Skip to main content
Veyron
Menu

Privacybeleid

Versie 1.0 — 5-1-2026

1. Wie we zijn

Veyron

  • Adres: Hazegoedweg 40, 8800 Roeselare, België
  • Ondernemingsnummer (KBO): BE1029.939.169
  • E-mail: privacy@veyron.digital
  • Privacycontact (intern): Finance & Legal / complianceverantwoordelijke

Veyron is niet verplicht om een functionaris voor gegevensbescherming (DPO) aan te stellen. Voor vragen over deze privacyverklaring of de verwerking van persoonsgegevens kan u ons bereiken via het mailadres privacy@veyron.digital .

Veyron helpt ondernemingen groeien via digitalisatie, automatisatie, AI-ondersteunde processen en activatie.

1.1 In het kort

  • Wij verwerken persoonsgegevens om vragen te behandelen, onze diensten te leveren, onze administratie te voeren en – enkel na toestemming of binnen redelijke B2B-verwachtingen – relevante communicatie te sturen.
  • Wij gebruiken AI uitsluitend als ondersteunend hulpmiddel (analyse, samenvatting, documentcreatie) en valideren output altijd door een medewerker vóór gebruik.
  • Waar mogelijk kiezen wij EU-verwerking of EU-datacenters. Als gegevens buiten de EER worden verwerkt, gebruiken wij doorgaans SCC’s en voeren wij een transfer impact assessment uit, aangevuld met technische maatregelen.
  • Wij hanteren bewaartermijnen als operationele maxima en verwijderen of anonimiseren gegevens wanneer de termijn is verstreken, tenzij een wettelijke verplichting of een geschil een langere bewaring vereist.
  • U kan uw AVG-rechten uitoefenen via privacy@veyron.digital en u kan zich steeds verzetten tegen verwerkingen op basis van gerechtvaardigd belang.

2. Rollen: verwerkingsverantwoordelijke, verwerker en gezamenlijke verantwoordelijkheid

Veyron kan, afhankelijk van de context, optreden als verwerkingsverantwoordelijke, als verwerker of, in uitzonderlijke gevallen als gezamenlijke verwerkingsverantwoordelijke.

2.1 Wanneer Veyron verwerkingsverantwoordelijke is

Veyron is verwerkingsverantwoordelijke voor persoonsgegevens die wij verwerken voor onze eigen bedrijfsvoering, waaronder:

  • gebruik van de website, formulieren en digitale intake ;
  • communicatie en opvolging van vragen ;
  • CRM-beheer, administratie en facturatie ;
  • marketing en relatiebeheer (binnen de grenzen van toestemming of gerechtvaardigd belang) ;
  • beveiliging, logging en interne kwaliteitscontrole .

2.2 Wanneer Veyron verwerker is

Wanneer wij persoonsgegevens verwerken in het kader van klantprojecten of dienstverlening, treden wij doorgaans op als verwerker en verwerken wij gegevens uitsluitend volgens de instructies van de klant (verwerkingsverantwoordelijke).

Als verwerker verwerken wij in generieke termen projectcontacten, projectdocumenten en – indien door de klant aangeleverd – andere noodzakelijke persoonsgegevens om de overeengekomen diensten te leveren (bijv. analyse, automatisatie, rapportage of documentopmaak). Wij verwerken deze gegevens uitsluitend volgens gedocumenteerde instructies, met passende beveiliging, en wij leggen details (doeleinden, categorieën, subverwerkers, locaties en bewaartermijnen) vast in de projectovereenkomst en/of verwerkersovereenkomst (DPA).

2.3 Hoe de rolverdeling wordt vastgelegd

De concrete rolverdeling (verwerkingsverantwoordelijke, verwerker of gezamenlijke verwerkingsverantwoordelijkheid) wordt per project of dienst schriftelijk vastgelegd in de overeenkomst en, waar van toepassing, in een verwerkersovereenkomst (Data Processing Agreement). Dit omvat onder meer de categorieën gegevens, doeleinden, beveiligingsmaatregelen, (sub)verwerkersketen en afspraken rond internationale doorgiften.

