Privacyverklaring
Versie 1.0, van kracht sinds 3 juni 2026
1. Wie zijn wij (verwerkingsverantwoordelijke)
Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens door Synctomate BV, handelend onder de naam Synctomate, met maatschappelijke zetel te Meerdorp 24/5, 2321 Hoogstraten, ingeschreven in de Kruispuntbank van Ondernemingen onder nummer 1037.909.007, BTW BE 1037.909.007 (hierna: “Synctomate”, “wij” of “ons”). Voor algemene vragen kunt u ons bereiken via lucian@synctomate.be; voor privacygerelateerde verzoeken via lucian@synctomate.be.
Synctomate treedt op in twee hoedanigheden, afhankelijk van de categorie persoonsgegevens:
- Verwerkingsverantwoordelijke voor de account- en gebruikersgegevens die nodig zijn voor het aanbieden en beheren van de Synctomate-dienst zelf (zie sectie 2).
- Verwerker voor de persoonsgegevens die aanwezig zijn in het Teamleader Focus-account van de klant en die wij namens de klant verwerken in het kader van de dienstverlening (signaaldetectie, scoring, geautomatiseerde acties). Op die verwerkingen is onze verwerkersovereenkomst van toepassing; de klant blijft in die hoedanigheid de verwerkingsverantwoordelijke.
Deze privacyverklaring behandelt uitsluitend de verwerkingen waarvoor Synctomate verwerkingsverantwoordelijke is.
2. Welke persoonsgegevens verwerken wij
In het kader van uw gebruik van de Synctomate-dienst verwerken wij de volgende categorieën persoonsgegevens waarvoor wij verwerkingsverantwoordelijke zijn:
- Accountgegevens: e-mailadres en indien opgegeven naam of weergavenaam, gekoppeld aan uw Synctomate-account.
- Organisatiegegevens: naam van uw organisatie/workspace en de instellingen die u of uw beheerder configureert (pakketinstellingen, drempelwaarden, automatiseringsregels).
- OAuth-tokens: toegangs- en vernieuwingstokens voor de koppelingen met Teamleader Focus en, indien u die koppeling activeert, Gmail of Outlook. Deze tokens worden server-side opgeslagen en nooit aan de browser blootgesteld.
- Login- en sessiegegevens: tijdstip van aanmelding, sessie-identificatoren, IP-adres en user-agent-informatie die door de authenticatielaag worden vastgelegd.
- Gebruiksgegevens: acties die u uitvoert in het dashboard (handmatig goedkeuren of afwijzen van signalen, instellingswijzigingen) voor zover nodig voor de werking en beveiliging van de dienst.
De persoonsgegevens in uw Teamleader Focus-account (contacten, leads, medewerkers, deals, tickets, projecten, facturen) worden door Synctomate verwerkt namens u als verwerkingsverantwoordelijke en vallen onder de verwerkersovereenkomst. Wij verwerken uitsluitend open, actieve CRM-items en slaan geen volledige contactenlijsten of historische archieven op in onze eigen database.
3. Doeleinden en rechtsgronden
Wij verwerken uw persoonsgegevens voor de volgende doeleinden en op de volgende rechtsgronden uit art. 6(1) van de Algemene Verordening Gegevensbescherming (AVG / GDPR):
| Doel | Rechtsgrond |
|---|---|
| Aanmaken en beheren van uw account; verlenen van toegang tot de dienst; authenticatie en sessiebeheer | Art. 6(1)(b) AVG: uitvoering van de overeenkomst met de klant |
| Koppelen van uw Teamleader Focus-account (en optioneel Gmail/Outlook) via OAuth; ophalen en verwerken van CRM-data ten behoeve van signaaldetectie en automatisering | Art. 6(1)(b) AVG: uitvoering van de overeenkomst |
| Verzenden van dagelijkse of wekelijkse digest-e-mails en systeemmeldingen over de werking van uw account | Art. 6(1)(b) AVG: uitvoering van de overeenkomst (essentieel onderdeel van de dienst) |
| Beveiliging van de dienst, fraudepreventie, detectie van misbruik en technische probleemoplossing | Art. 6(1)(f) AVG: gerechtvaardigd belang (bescherming van de dienst en de gebruikers; het belang weegt op tegen de privacyinbreuk gezien de minimale omvang van de vastgelegde gegevens) |
| Verbetering van de dienst op basis van geanonimiseerde of geaggregeerde gebruiksstatistieken | Art. 6(1)(f) AVG: gerechtvaardigd belang (productontwikkeling; enkel geaggregeerde/geanonimiseerde gegevens worden hiervoor gebruikt) |
| Opstellen en bewaren van facturen en boekhoudkundige documenten | Art. 6(1)(c) AVG: wettelijke verplichting (Belgisch boekhoudrecht; bewaartermijn 7 jaar) |
| Bijhouden van audit-logs voor de Autopilot-module (beslissingsspoor per actie) | Art. 6(1)(f) AVG: gerechtvaardigd belang (verantwoording, geschillenbeslechting en kwaliteitsbewaking) |
4. Geautomatiseerde verwerking (Autopilot)
Synctomate biedt een optionele Autopilot-module aan die, binnen door de operator (Synctomate) en de klant ingestelde grenzen, signalen niet alleen detecteert maar ook autonoom of ter goedkeuring kan afhandelen in het Teamleader-account van de klant (taken aanmaken, toewijzen of afronden; tickets bijwerken).
