Privacyverklaring

1. Wie we zijn

Deze privacyverklaring geldt voor de website www.proveron.be en de bijhorende online formulieren en tools. Proveron is een merk dat audit‑ready trajecten en Continuous Compliance Management (CCM) levert voor HSEQ‑normen zoals VCA en ISO.

Verwerkingsverantwoordelijke (AVG/GDPR):

Wij zijn niet verplicht om een Data Protection Officer (DPO) aan te stellen. Voor alle vragen over deze privacyverklaring of over de verwerking van persoonsgegevens kan u ons bereiken via bovenstaand e‑mailadres.

Proveron maakt industriële bedrijven audit‑ready met geproductiseerde certificeringstrajecten: van nulmeting tot certificaat, en daarna surveillance en continuous compliance, ondersteund door een klantportaal met status, acties, deadlines en auditkalender.

In het kort

• Wij verwerken persoonsgegevens om vragen te beantwoorden, Quick Scans en trajecten voor te bereiden, onze diensten te leveren, onze administratie te voeren en – enkel na toestemming of binnen redelijke B2B‑verwachtingen – relevante communicatie te sturen.
• Wij gebruiken AI uitsluitend als ondersteunend hulpmiddel (analyse, samenvatting, documentcreatie, gap‑detectie) en laten output altijd door een medewerker valideren vóór gebruik.
• Waar mogelijk kiezen wij voor verwerking binnen de EU/EER. Als gegevens buiten de EER worden verwerkt, gebruiken wij Standard Contractual Clauses (SCC's), voeren wij een transfer impact assessment uit en nemen wij bijkomende technische en organisatorische maatregelen.
• Wij hanteren bewaartermijnen als operationele maxima en verwijderen of anonimiseren gegevens wanneer de termijn is verstreken, tenzij een wettelijke verplichting, bewijsnood of een geschil een langere bewaring vereist.
• U kan uw AVG‑rechten uitoefenen via het hierboven vermelde e‑mailadres en u kan zich steeds verzetten tegen verwerkingen op basis van gerechtvaardigd belang.

2. Onze rol: verwerkingsverantwoordelijke en verwerker

Afhankelijk van de context treden wij op als verwerkingsverantwoordelijke of als verwerker.

2.1 Wanneer wij verwerkingsverantwoordelijke zijn

Wij zijn verwerkingsverantwoordelijke voor persoonsgegevens die wij verwerken voor onze eigen bedrijfsvoering en marketing, waaronder:

• gebruik van de website, formulieren, Quick Scan en digitale intake;
• opvolging van vragen, demo‑aanvragen en offerteaanvragen;
• CRM‑beheer, administratie en facturatie;
• marketing en relatiebeheer (binnen de grenzen van toestemming of gerechtvaardigd belang);
• beveiliging, logging en interne kwaliteitscontrole.

2.2 Wanneer wij verwerker zijn

Wanneer wij persoonsgegevens verwerken in het kader van klantprojecten of dienstverlening (zoals CCM‑trajecten, audit‑ready trajecten, evidence‑architectuur, CCM‑checks en audit‑snapshots), treden wij doorgaans op als verwerker en verwerken wij gegevens uitsluitend volgens de schriftelijke instructies van de klant (verwerkingsverantwoordelijke).

Als verwerker verwerken wij in generieke termen:

• projectcontacten en verantwoordelijken (owners);
• projectdocumenten en evidence (bewijsstukken) gekoppeld aan normvragen;
• andere noodzakelijke persoonsgegevens die de klant aanlevert om het traject uit te voeren (bijv. namen, functies, opleidings‑ en keuringsgegevens).

Wij leggen per project vast welke categorieën gegevens, doeleinden, subverwerkers, locaties en bewaartermijnen gelden, meestal via de projectovereenkomst en een verwerkersovereenkomst (Data Processing Agreement).

