1.Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke voor uw persoonsgegevens is:
Aangezien Zita Software nog niet is geregistreerd als formele rechtspersoon, is de natuurlijke persoon verantwoordelijk voor de verwerking van persoonsgegevens Mohamad Salam, bereikbaar via het bovenstaande e-mailadres. Dit beleid wordt bijgewerkt bij bedrijfsregistratie.
2.Toepassingsgebied
Dit beleid is van toepassing op:
- —Bezoekers van de website zita.software
- —Klanten die zich registreren voor en gebruik maken van het Zita-platform (restauranteigenaren, managers, beheerders)
- —Eindgebruikers wiens gegevens via het platform worden verwerkt (restaurantgasten, medewerkers)
- —Partners en potentiële klanten die contact met ons opnemen
Wanneer Zita persoonsgegevens verwerkt namens een Klant (bijv. gegevens van restaurantgasten), treedt Zita op als verwerker en de Klant als verwerkingsverantwoordelijke. Deze relatie wordt geregeld door onze Verwerkersovereenkomst.
3.Categorieën verzamelde persoonsgegevens
3.1 Account- en registratiegegevens (als verwerkingsverantwoordelijke)
- —Identiteitsgegevens: voornaam, achternaam, e-mailadres, telefoonnummer
- —Bedrijfsgegevens: bedrijfsnaam, adres, Belgisch ondernemingsnummer (KBO/BCE) indien opgegeven
- —Authenticatiegegevens: gehasht wachtwoord (we slaan nooit wachtwoorden op in leesbare tekst)
- —Factureringsgegevens: factuuradres, abonnementsplan (betalingskaargegevens worden uitsluitend verwerkt door Stripe en worden nooit opgeslagen door Zita)
3.2 Operationele gegevens verwerkt namens Klanten (als verwerker)
- —Restaurantgastgegevens: namen, telefoonnummers, e-mailadressen, reserveringsgeschiedenis, bezoekfrequentie
- —Transactie- en betalingsgegevens: bestelgeschiedenis, betaalbedragen, betaalmethoden, fiscale gebeurtenislogboeken
- —Medewerkergegevens: namen, prikklokregistraties, fooiverdeling
- —Loyaliteits- en CRM-gegevens: loyaliteitspunten, voorkeuren, allergenennotities, communicatiegeschiedenis
Zita verwerkt deze gegevens uitsluitend op gedocumenteerde instructies van de Klant en gebruikt ze niet voor enig onafhankelijk doel.
3.3 Technische en gebruiksgegevens
- —IP-adres, browsertype, besturingssysteem, apparaat-ID's
- —Gebruikslogboeken: bezochte pagina's, gebruikte functies, sessieduur
- —Fout- en prestatiegegevens verzameld via Sentry (gepseudonimiseerd)
- —Sessietokens opgeslagen in HttpOnly, Secure cookies die ontoegankelijk zijn voor JavaScript
4.Rechtsgrondslag voor verwerking (AVG Artikel 6)
- —Artikel 6(1)(b) — Uitvoering van een overeenkomst: Aanmaken en beheren van uw account, leveren van de Service, verwerken van betalingen, klantenondersteuning.
- —Artikel 6(1)(c) — Wettelijke verplichting: Belgische fiscale nalevingsvereisten (FDM — Fiscale Data Module), BTW-administratie (Art. 60 BTW-wetboek), verplichte gegevensbewaring onder de Belgische boekhoudwetgeving.
- —Artikel 6(1)(f) — Gerechtvaardigde belangen: Platformbeveiliging, fraudepreventie, misbruikdetectie, serviceverbetering via geaggregeerde analyses. Onze gerechtvaardigde belangen gaan niet boven uw grondrechten.
- —Artikel 6(1)(a) — Toestemming: Marketingcommunicaties en nieuwsbrieven. U kunt uw toestemming te allen tijde intrekken door op 'uitschrijven' te klikken in een marketing-e-mail of door contact met ons op te nemen.
5.Bewaringstermijnen
- —Account- en contractgegevens: duur van de contractuele relatie + 10 jaar (Belgisch boekhoudrecht — Wet van 17 juli 1975)
- —Fiscale en betalingsgegevens: 7 jaar vanaf het boekjaar van de transactie (Art. 60 §1 BTW-wetboek; Koninklijk Besluit nr. 1)
- —Server- en toegangslogboeken: 90 dagen voortschrijdende bewaring
- —Marketingcommunicatiegegevens: tot intrekking van toestemming of 3 jaar na laatste contact
- —Supporttickets: 2 jaar na afhandeling
- —Gegevens van voormalige Klanten (na opzegging): 30 dagen voor gegevensexport, daarna permanente verwijdering tenzij bewaring wettelijk vereist is
6.Subverwerkers en overdrachten naar derden
Zita maakt gebruik van de volgende subverwerkers op basis van schriftelijke Verwerkersovereenkomsten die voldoen aan AVG Artikel 28. Overdrachten buiten de Europese Economische Ruimte (EER) zijn gedekt door Standaard Contractuele Clausules (SCC's) aangenomen overeenkomstig Commissiebesluit 2021/914/EU.
