform gebruikt.
ℹ️ Belangrijke mededeling
Matproof levert compliance-automatiseringssoftware en biedt GEEN juridisch advies, belastingadvies of regelgevend advies. Niets in dit Privacybeleid of onze Dienst dient te worden opgevat als juridisch advies. U dient gekwalificeerde juridische en compliance-professionals te raadplegen met betrekking tot uw specifieke gegevensbeschermingsverplichtingen.
Gegevens die wij verzamelen
Wij verzamelen gegevens die u rechtstreeks aan ons verstrekt, waaronder:
- Accountgegevens (naam, e-mailadres, bedrijfsnaam)
- Factureringsgegevens (veilig verwerkt via onze betalingsverwerker)
- Communicatie die u naar ons verzendt (ondersteuningsverzoeken, feedback)
- Compliancegegevens die u uploadt naar ons platform (beleidsregels, bewijs, controles)
Hoe wij uw gegevens gebruiken
Wij gebruiken de verzamelde gegevens om:
- Ons complianceplatform te leveren en te onderhouden
- Uw transacties te verwerken en uw account te beheren
- U technische meldingen en ondersteuningsberichten te sturen
- Te reageren op uw opmerkingen, vragen en klantenserviceverzoeken
- Gebruikspatronen te analyseren om onze diensten te verbeteren (in geaggregeerde, geanonimiseerde vorm)
- Marketingcommunicatie te verzenden (met uw toestemming, waar vereist)
Gegevensopslag en beveiliging
Uw gegevens worden uitsluitend opgeslagen in EU-datacenters in Duitsland. Wij implementeren passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking, onbedoeld verlies, vernietiging of beschadiging. Deze maatregelen omvatten versleuteling in rust en tijdens overdracht, toegangscontroles en regelmatige beveiligingsbeoordelingen.
Uw rechten onder de AVG
Als betrokkene in de Europese Unie heeft u de volgende rechten:
- Recht van inzage: U kunt een kopie van uw persoonsgegevens opvragen
- Recht op rectificatie: U kunt correctie van onjuiste gegevens verzoeken
- Recht op wissing: U kunt verwijdering van uw persoonsgegevens verzoeken
- Recht op gegevensoverdraagbaarheid: U kunt uw gegevens opvragen in een machineleesbaar formaat
- Recht van bezwaar: U kunt bezwaar maken tegen de verwerking van uw persoonsgegevens
- Recht om toestemming in te trekken: U kunt uw toestemming op elk moment intrekken wanneer wij op toestemming vertrouwen om uw gegevens te verwerken
Rechtsgrondslag voor verwerking
Wij verwerken uw persoonsgegevens op de volgende rechtsgrondslagen op grond van artikel 6 AVG:
- Uitvoering van een overeenkomst (art. 6(1)(b)): verwerking noodzakelijk voor het leveren van onze diensten wanneer u zich registreert of een demo aanvraagt.
- Gerechtvaardigde belangen (art. 6(1)(f)): analyse om onze website en diensten te verbeteren, voor zover onze belangen niet zwaarder wegen dan uw rechten.
- Toestemming (art. 6(1)(a)): marketingcommunicatie en inzendingen via het contactformulier, wanneer u expliciet toestemming heeft gegeven.
Bewaartermijnen
Wij bewaren persoonsgegevens alleen zo lang als noodzakelijk voor de in dit beleid beschreven doeleinden. Concreet: contactformulieraanvragen worden 24 maanden bewaard. Accountgegevens en op het platform geüploade compliance-data worden bewaard voor de duur van de contractuele relatie; bij opzegging start een grace-periode van 30 dagen waarin de gegevens kunnen worden geëxporteerd (recht op dataportabiliteit), waarna automatische definitieve verwijdering volgt. Analysegegevens zijn geaggregeerd/geanonimiseerd en worden tot 26 maanden bewaard. Langere bewaring geldt uitsluitend wanneer de wet dat vereist (bijv. § 257 HGB Duits voor administratiegegevens, 10 jaar). U kunt op elk moment verwijdering aanvragen.
Cookies en analyse
Op matproof.com (marketingsite) gebruiken we Umami Analytics voor cookievrije, geaggregeerde bezoekersmeting en — uitsluitend na uw expliciete toestemming via onze cookiebanner — Google Ads conversion tracking. Beide tools worden pas geladen nadat toestemming is gegeven (§ 25(1) TDDDG, Art. 6(1)(a) AVG). Binnen het ingelogde platform app.matproof.com gebruiken we PostHog voor productanalytics (EU Cloud Frankfurt, eveneens op basis van toestemming). U kunt uw toestemming op elk moment intrekken via de banner of door de browseropslag te wissen.
