Signicat ReadID Privacyverklaring

In dit privacybeleid leggen we uit hoe en op welke basis Signicat en de Inverid dochterondernemingen (vanaf nu Signicat) persoonlijke gegevens van betrokkenen, zoals gebruikers van onze diensten, medewerkers van onze klanten, sollicitanten en bezoekers van onze website, verzamelt, opslaat en verwerkt (zie definities hieronder). We leggen ook uit wat de rechten van betrokkenen zijn en wat onze verplichtingen en aansprakelijkheden zijn. Met voorbeelden maken we deze informatie begrijpelijker.

De kernactiviteit van Signicat is het leveren van de ReadID-identiteitsverificatietechnologie op basis van chips in door de overheid uitgegeven identiteitsdocumenten. ReadID wordt in de meeste gevallen geleverd als een clouddienst (software-as-a-service of SaaS) waarbij wij de persoonsgegevens van gebruikers verwerken volgens de instructies van onze klanten. In dit geval zijn onze klanten de verwerkingsverantwoordelijken die het doel van de verwerking van de persoonlijke gegevens van de gebruikers bepalen en dienovereenkomstig is Signicat een verwerker van gebruikersinformatie met betrekking tot de diensten die wij aanbieden. Om volledig te begrijpen hoe persoonlijke gegevens worden verwerkt, dienen betrokkenen ook het privacybeleid te bekijken van onze klanten die de uiteindelijke dienst aanbieden.

Naast het aanbieden van ReadID als clouddienst, hebben we ook een zogenaamde client-only versie, waarbij de verificatie van de chip op het identiteitsdocument en de data daarop uitsluitend op de mobiele telefoon van de gebruiker gebeurt. Er vindt hier dus geen verwerking van persoonsgegevens door Signicat via haar clouddiensten plaats. Onze publiekelijk beschikbare ReadID Me-app gebruikt bijvoorbeeld de client-only versie van ReadID.

In andere gevallen is Signicat de verwerkingsverantwoordelijke van persoonsgegevens, bijvoorbeeld met betrekking tot bezoekers van onze website en medewerkers van klanten die om ondersteuning vragen. Wij kunnen ook bepaalde geanonimiseerde informatie van ReadID-gebruikers verwerken voor de ontwikkeling en verbetering van onze diensten en voor marketing- en verkoopdoeleinden.

Uiteraard gaan wij in alle gevallen zorgvuldig om met de gegevens.

Hier vindt u de betekenis van de belangrijkste termen in dit privacybeleid, zodat u begrijpt hoe en waarvoor wij uw persoonsgegevens verwerken.

Verantwoordelijke: een rechtspersoon, overheidsinstantie, agentschap of ander orgaan dat, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt en instructies geeft met betrekking tot verwerkingsactiviteiten aan Inverid, tenzij Signicat optreedt als de gegevensbeheerder controleur.

Verwerker: Signicat is een verwerker van persoonsgegevens namens de verantwoordelijke, tenzij Signicat zelf optreedt als verantwoordelijke. Signicat kan gebruik maken van sub-verwerkers die, met instemming van de verantwoordelijke, bevoegd zijn om persoonsgegevens te verwerken.

Betrokkene/u: een natuurlijke persoon over wie wij informatie of gegevens hebben die de identificatie van de natuurlijke persoon mogelijk maken. Tot de betrokkenen behoren onder meer medewerkers van onze klanten, gebruikers van onze diensten voor identiteitsverificatie, bezoekers van onze website, sollicitanten en andere natuurlijke personen van wie wij persoonsgegevens kunnen verwerken.

Klant: de rechtspersoon aan wie wij op grond van een contractuele overeenkomst onze diensten verlenen.

Persoonsgegevens: informatie die u direct of indirect identificeert als persoon (d.w.z. de betrokkene), zoals uw naam en adres, e-mailadres of telefoonnummer. Gegevens over een rechtspersoon zijn geen persoonsgegevens, maar gegevens over een contactpersoon of medewerker van een rechtspersoon wel.

