Privacybeleid

Deze samenvatting geeft een kort overzicht van ons Privacybeleid. Lees het volledige beleid hieronder voor alle details.

Wie we zijn: Enigma Labs BV is een Nederlands cyberbeveiligingsbedrijf dat B2B-diensten levert op het gebied van dreigingsdetectie en netwerkmonitoring. We zijn geregistreerd in Amsterdam (KvK 99568322).

Welke gegevens verzamelen we: We verzamelen zakelijke contactgegevens, accountgegevens, beveiligingslogboeken, netwerkmetadata en gegevens die nodig zijn om onze cyberbeveiligingsdiensten te kunnen leveren. We verzamelen geen gegevens van consumenten of kinderen.

Waarom we deze gegevens verzamelen: We gebruiken uw gegevens om onze diensten te leveren, de veiligheid te waarborgen, te voldoen aan wettelijke verplichtingen en ons platform te verbeteren.

Uw rechten: Op grond van de AVG hebt u het recht om uw gegevens in te zien, te corrigeren, te verwijderen en over te dragen, en om bezwaar te maken tegen bepaalde verwerkingen. U kunt deze rechten uitoefenen door contact met ons op te nemen.

Gegevensoverdracht: Wij kunnen gegevens buiten de Europese Economische Ruimte overdragen met behulp van goedgekeurde waarborgen, zoals Standaard Contractbepalingen.

Hoe u contact met ons kunt opnemen: Voor vragen over privacy kunt u een e-mail sturen naar privacy@enigmalabs.nl. Voor vragen over gegevensbescherming kunt u contact opnemen met onze Functionaris voor Gegevensbescherming via dpo@enigmalabs.nl.

1.1 Wie wij zijn

Enigma Labs BV ("wij", "ons", "onze" of het "Bedrijf") is een Besloten Vennootschap (BV) die in Nederland is geregistreerd. Wij bieden B2B-cyberbeveiligingsoplossingen, waaronder AI-gestuurde dreigingsdetectie, netwerkmonitoring, kwetsbaarheidsbeoordeling en compliancebeheerdiensten.

Bedrijfsgegevens:

| Veld | Gegevens | |------|----------| | Statutaire naam | Enigma Labs BV | | Vestigingsadres | Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Nederland | | KvK-nummer | 99568322 | | Website | https://enigmalabs.nl | | Contactpersoon privacy | privacy@enigmalabs.nl |

1.2 Toepassingsgebied van dit beleid

In dit Privacybeleid wordt uitgelegd hoe wij persoonsgegevens verzamelen, gebruiken, opslaan en beschermen wanneer u:

• Onze website https://enigmalabs.nl bezoekt
• Ons cyberbeveiligingsplatform en onze diensten gebruikt
• Met ons communiceert over onze diensten
• Een contractuele relatie met ons aangaat

Dit beleid is van toepassing op alle persoonsgegevens die wij als verwerkingsverantwoordelijke verwerken in het kader van de Algemene Verordening Gegevensbescherming (AVG). Voor gegevens die wij namens onze zakelijke klanten verwerken, treden wij op als verwerker (zie paragraaf 13).

1.3 Regelgevend kader

Dit Privacybeleid is opgesteld om te voldoen aan:

• Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming of "AVG")
• De Nederlandse Uitvoeringswet AVG (UAVG)
• Richtsnoeren van het Europees Comité voor Gegevensbescherming (EDPB)
• Richtsnoeren van de Autoriteit Persoonsgegevens

Wij verzamelen verschillende categorieën persoonsgegevens, afhankelijk van onze relatie met u en de diensten die u gebruikt.

2.1 Informatie die u rechtstreeks verstrekt

Account- en contactgegevens:

• Volledige naam en functietitel
• Zakelijk e-mailadres en telefoonnummer
• Bedrijfsnaam en afdeling
• Factuuradres en betalingsgegevens
• Accountgegevens (gebruikersnaam, versleuteld wachtwoord)

Communicatiegegevens:

• E-mailcorrespondentie en supporttickets
• Notulen van vergaderingen en opnames van telefoongesprekken (met toestemming)
• Feedback en antwoorden op enquêtes
• Informatie verstrekt tijdens verkoopaanvragen

Contractuele informatie:

• Ondertekende overeenkomsten en bestelformulieren
• Inkoopordernummers en factuurgegevens
• Lijsten met geautoriseerde gebruikers en toegangsrechten

2.2 Automatisch verzamelde informatie

Technische en gebruiksgegevens:

• IP-adressen en apparaat-ID's
• Browsertype, -versie en -taal
• Besturingssysteem en platform
• Verwijzingsbron en exitpagina's
• Bekeken pagina's en geraadpleegde functies
• Datum, tijd en duur van bezoeken
• Foutenlogboeken en systeemprestatiegegevens

Beveiligings- en netwerkgegevens: Wanneer u ons cyberbeveiligingsplatform gebruikt, verwerken wij:

• Metagegevens van netwerkverkeer (pakketheaders, verbindingslogboeken)
• Beveiligingsgebeurtenislogboeken en waarschuwingen
• Authenticatie- en toegangslogboeken
• Indicatoren voor dreigingsinformatie
• Resultaten van kwetsbaarheidsscans
• Systeemconfiguratiegegevens

Opmerking: onze agentloze monitoring is ontworpen om netwerkpatronen en metagegevens te analyseren in plaats van inhoud. We verzamelen niet opzettelijk persoonsgegevens die zijn ingebed in netwerkverkeer, tenzij dit noodzakelijk is voor het detecteren van dreigingen en met een passende wettelijke basis.