De Autopilot werkt volledig deterministisch (Spoor A) en kent de volgende waarborgen:
- Autonomieniveaus per signaaltype: de operator stelt per signaaltype het autonomieniveau in (off, suggest, approve of auto). De klant heeft zicht op deze instellingen; afwezigheid van een instelling resulteert in suggest (geen automatische actie).
- Reversibiliteitsgating: enkel “zachte” en omkeerbare acties worden volledig autonoom uitgevoerd. Semi-onomkeerbare acties (zoals het afronden van een taak) worden altijd ter goedkeuring aangeboden aan de klant, ongeacht het ingestelde autonomieniveau.
- Goedkeuringsinbox en verloop: acties die ter goedkeuring worden voorgelegd, verschijnen in het Autopilot-dashboard. Onbeantwoorde goedkeuringsverzoeken vervallen na een configureerbare termijn en worden dan niet alsnog uitgevoerd.
- Caps en anomaliedetectie: per synchronisatieronde geldt een maximumaantal automatische acties. Wordt dit overschreden, dan worden de resterende acties ter goedkeuring aangeboden in plaats van automatisch uitgevoerd.
- Kill-switch: de operator beschikt over een globale noodstop (
AUTOPILOT_KILL_SWITCH) die alle autonome acties voor alle klanten onmiddellijk stillegt. - Beslissingsspoor: elke Autopilot-actie wordt gelogd met trigger, redenering, reversibiliteitsstatus en eventuele vorige waarde, zodat de actie achteraf te reconstrueren en te verantwoorden is.
De Autopilot-module neemt geen geautomatiseerde beslissingen in de zin van art. 22 AVG met rechtsgevolgen of anderszins aanzienlijke gevolgen voor een natuurlijk persoon. De module handelt uitsluitend in het Teamleader-account van de klant (een zakelijke entiteit) op instructie van de klant en beperkt zich tot operationele CRM-acties (taken, tickets, projecten) die door de klant op elk moment kunnen worden teruggedraaid of gewijzigd. Natuurlijke personen die betrokkene zijn in de zin van de AVG (bv. contacten of leads in het CRM) ondergaan geen rechtsgevolgen uitsluitend op basis van geautomatiseerde verwerking door Synctomate.
5. Ontvangers en sub-verwerkers
Synctomate deelt persoonsgegevens uitsluitend met de onderstaande categorieën ontvangers, die optreden als sub-verwerker op grond van een schriftelijke verwerkersovereenkomst of gelijkwaardige contractuele waarborgen. Wij verkopen uw gegevens niet aan derden en delen ze niet voor commerciële doeleinden met partijen buiten de onderstaande lijst.