2.3 Gezamenlijke verwerkingsverantwoordelijkheid

In sommige gevallen bepalen wij samen met een partner de doeleinden en middelen van de verwerking, bijvoorbeeld bij gezamenlijke events, co‑marketingcampagnes of gedeelde digitale tools. In dat geval treden wij op als gezamenlijke verwerkingsverantwoordelijken en wordt een gezamenlijke regeling (art. 26 AVG) afgesproken. De essentie daarvan wordt per project gecommuniceerd via de relevante event‑ of campagnepagina en/of in het inschrijfformulier.

3. Welke persoonsgegevens wij verwerken

Wij verwerken uitsluitend persoonsgegevens die noodzakelijk zijn voor onze dienstverlening en werking.

3.1 Identificatie‑ en contactgegevens

• naam en voornaam;
• bedrijfsnaam en functie;
• e‑mailadres;
• telefoonnummer;
• adresgegevens (indien nodig voor facturatie of contractuele documenten).

3.2 Gegevens die u ons bezorgt

• inhoud van uw vraag, Quick Scan‑input of aanvraag;
• informatie over uw organisatie, systemen, normkaders en context voor zover u die deelt;
• documenten of bestanden die u uploadt (bijv. bestaande procedures, registraties, certificaten), voor zover noodzakelijk en toegestaan;
• inhoud van correspondentie via e‑mail of andere communicatiekanalen.

3.3 Technische gegevens (cookies en analytics)

• IP‑adres;
• browser‑ en toesteltype;
• bezochte pagina's en interacties op de website;
• cookie‑ID's en andere trackingdata, voor zover u hiervoor toestemming geeft via onze cookiebanner.

Details per cookie en aanbieder vindt u in ons afzonderlijk Cookiebeleid, dat integraal deel uitmaakt van deze verklaring.

3.4 Gegevens verwerkt via AI‑systemen (AI‑transparantie)

Wanneer wij AI‑systemen inzetten (zoals enterprise‑omgevingen van OpenAI of Azure OpenAI of automatisatieplatformen), verwerken wij uitsluitend:

• bedrijfsinformatie;
• niet‑gevoelige persoonsgegevens die noodzakelijk zijn voor de opdracht;
• geanonimiseerde of gepseudonimiseerde scan‑ en projectgegevens, waar mogelijk.

Wij verwerken geen bijzondere categorieën persoonsgegevens (zoals gezondheidsgegevens, religie, politieke voorkeur of biometrische gegevens) via AI‑tools, tenzij dit vooraf schriftelijk met de klant werd overeengekomen en passende waarborgen gelden. AI‑output wordt altijd door een medewerker gevalideerd vóór gebruik en wordt nooit autonoom gebruikt voor bindende beslissingen.

4. Doeleinden en rechtsgronden

Wij verwerken persoonsgegevens voor de volgende doeleinden, telkens op basis van een duidelijke rechtsgrond. Waar wij ons beroepen op gerechtvaardigd belang, voeren wij een belangenafweging (Legitimate Interest Assessment – LIA) uit.

4.1 Contact en opvolging van aanvragen

4.2 Quick Scan, intake en oriëntatie

4.3 CRM‑prospectbeheer en B2B‑relatiebeheer

4.4 Uitvoering van diensten en projectwerking

4.5 Facturatie en boekhouding

4.6 Marketingcommunicatie en nieuwsbrieven

4.7 Website‑analyse en optimalisatie

4.8 Beveiliging, logging en incidentbeheer

4.9 AI‑ondersteunde analyse en documentcreatie (projectmatig)

4.10 Interne kwaliteitsverbetering

5. Bewaartermijnen en opschoning

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze werden verzameld, tenzij een wettelijke verplichting, bewijsnood, lopend geschil of verjaring een langere bewaring vereist.

Binnen onze interne data‑retentiepolicy beoordelen wij gegevens periodiek (minstens jaarlijks) en verwijderen of anonimiseren wij gegevens als de bewaartermijn is verstreken en geen uitzondering geldt. Waar mogelijk configureren wij bewaartermijnen in systemen zodat automatische opschoning plaatsvindt.