2.3 Informatie van derden

We kunnen persoonsgegevens ontvangen van:

• Zakelijke partners en wederverkopers
• Openbare directories en professionele netwerken (bijv. LinkedIn)
• Kredietinformatiebureaus (voor due diligence)
• Regelgevende en wetshandhavingsinstanties (wanneer dit wettelijk vereist is)

2.4 Bijzondere categorieën van persoonsgegevens

Wij verzamelen niet opzettelijk bijzondere categorieën persoonsgegevens zoals gedefinieerd in artikel 9 van de AVG (bijv. ras of etnische afkomst, politieke opvattingen, religieuze overtuigingen, gezondheidsgegevens, biometrische gegevens). Als dergelijke gegevens onbedoeld worden verzameld via beveiligingsmonitoring, passen wij strikte toegangscontroles en verwijderingsprocedures toe.

Wij verwerken persoonsgegevens voor de volgende doeleinden, elk met een specifieke rechtsgrondslag onder de AVG:

3.1 Dienstverlening en uitvoering van overeenkomsten

Doel: Om onze cyberbeveiligingsdiensten te leveren, uw account te onderhouden en onze contractuele verplichtingen na te komen.

Activiteiten:

• Het platform leveren en configureren
• Gebruikers authenticeren en toegang beheren
• Netwerkmonitoring en dreigingsdetectie verwerken
• Beveiligingsrapporten en waarschuwingen genereren
• Klantenservice en technische ondersteuning bieden
• Betalingen en facturen verwerken

Rechtsgrondslag: Artikel 6, lid 1, onder b), AVG — Verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij u partij bent.

3.2 Naleving van wet- en regelgeving

Doel: Om te voldoen aan de toepasselijke wet- en regelgeving en wettelijke verplichtingen.

Activiteiten:

• Bijhouden van financiële en boekhoudkundige gegevens
• Reageren op juridische verzoeken en gerechtelijke bevelen
• Meewerken aan onderzoeken door toezichthouders
• Indienen van vereiste rapporten bij autoriteiten
• Naleven van wetgeving op het gebied van cyberbeveiliging en gegevensbescherming
• Voorkomen van fraude en illegale activiteiten

Rechtsgrondslag: Artikel 6, lid 1, onder c), AVG — Verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting waaraan wij onderworpen zijn.

3.3 Gerechtvaardigde zakelijke belangen

Doel: Om onze activiteiten en diensten uit te voeren, te beveiligen en te verbeteren.

Activiteiten:

• Netwerk- en informatiebeveiliging waarborgen
• Ongeautoriseerde toegang en cyberaanvallen voorkomen
• De prestaties en betrouwbaarheid van onze diensten monitoren
• Data-analyses uitvoeren om ons platform te verbeteren
• Nieuwe functies en mogelijkheden ontwikkelen
• Bedrijfsactiviteiten en interne rapportage beheren
• Onze voorwaarden handhaven en wettelijke rechten beschermen
• Fraude en misbruik voorkomen

Rechtsgrondslag: Artikel 6, lid 1, onder f), AVG — Verwerking is noodzakelijk voor de behartiging van onze gerechtvaardigde belangen, tenzij uw fundamentele rechten en vrijheden zwaarder wegen dan deze belangen.

Legitieme belangenafweging: Onze gerechtvaardigde belangen omvatten het onderhouden van een veilig en betrouwbaar cyberbeveiligingsplatform, het verbeteren van onze diensten om onze klanten beter te beschermen en het runnen van een duurzaam bedrijf. We hebben een afwegingstoets uitgevoerd om ervoor te zorgen dat deze belangen uw privacyrechten niet op ongerechtvaardigde wijze schenden. U hebt het recht om bezwaar te maken tegen verwerking op basis van gerechtvaardigde belangen (zie paragraaf 9).

3.4 Marketing en bedrijfsontwikkeling (met toestemming)

Doel: Communiceren over onze producten, diensten en ontwikkelingen in de sector.

Activiteiten:

• Nieuwsbrieven en productupdates versturen
• U uitnodigen voor evenementen en webinars
• Thought leadership en inzichten op het gebied van beveiliging delen
• Marktonderzoek uitvoeren

Rechtsgrondslag: Artikel 6, lid 1, onder a), AVG — Toestemming. U kunt uw toestemming te allen tijde intrekken door op "uitschrijven" te klikken in onze e-mails of door contact op te nemen met privacy@enigmalabs.nl.

3.5 Vitaal belang en algemeen belang

In uitzonderlijke gevallen kunnen wij persoonsgegevens verwerken om vitale belangen te beschermen (bijvoorbeeld om dreigend gevaar te voorkomen) of voor taken die worden uitgevoerd in het algemeen belang met betrekking tot het delen van informatie over cyberbeveiligingsrisico's.

In overeenstemming met artikel 6 AVG baseren wij ons op de volgende rechtsgrondslagen voor de verwerking van persoonsgegevens:

4.1 Toestemming (artikel 6, lid 1, onder a))

We vragen uitdrukkelijke toestemming voor:

• Marketingcommunicatie
• Niet-essentiële cookies en trackingtechnologieën
• Verwerking van bijzondere categorieën persoonsgegevens (indien van toepassing)

Toestemming moet vrijwillig, specifiek, geïnformeerd en ondubbelzinnig worden gegeven. U hebt het recht om uw toestemming te allen tijde in te trekken, zonder dat dit van invloed is op de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking ervan.

4.2 Uitvoering van een overeenkomst (artikel 6, lid 1, onder b))

Verwerking is noodzakelijk voor de uitvoering van een overeenkomst wanneer:

• Wij ons cyberbeveiligingsplatform en onze diensten leveren
• Wij uw account en gebruikerstoegang beheren
• Wij klantenondersteuning bieden
• Wij betalingen verwerken

4.3 Wettelijke verplichting (artikel 6, lid 1, onder c))

Wij verwerken gegevens om te voldoen aan wettelijke verplichtingen, waaronder:

• Belasting- en boekhoudkundige vereisten
• Wetgeving inzake gegevensbewaring
• Wettelijke rapportageverplichtingen
• Gerechtelijke bevelen en juridische procedures

4.4 Vitaal belang (artikel 6, lid 1, onder d))

Kan van toepassing zijn in noodsituaties waarbij het leven moet worden beschermd.