Subverwerkers
Wij maken gebruik van de volgende subverwerkers op grond van Art. 28 AVG. De kolom «Bereik» geeft aan welke partijen alleen op de publieke site (matproof.com), alleen in het ingelogde platform (app.matproof.com) of in beide opereren. Met alle partijen zijn verwerkersovereenkomsten afgesloten. Voor partijen met vestiging of dataverwerking buiten de EU (met name VS, VK) gelden aanvullend EU Standaardcontractbepalingen (SCC 2021/914) op grond van Art. 46 AVG en aanvullende technische en organisatorische maatregelen. Opmerking: gegevens uit webformulieren (contact, tools, assessments) worden tevens weggeschreven in onze zelf-gehoste Twenty CRM-instantie (op onze eigen Hetzner-infrastructuur in Duitsland, bereikbaar via crm.klyntos.com) voor follow-up. Dit is geen externe subverwerker, maar een intern hulpmiddel op de reeds opgenomen Hetzner-infrastructuur.
| Aanbieder | Hoofdkantoor / juridische entiteit | Verwerkingsregio | Bereik | Doel | Datacategorieën | Juridische grondslag |
|---|---|---|---|---|---|---|
| Hetzner Online GmbH | Gunzenhausen, Duitsland | Falkenstein en Neurenberg, DE | Beide | Applicatiehosting, compute, cronjobs, zelf-gehoste hulpsystemen (incl. interne CRM) | Sessies, applicatielogs, alle data die door het systeem in transit gaat | Art. 28 AVG |
| Neon, Inc. | Delaware, VS | AWS eu-central-1 (Frankfurt, DE) | App (ingelogd) | PostgreSQL-databasehosting | alle persistente klantgegevens (accounts, compliancedocumenten, audit trails) | Art. 28 AVG + EU-SCC 2021/914 (Module 3) |
| Amazon Web Services EMEA SARL | Luxemburg (moederbedrijf: AWS Inc., VS) | eu-central-1 (Frankfurt, DE) | App (ingelogd) | Bestandsopslag (S3), AWS Security Hub | Bestandsuploads, back-ups, beveiligingsrelevante logs | Art. 28 AVG + AWS GDPR DPA + SCC |
| Upstash, Inc. | Delaware, VS | EU-regio (Frankfurt) | App (ingelogd) | Redis-cache, vector search voor AI-functies | Sessietokens, rate-limit-tellers, embedding-vectoren | Art. 28 AVG + SCC |
| Stripe Payments Europe, Ltd. | Dublin, Ierland (moederbedrijf: Stripe, Inc., VS) | EU met wereldwijde failover | App (ingelogd) | Betalingsverwerking, abonnementsbeheer | Naam, e-mailadres, factuuradres, betaalmethode (getokeniseerd) | Art. 28 AVG + Stripe DPA + SCC |
| Resend, Inc. | Delaware, VS | Multi-regio met EU-routing | Beide | Transactionele en marketing-e-mails | E-mailadressen, mailinhoud | Art. 28 AVG + SCC |
| Trigger.dev Ltd. | Londen, Verenigd Koninkrijk | Verenigd Koninkrijk | App (ingelogd) | Asynchrone jobverwerking | Job-payloads (kunnen persoonsgegevens bevatten) | Art. 28 AVG + adequaatheidsbesluit voor het VK |
| OpenAI Ireland Ltd. | Dublin, Ierland (moederbedrijf: OpenAI, Inc., VS) | EU-dataresidentie waar beschikbaar, anders VS-regio | App (ingelogd) | LLM-inferentie voor compliancefuncties | Inhoud van de verzoeken (doorgaans niet-persoonlijke compliancetekst) | Art. 28 AVG + SCC; geen modeltraining (zero-data-retention aangevraagd) |
| Anthropic, PBC | San Francisco, VS | VS (Anthropic API-regio) | App (ingelogd) | LLM-inferentie voor compliance- en beveiligingsfuncties (AI-assistent, Sentinel-agenten) | Inhoud van de verzoeken; met Sentinel: klantbroncode (opt-in) | Art. 28 AVG + SCC; geen modeltraining (zero-data-retention aangevraagd) |
| Functional Software, Inc. (Sentry) | San Francisco, VS | EU-dataresidentie (Frankfurt) | Beide | Fout- en performancemonitoring | Stack traces, IP-adressen, gebruikers-ID's, browsermetadata | Art. 28 AVG + SCC |
| PostHog, Inc. | San Francisco, VS | EU Cloud (Frankfurt) | App (ingelogd) | Productanalytics binnen de app (ingelogde gebruikers) | Apparaat-/browsergegevens, sessie-ID's, clickstream (gepseudonimiseerd) | Art. 28 AVG + SCC + toestemming conform § 25 TDDDG |
| Umami Software, Inc. | VS | VS (Umami Cloud) | Marketingsite | Anonieme website-analytics voor matproof.com (op basis van toestemming) | Geaggregeerde pageviews, referrer, user-agent (geen cookies, IP wordt niet bewaard) | Toestemming Art. 6 (1) a AVG + § 25 TDDDG (alleen na cookiebanner-toestemming) |
