Privacy Verklaring
Versie 1.6 | 10 Mei 2022
Jij bent vast benieuwd wat we met je gegevens doen! Goed om je af te vragen natuurlijk. We vinden het belangrijk dat je op de hoogte bent over hoe wij met je gegevens omgaan want wij respecteren je privacy. In deze Privacy Verklaring leggen we uit hoe we omgaan met je persoonlijke gegevens en waarom we dat doen. Heb je er vragen over? Je kunt ons bereiken op [email protected]
Onze basisuitgangspunten zijn:
- We zullen te allen tijde je persoonsgegevens veilig bewaren en privé houden
- We zullen je data niet verkopen
- We geven je altijd de mogelijkheid om je voorkeuren over marketing aan te passen
1. Inleiding
Dit is de Privacy Verklaring van Flow Money Automation B.V. Wij doen ons best om jou te helpen grip op je financiële zaken te krijgen. In deze Privacy Verklaring beschrijven we welke persoonsgegevens we verwerken en waarom we die nodig hebben. Wij willen duidelijk en transparant zijn in welke persoonsgegevens we verwerken en waarom we die nodig hebben. We hebben ons bedrijf zo ingericht dat je privacy altijd als eerste wordt gewaarborgd volgens de principes van privacy by design en privacy by default. Flow is door een onafhankelijke auditor beoordeeld en is ISO27001 gecertificeerd. Dit is de standaard op het gebied van informatiebeveiliging. Op deze manier kunnen wij aantonen dat informatiebeveiliging bij Flow een belangrijk element is. Jaarlijks worden wij daarop beoordeeld door onafhankelijke auditors die ons scherp houden. Je kunt ons certificaat hier vinden.
Wij zullen, ondere andere:
- Het gebruik van je persoonlijke gegevens beperken tot het minimale wat er nodig is om Onze Diensten uit te kunnen voeren
- Ons continue informeren en laten adviseren over de verplichtingen op grond van privacywetgeving
- Betrokken personeel bewust maken en trainen om jouw privacy te waarborgen
- Samenwerken met de nationale toezichthouders (AFM, DNB, AP, FIOD)
- Strikte beveiligingsnormen en -procedures hanteren om ongeoorloofde toegang tot jouw gegevens door iedereen, inclusief ons personeel, te voorkomen
- Alleen samenwerken met partners die voldoen aan ons strenge informatiebeveiligingsbeleid zodat we jouw privacy kunnen waarborgen
Wij behouden ons het recht onze Privacy Verklaring eenzijdig aan te passen. Het kan zijn dat je Onze Diensten niet kunt gebruiken totdat je de laatste versie van onze Privacy Verklaring hebt geaccepteerd. Wanneer er wijzigingen zijn aan de Privacy Policy dan stellen we je daarvan op de hoogte. De nieuwste versie is altijd te bekijken via: https://flowyour.money/privacy.
2. Over ons
Flow is verantwoordelijk voor de verwerking van je gegevens. Dit nemen wij zeer serieus. Jij wilt natuurlijk ook weten wie wij zijn. Hier heb je alvast onze gegevens:
Flow Money Automation B.V. Riperwei 54 8406 AK Tijnje Kamer van Koophandel: 72829796 E-mail: [email protected]
Flow heeft een zogenaamde 'PSD2-licentie'. Dat is een vergunning van De Nederlandsche Bank waarmee we onze betalingsdiensten kunnen aanbieden. PSD2 staat voor 'Payment Services Directive 2' en is de richtlijn die ervoor zorgt dat Europese consumenten hun bank kunnen vragen om gegevens te delen met bedrijven zoals Flow, op een veilige en verantwoorde manier. Flow heeft sinds 13 juli 2020 een vergunning om jouw rekeninginformatie in te zien (Dienst 8) en om betaalinitiaties uit te voeren (Dienst 7), uiteraard alleen met jouw expliciete toestemming. Je kunt ons vinden in het DNB Register betaalinstellingen onder het nummer: R166735
3. Cookies
We gebruiken cookies om je te onderscheiden van andere bezoekers op onze Site. Zo krijgen wij een beter beeld van onze bezoekers en kunnen wij de gebruikservaring van de Site verbeteren. Wil je meer weten over de cookies en ons doel daarmee? Bekijk dan ons cookie beleid.