2.4 Gezamenlijke verwerkingsverantwoordelijkheid

In sommige projecten bepalen Veyron en een partner samen de doeleinden en middelen van de verwerking (bijvoorbeeld bij gezamenlijke events, co-marketingcampagnes of gedeelde digitale tools). In die gevallen treden wij op als gezamenlijke verwerkingsverantwoordelijken. Wij leggen onze respectieve verantwoordelijkheden vast in een gezamenlijke regeling (art. 26 AVG), waarin onder meer wordt bepaald wie welke informatieverplichtingen op zich neemt en bij wie u uw rechten kan uitoefenen. De essentie van deze regeling wordt per project gecommuniceerd via de relevante event- of campagnepagina’s en/of in de inschrijvingsformulieren.

3. Welke persoonsgegevens wij verwerken

Wij verwerken uitsluitend persoonsgegevens die noodzakelijk zijn voor onze dienstverlening en werking.

3.1 Identificatie- en contactgegevens

  • naam en voornaam
  • bedrijfsnaam en functie
  • e-mailadres
  • telefoonnummer
  • adresgegevens (indien nodig voor facturatie of contractuele documenten)

3.2 Gegevens die u verstrekt via formulieren of communicatie

  • inhoud van uw vraag of aanvraag
  • informatie over uw organisatie, systemen en context (voor zover u die deelt)
  • documenten of bestanden die u uploadt (voor zover noodzakelijk en toegestaan)
  • inhoud van correspondentie via e-mail of andere communicatiekanalen

3.3 Technische gegevens (via cookies en analytics)

  • IP-adres
  • browser- en toesteltype
  • bezochte pagina’s en interacties
  • cookie-informatie en trackingdata (voor zover u hiervoor toestemming geeft)

Zie ons cookiebeleid voor volledige details.

3.4 Gegevens verwerkt via AI-systemen (AI-transparantie)

Wanneer wij AI-systemen inzetten (zoals OpenAI Business, Azure OpenAI of automatisatieplatformen), verwerken wij uitsluitend:

  • bedrijfsinformatie
  • niet-gevoelige persoonsgegevens die noodzakelijk zijn voor de opdracht
  • geanonimiseerde of gepseudonimiseerde scan- en projectgegevens, waar mogelijk

Wij verwerken geen bijzondere categorieën persoonsgegevens (zoals gezondheid, religie, politieke voorkeur of biometrische gegevens) via AI-tools, tenzij dit vooraf schriftelijk werd overeengekomen en passende waarborgen gelden.

AI-output wordt steeds door een medewerker gevalideerd vóór gebruik en wordt nooit autonoom gebruikt voor bindende beslissingen.

4. Doeleinden, rechtsgronden en koppeling met gegevens

Wij verwerken persoonsgegevens voor de onderstaande doeleinden, telkens op basis van een duidelijke en geldige rechtsgrond. Waar wij ons beroepen op gerechtvaardigd belang, voeren wij een belangenafweging (Legitimate Interest Assessment, LIA) uit. Typische voorbeelden zijn B2B-CRM/prospectbeheer, beveiliging en interne kwaliteitsbewaking. In de LIA wegen wij onze nood aan efficiënte bedrijfsvoering af tegen uw redelijke verwachtingen, de beperkte impact door dataminimalisatie en passende waarborgen, en uw recht op bezwaar. U kan een korte samenvatting van de relevante LIA opvragen via privacy@veyron.digital.