Verwerking: elke handeling die wordt uitgevoerd met persoonsgegevens, zoals het verzamelen, opslaan, gebruiken, verstrekken, verzenden en verwijderen ervan.

ReadID SaaS gebruiker: een natuurlijke persoon ten aanzien van wie wij op verzoek van onze klant de ReadID dienst verlenen. Dit kan via de kant-en-klare ReadID Ready app van Signicat of via de ReadID SaaS Software Development Kit (SDK) die de klant kan integreren in diens eigen mobiele applicatie. Zowel de Ready app als de SDK communiceren met een SaaS-server van een openbare cloudaanbieder. Op deze server worden alle daadwerkelijke gegevensverwerkingen en -verificaties uitgevoerd.

ReadID Me gebruiker: een natuurlijke persoon die gebruik maakt van onze persoonlijke en klantgerichte ReadID Me-applicatie.

ReadID Client-Only gebruiker: een gebruiker van de client-only versie van ReadID die door een klant wordt verstrekt. 

Medewerker van de klant: een natuurlijke persoon die voorafgaand aan het sluiten van de contractuele overeenkomst en in het kader van de overeenkomst met Signicat als vertegenwoordiger van een klant handelt. 

Bezoeker: iedere persoon die interesse toont in Signicat of in onze ReadID producten en diensten, bijvoorbeeld bezoekers van onze website, lezers van onze nieuwsbrief, bezoekers van onze webinars, medewerkers van bedrijven die onze systemen op kwetsbaarheden testen of potentiële nieuwe medewerkers

Signicat verwerkt de persoonsgegevens van:

• ReadID SaaS Gebruikers, als verwerker voor onze klanten, d.w.z. de verantwoordelijken.
• Medewerkers van klanten, als verantwoordelijke.
• Bezoekers, als verantwoordelijke.

We verwerken geen persoonlijke gegevens van ReadID Me gebruikers, aangezien alle persoonlijke gegevens op de mobiele telefoon blijven waarop de ReadID Me applicatie draait. Voor klanten die gebruik maken van de client-only versie van ReadID geldt hetzelfde, aangezien Signicat hier ook geen persoonsgegevens ontvangt. In dit geval is de klant volledig verantwoordelijk voor de privacy van de persoonsgegevens die worden verwerkt. Omwille van transparantie hebben we echter het client-only gebruik van ReadID opgenomen in het privacybeleid. 

Dit privacybeleid heeft betrekking op de verwerking van persoonsgegevens door Signicat en zijn Inverid dochterondernemingen. Naast ReadID SaaS gegevens kunnen tussen deze rechtspersonen persoonsgegevens worden gedeeld voor zover dit wettelijk is toegestaan. 

Met betrekking tot ReadID SaaS gebruikers verwerkt Signicat namens een klant de persoonsgegevens. De klant is in dat geval de verantwoordelijke en Signicat de verwerker.

Persoonlijke gegevens die we verwerken over ReadID SaaS gebruikers: Signicat levert identiteitsverificatiediensten aan haar klanten. Dit betekent dat wij uw identiteit verifiëren namens de klant. Daarvoor hebt u niet alleen de gegevensverwerking erkend in overeenstemming met het privacybeleid van de klant maar ook de daaropvolgende gegevensverwerking door ons in overeenstemming met dit privacybeleid. Wij kunnen de volgende persoonsgegevens verzamelen en verwerken:

• Persoonsgegevens aanwezig in de chip van een door de gebruiker gepresenteerd identiteitsdocument, bijvoorbeeld een paspoort, identiteitskaart of rijbewijs.
• Persoonsgegevens aanwezig op de houderpagina (voor- en achterkant) van het gepresenteerde identiteitsbewijs.
• Een biometrische gezichtsscan (om te verifiëren dat een gebruiker de juiste persoon is door deze te vergelijken met de gezichtsafbeelding op het identiteitsdocument).
• IP-adres van de gebruiker.

Deze set van persoonsgegevens of een deel ervan, gecombineerd met niet-persoonlijke gegevens zoals de uitkomsten van de verschillende verificaties die wij uitvoeren, wordt conform een verwerkersovereenkomst op een veilige manier met de klant gedeeld. 