Indicatieve termijnen:

6. Met wie wij gegevens delen

Wij verkopen uw persoonsgegevens niet aan derden en delen ze niet met derden voor hun eigen marketingdoeleinden. Wij delen gegevens uitsluitend wanneer dat nodig is voor onze dienstverlening, voor wettelijke verplichtingen of met uw toestemming.

6.1 Verwerkers en subverwerkers

Wij werken samen met verwerkers voor operationele en technische ondersteuning, onder meer voor:

• CRM, formulieren, administratie en analytics (bijv. Zoho One);
• cloud‑ en hostingproviders;
• automatisatie‑ en integratieplatformen;
• AI‑platformen zoals OpenAI Business/Enterprise of Azure OpenAI, geconfigureerd zonder modeltraining op klantdata;
• freelancers of partners die meewerken aan opdrachten, onder contractuele vertrouwelijkheid en beveiligingsvereisten.

Met al deze partijen sluiten wij verwerkersovereenkomsten waarin beveiligingsmaatregelen, vertrouwelijkheid en verwerkingsinstructies zijn vastgelegd. Een actuele lijst van (sub)verwerkers is op verzoek beschikbaar via ons privacy‑contactadres.

6.2 Wettelijke instanties

Gegevens kunnen worden gedeeld met overheidsinstanties of toezichthouders wanneer wij daartoe wettelijk verplicht zijn of wanneer een geldig en bindend verzoek wordt ontvangen.

7. Internationale doorgiften (buiten de EER)

Sommige van onze dienstverleners (bijvoorbeeld bepaalde cloud‑, CRM‑, e‑mail‑, analytics‑ of AI‑providers) kunnen persoonsgegevens verwerken buiten de Europese Economische Ruimte (EER), bijvoorbeeld in de Verenigde Staten of andere derde landen.

Wanneer dit gebeurt, gebruiken wij in de regel de door de Europese Commissie goedgekeurde Standard Contractual Clauses (SCC's) en voeren wij een transfer impact assessment (TIA) uit. Waar een adequaatheidsbesluit geldt, steunen wij daarop. We erkennen dat in sommige derde landen een restrisico kan bestaan (Schrems II) en nemen daarom, waar passend, aanvullende maatregelen, zoals:

• encryptie in transit en – waar mogelijk – at rest, met strikt sleutelbeheer;
• dataminimalisatie en beperking van identificeerbare data;
• pseudonimisering of anonimisering indien de verwerking dat toelaat;
• strikte toegangscontrole, logging en contractuele audit‑/assurance‑afspraken.

Waar haalbaar kiezen wij leveranciers met EU‑datacenters of EU‑verwerking. Voor AI‑verwerking gebruiken wij uitsluitend enterprise‑configuraties (zoals OpenAI Business/Enterprise of Azure OpenAI) en configureren wij deze zodat klantgegevens niet worden gebruikt voor modeltraining. De concrete datalocatie en doorgiftegrondslag kan per dienst verschillen; waar relevant lichten wij dit toe in de overeenkomst/DPA en/of in specifieke notices.

8. AI‑gebruik, governance en automatische besluitvorming

Wij gebruiken AI als productiviteitshefboom, niet als autonoom beslissingssysteem.

8.1 AI‑platformen en configuratie

Per AI‑platform beperken wij risico's door onder meer:

• geen modeltraining op klant‑ of projectdata toe te laten (contractueel en via tenant‑instellingen, waar beschikbaar);
• dataminimalisatie en, waar mogelijk, pseudonimisering/anonimisering;
• versleuteling en strikte toegangscontrole (need‑to‑know, MFA) voor AI‑omgevingen;
• beperkte logging en retentie van prompts en outputs;
• voorkeur voor EU‑regio's of EU‑datacenters, waar de dienst dat toelaat.

Voorbeelden van gebruikte AI‑platformen zijn OpenAI Business/Enterprise en Azure OpenAI. De concrete configuratie (regio, retentie, logging) kan per use case verschillen en wordt waar relevant vastgelegd in het projectdossier en/of DPA.