4.5 Algemeen belang (artikel 6, lid 1, onder e))

Kan van toepassing zijn op taken die verband houden met het delen van cyberbeveiligingsinformatie in het algemeen belang.

4.6 Gerechtvaardigde belangen (artikel 6, lid 1, onder f))

Onze gerechtvaardigde belangen omvatten:

• Informatiebeveiliging: onze systemen, ons netwerk en onze gegevens beschermen tegen ongeoorloofde toegang, aanvallen en inbreuken
• Verbetering van de dienstverlening: gebruikspatronen analyseren om de functionaliteit van het platform en de gebruikerservaring te verbeteren
• Bedrijfsvoering: het beheren van ons bedrijf, het uitvoeren van audits en het waarborgen van de bedrijfscontinuïteit
• Rechtsbescherming: het instellen, uitoefenen of verdedigen van rechtsvorderingen
• Fraudepreventie: het opsporen en voorkomen van frauduleuze activiteiten

We voeren een legitieme belangenafweging (LIA) uit voor verwerkingsactiviteiten die op deze basis plaatsvinden, om ervoor te zorgen dat onze belangen in evenwicht zijn met uw privacyrechten.

5.1 Categorieën ontvangers

We kunnen persoonsgegevens delen met de volgende categorieën ontvangers:

Dienstverleners en sub-verwerkers:

• Cloudinfrastructuurproviders (hosting en opslag)
• Betalingsverwerkers
• Platformen voor klantrelatiebeheer (CRM)
• E-mail- en communicatiedienstverleners
• Analyse- en monitoringtools
• IT-ondersteunings- en onderhoudsproviders

Professionele adviseurs:

• Juridisch adviseurs
• Accountants en auditors
• Verzekeringsmaatschappijen
• Consultants en professionele dienstverleners

Zakenpartners:

• Geautoriseerde wederverkopers en distributeurs
• Technologie-integratiepartners
• Gezamenlijke marketingpartners (met toestemming)

Regelgevende en juridische autoriteiten:

• Autoriteit Persoonsgegevens
• Wetshandhavingsinstanties
• Rechtbanken en tribunalen
• Regelgevende instanties die bevoegd zijn voor onze activiteiten

5.2 Beheer van sub-verwerkers

We schakelen sub-verwerkers in om ons te helpen bij het leveren van onze diensten. Hieronder vallen cloudhostingproviders, betalingsverwerkingsdiensten, e-mailbezorgingsdiensten en klantenserviceplatforms. Alle sub-verwerkers zijn contractueel verplicht om persoonsgegevens te beschermen in overeenstemming met de AVG-vereisten.

Een volledige en actuele lijst van sub-verwerkers is beschikbaar op https://enigmalabs.nl/legal/sub-processors of op verzoek verkrijgbaar via privacy@enigmalabs.nl. Wij stellen klanten ten minste 7 dagen van tevoren op de hoogte van eventuele voorgenomen wijzigingen in sub-verwerkers.

5.3 Geen verkoop van persoonsgegevens

Wij verkopen geen persoonsgegevens aan derden. Wij houden ons niet bezig met gegevenshandel of het te gelde maken van persoonsgegevens.

5.4 Bedrijfsoverdrachten

In geval van een fusie, overname, reorganisatie of verkoop van activa kunnen persoonsgegevens worden overgedragen aan de overnemende entiteit. Wij zullen ervoor zorgen dat de ontvanger ermee instemt uw persoonsgegevens te beschermen in overeenstemming met dit Privacybeleid en de toepasselijke wetgeving. U wordt op de hoogte gebracht van een dergelijke verandering in eigendom.

5.5 Wettelijke openbaarmakingen

Wij kunnen persoonsgegevens openbaar maken wanneer dit wettelijk vereist is, waaronder:

• Om te voldoen aan juridische procedures (dagvaardingen, gerechtelijke bevelen)
• Om te reageren op verzoeken van overheidsinstanties
• Om onze voorwaarden en overeenkomsten af te dwingen
• Om onze rechten, eigendommen of veiligheid te beschermen
• Om fraude of illegale activiteiten te voorkomen

6.1 Overdrachten binnen de EER

Persoonsgegevens die binnen de Europese Economische Ruimte (EER) worden overgedragen, worden beschermd door de AVG zonder dat aanvullende waarborgen nodig zijn.

6.2 Overdrachten buiten de EER

We kunnen persoonsgegevens overdragen naar landen buiten de EER, waaronder:

• Verenigde Staten (voor cloudinfrastructuur en SaaS-tools)
• Verenigd Koninkrijk (na de brexit, op grond van een adequaatheidsbesluit)
• Andere rechtsgebieden waar onze sub-verwerkers actief zijn

6.3 Waarborgen voor internationale overdrachten

Voor overdrachten naar landen zonder een adequaatheidsbesluit van de EU implementeren we passende waarborgen:

Standaard Contractbepalingen (SCB's): We gebruiken door de Europese Commissie goedgekeurde Standaard Contractbepalingen (Besluit 2021/914) voor overdrachten naar derde landen. Deze contractuele voorwaarden bieden passende waarborgen voor de bescherming van persoonsgegevens.

Adequaatheidsbesluiten: Voor overdrachten naar landen die worden geacht adequate bescherming te bieden (bijv. het Verenigd Koninkrijk en andere rechtsgebieden met een adequaatheidsstatus), baseren we ons op adequaatheidsbesluiten van de Europese Commissie.

Bindende Bedrijfsvoorschriften (BCR's): Indien van toepassing kunnen we Bindende Bedrijfsvoorschriften implementeren voor overdrachten binnen de groep.

