Inventarisatie van diensten en datastromen

  1. Website: Gebouwd met Squarespace. Bezoekers zien content en kunnen contactformulieren invullen. Squarespace verwerkt namens de site-eigenaar persoonsgegevens (contactgegevens, e-mail, IP, etc.). De site-eigenaar is verwerkingsverantwoordelijke; Squarespace is (zo nodig) verwerker onder DPA.

  2. Hosting/CDN: Websiteverkeer gaat via Cloudflare (reverse proxy/CDN). Cloudflare verwerkt persoonsgegevens (IP-adressen, bot-detectie-cookies, netwerkverkeer logs). Zij certificeren zich via het EU-VS Data Privacy Framework en/of standaard contractuele clausules. Cloudflare biedt DPO-contact, behandeling van rechtenverzoeken (SCC/DPF).

  3. Quote3D: Een externe dienst (Quote3D API/widget) voor directe 3D-offertes. Als de website deze integreert (bijv. modelupload door bezoeker), dan kunnen persoonsgegevens en modelbestanden naar Quote3D (Turkije) gaan. Quote3D treedt op als eigen verantwoordelijke voor deze verwerking, onder Turks recht. Quote3D’s privacy- en cookiebeleid beschrijven welke data zij verzamelen (accountgegevens, modeldata, IP, cookies) en hoe ze die beveiligen.

  4. Contactformulieren: Squarespace biedt eigen formulier-functionaliteit. Gegevens (naam, e-mail, bericht) worden verzameld door Squarespace (en kunnen naar e-mail van eigenaar worden gestuurd). Deze formulieren zijn persoonsgegevensdragers (naam, e-mail), waarvoor de site-eigenaar moet voldoen aan de informatieplicht (AVG art.13) door dit te vermelden in de privacyverklaring.

  5. Overige diensten: (Niet gespecificeerd, maar te overwegen) – e-mailverzending (mogelijk via Squarespace of eigen mailprovider), evt. betalings- of facturatiesysteem, sociale plug-ins, analytics. Hier veronderstellen we geen derden voor analyses of betaling, tenzij later anders blijkt.

Datastromen: Bezoekersdata gaat van de gebruiker via Cloudflare naar Squarespace. Squarespace biedt pagina’s en ontvang formulieren. Bij een formulier-aanvraag stuurt Squarespace (mailserver) een e-mail naar de site-eigenaar en slaat het formulier op (in Squarespace-omgeving). Voor Quote3D: bij gebruik stuurt de browser bezoeker (bijv. via een modal) de gegevens en modelbestanden naar Quote3D’s API, die de offerte berekent en terugstuurt. Data naar Quote3D omvat minimaal het 3D-model en instelparameters, mogelijk gebruikers-ID of e-mail indien vereist (zie Quote3D Privacy).

Verwerkers en subverwerkers: De belangrijkste verwerkers voor de site-eigenaar zijn Squarespace, Cloudflare en Quote3D. Squarespace’s DPA meldt dat Squarespace zelf sub-verwerkers inzet (bijv. Squarespace Inc. in VS voor een niet-EU-eigenaar), en dat Cloudflare (als externe) óók beoogt als sub-verwerker te gelden (Squarespace kan Cloudflare inschakelen voor CDN). Cloudflare gebruikt wereldwijd datacenters; het verwerkingsadressen zijn USA/EU/wereldwijd.

Bewaartermijnen en -basis: Persoonsgegevens (zoals contact- of bestelinformatie) worden bewaard zolang nodig is voor het doel (bijv. klantenbestand). De fiscale bewaarplicht (7 jaar na laatste factuur) is hier relevant. Google Analytics is niet vermeld, dus aannemen “geen analytics”, maar de cookieverklaring voorziet in een optie.

Juridische grondslagen: Meestal contractuele noodzaak (verwerken van order/contactgegevens), gerechtvaardigd belang (websitebezoek- en veiligheidsmonitoring) en – voor niet-noodzakelijke cookies en marketing – expliciete toestemming (AVG/Telecommunicatiewet).