Doel Voorbeelden van gegevens Rechtsgrond Bewaartermijn (max.) Opmerkingen
Contact & opvolging van aanvragen naam, functie, e-mail, telefoon, inhoud van uw vraag precontractuele noodzaak of gerechtvaardigd belang tot 3 jaar na laatste interactie Verwerking gebeurt door interne teams en kan verlopen via Zoho One (bijv. CRM/forms) en e-mail/communicatietools. Waar die tools buiten de EER verwerken, gelden de waarborgen uit de sectie ‘Internationale doorgiften’.
Oriëntatiescan / intake (digitale scan) input uit formulieren, basiscontext over systemen en doelen precontractuele noodzaak of gerechtvaardigd belang scan-invoer: max. 18 maanden Interne consultants verwerken de scan. Voor formulieren/scan-tools en eventuele AI-ondersteuning kunnen verwerkers worden ingezet. Scan-invoer kan – indien relevant voor de gevraagde analyse – via AI-platformen worden verwerkt voor samenvatting/structurering; zie sectie ‘AI-gebruik’ en ‘Internationale doorgiften’.
CRM-prospectbeheer & B2B-relatiebeheer contactgegevens, interactiehistoriek, notities over zakelijke context gerechtvaardigd belang (B2B-relatiebeheer) tot 3 jaar na laatste interactie Wij baseren prospect- en B2B-relatiebeheer op gerechtvaardigd belang (efficiënte zakelijke communicatie). Wij beperken dit tot professionele contactgegevens, relevante zakelijke inhoud en redelijke contactfrequentie. Onze LIA weegt uw redelijke verwachtingen en de beperkte impact (dataminimalisatie, bezwaarrecht) af tegen onze nood aan relatiebeheer. Verwerking gebeurt typisch in Zoho One (CRM) en gekoppelde tools; zie ‘Internationale doorgiften’ indien een provider buiten de EER verwerkt.
Uitvoering van diensten & projectwerking projectcontacten, deliverables, noodzakelijke projectbestanden noodzaak voor uitvoering overeenkomst tot 3 jaar na afronding van het project Klant-specifieke (sub)verwerkers kunnen worden ingezet (hosting, integratie, samenwerkingstools, AI). Per project leggen wij dit vast in de overeenkomst en/of DPA, inclusief verwerkingslocaties en doorgiften. Een actuele (sub)verwerkerlijst is op verzoek beschikbaar.
Facturatie & boekhouding facturatiegegevens, betaalinformatie, contractreferenties wettelijke verplichting 7 jaar (fiscale bewaarplicht) Gegevens worden gedeeld met boekhoudsoftware, accountants en banken. Indien cloud-boekhouding buiten de EER verwerkt, gebeurt dit onder SCC’s en aanvullende maatregelen zoals beschreven in ‘Internationale doorgiften’.
Marketingnieuwsbrieven & campagnes naam, e-mail, voorkeuren, interactie met e-mails toestemming tot intrekking van toestemming E-mailmarketing gebeurt op basis van opt-in toestemming (geen soft opt-in, tenzij wij dit expliciet communiceren). Afmelden kan steeds via de link in elke e-mail of via privacy@veyron.digital. Verwerking kan gebeuren via e-mailmarketingplatform(en) en CRM. Eventuele doorgiften buiten de EER vallen onder SCC’s en aanvullende maatregelen.
Website-analyse & optimalisatie cookie-ID’s, IP-adres (afgekort waar mogelijk), gedrag op de site toestemming (cookiebanner) analyticsdata: max. 13 maanden Analytics en optimalisatie gebeuren alleen na cookie-toestemming (niet op gerechtvaardigd belang). Voorbeelden van tools zijn Zoho PageSense/CMP en gekoppelde analytics. Details per cookie/vendor staan in de cookieverklaring.
Beveiliging, logging & incidentbeheer toegangslogs, beveiligingsevents, technische metadata gerechtvaardigd belang en/of wettelijke verplichting typisch 12 maanden, langer bij incident Logs en security-events kunnen worden verwerkt door hostingproviders, netwerk-/securitytools en audit-logging binnen onze platformen (bijv. Zoho). Logs worden niet voor marketing gebruikt. Waar mogelijk worden logs in EU-omgevingen opgeslagen; anders onder SCC’s en aanvullende maatregelen.
AI-ondersteunde analyse, samenvatting & documentcreatie (projectmatig) niet-gevoelige projectinformatie en noodzakelijke persoonsgegevens uitvoering overeenkomst (of precontractueel) volgt de bewaartermijn van het project AI wordt uitsluitend ingezet als verwerker in enterprise-omgevingen (bijv. OpenAI Business/Enterprise of Azure OpenAI), met configuraties die modeltraining op klantgegevens uitsluiten, met dataminimalisatie, versleuteling en strikte toegangscontrole. Waar beschikbaar kiezen wij EU-regio’s/EU-datacenters. Mogelijke doorgiften buiten de EER vallen onder SCC’s en aanvullende maatregelen.
Interne kwaliteitsverbetering geanonimiseerde of intern gegenereerde data; statistieken gerechtvaardigd belang zolang nodig voor kwaliteitsdoel Voor interne kwaliteitsdoeleinden gebruiken wij bij voorkeur geanonimiseerde of intern gegenereerde data en statistieken. Wij vermijden het gebruik van rechtstreeks identificeerbare persoonsgegevens voor dit doel.

