Privacyverklaring

1. Verwerkingsverantwoordelijke

2. Welke gegevens worden verzameld

a) Dashboard (shopbeheerders)

Bij de registratie en het gebruik van het dashboard verwerken wij:

• E-mailadres (voor het inloggen via magic link)
• Naam (optioneel, voor persoonlijke communicatie)
• Shopgegevens (naam, domein)
• Betaalgegevens (worden rechtstreeks door Stripe verwerkt)

b) Widget (eindklanten / consumenten)

Wanneer een consument via de widget een herroeping indient, worden de volgende gegevens verwerkt:

• Naam van de klant (verplicht)
• Contactmiddel – e-mailadres of telefoonnummer (verplicht)
• Bestelreferentie (optioneel)
• Bericht in vrije tekst (optioneel, max. 2.000 tekens)
• IP-adres (gehasht opgeslagen, niet in platte tekst, uitsluitend ter bescherming tegen misbruik)
• User agent van de browser (voor technische debugging)
• Tijdstip van de herroeping

3. Rechtsgrondslag van de verwerking

De verwerking van persoonsgegevens vindt plaats op de volgende rechtsgrondslagen:

• Art. 6, lid 1, onder b) AVG (uitvoering van een overeenkomst): de verwerking van de accountgegevens van shopbeheerders is noodzakelijk voor het leveren van onze SaaS-dienst.
• Art. 6, lid 1, onder f) AVG (gerechtvaardigde belangen): het opslaan van gehashte IP-adressen dient ter bescherming tegen misbruik (rate limiting).
• Art. 6, lid 1, onder c) AVG (wettelijke verplichting): de verwerking van de herroepingsgegevens vindt plaats om te voldoen aan de wettelijke verplichtingen uit § 356a van het Duitse Burgerlijk Wetboek (BGB).

4. Verwerking in opdracht

Bij de verwerking van de herroepingsgegevens van eindklanten treedt WiderrufButton op als verwerker in de zin van art. 28 AVG, in opdracht van de betreffende shopbeheerder (de verwerkingsverantwoordelijke).

Wij bieden alle shopbeheerders een verwerkersovereenkomst (DPA) aan conform art. 28 AVG. Deze is volledig beschikbaar op de betreffende pagina en kan als pdf worden opgeslagen of afgedrukt; bij de registratie geldt deze als gesloten.

Meer informatie vindt u op onze pagina over de verwerkersovereenkomst.

5. Hosting

Onze diensten worden gehost op servers van Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Duitsland.

Alle gegevens worden uitsluitend in Duitse datacenters verwerkt en opgeslagen. Door de hosting vindt geen doorgifte naar derde landen plaats.

Hetzner verwerkt gegevens in onze opdracht. Er is een verwerkersovereenkomst gesloten.

6. Verzending van e-mails

Voor het verzenden van transactionele e-mails (ontvangstbevestigingen, meldingen, magic-link-login) gebruiken wij de SMTP-dienst van IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Duitsland. Er is een verwerkersovereenkomst gesloten; de verwerking vindt plaats in Duitse datacenters.

Er worden alleen de voor de verzending noodzakelijke gegevens (e-mailadres van de ontvanger, onderwerp, inhoud) doorgegeven. Er vindt geen e-mailtracking, geen meting van openingspercentages en geen linktracking plaats. De rechtsgrondslag is art. 6, lid 1, onder b) en c) AVG (uitvoering van een overeenkomst alsook de wettelijke bewijsplicht van de ontvangstbevestiging conform § 356a BGB).

7. Betalingsverwerking

Voor de betalingsverwerking gebruiken wij Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, VS). Stripe is als betaaldienstverlener gecertificeerd volgens PCI DSS.

Betaalgegevens (creditcardnummers, IBAN) worden uitsluitend door Stripe verwerkt en niet op onze servers opgeslagen. Van Stripe ontvangen wij alleen een klantnummer, de betaalstatus en het actuele abonnement.

Stripe verwerkt gegevens ook in de VS. Het privacybeleid van Stripe is van toepassing. Stripe heeft zich aangesloten bij het EU-VS-kader voor gegevensbescherming (EU-U.S. Data Privacy Framework).

8. Cookies

WiderrufButton gebruikt uitsluitend technisch noodzakelijke sessiecookies die vereist zijn voor de authenticatie in het dashboard.

Wij gebruiken geen tracking-cookies, analyse-cookies of marketingcookies.

De WiderrufButton-widget plaatst geen cookies en gebruikt noch localStorage noch sessionStorage. Hij voldoet volledig aan de Duitse wet inzake gegevensbescherming bij telecommunicatie en telemedia (TTDSG).

Er worden geen tracking-cookies en geen Amerikaanse analysediensten zoals Google Analytics of Facebook Pixel gebruikt.

Indien geactiveerd, gebruiken wij uitsluitend de privacyvriendelijke, cookieloze analysetool Plausible Analytics (Plausible Insights OÜ, Estland, EU; hosting in de EU). Plausible registreert alleen geaggregeerde, anonieme bereikstatistieken (paginaweergaven, verwijzende bronnen) zonder cookies, zonder localStorage en zonder persoonlijke tracking van individuele bezoekers. De rechtsgrondslag is art. 6, lid 1, onder f) AVG (gerechtvaardigd belang bij een gegevensbesparende bereikmeting).

9. Meting van advertentieprestaties (Google Click ID)

Als u onze website via een Google-advertentie bezoekt, bevat de adresbalk doorgaans de parameter gclid (Google Click ID). Wij lezen deze waarde uit de URL en slaan deze uitsluitend lokaal in uw browser op (in de first-party localStorage). Hiervoor wordt geen cookie geplaatst.

De tijdelijk opgeslagen waarde dient uitsluitend om bij een latere registratie het advertentiesucces te meten (offline conversiemeting). Daarbij worden alleen de Google Click ID en het tijdstip van de conversie verwerkt; er worden geen verdere persoonsgegevens voor dit doel verzameld of doorgegeven.

Er worden geen sitedoorbrekende tracking-cookies geplaatst. De rechtsgrondslag is art. 6, lid 1, onder f) AVG (gerechtvaardigd belang bij het meten van de doeltreffendheid van onze advertenties).

10. Bewaartermijn

• Accountgegevens (shopbeheerders): bewaard zolang de contractuele relatie bestaat (rechtsgrondslag art. 6, lid 1, onder b) AVG). Na beëindiging of opzegging van het account worden de gegevens binnen 30 dagen verwijderd, voor zover er geen wettelijke bewaarplicht aan in de weg staat.
• Herroepingsgegevens (eindklanten): bewaard conform de wettelijke verplichtingen (rechtsgrondslag art. 6, lid 1, onder c) AVG), in de regel gedurende 6 jaar conform § 257 van het Duitse Wetboek van Koophandel (HGB), als manipulatiebestendige ontvangstbevestiging.
• IP-hashes (gepseudonimiseerd): ter voorkoming van misbruik op grond van art. 6, lid 1, onder f) AVG; automatische verwijdering na 90 dagen.

11. SSL-versleuteling

Deze website maakt om veiligheidsredenen gebruik van SSL- of TLS-versleuteling. U herkent een versleutelde verbinding doordat de adresbalk van de browser verandert van „http://” in „https://” en aan het slotsymbool in uw browserbalk. Alle gegevens die u aan ons doorgeeft, kunnen niet door derden worden meegelezen.

12. Uw rechten als betrokkene

U heeft tegenover ons de volgende rechten met betrekking tot uw persoonsgegevens:

• Recht op inzage (art. 15 AVG) – u kunt inzage verlangen in de over u opgeslagen gegevens.
• Recht op rectificatie (art. 16 AVG) – u kunt de rectificatie van onjuiste gegevens verlangen.
• Recht op gegevenswissing (art. 17 AVG) – u kunt de wissing van uw gegevens verlangen, voor zover er geen wettelijke bewaarplichten aan in de weg staan.
• Recht op beperking (art. 18 AVG) – u kunt de beperking van de verwerking verlangen.
• Recht op overdraagbaarheid van gegevens (art. 20 AVG) – u kunt verlangen dat uw gegevens in een machineleesbaar formaat worden verstrekt.
• Recht van bezwaar (art. 21 AVG) – u kunt bezwaar maken tegen de verwerking van uw gegevens.

Om uw rechten uit te oefenen, kunt u contact met ons opnemen via: info@ateliernodus.com

13. Recht om een klacht in te dienen bij een toezichthoudende autoriteit

Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft u het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat van uw gewone verblijfplaats, uw werkplek of de plaats van de vermeende inbreuk, indien u van mening bent dat de verwerking van de op u betrekking hebbende persoonsgegevens in strijd is met de AVG.