| Naam | Rol | Gegevenscategorieën | Locatie | Doorgiftemechanisme |
|---|---|---|---|---|
| Supabase (database & authenticatie) | Opslag van account- en analysegegevens, gebruikersauthenticatie | Account-e-mail, organisatiegegevens, signalen/scores/logs, OAuth-tokens | EU, AWS eu-central-1 (Frankfurt, Duitsland) | EU-residentie; AWS verwerkersovereenkomst + EU SCC's; Supabase DPA |
| Vercel (hosting & uitvoering) | Hosting van de webapp, API-routes en cron-jobs | Alle applicatiegegevens tijdens verwerking (in transit/compute) | VS (onderneming) / EU-regio's mogelijk | EU-US Data Privacy Framework + EU SCC's; Vercel DPA |
| Resend (e-mailverzending) | Versturen van transactionele e-mails (digest, flow-mails) | Ontvanger-e-mailadres, naam, inhoud van de e-mail | VS | EU-US Data Privacy Framework + EU SCC's (Module 2); Resend DPA |
| Google (OAuth-aanmelding) | Optionele aanmelding via Google-account | E-mailadres, Google-gebruikers-ID | VS | EU-US Data Privacy Framework + EU SCC's |
| Mollie (betalingsverwerking) | Verwerking van abonnementsbetalingen en facturatie | Naam, e-mailadres, facturatiegegevens, betaalreferentie (Mollie customer-ID) | EU (Nederland) | Geen externe doorgifte buiten de EER; Mollie DPA |
| Teamleader Focus (bron-CRM) | Het CRM van de klant waarmee de klant ons via OAuth verbindt (bronsysteem) | Open CRM-items: deals, taken, tickets, projecten, facturen, contacten/bedrijven | EU (België) | Geen externe transfer (eigen systeem van de klant, stroomopwaarts) |
Naast bovenstaande sub-verwerkers kunnen persoonsgegevens worden doorgegeven aan overheidsinstanties of rechtshandhavingsautoriteiten indien wij daartoe wettelijk verplicht zijn.
6. Internationale doorgiften
Synctomate streeft ernaar persoonsgegevens zoveel mogelijk binnen de Europese Economische Ruimte (EER) te verwerken. Concreet geldt het volgende:
- Supabase (database en authenticatie) verwerkt gegevens uitsluitend in de EU op AWS eu-central-1 (Frankfurt, Duitsland). Er vindt geen doorgifte buiten de EER plaats.
- Vercel (hosting en uitvoering) is een Amerikaanse onderneming. De doorgifte is gedekt door het EU-US Data Privacy Framework (adequaatheidsbesluit van de Europese Commissie van 10 juli 2023) en aanvullend door EU Standaard Contractbepalingen (SCC’s). Vercel biedt de mogelijkheid om edge-functies in EU-regio’s te draaien; wij maken hiervan gebruik voor zover beschikbaar.
- Resend (e-mailverzending) is gevestigd in de VS. De doorgifte is gedekt door het EU-US Data Privacy Framework + EU SCC’s (Module 2: verwerkingsverantwoordelijke naar verwerker).
- Google (optionele OAuth-aanmelding) is gevestigd in de VS. De doorgifte is gedekt door het EU-US Data Privacy Framework + EU SCC’s.
U kunt een kopie van de relevante SCC’s opvragen via lucian@synctomate.be.
De Standaardcontractbepalingen (SCC’s) blijven gelden als zelfstandige grondslag voor doorgifte, ook indien een adequaatheidsbesluit (zoals het EU-VS Data Privacy Framework) zou worden geschorst of nietig verklaard.
7. Bewaartermijnen
Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld, rekening houdend met wettelijke bewaarverplichtingen. Onderstaande tabel geeft een overzicht van de bewaartermijnen per gegevenscategorie. Na het verstrijken van de termijn worden gegevens automatisch verwijderd via een dagelijkse retentie-cron-job.
| Gegevenscategorie | Bewaartermijn | Rechtsgrond |
|---|---|---|
| Opgeloste/afgewezen signalen | 12 maanden na oplossing/afwijzing | Opslagbeperking (art. 5(1)(e) AVG) |
| Dagelijkse scores | 24 maanden | Opslagbeperking |
| Actie-logboeken (audit) | 24 maanden | Gerechtvaardigd belang (audit/verantwoording) |
| Sync-runs (debug/stats) | 3 maanden | Gerechtvaardigd belang (werking dienst) |
| Verstuurde digests | 12 maanden | Opslagbeperking |
| Lead-intake gebeurtenissen | 12 maanden | Opslagbeperking |
| Flow-uitvoeringen | 12 maanden | Opslagbeperking |
| Facturatie-/boekhoudgegevens | 7 jaar (wettelijke boekhoudplicht) | Wettelijke verplichting (art. 6(1)(c) AVG, Belgisch boekhoudrecht) |
Accountgegevens worden bewaard zolang uw account actief is. Na opzegging of verwijdering van uw account worden accountgegevens binnen 30 dagen gewist, tenzij een wettelijke bewaarplicht van toepassing is (bv. boekhoudkundige documenten).
8. Uw rechten
Als betrokkene beschikt u, voor zover het verwerkingen betreft waarvoor Synctomate verwerkingsverantwoordelijke is, over de volgende rechten op grond van de AVG:
- Recht op inzage (art. 15 AVG): u kunt opvragen welke persoonsgegevens wij over u verwerken.
- Recht op rectificatie (art. 16 AVG): u kunt onjuiste of onvolledige gegevens laten corrigeren.