| Google Ireland Ltd. (Google Ads + GTM) | Dublin, Ierland (moederbedrijf: Alphabet Inc., VS) | EU + VS | Marketingsite | Conversiemeting voor advertenties; tag management (alleen na toestemming geladen) | Klik-ID's, IP-adres, URL-pad, conversie-events (met ads_data_redaction) | Toestemming Art. 6 (1) a AVG + § 25 TDDDG + Google Consent Mode v2 + SCC |
| lempire SAS (lemlist) | Parijs, Frankrijk | EU (Frankrijk) met AWS-subverwerker | Marketingsite | Bezoekersattributie voor outbound-e-mailcampagnes (matproof.com marketingsite, op basis van toestemming) — koppelt websitebezoeken aan lemlist-campagneontvangers | Visitor-ID-cookie, IP-adres, user-agent, paginapaden, UTM-/campagnetokens | Toestemming Art. 6 (1) a AVG + § 25 TDDDG (alleen na cookiebanner-toestemming) + SCC |
| Google Ireland Ltd. (OAuth Login) | Dublin, Ierland (moederbedrijf: Alphabet Inc., VS) | EU + VS | App (ingelogd) | Google-login (OAuth, optioneel per klant) | E-mailadres, naam, profielfoto | Toestemming Art. 6 (1) a AVG + SCC |
| Cloudflare, Inc. | San Francisco, VS | Multi-regio edge (EU-routing voorkeur) | Beide | DNS, CDN, DDoS-bescherming, WAF, e-mailrouting | IP-adressen, HTTP-request-metadata, TLS-handshake-data | Art. 28 AVG + Cloudflare DPA + SCC |
| Dub, Inc. | Delaware, VS | VS | App (ingelogd) | Referral- / partnerprogramma (klik- en sale-attributie) | Klik-ID's, e-mailadres, Stripe Customer ID, UTM-parameters | Art. 28 AVG + SCC |
| Novu, Inc. | Delaware, VS | VS | App (ingelogd) | Orkestratie van in-app en e-mailnotificaties | Gebruikers-ID's, e-mailadressen, notification-payloads | Art. 28 AVG + SCC |
| Vercel, Inc. | San Francisco, VS | Multi-regio (EU bij voorkeur) | App (ingelogd) | Hosting van Trust Portal-subdomeinen van de klant; sandbox; Web Analytics voor Trust Portal | HTTP-requests, Trust Portal-inhoud (door de klant gepubliceerd) | Art. 28 AVG + Vercel DPA + SCC |
| GitHub, Inc. | San Francisco, VS (moederbedrijf: Microsoft Corp.) | VS | App (ingelogd) | Sentinel-pentest: optionele toegang tot klantbroncode-repositories via de Matproof-Sentinel GitHub App | Repository-inhoud (broncode), issue-postings (findings) | Art. 28 AVG + SCC; alleen bij actieve installatie door de klant |
| Firecrawl, Inc. | San Francisco, VS | VS | App (ingelogd) | Webscraping voor leveranciersonderzoek (TPRM, DORA Art. 28-register) | Publiek toegankelijke URL's (geen persoonsgegevens) | Gerechtvaardigd belang Art. 6 (1) f AVG |
| Logokit, Inc. (logo.dev) | VS | VS / CDN edge | App (ingelogd) | Logo- en favicon-API voor leveranciersweergave | Domeinstrings (geen persoonsgegevens) | Gerechtvaardigd belang Art. 6 (1) f AVG |
| NIST National Vulnerability Database | Federale instantie, VS | VS | App (ingelogd) | Opvragen van publieke CVE-data voor kwetsbaarheidsmonitoring | Geen persoonsgegevens (uitsluitend CVE-ID's en versiestrings) | Publieke bron |
Laatste bijwerking van de lijst: 20 mei 2026. Wijzigingen kondigen wij bij bestaande klanten ten minste 30 dagen van tevoren aan.
Internationale doorgiften (doorgiften naar derde landen)
Wanneer wij subverwerkers inzetten die gevestigd zijn of gegevens verwerken buiten de EU/EER (in het bijzonder VS, VK en EU-dochters van Amerikaanse moederconcerns), baseren wij de doorgifte op de volgende waarborgen op grond van Art. 44 e.v. AVG: (1) voor het VK: het adequaatheidsbesluit van de EU van 28 juni 2021; (2) voor de VS en andere derde landen: de Standaardcontractbepalingen van de EU (Uitvoeringsbesluit 2021/914, Module 2 respectievelijk 3, afhankelijk van de situatie); (3) aanvullende technische en organisatorische maatregelen, waaronder versleuteling, pseudonimisering waar mogelijk, zero-data-retention-afspraken met AI-aanbieders en contractuele doelbinding. Wij voeren een interne Transfer Impact Assessment (TIA) uit voor elke subverwerker in een derde land.
Contact en gegevensbescherming
Voor vragen over dit Privacybeleid, het uitoefenen van uw AVG-rechten of het bereiken van onze gegevensbeschermingsfunctionaris, schrijft u ons op:
VantarGroup LLC
Functionaris voor Gegevensbescherming
Email: privacy@matproof.com
30 N Gould St Ste R, Sheridan, WY 82801, USA
U heeft ook het recht een klacht in te dienen bij uw lokale toezichthoudende autoriteit. In Nederland: Autoriteit Persoonsgegevens (AP), Den Haag.