4. Type gegevens die we verzamelen
Bij het uitvoeren van Onze Diensten verzamelen en verwerken we gegevens over jou. Er zijn verschillende redenen waarom we deze data verwerken. Hieronder een toelichting over wat voor, hoe lang en waarom we jouw gegevens bewaren:
- ID gegevens:
Personalia (naam, geboortedatum, geboorteplaats, geslacht), ID-document, adres, bedrijfsgegevens (KVK-nummer, UBO-informatie) - Communicatiegegevens:
Social media profiel, e-mailadres, mobiele telefoonnummer - Identificatiegegevens:
E-mailadres, mobiele telefoonnummer - Bankinformatie:
Gekoppelde banken, jouw naam bekend bij de bank, IBAN-nummer(s), saldi - Transactie informatie:
Per transactie (datum en tijd, transactiebedrag, beschrijving(en), IBAN-nummer(s), transactie bijlagen, tegenpartij(en)) en algemeen (saldi) - Technische informatie:
Een uniek identificatienummer, IP-adres, time zone setting, besturingssysteem en platform, apparaat informatie, sessie informatie, URL's die je bekijkt op onze Site, errors, duur van je bezoek, pagina interactie informatie (scroll-gedrag, muisklikken) - Anti Money Laundering (AML):
Achtergrond checks, analyse van transacties en betaalinitiaties
Overzicht met gegevens
| Wat? | Doel? | Grondslag? | Wanneer? |
|---|---|---|---|
| ID gegevens | - Identificatie - Onze dienstverlening - Analyse gebruik van de App | - Wettelijke verplichting - Toestemming | - Tijdens het verbinden van de App met jouw bank - Tijdens het gebruik van de App |
| Communicatiegegevens | - Onze dienstverlening | - Gerechtvaardigd belang | - Door te communiceren met Flow - Tijdens de registratie |
| Identificatiegegevens | - Identificatie - Onze dienstverlening - Communicatie | - Gerechtvaardigd belang - Uitvoering van de overeenkomst | - Tijdens de registratie |
| Bankinformatie | - Onze dienstverlening | - Toestemming | - Tijdens het verbinden van de App met jouw bank |
| Transactie informatie | - Onze dienstverlening - Tegen witwassen en financiering terrorisme | - Toestemming | - Tijdens het verbinden van de App met jouw bank |
| Technische informatie | - Onze dienstverlening - Analyse gebruik van de App | - Uitvoering van de overeenkomst - Toestemming | - Tijdens het gebruik van de Site en App |
| Anti Money Laundering (AML) | - Tegen witwassen en financiering terrorisme | - Wettelijke verplichting | - Na het verifiëren van je ID - Bij iedere binnenkomende transactie - Bij iedere betaalinitiatie |
5. Opslaan van gegevens
De gegevens die wij verzamelen (ID gegevens, communicatiegegevens, identificatiegegevens, bankinformatie, transactie informatie, technische informatie, anti money laundering) worden verstuurd naar, en bewaard bij, een locatie in de Europese Economische Ruimte (“EER”): Amazon Web Services in Frankfurt, Duitsland. We werken uitsluitend met partners die aan de beveiligingseisen voldoen en aansluiten op onze Privacy Verklaring.
- De gegevens die wij verzamelen bewaren wij op veilige servers. Het versturen van versleutelde gegevens gebeurd middels Transport Layer Security technologie (“TLS”).
- Wij hebben geschikte (technische en organisatorische) maatregelen genomen om je gegevens te beschermen. Wij beschermen onze apparatuur met wachtwoorden, beveiligingsprocedures zoals twee-staps verificatie en encryptie van het opslagmedium.