5. Bewaartermijnen en opschoning

De in deze verklaring en tabel vermelde bewaartermijnen zijn operationele maxima. Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze werden verzameld, tenzij een wettelijke verplichting, een lopend geschil, bewijsvoering of verjaring een langere bewaring vereist.

Binnen onze interne data-retentiepolicy zijn processen ingericht om gegevens periodiek (minstens jaarlijks) te beoordelen en, wanneer de bewaartermijn is verstreken en geen uitzondering van toepassing is, gegevens te verwijderen of onomkeerbaar te anonimiseren. Waar dit technisch mogelijk is, configureren wij bewaartermijnen in systemen zodat automatische opschoning plaatsvindt.

Wij hanteren onder meer de volgende bewaartermijnen:

  • Contact- en prospectgegevens: tot 3 jaar na de laatste interactie.
  • Project- en klantgegevens: tot 3 jaar na afronding, tenzij een langere bewaring nodig is (bijvoorbeeld voor het behandelen van geschillen, contractuele aansprakelijkheid of verjaringstermijnen).
  • Facturatie en boekhouding: 7 jaar (fiscale bewaarplicht).
  • Marketingdata: tot intrekking van toestemming of bezwaar (waar toepasselijk).
  • Oriëntatiescan/invoer: maximaal 18 maanden.
  • Analyticsdata: maximaal 13 maanden (na toestemming via cookiebanner).

Veyron voert periodiek (minstens jaarlijks) een review uit van bewaartermijnen en verwijdert of anonimiseert gegevens wanneer de bewaartermijn is verstreken en geen legitieme uitzondering geldt.

6. Met wie wij gegevens delen

Wij delen persoonsgegevens niet met derden voor hun eigen marketingdoeleinden. Wij delen gegevens uitsluitend wanneer dit nodig is voor onze dienstverlening, voor wettelijke verplichtingen of met uw toestemming.

6.1 Verwerkers en subverwerkers

Wij werken samen met verwerkers voor operationele en technische ondersteuning. Onderstaande lijst is indicatief en wordt aangevuld per project en per gebruikte dienst. Een actuele (sub)verwerkerslijst is op verzoek beschikbaar.

  • Zoho One (CRM, administratie, formulieren, analytics).
  • cloud- en hostingproviders.
  • automatisatie- en integratieplatformen.
  • AI-platformen (zoals OpenAI Business of Azure OpenAI) die klantgegevens niet gebruiken voor modeltraining.
  • freelancers of partners die meewerken aan opdrachten, onder contractuele vertrouwelijkheid en securityvereisten.