| Verwerker | Doel | Locatie |
|---|---|---|
| Supabase | Database hosting (PostgreSQL) | EU — Ireland (AWS eu-west-1) |
| Vercel | Web application hosting | USA — SCCs (EU data routing available) |
| Render | API server hosting | EU — Frankfurt (AWS eu-central-1) |
| Stripe | Payment processing and billing | USA — SCCs; EU data processor addendum signed |
| Resend | Transactional email delivery | USA — SCCs |
| Sentry | Error monitoring and diagnostics | USA — SCCs; data pseudonymised |
| Upstash | Redis cache layer | EU — Frankfurt |
| Twilio | SMS notifications (optional module) | USA — SCCs |
SCC = Standaard Contractuele Clausules (AVG Art. 46(2)(c)). Een actuele lijst van subverwerkers is beschikbaar op schriftelijk verzoek aan info@zita.software. We zullen Klanten informeren over wezenlijke wijzigingen van subverwerkers met minimaal 14 dagen vooraankondiging.
7.Uw rechten onder de AVG (Artikelen 15–22)
Onder voorbehoud van toepasselijke uitzonderingen en wettelijke bewaringsverplichtingen heeft u de volgende rechten:
- —Recht op inzage (Art. 15): Bevestiging verkrijgen of wij uw gegevens verwerken en een kopie ontvangen.
- —Recht op rectificatie (Art. 16): Correctie verzoeken van onjuiste of onvolledige persoonsgegevens.
- —Recht op wissing (Art. 17): Verwijdering verzoeken van uw persoonsgegevens wanneer er geen wettelijke grondslag voor bewaring van toepassing is.
- —Recht op gegevensoverdraagbaarheid (Art. 20): Uw gegevens ontvangen in een gestructureerd, machineleesbaar formaat (JSON of CSV).
- —Recht op beperking van verwerking (Art. 18): Verzoeken dat wij de verwerking in bepaalde omstandigheden beperken.
- —Recht van bezwaar (Art. 21): Bezwaar maken tegen verwerking op basis van onze gerechtvaardigde belangen. Wij stoppen tenzij wij dwingende gerechtvaardigde gronden aantonen.
- —Recht op intrekking van toestemming (Art. 7(3)): Toestemming voor marketing te allen tijde intrekken zonder de rechtmatigheid van eerdere verwerking te beïnvloeden.
Hoe uw rechten uitoefenen:
Stuur een schriftelijk verzoek naar info@zita.software met voldoende identificatie. Wij reageren binnen 30 kalenderdagen zoals vereist door AVG Artikel 12. In geval van complexiteit of meerdere verzoeken kan deze termijn met nog eens 60 dagen worden verlengd met kennisgeving.
8.Gegevensbeveiliging
Zita implementeert passende technische en organisatorische maatregelen, waaronder:
- —Versleuteling in transit: TLS 1.2+ op alle verbindingen
- —Versleuteling in rust: AES-256 voor databaseopslag
- —Authenticatie: HttpOnly, Secure sessiecookies; bcrypt wachtwoordhashing
- —Toegangscontrole: rolgebaseerde toegang met 62 granulaire machtigingen; principe van minimale bevoegdheden
- —Monitoring: realtime waarschuwingen voor afwijkende toegangspatronen via Sentry
- —Back-ups: geautomatiseerde dagelijkse databaseback-ups met point-in-time herstel
In geval van een inbreuk op persoonsgegevens die waarschijnlijk een risico voor uw rechten en vrijheden inhoudt, zal Zita de Belgische Gegevensbeschermingsautoriteit binnen 72 uur na kennisneming informeren, en de betrokken personen onverwijld, overeenkomstig AVG Artikelen 33–34.
9.Cookies
Wij gebruiken technisch noodzakelijke cookies voor sessiebeheer en authenticatie. Raadpleeg voor volledige details ons Cookiebeleid.
10.Toezichthoudende autoriteit
U heeft het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit. In België is dit:
Gegevensbeschermingsautoriteit (GBA) / Autorité de protection des données (APD)
Rue de la Presse 35 / Drukpersstraat 35, 1000 Brussels
gegevensbeschermingsautoriteit.be
Tel: +32 (0)2 274 48 00
Email: contact@apd-gba.be
11.Wijzigingen van dit beleid
Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken. Wezenlijke wijzigingen worden ten minste 30 dagen voor hun inwerkingtreding per e-mail meegedeeld aan geregistreerde accounthouders. De datum van de meest recente revisie staat bovenaan dit document vermeld. Voortgezet gebruik van de Service na de ingangsdatum geldt als aanvaarding van het herziene beleid.