Aanvullende technische waarborgen:

• Versleuteling van gegevens tijdens het transport (TLS 1.2 of hoger)
• Versleuteling van gegevens in rust (AES-256)
• Toegangscontroles en authenticatiemaatregelen
• Regelmatige veiligheidsbeoordelingen van sub-verwerkers

6.4 Overdrachten naar de VS

Voor overdrachten naar de Verenigde Staten:

• We hebben Standaard Contractbepalingen geïmplementeerd met onze in de VS gevestigde sub-verwerkers
• We voeren overdrachtsimpactbeoordelingen (Transfer Impact Assessments, TIA's) uit voor overdrachten naar de VS
• We volgen de juridische ontwikkelingen met betrekking tot Amerikaanse surveillancewetten (FISA 702, EO 12333)
• We implementeren waar nodig aanvullende maatregelen om een in wezen gelijkwaardig beschermingsniveau te waarborgen

U kunt een kopie van onze Standaard Contractbepalingen en overdrachtsimpactbeoordelingen opvragen door contact op te nemen met dpo@enigmalabs.nl.

7.1 Bewaarprincipes

Wij bewaren persoonsgegevens alleen zo lang als nodig is om de doeleinden te verwezenlijken waarvoor ze zijn verzameld, waaronder:

• Het nakomen van contractuele verplichtingen
• Het voldoen aan wettelijke en regelgevende vereisten
• Het oplossen van geschillen en het handhaven van overeenkomsten
• Het handhaven van de veiligheid en het voorkomen van fraude

7.2 Specifieke bewaartermijnen

| Gegevenscategorie | Bewaartermijn | Grondslag | |-------------------|---------------|-----------| | Account- en contactgegevens | Duur van het contract + 7 jaar | Wettelijke verplichting (belasting/boekhouding) | | Factuur- en betalingsgegevens | 7 jaar | Vereiste volgens de Nederlandse belastingwetgeving | | Beveiligingslogboeken en audittrails | 1-3 jaar | Gerechtvaardigd belang (beveiliging) | | Netwerkmonitoringgegevens | 90 dagen - 1 jaar | Contractuitvoering, beveiliging | | Marketingcommunicatiegegevens | Tot intrekking van toestemming + 2 jaar | Toestemming, gerechtvaardigd belang | | Supporttickets en correspondentie | 3 jaar na afsluiting van de zaak | Contractuitvoering, rechtsbescherming | | Cookie- en analysegegevens | 13-26 maanden | Toestemming, gerechtvaardigd belang | | Gegevens over dreigingen | Onbepaalde tijd (geanonimiseerd) | Gerechtvaardigd belang (beveiliging) |

7.3 Bewaarcriteria

De specifieke bewaartermijn is afhankelijk van:

• Aard van de gegevens: gevoelige gegevens worden korter bewaard
• Doel van de verwerking: gegevens worden alleen bewaard zolang dat nodig is voor het oorspronkelijke doel
• Wettelijke vereisten: verplichte bewaartermijnen volgens de toepasselijke wetgeving
• Contractuele verplichtingen: bewaring vereist door klantovereenkomsten
• Potentiële geschillen: verlengde bewaring wanneer een rechtszaak wordt verwacht

7.4 Verwijdering en anonimisering van gegevens

Aan het einde van de bewaartermijn:

• Verwijderen we persoonsgegevens op veilige wijze met behulp van standaardmethoden
• Of we anonimiseren gegevens zodat ze niet langer kunnen worden gebruikt om personen te identificeren
• Bewaren we bewijs van verwijdering voor auditdoeleinden

Bij beëindiging van het contract kunnen klanten verzoeken om teruggave of verwijdering van hun gegevens in overeenstemming met onze Verwerkersovereenkomst.

8.1 Beveiligingsverplichting

We implementeren passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, wijziging, openbaarmaking of vernietiging. Geen enkele methode voor gegevensoverdracht of -opslag kan echter volledig veilig worden gegarandeerd. Hoewel we ernaar streven om commercieel aanvaardbare middelen te gebruiken om uw persoonsgegevens te beschermen, bieden we beveiligingsmaatregelen op een "as-is"-basis en kunnen we geen absolute veiligheid garanderen.

8.2 Technische maatregelen

Versleuteling:

• Gegevens tijdens verzending: TLS 1.2 of hoger voor alle gegevensoverdrachten
• Gegevens in rust: AES-256-versleuteling voor opgeslagen gegevens
• Sleutelbeheer: Hardware Security Modules (HSM's, hardwarematige beveiligingsmodules) voor sleutelbescherming

Toegangscontroles:

• Op rollen gebaseerde toegangscontrole (Role-Based Access Control, RBAC)
• Multi-factor authenticatie (MFA) voor alle administratieve toegang
• Principe van minimale rechten
• Regelmatige toegangscontroles en hercertificering

Netwerkbeveiliging:

• Firewalls en inbraakdetectie-/preventiesystemen (IDS/IPS)
• Netwerksegmentatie en -isolatie
• DDoS-bescherming
• Regelmatige kwetsbaarheidsscans en penetratietests

Systeembeveiliging:

• Regelmatige beveiligingspatches en updates
• Anti-malware en eindpuntbeveiliging
• Veilige softwareontwikkelingscyclus (Secure Development Lifecycle, SDLC)
• Codebeoordelingen en beveiligingstests

8.3 Organisatorische maatregelen

Beleid en procedures:

• Informatiebeveiligingsbeleid (in overeenstemming met ISO 27001)
• Beleid voor Aanvaardbaar Gebruik
• Incidentresponsplan
• Plan voor bedrijfscontinuïteit en noodherstel

Personeelsbeveiliging:

• Achtergrondcontroles voor medewerkers met toegang tot gegevens
• Geheimhoudingsovereenkomsten
• Regelmatige trainingen om het bewustzijn rond beveiliging te vergroten
• Phishing-simulatieoefeningen