8.2 Rechtsgrond en transparantie bij AI

Wanneer AI wordt ingezet binnen klantprojecten, is de rechtsgrond doorgaans de uitvoering van de overeenkomst of precontractuele noodzaak. Voor interne kwaliteitsverbetering baseren wij ons op gerechtvaardigd belang en gebruiken wij hierbij in principe geanonimiseerde of intern gegenereerde data.

Voor specifieke diensten of tools waar AI een belangrijke rol speelt (bijvoorbeeld een scan‑ of intake‑tool) geven wij bijkomende informatie via de relevante product‑ of dienstpagina, intake‑informatie of projectdocumentatie.

8.3 Risicobeoordeling, DPIA en geen autonome beslissingen

Wanneer AI‑toepassingen een belangrijke rol spelen bij beoordelingen over personen of wanneer een verwerking naar aard, omvang of context een verhoogd risico kan opleveren, voeren wij een risicoanalyse uit en – indien nodig – een Data Protection Impact Assessment (DPIA).

Proveron voert geen automatische besluitvorming of profilering uit met rechtsgevolgen voor personen in de zin van artikel 22 AVG. AI‑output wordt steeds door een medewerker gevalideerd en nooit autonoom gebruikt voor bindende beslissingen.

9. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, misbruik, ongeoorloofde toegang of openbaarmaking, rekening houdend met de stand van de techniek, de aard van de verwerking en de bijhorende risico's.

Voorbeelden van maatregelen:

• encryptie (in transit en, waar mogelijk, at rest);
• multi‑factor‑authenticatie;
• rolgebaseerde toegang en need‑to‑know‑principe;
• regelmatige back‑ups en hersteltests;
• interne dataclassificatie (publiek, intern, vertrouwelijk, persoonsgegevens);
• gecontroleerde toegang tot AI‑systemen en duidelijke prompt‑/outputrichtlijnen;
• logging en monitoring waar mogelijk.

10. Uw rechten

Binnen de grenzen van de AVG/GDPR heeft u de volgende rechten:

• recht op inzage in uw persoonsgegevens;
• recht op rectificatie van onjuiste of onvolledige gegevens;
• recht op wissing van gegevens (“recht om vergeten te worden”), voor zover toegestaan;
• recht op beperking van de verwerking;
• recht op overdraagbaarheid van gegevens (voor verwerkingen op basis van toestemming of overeenkomst);
• recht van bezwaar tegen verwerkingen op basis van gerechtvaardigd belang;
• recht om toestemming op elk moment in te trekken, zonder afbreuk te doen aan de rechtmatigheid van de verwerking vóór de intrekking.

U kan deze rechten uitoefenen door contact op te nemen via het privacy‑contactadres uit hoofdstuk 1. Om misbruik te voorkomen kunnen wij in redelijke mate bijkomende informatie vragen om uw identiteit te verifiëren.

Wij beantwoorden uw verzoek in principe binnen één maand. Bij complexe of talrijke verzoeken kan deze termijn worden verlengd met maximaal twee maanden; in dat geval informeren wij u tijdig over de verlenging en de reden.

11. Cookies en analytics

Onze website gebruikt noodzakelijke cookies en – na toestemming – voorkeuren‑, statistische en marketingcookies.

• Noodzakelijke cookies zijn vereist om de site correct te laten werken en kunnen niet geweigerd worden.
• Analytische en marketingcookies worden enkel geplaatst als u daarvoor toestemming geeft via de cookiebanner. U kan uw voorkeuren op elk moment wijzigen.

Meer informatie per cookiecategorie, aanbieder en bewaartermijn vindt u in ons Cookiebeleid op deze website.

12. Klachten

Als u een klacht heeft over onze verwerking van persoonsgegevens, contacteer ons best eerst via het privacy‑contactadres zodat wij samen naar een oplossing kunnen zoeken.

U heeft daarnaast altijd het recht een klacht in te dienen bij de Gegevensbeschermingsautoriteit (GBA):

13. Wijzigingen

Wij kunnen deze privacyverklaring aanpassen wanneer wetgeving, onze diensten of onze verwerkers wijzigen. De meest recente versie is altijd beschikbaar via onze website en geldt vanaf de datum van publicatie.