- Recht op wissing (art. 17 AVG): u kunt verzoeken uw persoonsgegevens te laten verwijderen, tenzij wij een wettelijke grond hebben om ze te bewaren.
- Recht op beperking van de verwerking (art. 18 AVG): u kunt in bepaalde gevallen verzoeken de verwerking van uw gegevens tijdelijk te beperken.
- Recht van bezwaar (art. 21 AVG): u kunt bezwaar maken tegen verwerkingen die zijn gebaseerd op ons gerechtvaardigd belang. Wij staken die verwerking tenzij wij dwingende gerechtvaardigde gronden aanvoeren.
- Recht op gegevensoverdraagbaarheid (art. 20 AVG): u kunt een kopie van uw persoonsgegevens in een machineleesbaar formaat opvragen, voor zover de verwerking is gebaseerd op uw toestemming of een overeenkomst en geautomatiseerd plaatsvindt.
Om een van deze rechten uit te oefenen, stuurt u een e-mail naar lucian@synctomate.be. Wij bevestigen de ontvangst en reageren binnen één maand op uw verzoek. In complexe gevallen of bij een groot aantal verzoeken kunnen wij deze termijn met maximaal twee maanden verlengen, waarbij wij u hiervan tijdig op de hoogte stellen.
Gegevens in uw Teamleader-account: voor persoonsgegevens die aanwezig zijn in uw Teamleader Focus-account (contacten, leads, enz.) en die wij namens u als verwerker verwerken, dient u uw verzoek te richten tot uzelf als verwerkings verantwoordelijke. Synctomate biedt via het dashboard en de API technische hulpmiddelen aan (export en wisfunctionaliteit) om u bij te staan bij het naleven van inzage- en wisverzoeken van uw eigen betrokkenen.
9. Klachtrecht bij de toezichthoudende autoriteit
Indien u van mening bent dat de verwerking van uw persoonsgegevens door Synctomate in strijd is met de AVG, heeft u het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit. In België is dat:
- Naam: Gegevensbeschermingsautoriteit (GBA) / Autorité de protection des données (APD)
- Adres: Drukpersstraat 35, 1000 Brussel
- Telefoon: +32 (0)2 274 48 00
- E-mail: contact@apd-gba.be
- Website: https://www.gegevensbeschermingsautoriteit.be
Wij verzoeken u echter eerst contact met ons op te nemen via lucian@synctomate.be zodat wij uw bezorgdheid zo snel mogelijk kunnen verhelpen.
10. Beveiliging
Synctomate neemt passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen ongeoorloofde toegang, verlies, vernietiging of openbaarmaking. Deze maatregelen omvatten onder meer:
- Encryptie in transit: alle communicatie tussen uw browser, onze servers en externe dienstverleners verloopt via TLS/HTTPS.
- Encryptie at rest: gegevens in de Supabase-database worden versleuteld opgeslagen op AWS-infrastructuur in Frankfurt.
- Tenant-isolatie via Row-Level Security (RLS): elke klant heeft toegang uitsluitend tot de gegevens van zijn eigen organisatie; databasebeleid dwingt dit af op rijniveau.
- Server-side tokenopslag: OAuth-tokens (Teamleader, Gmail, Outlook) worden uitsluitend server-side bewaard en zijn nooit zichtbaar in de browser of in client-side code.
- Toegangscontrole: interne toegang tot productiegegevens is beperkt tot gemachtigde medewerkers van Synctomate op basis van het “need-to-know”-beginsel.
- Logging en monitoring: sync-runs, acties en authenticatie-events worden gelogd zodat onregelmatigheden tijdig kunnen worden gedetecteerd.
Ondanks deze maatregelen kan geen enkele technische beveiliging absolute garanties bieden. Bij een datalek dat waarschijnlijk een hoog risico inhoudt voor uw rechten en vrijheden, stellen wij u hiervan zo snel mogelijk op de hoogte overeenkomstig art. 34 AVG.
11. Wijzigingen aan deze privacyverklaring
Synctomate kan deze privacyverklaring van tijd tot tijd aanpassen om te voldoen aan gewijzigde wetgeving, nieuwe verwerkingen of functionele uitbreidingen van de dienst. De versie en ingangsdatum zijn vermeld bovenaan deze pagina. Bij wezenlijke wijzigingen stellen wij u hiervan op de hoogte via e-mail of een melding in het dashboard. De meest recente versie van deze privacyverklaring is steeds beschikbaar via https://synctomate.be/legal/privacy. Wij raden u aan deze verklaring periodiek te raadplegen.