- Een groot deel van het opslaan van de gegevens is wettelijk verplicht volgens de Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme). Daardoor moeten wij alle transacties controleren en wanneer ze ongebruikelijk zijn melden bij de toezichthouder.
Een deel van de gegevens (communicatiegegevens) wordt opgeslagen bij onze leveranciers (waaronder Google, Facebook, Twitter en Gist) omdat we gebruik maken van hun diensten. Voor zover mogelijk zullen wij eisen dat dit opgeslagen wordt binnen de Europese Economische Ruimte (“EER”).
Zoals je kunt lezen zullen we ons uiterste best doen om je persoonlijke gegevens te beveiligen. We hebben interne procedures en beleid omtrent de veiligheid van ons product om ongewenste toegang te voorkomen.
Wanneer verwijderen we jouw gegevens?
| Type | Hoe lang bewaren we het? | Waarom? |
|---|---|---|
| ID gegevens | 5 jaar | Wettelijke verplichting |
| Communicatiegegevens | 1 jaar | AVG |
| Identificatiegegevens | 1 jaar | AVG |
| Bankinformatie | 5 jaar | Wettelijke verplichting |
| Transactie informatie | 5 jaar | Wettelijke verplichting |
| Technische informatie | 1 jaar | AVG |
| Anti Money Laundering (AML) | 5 jaar | Wettelijke verplichting |
Protocol Datalekken
We hebben strenge maatregelen genomen om je persoonlijke gegevens te beschermen. Daarnaast is bij Flow het Protocol Datalekken van het AP actief. Aan de hand van dit protocol wordt bepaald of er sprake is van een datalek en onder welke voorwaarden dat gemeld moet worden bij de Autoriteit Persoonsgegevens (AP). We communiceren hier graag transparant en eerlijk met je over.
6. Uitwisselen van gegevens
We wisselen persoonlijke gegevens uit met de volgende instanties om Flow diensten te kunnen aanbieden:
Autoriteiten
Wij zijn wettelijk verplicht om ongebruikelijke transacties te melden bij de autoriteiten (Financial Intelligence Unit Nederland). Het kan voorkomen dat we je beperkingen opleggen of uitsluiten van het gebruik van Flow op basis van ongebruikelijke transacties.
Banken en financiële dienstverleners
Wij werken samen met deze partijen om Onze Diensten te kunnen aanbieden. Onze rol is om jouw persoonsgegevens te beschermen en wij zullen nooit zonder legitieme reden gegevens uitwisselen. Je gegevens zullen alleen verzonden worden naar deze dienstverleners wanneer je ons hebt gevraagd hun dienst te gebruiken.
Ten behoeve van boekhouder
In sommige gevallen kunnen wij ook gegevens delen met jouw accountant. Als jouw accountant gebruik maakt van SnelStart, dan kan jouw accountant via onze samenwerkingspartner SnelStart om jouw toestemming vragen om gegevens vanuit jouw Flow account met hem of haar te delen.
Door jouw gegevens in Flow te koppelen aan de SnelStart omgeving van jouw accountant, kan jouw accountant zijn dienstverlening en jouw Flows optimaliseren. Ook kan jouw accountant door toegang te krijgen tot jouw gegevens in Flow zijn eigen flows met jou delen, zodat jij daar gebruik van kan maken.
We delen alleen gegevens met jouw accountant als jij daarvoor toestemming geeft. De toestemming die jij daarvoor aan jouw accountant via onze app geeft, kan je altijd gemakkelijk via de Flow app weer intrekken, zodat jouw accountant niet langer de gegevens vanuit jouw Flow account kan inzien.
Door jouw Flow gegevens met jouw accountant te delen, krijgt jouw accountant in zijn of haar SnelStart omgeving inzicht in jouw persoonlijke Flows, de naam van jouw rekening(en), IBAN nummers, gegevens van de tegenrekening, bedragen en transactieomschrijvingen.