Voor prestatieverbeteringsdoeleinden van ReadID SaaS verzamelen we anonieme gebruiksinformatie van onze dienst, bijvoorbeeld om problemen met identiteitsdocumenten uit bepaalde landen op te sporen. Deze gebruiksinformatie bevat geen persoonlijke gegevens. Bovendien kan Signicat de gebruiksinformatie niet direct of indirect aan een specifieke persoon koppelen. Gebruiksinformatie wordt alleen gebruikt voor het verbeteren van de kwaliteit van ReadID en niet voor andere doeleinden. Signicat bewaart de gegevens slechts zo lang als nodig is om het aangegeven doel te verwezenlijken.

Concreet verzamelt Signicat de volgende gebruiksinformatie via de ReadID SaaS SDK:

• Telefoongegevens, inclusief telefoontype, Android/iOS-versie, iOS-versie en geheugencapaciteit. We verzamelen geen informatie die uniek is voor een bepaalde mobiele telefoon.
• Welk type identiteitsdocument is gescand en gelezen, of de scan succesvol was, of de chip succesvol is gelezen, welk land het identiteitsdocument heeft uitgegeven, het documentondertekeningscertificaat zoals opgeslagen op de chip en de vervaldatum. Wij verzamelen ook de vervaldatum, omdat wij hierdoor de versie van het gescande identiteitsbewijs kunnen vaststellen.
• Bruikbaarheidsinformatie: hoe lang duren de verschillende stappen als een gebruiker alle stappen heeft doorlopen en wat is de gebruiksfrequentie.

Signicat verwerkt deze informatie op beveiligde servers van een publieke cloudaanbieder. 

Persoonsgegevens die wij verwerken over medewerkers van klanten: Om een overeenkomst met Signicat aan te gaan, om onze dienst te verlenen, om te communiceren met de medewerker(s) van onze klant en om andere wettelijke redenen moeten we de gegevens van de medewerkers van de klant verwerken. Dit betekent dat wij onder meer de volgende persoonsgegevens van medewerkers van de klant kunnen verwerken:

• persoonlijke gegevens van de medewerker, zoals naam, functie en contactgegevens;
• persoonlijke informatie in verband met het verlenen van de dienst, zoals de inloggegevens van de medewerker voor het ReadID beheerportaal, inclusief gebruikersnaam, e-mailadres en mobiel telefoonnummer.

Persoonsgegevens die wij verwerken over bezoekers: Wij kunnen gegevens verzamelen wanneer u bijvoorbeeld onze website bezoekt (bijvoorbeeld door cookies te gebruiken), onze nieuwsbrief ontvangt (bijvoorbeeld bij inschrijving), een Signicat webinar bijwoont (bijvoorbeeld bij registratie) en/of solliciteert voor een baan bij Signicat. Deze persoonlijke gegevens kunnen onder meer als volgt zijn:

• Persoonlijke informatie, zoals IP-adres, tijd en locatie;
• Informatie over het gebruik van de website, zoals de pagina's die u bezoekt, de datum en tijd van uw bezoek, de bestanden die u downloadt en de URL's van de websites die u bezoekt voor en na het navigeren naar de website;
• e-mailadressen, wanneer u zich abonneert op de nieuwsbrieven van Signicat, de inhoud van Signicat downloadt of u registreert voor een Signicat-webinar;
• Identificatie en contactgegevens  als u besluit  een probleem te melden over een onderwerp dat wordt genoemd in ons Gecoördineerde Beleid voor het Openbaar maken van Kwetsbaarheden.
• Curriculum vitae en motivatiebrieven voor sollicitanten.

