# Wie wij zijn
Paybyrd.com — waartoe Paybyrd B.V. en alle gelieerde ondernemingen behoren (gezamenlijk "Paybyrd", "wij" of "ons") — respecteert uw privacy en is toegewijd aan het beschermen van uw persoonsgegevens.
Dit beleid regelt hoe persoonsgegevens worden verwerkt op de platformen en in de diensten van Paybyrd. Paybyrd B.V. treedt op als verwerkingsverantwoordelijke en is gevestigd in Nederland. Afhankelijk van de context treden wij op als verwerkingsverantwoordelijke of als verwerker.
# Onze vertegenwoordiger in de EU
Paybyrd B.V. is in Nederland geregistreerd onder nummer 76168573, met statutaire zetel te Parnassusweg 819, 1082 LZ Amsterdam, Nederland.
Functionaris voor Gegevensbescherming
- E-mail: dpo@paybyrd.com (beschikbaar in het Engels, Frans en Spaans)
- Post: Data Protection Officer, Paybyrd B.V., Parnassusweg 819, 1082 LZ Amsterdam, Nederland
U heeft het recht om een klacht in te dienen bij een toezichthoudende autoriteit, maar wij stellen het op prijs als u ons eerst in de gelegenheid stelt uw vraag te behandelen. Neem alstublieft contact met ons op voordat u een klacht indient.
# Persoonsgegevens die wij verzamelen
Via het gebruik van onze website
- Volledige naam, e-mailadres, telefoonnummer, website-URL
- Browserinformatie, IP-adres, bezoekduur, bekeken pagina's
- Cookie- en servergegevens
Via het gebruik van onze diensten
Sandbox-gebruikers: naam, e-mailadres en website-informatie.
Handelaren: volledige naam, e-mailadres, geboortedatum, woonadres, bewijs van adres, kopie van ID of paspoort en documentatie ten behoeve van compliance.
Betalingsverwerking: factuuradres, leveradres, geboortedatum, aankoopbedrag, aankoopdatum, betaalwijze, creditcard- of debitcardnummer en bankgegevens.
Compliance-gegevens: informatie afkomstig van kredietagentschappen, fraudepreventiediensten en overheidssanctielijsten.
Sandbox Hub — mededeling
Onze Sandbox Hub is bedoeld als testomgeving. Wij verzamelen, bewaren of verwerken geen persoonsgegevens tijdens uw gebruik daarvan.
# Hoe wij uw persoonsgegevens gebruiken
Rechtsgrondslagen voor verwerking
- Uitvoering van onze overeenkomst met handelaren
- Onze gerechtvaardigde bedrijfsbelangen
- Naleving van wet- en regelgeving
- Productverbetering en -analyse
Doeleinden
- Fraudedetectie en -preventie
- Betalingsverwerking en klantenservice
- Identiteitsverificatie en KYC/AML-naleving
- Accountauthenticatie
- Marketingcommunicatie
- Bedrijfsanalyse en -intelligentie
- Serviceverbetering en -ontwikkeling
- Websitebeheer en probleemoplossing
# Mededeling aan onze handelaren
Handelaren zijn verantwoordelijk voor een met de toepasselijke privacywetgeving overeenstemmende verwerking van de persoonsgegevens van hun klanten. U dient de wetgeving inzake bescherming van persoonsgegevens na te leven van het land van oorsprong en van de landen waar u producten of diensten aanbiedt.
Indien van toepassing dient u tevens de Mastercard Binding Corporate Rules na te leven. Waar wij als verwerker voor u optreden, handelen wij overeenkomstig uw gedocumenteerde instructies en een schriftelijke verwerkersovereenkomst.
# Verstrekking van uw persoonsgegevens
Wij kunnen uw persoonsgegevens delen met de volgende categorieën ontvangers:
- Gelieerde ondernemingen — binnen de Paybyrd-groep, met het oog op de dienstverlening
- Zakenpartners — card schemes, betaaldienstverleners, acquirers en merchant service providers
- Dienstverleners — cloud, hosting, analytics, IT-infrastructuur en klantenservice
- Advertentienetwerken — Google AdWords en Facebook, voor remarketing
- Juridische en veiligheidsdoeleinden — rechtshandhaving, fraudepreventie en toezichthouders
Wij staan onze externe dienstverleners niet toe uw persoonsgegevens voor eigen doeleinden te gebruiken. Alle derden moeten voldoen aan de regelgeving inzake gegevensbescherming en passende beveiligingsmaatregelen treffen.
# Doorgifte van gegevens
Onze voorkeur gaat uit naar opslag en verwerking binnen datacenters in de Europese Economische Ruimte (EER). Doorgiften buiten de EER vinden uitsluitend plaats met passende waarborgen en op basis van schriftelijke overeenkomsten die voldoen aan het Europese gegevensbeschermingsrecht.
Doorgifte kan plaatsvinden indien u transacties aangaat met niet-EER-handelaren, gebruikmaakt van niet-EER-betaalmethoden of niet-EER-valuta.
Paybyrd zal alle redelijke juridische, technische en organisatorische maatregelen nemen om te verzekeren dat uw gegevens veilig worden behandeld indien zij buiten de EER worden doorgegeven.
# Gegevensbeveiliging
Wij zijn PCI DSS Level 1-gecertificeerd, de hoogste standaard binnen de betaalkaartindustrie.