Voor meer informatie over de samenwerking tussen Flow en SnelStart bekijk deze pagina.
Advertentie en analyse dienstverleners
We gebruiken een derde partij om analyses te doen over het gebruik van de Site (Google Analytics) en de App (Mixpanel). We wisselen geen persoonlijke gegevens uit maar stellen een profiel op van je gebruik zodat we verschillende soorten gebruikersgroepen kunnen definiëren. Wij anonimiseren je gegevens om je privacy te beschermen.
7. Communicatie
We vinden het belangrijk om uit te leggen hoe we je gegevens gebruiken om met je te communiceren en te vermelden dat jij het recht hebt om je hiervoor uit te schrijven. Je kunt je op ieder moment uitschrijven van onze mailings door onderaan de e-mail op “uitschrijven” te drukken of door contact op te nemen met [email protected].
8. Je rechten
Je hebt natuurlijk rechten omtrent de persoonlijke gegevens die wij verzamelen. Je kunt contact opnemen met Flow via [email protected] om je verzoek te doen.
Het recht op inzage
Je hebt het recht inzage te vragen in de persoonsgegevens die wij verwerken. Wij zullen een kopie verstrekken van de persoonsgegevens die worden verwerkt.
Het recht op rectificatie
Wanneer jouw gegevens niet kloppen kun je ons verzoeken de gegevens aan te passen. Wij zullen dit dan corrigeren.
Het recht op gegevenswissing (vergetelheid)
Door gebruik te maken van de Diensten van Flow verzamelen we gegevens. Je hebt het recht om aan ons te vragen deze gegevens van onze systemen te verwijderen. Wij zullen aan deze eis voldoen zonder onredelijke vertraging, en wanneer het redelijkerwijs binnen onze macht is.
Wanneer je je account niet meer gebruikt kun je contact opnemen via [email protected] om te verzoeken je gegevens van onze system te verwijderen.
Het recht op overdraagbaarheid (dataportabiliteit)
Je kunt ons verzoeken om je persoonsgegevens over te dragen in een gestructureerde, gangbare en machineleesbare vorm. Op die manier kun je je gegevens zonder obstakels overdragen aan een nieuwe dienstverlener.
Het recht van bezwaar of beperking van de verwerking
In sommige gevallen kan je bezwaar maken tegen het gebruik van jouw gegevens of heb je het recht op de beperking van de verwerking.
Je hebt in twee situaties het recht om aan ons te vragen jouw persoonsgegevens niet meer te gebruiken. Dit heet het recht van bezwaar. Ten eerste wanneer wij jouw gegevens gebruiken voor direct marketing. Ten tweede kan je bezwaar maken tegen het gebruik van jouw persoonsgegevens vanwege jouw specifieke situatie.
Het recht van beperking van de verwerking geldt bijvoorbeeld wanneer jouw gegevens onjuist zijn, de verwerking onrechtmatig is of wanneer het verwerken van persoonsgegevens niet meer nodig is.
Afhandeling verzoeken
We zullen proberen de legitieme verzoeken binnen een maand te voldoen. In uitzonderlijke gevallen kan het langer duren dan een maand, wij vragen hiervoor je begrip.
Als we jouw toestemming nodig hebben
Als wij jouw gegevens verwerken op basis van toestemming, dan heb je altijd het recht om jouw toestemming in te trekken. Dit kan je eenvoudig doen door een e-mail te sturen naar [email protected].
Als we geen andere grondslag hebben voor de gegevens die we op basis van toestemming verwerken, zullen we deze gegevens niet meer gebruiken en verwijderen.
Klachten
Bij klachten over bijvoorbeeld de manier waarop wij jouw gegevens gebruiken of hoe wij reageren op jouw privacy gerelateerde vragen, kan je een klacht indienen bij de Autoriteit Persoonsgegevens.