Wij leggen verwerkersverplichtingen contractueel vast, inclusief beveiligingsmaatregelen, geheimhouding en instructies. Een actuele lijst van (sub)verwerkers kan u opvragen via privacy@veyron.digital.

6.2 Wettelijke instanties

Gegevens kunnen worden gedeeld met overheidsinstanties wanneer dit wettelijk verplicht is of wanneer een geldig verzoek wordt ontvangen.

7. Internationale doorgiften (buiten de EER)

Sommige van onze dienstverleners (bijvoorbeeld bepaalde cloud-, CRM-, e-mail-, analytics- of AI-providers) kunnen persoonsgegevens verwerken buiten de Europese Economische Ruimte (EER), bijvoorbeeld in de Verenigde Staten of andere derde landen.

Wanneer dit gebeurt, gebruiken wij in de regel de door de Europese Commissie goedgekeurde Standard Contractual Clauses (SCC’s) en voeren wij een transfer impact assessment (TIA) uit. Waar een adequaatheidsbesluit geldt, steunen wij daarop. Wij erkennen dat in bepaalde derde landen een rest-risico kan bestaan (Schrems II) en nemen daarom aanvullende maatregelen waar passend.

Naast contractuele waarborgen nemen wij, waar passend, aanvullende technische en organisatorische maatregelen, waaronder:

  • encryptie in transit en, waar beschikbaar, at rest; sleutelbeheer met beperkte toegang.
  • dataminimalisatie (alleen noodzakelijke gegevens) en beperking van identificeerbare data.
  • pseudonimisering of anonimisering wanneer de verwerking dit toelaat.
  • strikte toegangscontrole, logging en contractuele audit-/assurance-afspraken waar mogelijk.

Bij de keuze van leveranciers wordt, waar haalbaar, voorkeur gegeven aan EU-datacenters of EU-verwerking. Voor AI-verwerking gebruiken wij uitsluitend enterprise-configuraties (zoals OpenAI Business/Enterprise of Azure OpenAI) en configureren wij deze zodat klantgegevens niet worden gebruikt voor modeltraining. De concrete datalocatie en doorgiftegrondslag kan per dienst verschillen; waar dit relevant is, lichten wij dit toe in de overeenkomst/DPA en/of in specifieke notices (bijv. cookieverklaring).

8. AI-gebruik, governance en automatische besluitvorming

8.1 AI-platformen en configuratie

Wij gebruiken AI uitsluitend in enterprise-omgevingen en onder verwerkersafspraken. Per platform passen wij configuraties toe om risico’s te beperken, waaronder:

  • geen modeltraining op klant- of projectdata (contractueel en via tenant-instellingen waar beschikbaar);
  • dataminimalisatie: alleen de strikt noodzakelijke inhoud wordt verwerkt; waar mogelijk pseudonimisering/anonimisering;
  • versleuteling en strikte toegangscontrole (need-to-know, MFA) voor AI-omgevingen;
  • beperkte logging en retentie van prompts/outputs volgens contract en interne retentiepolicy;
  • voorkeur voor EU-regio’s/EU-datacenters waar de dienst dit toelaat.

Voorbeelden van gebruikte AI-platformen zijn OpenAI Business/Enterprise en Azure OpenAI. De concrete configuratie (regio, retentie, logging) kan per use case verschillen en wordt waar relevant vastgelegd in het projectdossier en/of DPA.

8.2 Rechtsgrond en transparantie bij AI

Wanneer AI wordt ingezet binnen klantprojecten is de rechtsgrond doorgaans de uitvoering van de overeenkomst of precontractuele noodzaak. Voor interne kwaliteitsverbetering baseren wij ons op gerechtvaardigd belang en gebruiken wij hiervoor in principe geanonimiseerde of intern gegenereerde data.

Wanneer een specifieke dienst AI intensief gebruikt (bijvoorbeeld een scan- of intake-tool), verstrekken wij bijkomende informatie via de relevante product- of dienstpagina’s, intake-informatie of projectdocumentatie.