Toegang tot uw persoonsgegevens is beperkt tot medewerkers en derden met een gerechtvaardigd zakelijk belang, die allen zijn gebonden aan geheimhouding. Wij beschikken over procedures om vermoedelijke inbreuken te adresseren en zullen u en de relevante toezichthouder informeren voor zover wettelijk vereist.
Meldplicht bij datalekken. Overeenkomstig artikel 33 AVG zal Paybyrd, indien een inbreuk in verband met persoonsgegevens waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, de bevoegde toezichthoudende autoriteit zonder onredelijke vertraging en, waar haalbaar, uiterlijk 72 uur nadat wij van de inbreuk kennis hebben genomen, daarvan in kennis stellen. Overeenkomstig artikel 34 AVG zal Paybyrd, wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, de inbreuk zonder onredelijke vertraging aan die betrokkenen meedelen, in duidelijke en eenvoudige taal en vergezeld van de in artikel 34 lid 2 voorgeschreven informatie. Betrokken handelaren die als verwerkingsverantwoordelijke optreden, worden parallel geïnformeerd zodat zij hun eigen meldplichten kunnen nakomen.
# Subverwerkers
Voor zover Paybyrd persoonsgegevens verwerkt namens een handelaar (als verwerker in de zin van artikel 28 AVG), kunnen wij zorgvuldig geselecteerde subverwerkers inschakelen voor de levering van de dienst. Een subverwerker is een derde partij die door Paybyrd wordt ingeschakeld en die persoonsgegevens verwerkt op basis van onze gedocumenteerde instructies, onder een schriftelijke overeenkomst met gegevensbeschermingsverplichtingen die ten minste gelijkwaardig zijn aan die welke Paybyrd tegenover de verwerkingsverantwoordelijke heeft aanvaard.
Onze belangrijkste categorieën subverwerkers zijn:
- Microsoft Azure (EU, West Europe — Amsterdam) — productiecloudinfrastructuur, objectopslag, databasehosting en sleutelbeheer via Azure Key Vault.
- Cloudflare (wereldwijd, met EU-dataresidentieconfiguratie) — DDoS-bescherming, webapplicatiefirewall en content delivery network voor onze publieke endpoints.
- Datadog (EU-regio) — observability, metrics, logaggregatie en SIEM-correlatie voor operationele en beveiligingsmonitoring.
- Google Workspace (EU-residentie voor e-mail) — interne samenwerking, e-mail en documentopstelling. In deze omgeving worden geen productie-kaarthoudergegevens verwerkt.
- De Financiële Instellingen genoemd in sectie J.15 van onze Algemene Voorwaarden — vergunninghoudende acquirers, scheme-deelnemers en afwikkelbanken die de betalingsverwerking, acquiring en kaartscheme-afwikkeling op ons netwerk uitvoeren.
Een actuele lijst van subverwerkers is op verzoek beschikbaar via dpo@paybyrd.com. Paybyrd zal handelaren die als verwerkingsverantwoordelijke optreden ten minste 30 dagen voorafgaand in kennis stellen van enige voorgenomen toevoeging of vervanging van een materiële subverwerker. De handelaar heeft het recht om gemotiveerd bezwaar te maken tegen een dergelijke wijziging; indien het bezwaar niet kan worden opgelost, kan de handelaar de betrokken dienst beëindigen in overeenstemming met de Handelaarsovereenkomst.
# Bewaring van uw gegevens
Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld. Indicatieve bewaartermijnen:
- Identiteits- en contactgegevens (handelaren) — 5 jaar na contractbeëindiging of laatste contact, voor contractuitvoering en wettelijke verplichtingen
- Technische en gebruiksgegevens — 3 jaar (prospects); 5 jaar (klanten) na beëindiging
- Identiteits-, contact- en technische gegevens — 5 jaar na beëindiging, voor bedrijfsvoering en -bescherming
- Creditcard- en transactiegegevens — 5 jaar vanaf de transactiedatum of het einde van de zakelijke relatie, voor transactieverwerking en AML/regelgeving
Gesloten accounts behouden gegevens met het oog op wettelijke naleving. Gegevens kunnen zonder nadere kennisgeving worden geanonimiseerd voor statistisch gebruik. Wij verzoeken u uw gegevens actueel te houden.
# Uw rechten
Op grond van de wetgeving inzake gegevensbescherming komen u de volgende rechten toe:
- Inzage — een kopie van de persoonsgegevens die wij over u bewaren
- Rectificatie — correctie van onjuiste of onvolledige gegevens
- Wissing — verzoek om verwijdering indien er geen gerechtvaardigde grondslag voor verwerking meer bestaat
- Bezwaar — tegen verwerking op basis van gerechtvaardigd belang of direct marketing
- Beperking — opschorting van verwerking in afwachting van verificatie van juistheid of grondslag
- Overdraagbaarheid — verkrijgen van uw gegevens in een gestructureerd, machineleesbaar formaat
- Intrekken van toestemming — voor specifieke verwerkingsdoeleinden, op elk moment
- Handmatige beoordeling — bezwaar tegen geautomatiseerde besluitvorming bij transactieverwerking
Wilt u een van deze rechten uitoefenen, neem dan contact op via dpo@paybyrd.com. Het intrekken van toestemming heeft geen invloed op de rechtmatigheid van verwerking vóór de intrekking.
# Wijzigingen van dit privacybeleid
Wij behouden ons het recht voor dit privacybeleid op elk moment bij te werken en zullen, indien wij dat doen, een bijgewerkte versie publiceren. Wijzigingen kunnen worden meegedeeld via publicatie van het herziene beleid op onze website of op andere passende wijze.
Laatst bijgewerkt: