Privacyverklaring Konform

Versie: 1.0 (concept, vóór juristcheck)
Datum laatste wijziging: 3 juni 2026
Verwerkingsverantwoordelijke: Roal Holding B.V., Herenweg 44, 2101 ML Heemstede, Nederland — KvK 34229487 — btw NL815036991B01
Contact privacy: info@roal.nl

Roal Holding B.V. ("Roal") is verwerkingsverantwoordelijke voor de persoonsgegevens die via de online dienst Konform (konform.roal.nl) worden verwerkt. Roal hecht groot belang aan zorgvuldige omgang met persoonsgegevens en houdt zich aan de Algemene Verordening Gegevensbescherming (AVG / Verordening (EU) 2016/679).

1. Welke gegevens verwerken wij — en welke nadrukkelijk niet

1.1 Persoonsgegevens die wij wél verwerken

Bij aanschaf van een betaald abonnement (eenmalig, 1 jaar of 2 jaar) verwerken wij:

E-mailadres
Bedrijfsnaam en KVK-nummer (vereist, want Konform is een B2B-product)
Betaalgegevens via Mollie (Mollie verwerkt de betaling; Roal ziet alleen het transactie-ID en de status)
Gekozen abonnementstier en startdatum
Welke versie van de regelset u voor het laatst hebt opgehaald

Bij contact met onze klantenservice via e-mail: het e-mailadres en de inhoud van uw bericht.

1.2 Compliance-gegevens die wij NOOIT verwerken

Konform is ontworpen als zogenaamde zero-knowledge tool. De gegevens die u in de wizard invult — uw bedrijfsbeschrijving, de AI-toepassingen die u hebt, uw antwoorden op de vragen, de uitkomst van de classificatie en het rapport — verlaten uw browser niet. Roal heeft hier geen toegang toe, ziet er niets van en kan er niets mee. Deze gegevens worden uitsluitend opgeslagen in localStorage op uw eigen apparaat, en u downloadt het rapport zelf als ZIP-bestand naar uw eigen schijf.

2. Waarvoor en op welke grondslag

Doel	Grondslag (AVG)	Bewaartermijn
Uitvoeren van uw abonnement	Artikel 6 lid 1 sub b (uitvoering overeenkomst)	Looptijd abonnement + 7 jaar (fiscale bewaarplicht art. 52 AWR)
Versturen van wettelijk verplichte communicatie (facturen, wijzigingen)	Artikel 6 lid 1 sub b	Idem
Beheer van het abonneeregister	Artikel 6 lid 1 sub b	Idem
Naleving wettelijke verplichtingen (boekhouding, btw)	Artikel 6 lid 1 sub c	7 jaar
Beantwoorden van klantvragen	Artikel 6 lid 1 sub f (gerechtvaardigd belang)	2 jaar na laatste contact
Beveiliging en fraudepreventie (audit logs)	Artikel 6 lid 1 sub f	5 jaar

Wij gebruiken uw gegevens niet voor profilering, geautomatiseerde besluitvorming, direct marketing of analytics. Er staan geen tracking-cookies op konform.roal.nl. Zie ook ons cookiebeleid.

3. Met wie delen wij gegevens

Wij delen uw gegevens uitsluitend met partijen die voor ons als verwerker optreden, op basis van een verwerkersovereenkomst (AVG art. 28):

Supabase Inc. (database en authenticatie) — opslag in EU-West-3 (Parijs/Frankrijk). DPA via supabase.com/legal/dpa.
Mollie B.V. (betalingsverwerking) — Amsterdam. Mollie's privacy- en verwerkersbeleid via mollie.com/nl/privacy.
Vercel Inc. (hosting van de webapplicatie). DPA via vercel.com/legal/dpa.

Wij delen géén gegevens met andere partijen, tenzij wettelijk verplicht (bijv. op vordering van een opsporingsdienst).

3.1 CLOUD Act-positie

Hoewel Supabase en Vercel een EU-vestiging gebruiken voor data-opslag, vallen beide bedrijven onder de Amerikaanse jurisdictie van hun moederondernemingen. Onder de US CLOUD Act kunnen Amerikaanse autoriteiten in theorie verzoeken tot data-overdracht doen die ook EU-gehoste data raken. Wij hebben hiervoor de volgende waarborgen:

Datatransfers naar de VS lopen onder het EU-US Data Privacy Framework (adequaatheidsbesluit juli 2023). De geldigheid hiervan is op 3 september 2025 bevestigd door het Gerecht van de EU in de zaak Latombe (T-553/23). Tegen deze uitspraak staat hoger beroep open bij het Hof van Justitie; hangende een eventueel beroep blijft het adequaatheidsbesluit van kracht.
Aanvullende contractuele waarborgen via SCC's in onze verwerkersovereenkomsten.
Minimalisatie: wij slaan geen compliance-gegevens van klanten op, alleen abonnee-administratie.

4. Uw rechten

U heeft de volgende rechten onder de AVG:

Inzage (art. 15) — opvragen welke gegevens wij van u verwerken
Rectificatie (art. 16) — onjuiste gegevens laten corrigeren
Wissing (art. 17) — uw gegevens laten verwijderen (mits geen wettelijke bewaarplicht geldt)
Beperking (art. 18) — verwerking laten beperken
Bezwaar (art. 21) — bezwaar maken tegen verwerking op grond van gerechtvaardigd belang
Overdraagbaarheid (art. 20) — uw gegevens in een machineleesbaar formaat ontvangen

Stuur uw verzoek naar info@roal.nl met als onderwerp "AVG-verzoek". Wij reageren binnen vier weken (AVG art. 12 lid 3).

4.1 Klacht indienen

Bent u niet tevreden over hoe wij uw gegevens behandelen, dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). Wij stellen het op prijs als u eerst contact met ons opneemt, zodat wij het probleem direct kunnen oplossen.

5. Beveiliging

Wij nemen passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens:

TLS/HTTPS voor alle verkeer
Authenticatie van admins via Supabase Auth met sterke wachtwoordeisen en (verplicht) MFA
Row Level Security op alle Supabase-tabellen
Append-only audit log: elke wijziging wordt automatisch gelogd en kan niet worden gewist
Periodieke security reviews
Datalekken worden binnen 72 uur gemeld aan de AP conform art. 33 AVG, en aan betrokkenen indien hoog risico (art. 34)

6. Datalekprocedure

Bij vermoeden van een datalek volgt Roal de interne datalekprocedure (zie apart document). Hoofdlijnen:

Detectie en melding via roger@roal.nl
Beoordeling binnen 12 uur
Bij meldingsplicht: melding aan de AP binnen 72 uur via meldloket.autoriteitpersoonsgegevens.nl
Bij hoog risico: melding aan betrokkenen zonder onnodige vertraging
Documentatie van het incident en de getroffen maatregelen

7. Wijzigingen

Wij kunnen deze verklaring wijzigen. De actuele versie staat altijd op konform.roal.nl/privacy. Materiële wijzigingen worden vooraf aangekondigd via e-mail aan abonnees.

8. Contact

Roal Holding B.V.
Herenweg 44
2101 ML Heemstede, Nederland
KvK: 34229487
Btw: NL815036991B01
Telefoon: +31 6 34 60 27 11
E-mail: info@roal.nl
Web: https://www.roal.nl

Functionaris voor Gegevensbescherming (FG): niet aangewezen — Roal valt niet onder de aanwijzingsplicht van AVG art. 37 (geen kerntaak grootschalige verwerking). Voor privacy-gerelateerde verzoeken: info@roal.nl, onderwerp "AVG-verzoek".

Concept v1.0 — vóór review door AVG-specialist. Definitieve versie vóór publicatie op konform.roal.nl/privacy.