Fysieke beveiliging:

• Beveiligde datacenterfaciliteiten met toegangscontroles
• Omgevingscontroles en -monitoring
• Procedures voor het afvoeren van apparatuur

8.4 Melding van datalekken

In geval van een inbreuk op persoonsgegevens:

• Zullen we, indien mogelijk, binnen 72 uur nadat we kennis hebben genomen van de inbreuk, de Autoriteit Persoonsgegevens hiervan op de hoogte stellen
• Zullen we, indien de inbreuk waarschijnlijk een hoog risico voor uw rechten en vrijheden met zich meebrengt, de betrokken personen zonder onnodige vertraging op de hoogte stellen
• Zullen we, voor zakelijke klanten, de aangewezen contactpersoon binnen 48 uur na een bevestigde inbreuk op hun gegevens op de hoogte stellen
• Houden we een intern register bij waarin alle inbreuken en onze reactie daarop worden gedocumenteerd

8.5 Beperking van aansprakelijkheid

Hoewel we redelijke beveiligingsmaatregelen nemen die in verhouding staan tot het risico, kunnen we niet aansprakelijk worden gesteld voor:

• Ongeautoriseerde toegang als gevolg van omstandigheden buiten onze redelijke controle
• Beveiligingsinbreuken veroorzaakt door diensten van derden buiten onze controle
• Verliezen als gevolg van uw verzuim om de vertrouwelijkheid van uw inloggegevens te handhaven
• Omstandigheden die overmacht vormen (zie paragraaf 15.4)

Uw verplichtingen met betrekking tot de nauwkeurigheid van gegevens en de beveiliging van inloggegevens worden nader beschreven in onze Algemene Voorwaarden. Onze aansprakelijkheid voor datalekken is beperkt tot de mate die is toegestaan door de toepasselijke wetgeving en onderworpen aan de beperkingen in onze Algemene Voorwaarden.

Op grond van de Algemene Verordening Gegevensbescherming hebt u de volgende rechten met betrekking tot uw persoonsgegevens:

9.1 Recht van inzage (artikel 15)

U hebt het recht om het volgende te verkrijgen:

• Bevestiging of wij uw persoonsgegevens verwerken
• Toegang tot uw persoonsgegevens
• Informatie over de verwerking (doeleinden, categorieën, ontvangers, bewaartermijnen)
• Een kopie van uw persoonsgegevens (in een algemeen gebruikt elektronisch formaat)

Hoe u dit recht kunt uitoefenen: Dien een schriftelijk verzoek in bij privacy@enigmalabs.nl met een identiteitsbewijs.

Reactietijd: Binnen één maand na ontvangst (verlengbaar tot drie maanden voor complexe verzoeken).

Kosten: Gratis voor het eerste exemplaar; redelijke kosten voor extra exemplaren.

9.2 Recht op rectificatie (artikel 16)

U hebt het recht om correctie van onjuiste persoonsgegevens en aanvulling van onvolledige gegevens te vragen.

Hoe u dit recht kunt uitoefenen: Neem contact op met privacy@enigmalabs.nl of werk uw accountgegevens rechtstreeks bij via ons platform, indien beschikbaar.

Reactietijd: Zonder onnodige vertraging, doorgaans binnen één maand.

9.3 Recht op verwijdering / "recht om vergeten te worden" (artikel 17)

U hebt het recht om verwijdering van uw persoonsgegevens te verzoeken wanneer:

• De gegevens niet langer nodig zijn voor het oorspronkelijke doel
• U uw toestemming intrekt (wanneer toestemming de rechtsgrondslag was)
• U bezwaar maakt tegen de verwerking en wij geen dwingende gerechtvaardigde gronden hebben
• De gegevens onrechtmatig zijn verwerkt
• Verwijdering wettelijk verplicht is

Uitzonderingen: Dit recht is niet van toepassing wanneer de verwerking noodzakelijk is voor:

• De uitoefening van het recht op vrijheid van meningsuiting
• De naleving van een wettelijke verplichting
• De uitvoering van een taak van algemeen belang
• Het instellen, uitoefenen of verdedigen van rechtsvorderingen

Hoe u dit recht kunt uitoefenen: Dien een schriftelijk verzoek in bij privacy@enigmalabs.nl met een identiteitsbewijs en de redenen voor verwijdering.

9.4 Recht op beperking van de verwerking (artikel 18)

U hebt het recht om beperking van de verwerking te vragen wanneer:

• U de juistheid van de gegevens betwist (voor de verificatieperiode)
• De verwerking onrechtmatig is, maar u zich verzet tegen verwijdering
• Wij de gegevens niet langer nodig hebben, maar u ze nodig hebt voor rechtsvorderingen
• U bezwaar hebt gemaakt tegen de verwerking in afwachting van verificatie van onze gerechtvaardigde gronden

Gevolg: Tijdens de beperking zullen wij de gegevens alleen opslaan en verwerken met uw toestemming of voor juridische claims.

9.5 Recht op gegevensoverdraagbaarheid (artikel 20)

U hebt het recht om uw persoonsgegevens in een gestructureerd, algemeen gebruikt en machinaal leesbaar formaat te ontvangen en deze aan een andere verwerkingsverantwoordelijke door te geven wanneer:

• De verwerking is gebaseerd op toestemming of de uitvoering van een overeenkomst
• De verwerking geautomatiseerd wordt uitgevoerd

Hoe u dit recht kunt uitoefenen: Neem contact op met privacy@enigmalabs.nl en geef aan welk formaat u verkiest (JSON, CSV, XML).

9.6 Recht van bezwaar (artikel 21)

U hebt het recht om bezwaar te maken tegen de verwerking op basis van:

• Gerechtvaardigde belangen (artikel 6, lid 1, onder f)): wij moeten de verwerking stopzetten, tenzij wij dwingende gerechtvaardigde gronden kunnen aantonen die zwaarder wegen dan uw belangen
• Direct marketing: wij moeten de verwerking voor marketingdoeleinden onmiddellijk stopzetten
• Onderzoeks- of statistische doeleinden: tenzij de verwerking noodzakelijk is voor taken van algemeen belang

Hoe u dit recht kunt uitoefenen: Neem contact op met privacy@enigmalabs.nl of klik op "uitschrijven" in marketingmails.

9.7 Rechten met betrekking tot geautomatiseerde besluitvorming (artikel 22)

U hebt het recht om niet te worden onderworpen aan beslissingen die uitsluitend zijn gebaseerd op geautomatiseerde verwerking (inclusief profilering) en die juridische of vergelijkbare belangrijke gevolgen hebben, tenzij:

• Dit noodzakelijk is voor de uitvoering van een overeenkomst
• Wettelijk is toegestaan met passende waarborgen
• Gebaseerd is op uw uitdrukkelijke toestemming

Onze AI-gestuurde dreigingsdetectie omvat geautomatiseerde analyse, maar neemt geen uitsluitend geautomatiseerde beslissingen met juridische of significante gevolgen voor individuen. Wij houden ons niet bezig met profilering die juridische gevolgen heeft voor individuen. Menselijke beoordeling is altijd beschikbaar voor beveiligingswaarschuwingen die van invloed zijn op de toegang van gebruikers.

9.8 Recht om toestemming in te trekken

Wanneer de verwerking is gebaseerd op toestemming, kunt u deze toestemming op elk moment intrekken. Het intrekken van uw toestemming heeft geen invloed op de rechtmatigheid van de verwerking vóór de intrekking.

Hoe u dit recht kunt uitoefenen: Neem contact op met privacy@enigmalabs.nl of pas uw voorkeuren aan in uw accountinstellingen.

9.9 Recht om een klacht in te dienen

U hebt het recht om een klacht in te dienen bij een toezichthoudende autoriteit als u van mening bent dat onze verwerking in strijd is met de AVG.

Nederlandse toezichthoudende autoriteit:

| Veld | Gegevens | |------|----------| | Naam | Autoriteit Persoonsgegevens (AP) | | Adres | Bezuidenhoutseweg 30, 2594 AV Den Haag, Nederland | | Telefoon | +31 70 888 8500 | | Website | https://autoriteitpersoonsgegevens.nl | | E-mail | info@autoriteitpersoonsgegevens.nl |

U kunt ook een klacht indienen bij de toezichthoudende autoriteit in het land waar u woont, werkt of waar de vermeende inbreuk heeft plaatsgevonden.

9.10 Uw rechten uitoefenen

Om een van deze rechten uit te oefenen:

1. Dien een schriftelijk verzoek in bij privacy@enigmalabs.nl of dpo@enigmalabs.nl
2. Voeg een identiteitsbewijs toe (kopie van identiteitsbewijs met gevoelige informatie verwijderd)
3. Geef aan welk recht u uitoefent en verstrek relevante details
4. Wij zullen uw verzoek binnen 5 werkdagen bevestigen
5. Wij zullen binnen één maand inhoudelijk reageren (verlengbaar tot drie maanden voor complexe verzoeken)
6. Wij kunnen een redelijke vergoeding in rekening brengen voor kennelijk ongegronde of buitensporige verzoeken

10.1 Gebruik van cookies

Onze website en ons platform maken gebruik van cookies en soortgelijke technologieën om de gebruikerservaring te verbeteren, het gebruik te analyseren en gerichte inhoud aan te bieden.

10.2 Soorten cookies

Essentiële cookies (strikt noodzakelijk):

• Doel: kernfunctionaliteit mogelijk maken (authenticatie, beveiliging, sessiebeheer)
• Rechtsgrondslag: gerechtvaardigd belang (artikel 6, lid 1, onder f))
• Kan niet worden uitgeschakeld zonder de functionaliteit van de dienst te beïnvloeden

Analytische cookies:

• Doel: inzicht krijgen in het gebruik van de website en de diensten verbeteren
• Rechtsgrondslag: toestemming (artikel 6, lid 1, onder a))
• Gegevens worden waar mogelijk geaggregeerd en geanonimiseerd

Functionaliteitscookies:

• Doel: voorkeuren en instellingen onthouden
• Rechtsgrondslag: toestemming (artikel 6, lid 1, onder a))
• Voorbeelden: taalvoorkeuren, weergave-instellingen

Marketingcookies:

• Wij maken geen gebruik van marketingcookies
• Zie ons Cookiebeleid voor meer informatie

10.3 Cookiebeheer

U kunt uw cookievoorkeuren beheren via:

• Onze cookietoestemmingsbanner (verschijnt bij het eerste bezoek)
• Browserinstellingen om cookies te blokkeren of te verwijderen
• Afmeldmogelijkheden van derden

Browserinstellingen:

• Chrome: Instellingen → Privacy en beveiliging → Cookies
• Firefox: Voorkeuren → Privacy en beveiliging → Cookies
• Safari: Voorkeuren → Privacy → Cookies
• Edge: Instellingen → Cookies en sitemachtigingen

10.4 Cookiebeleid

Voor gedetailleerde informatie over de specifieke cookies die we gebruiken, hun doeleinden en bewaartermijnen, verwijzen we u naar ons Cookiebeleid.

10.5 Do Not Track-signalen

Wij respecteren Do Not Track (DNT)-signalen van uw browser. Plausible Analytics, onze privacyvriendelijke analysetool, respecteert automatisch DNT-signalen. U kunt zich ook afmelden voor tracking via de hierboven beschreven mechanismen.

11.1 Externe links

Onze website en communicatie kunnen links bevatten naar websites, diensten of bronnen van derden. Dit Privacybeleid is niet van toepassing op die derden.

11.2 Disclaimer

Wij zijn niet verantwoordelijk voor:

• Het privacybeleid van websites van derden
• De inhoud of veiligheid van externe sites
• Persoonsgegevens die u aan derden verstrekt

Toegang tot diensten van derden is geheel naar eigen goeddunken en op eigen risico. Wij raden u aan het privacybeleid van alle websites van derden die u bezoekt te lezen.

11.3 Geïntegreerde diensten van derden

Ons platform kan worden geïntegreerd met diensten van derden (bijv. SSO-providers (Single Sign-On), cloudopslag). Uw gebruik van deze integraties is onderworpen aan de voorwaarden en het privacybeleid van de betreffende derde partij.

12.1 Niet bedoeld voor kinderen

Onze diensten zijn ontworpen voor en gericht op bedrijven en organisaties. Wij verzamelen niet bewust persoonsgegevens van personen jonger dan 16 jaar.

12.2 Leeftijdsverificatie

Door gebruik te maken van onze diensten verklaart u dat u ten minste 16 jaar oud bent en bevoegd bent om uw organisatie aan onze voorwaarden te binden.

12.3 Ontdekking van gegevens van minderjarigen

Als wij erachter komen dat wij zonder toestemming van de ouders persoonsgegevens hebben verzameld van een kind jonger dan 16 jaar, zullen wij:

• Onmiddellijk maatregelen nemen om de informatie te verwijderen
• Alle bijbehorende accounts beëindigen
• De betreffende klantorganisatie op de hoogte stellen

Als u denkt dat wij mogelijk gegevens hebben verzameld van een kind jonger dan 16 jaar, neem dan onmiddellijk contact met ons op via privacy@enigmalabs.nl.

13.1 Onderscheid tussen verwerkingsverantwoordelijke en verwerker

Belangrijk juridisch onderscheid:

• Wanneer wij optreden als verwerkingsverantwoordelijke: Voor gegevens die wij rechtstreeks van u verzamelen (bijv. accountgegevens, websitegebruik, directe communicatie), is Enigma Labs BV de verwerkingsverantwoordelijke die verantwoordelijk is voor dit Privacybeleid.

• Wanneer wij optreden als verwerker: Voor gegevens die wij verwerken namens onze zakelijke klanten (bijv. beveiligingslogboeken van het netwerk van de klant, gegevens van werknemers van de klant), treden wij op als verwerker onder de instructies van de klant. De Verwerkersovereenkomst met onze klanten regelt deze verwerking.

13.2 Verplichtingen van de verwerker

Wanneer we optreden als verwerker, zullen we:

• Persoonsgegevens alleen verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke
• Zorgen voor vertrouwelijkheidsverplichtingen van het personeel
• Passende beveiligingsmaatregelen implementeren
• Alleen sub-verwerkers inschakelen met toestemming van de verwerkingsverantwoordelijke
• De verwerkingsverantwoordelijke helpen bij het reageren op verzoeken van betrokkenen
• De verwerkingsverantwoordelijke helpen bij hun verplichtingen op het gebied van beveiliging en melding van inbreuken
• Gegevens verwijderen of teruggeven aan het einde van het contract
• Informatie verstrekken voor nalevingsdemonstraties

13.3 Verwerkersovereenkomst

Zakelijke klanten moeten onze Verwerkersovereenkomst ondertekenen, die:

• Onze verplichtingen als verwerker onder artikel 28 van de AVG documenteert
• Het onderwerp, de duur en de aard/het doel van de verwerking specificeert
• De soorten persoonsgegevens en categorieën betrokkenen definieert
• Een lijst van geautoriseerde sub-verwerkers bevat
• Standaard Contractbepalingen voor internationale overdrachten bevat

Voor een kopie van onze Verwerkersovereenkomst, zie https://enigmalabs.nl/dpa of neem contact op met privacy@enigmalabs.nl of uw accountmanager.

13.4 Verantwoordelijkheden van de klant

Als verwerkingsverantwoordelijken zijn onze klanten verantwoordelijk voor:

• Het verkrijgen van een wettelijke basis voor de verwerking van eindgebruikersgegevens
• Het verstrekken van privacyverklaringen aan hun werknemers en eindgebruikers
• Het reageren op verzoeken van betrokkenen met betrekking tot hun gegevens
• Het waarborgen dat hun instructies voor gegevensverwerking in overeenstemming zijn met de toepasselijke wetgeving

13.5 Register van verwerkingsactiviteiten

Wij houden een Register van Verwerkingsactiviteiten bij in overeenstemming met artikel 30 van de AVG, dat op verzoek beschikbaar is voor toezichthoudende autoriteiten.

14.1 Beleidsupdates

We kunnen dit Privacybeleid van tijd tot tijd bijwerken om rekening te houden met:

• Wijzigingen in onze bedrijfsvoering
• Nieuwe producten of diensten
• Ontwikkelingen op het gebied van wet- en regelgeving
• Wijzigingen in technologie of beveiligingspraktijken

14.2 Kennisgeving van wijzigingen

• Wezenlijke wijzigingen: We zullen u ten minste 30 dagen voordat de wijzigingen van kracht worden per e-mail of via een prominente kennisgeving op onze website op de hoogte stellen.
• Niet-wezenlijke wijzigingen: We kunnen het beleid zonder voorafgaande kennisgeving bijwerken; de datum "Laatst bijgewerkt" geeft de wijziging weer.

14.3 Versiebeheer

Dit Privacybeleid omvat versiebeheer door middel van:

• Versienummer (zie documentinformatie)
• Ingangsdatum
• Datum "Laatst bijgewerkt"

Eerdere versies zijn op verzoek verkrijgbaar.

14.4 Aanvaarding van wijzigingen

Als u onze diensten blijft gebruiken nadat de wijzigingen van kracht zijn geworden, betekent dit dat u het herziene Privacybeleid aanvaardt. Als u niet akkoord gaat met de wijzigingen, moet u het gebruik van onze diensten staken.

15.1 Toepasselijk recht

Dit Privacybeleid en alle geschillen die daaruit voortvloeien, worden beheerst door en geïnterpreteerd in overeenstemming met het recht van Nederland, zonder rekening te houden met conflicterende rechtsbeginselen.

15.2 Bevoegdheid

Alle geschillen die voortvloeien uit dit Privacybeleid vallen onder de exclusieve bevoegdheid van de rechtbanken van Amsterdam, Nederland.

15.3 Alternatieve geschillenbeslechting

Wij moedigen een minnelijke schikking van geschillen aan. Neem voordat u een gerechtelijke procedure start contact met ons op via privacy@enigmalabs.nl om tot een oplossing te komen. Wij zullen alle privacyklachten binnen 5 werkdagen bevestigen en binnen 30 dagen een inhoudelijk antwoord geven.

15.4 Overmacht

Wij zijn niet aansprakelijk voor het niet of te laat nakomen van onze verplichtingen uit hoofde van dit Privacybeleid wanneer dit het gevolg is van omstandigheden buiten onze redelijke controle, met inbegrip van maar niet beperkt tot:

• Natuurrampen of pandemieën
• Oorlog, terrorisme of burgerlijke onrust
• Overheidsmaatregelen of -regelgeving
• Storingen in internet of telecommunicatie
• Cyberaanvallen of beveiligingsincidenten buiten onze redelijke controle

15.5 Scheidbaarheid

Indien een bepaling van dit Privacybeleid door een bevoegde rechtbank ongeldig, onwettig of niet-afdwingbaar wordt bevonden, wordt deze bepaling geschrapt en blijven de overige bepalingen onverminderd van kracht.

15.6 Volledige overeenkomst

Dit Privacybeleid vormt samen met onze Algemene Voorwaarden en Verwerkersovereenkomst (indien van toepassing) de volledige overeenkomst tussen u en Enigma Labs BV met betrekking tot de verwerking van persoonsgegevens en vervangt alle eerdere overeenkomsten en afspraken.

15.7 Afstand

Geen enkele afstand van enige bepaling van dit Privacybeleid is van kracht, tenzij deze schriftelijk is vastgelegd en ondertekend door de partij die afstand doet. Het niet afdwingen van een recht houdt geen afstand van dat recht in.

16.1 Vragen over privacy

Voor algemene vragen over privacy, verzoeken van betrokkenen of zorgen over dit Privacybeleid:

E-mail: privacy@enigmalabs.nl

Postadres: Enigma Labs BV T.a.v.: Privacy Team Korte Lijnbaanssteeg 1 1012SL Amsterdam Nederland

16.2 Functionaris voor Gegevensbescherming

We hebben vrijwillig een Functionaris voor Gegevensbescherming (FG) aangesteld die verantwoordelijk is voor het toezicht op onze strategie voor gegevensbescherming en de naleving daarvan.

Contactgegevens FG:

| Veld | Gegevens | |------|----------| | E-mail | dpo@enigmalabs.nl | | Postadres | Enigma Labs BV, T.a.v.: Functionaris voor Gegevensbescherming, Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Nederland |

U kunt rechtstreeks contact opnemen met de FG voor:

• Vragen over onze praktijken op het gebied van gegevensbescherming
• Zorgen over hoe wij omgaan met persoonsgegevens
• Verzoeken van betrokkenen
• Meldingen van datalekken
• Vragen over regelgeving

16.3 Toezichthoudende autoriteit

U hebt het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens:

Autoriteit Persoonsgegevens (AP)

| Veld | Gegevens | |------|----------| | Adres | Bezuidenhoutseweg 30, 2594 AV Den Haag, Nederland | | Telefoon | +31 70 888 8500 | | Website | https://autoriteitpersoonsgegevens.nl | | E-mail | info@autoriteitpersoonsgegevens.nl |

16.4 Algemene ondersteuning

Voor ondersteuningsvragen die geen betrekking hebben op privacy:

| Doel | Contact | |------|---------| | Algemene ondersteuning | support@enigmalabs.nl | | Website | https://enigmalabs.nl/support |

| Veld | Gegevens | |------|----------| | Documenttitel | Privacybeleid | | Bedrijf | Enigma Labs BV | | Rechtsvorm | Besloten Vennootschap (BV) | | Vestigingsadres | Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Nederland | | KvK-nummer | 99568322 | | Land van vestiging | Nederland | | Versie | 1.0 | | Ingangsdatum | 22 januari 2026 | | Laatst bijgewerkt | 28 januari 2026 | | Rechtsgebied | Nederland / Europese Unie | | Toepasselijk recht | AVG (EU) 2016/679, Nederlandse Uitvoeringswet AVG (UAVG) |

Gerelateerde documenten

| Document | URL | Beschrijving | |----------|-----|--------------| | Algemene Voorwaarden | https://enigmalabs.nl/terms | Voorwaarden voor het gebruik van onze diensten | | Cookiebeleid | https://enigmalabs.nl/cookies | Hoe wij cookies gebruiken | | Verwerkersovereenkomst | https://enigmalabs.nl/dpa | Gegevensverwerkingsvoorwaarden voor zakelijke klanten | | Lijst van sub-verwerkers | https://enigmalabs.nl/legal/sub-processors | Actuele lijst van sub-verwerkers |

Dit Privacybeleid is opgesteld in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) en de Nederlandse wetgeving inzake gegevensbescherming. Het is bedoeld om transparantie te bieden over onze gegevensverwerkingsactiviteiten en tegelijkertijd de legitieme belangen van Enigma Labs BV en onze klanten te beschermen.

© 2026 Enigma Labs BV. Alle rechten voorbehouden.