8.3 Risicobeoordeling en DPIA

Wanneer AI-toepassingen een belangrijke rol spelen bij beoordelingen over personen of wanneer een verwerking naar haar aard, omvang of context een verhoogd risico kan opleveren, voeren wij een risicoanalyse uit en – indien vereist of aangewezen – een Data Protection Impact Assessment (DPIA). Dit geldt bijvoorbeeld bij profilering/scoring, systematische monitoring, grootschalige verwerking, combinatie van databronnen, gebruik van nieuwe technologie, of verwerking van bijzondere categorieën gegevens of gegevens van kwetsbare personen.

In de risicoanalyse/DPIA beoordelen wij onder meer: (i) de aard van de gegevens, (ii) de doeleinden en noodzaak/proportionaliteit, (iii) de omvang, duur en context, (iv) de mogelijke impact op rechten en vrijheden, en (v) de mitigerende maatregelen (menselijke controle, transparantie, beveiliging). Indien significante risico’s niet kunnen worden beperkt, passen wij de verwerking aan of voeren wij deze niet uit. .

8.4 Geen autonome beslissingen

Veyron voert geen automatische besluitvorming of profilering uit met rechtsgevolgen voor personen, zoals bedoeld in artikel 22 AVG/GDPR. AI-output wordt steeds door een medewerker gevalideerd en nooit autonoom gebruikt voor bindende beslissingen.

9. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, misbruik, ongeoorloofde toegang of openbaarmaking, rekening houdend met de stand van de techniek, de aard van de verwerking en de risico’s.

  • encryptie (in transit en waar mogelijk at rest)
  • multi-factor authenticatie
  • rolgebaseerde toegang en need-to-know
  • regelmatige back-ups en hersteltests
  • interne data-classificatie (publiek, intern, vertrouwelijk, persoonsgegevens)
  • gecontroleerde toegang tot AI-systemen en prompt-/outputrichtlijnen
  • logging en monitoring waar mogelijk

10. Uw rechten

U heeft, binnen de grenzen van de AVG/GDPR, de volgende rechten:

  • inzage in uw persoonsgegevens;
  • rectificatie van onjuiste gegevens;
  • wissing van gegevens (voor zover toegestaan);
  • beperking van verwerking;
  • overdraagbaarheid van gegevens (voor verwerkingen op basis van toestemming of overeenkomst);
  • bezwaar tegen verwerking op basis van gerechtvaardigd belang;
  • intrekking van toestemming (zonder afbreuk te doen aan de rechtmatigheid vóór intrekking).

U kan deze rechten uitoefenen door contact op te nemen via privacy@veyron.digital.

Om misbruik te voorkomen, kunnen wij in proportionele mate, bijkomende informatie vragen om uw identiteit te verifiëren.

Wij behandelen uw verzoek in principe binnen één maand. Bij complexe of talrijke verzoeken kan deze termijn worden verlengd met maximaal twee maanden; in dat geval informeren wij u tijdig over de verlenging en de reden.

11. Cookies & analytics

Onze website gebruikt functionele cookies en, na toestemming, analytische en marketingcookies. Zie ons cookiebeleid voor details.

12. Klachten

Indien u een klacht heeft over onze verwerking van persoonsgegevens, contacteer ons eerst via privacy@veyron.digital zodat wij kunnen proberen het probleem op te lossen.

U kan ook een klacht indienen bij de Gegevensbeschermingsautoriteit (GBA):

  • Adres: Drukpersstraat 35, 1000 Brussel
  • Website: www.gegevensbeschermingsautoriteit.be

13. Wijzigingen

Wij kunnen deze privacyverklaring aanpassen wanneer wetgeving, onze diensten of onze verwerkers wijzigen. De meest recente versie is beschikbaar via onze website en is van toepassing vanaf de datum van publicatie.