Persoonsgegevens die wij verwerken over ReadID Me gebruikers: Signicat levert de ReadID Me applicatie via de Play Store en de App Store. ReadID Me is voor uw persoonlijk gebruik en gratis beschikbaar. Wij bieden deze app aan zodat gebruikers kunnen zien wat er op de chip van hun identiteitsbewijs staat. Bovendien helpen de analyses en feedback die we krijgen ons om de onderliggende ReadID software en functionaliteit te verbeteren. De ReadID Me app werkt voor het verwerken van persoonsgegevens volledig lokaal. Dit betekent dat de app de gegevens die nodig zijn om toegang te krijgen tot de chip en de persoonlijke gegevens die daaruit worden gelezen lokaal op de mobiele telefoon van de ReadID Me gebruiker verwerkt. Deze gegevens worden niet gedeeld met Signicat of verzonden naar een server voor verwerking door Signicat. Ook worden de persoonlijke gegevens op de mobiele telefoon niet opgeslagen. Signicat verzamelt dus geen persoonlijke informatie. We weten en we willen niet weten wie de ReadID Me gebruikers zijn en wiens identiteitsdocumenten worden gescand.

Net als voor ReadID SaaS verzamelt ReadID Me anonieme gebruiksinformatie die door Signicat zal worden gebruikt om onze ReadID diensten te verbeteren (zie het gedeelte hierboven voor ReadID SaaS gebruikers).

Persoonlijke gegevens die we verwerken over ReadID Client-Only gebruikers: In dit geval verwerkt Signicat geen persoonlijke gegevens over de gebruiker. De klant mag persoonsgegevens verwerken en is volledig verantwoordelijk voor de privacy van de eventueel verwerkte persoonsgegevens in deze context. Tevens verzamelt Signicat ook geen geanonimiseerde gebruiksgegevens over deze gebruikers.

Hoe wij persoonlijke gegevens van een ReadID SaaS gebruiker verkrijgen: Wij ontvangen uw persoonlijke gegevens via een identiteitsverificatie die wij uitvoeren voor een dienst van een klant waarvan u gebruik maakt. De klant heeft ons contractueel gemachtigd om, in opdracht van hem, uw gegevens te verwerken in het kader van een bepaalde dienst. 

Hoe wij persoonlijke gegevens van een medewerker van een klant verkrijgen: Wij verzamelen deze gegevens rechtstreeks van u wanneer u rechtstreeks met ons communiceert, bijvoorbeeld door ons een e-mail te sturen, ons uw persoonlijke gegevens te verstrekken via de telefoon of via onze online diensten voor het ondersteunen van klanten. Wij kunnen ook enkele van uw persoonsgegevens verzamelen tijdens het afsluiten van een dienstenovereenkomst met uw werkgever. We controleren ook gegevens over de klant (inclusief over relevante vertegenwoordigers van de klant) met informatie uit openbaar beschikbare bronnen. We verzamelen alleen relevante en noodzakelijke gegevens om het recht op vertegenwoordiging te valideren. Dit kan bijvoorbeeld de verificatie van uw identiteit omvatten, de verwerking van uw persoonlijke gegevens voor het uitvoeren van onze dienst, enz.

Hoe wij persoonlijke gegevens over bezoekers verkrijgen: Wanneer u onze website bezoekt, gebruiken wij cookies om informatie te verzamelen. Het doel van deze cookies is om de gebruikerservaring van uw bezoek aan onze website te verbeteren en Signicat te voorzien van informatie die kan worden gebruikt voor toekomstige optimalisaties. Voor meer informatie over de cookies die we gebruiken verwijzen we naar onze algemene privacy website: Signicat Privacy and Cookie Policy. 

Voor onze nieuwsbrief, het downloaden van content, het bijwonen van webinars of solliciteren bij Signicat reik je zelf je persoonsgegevens aan.

Hoe we persoonlijke gegevens van ReadID Me gebruikers verkrijgen: Persoonlijke gegevens worden niet verzameld via het gebruik van onze ReadID Me mobiele app. Deze app is alleen voor persoonlijk gebruik. Tijdens het gebruik van de app worden niet-persoonlijke metadata (zie hierboven) verzameld. 

Hoe we persoonlijke gegevens van ReadID Client-Only gebruikers verkrijgen: In dit geval verkrijgt Signicat geen persoonlijke of andere gegevens van de ReadID app.

Wij mogen uw persoonsgegevens alleen verwerken als daar een zogenaamde ‘rechtsgrondslag’ voor is, ofwel als aan bepaalde voorwaarden is voldaan. 

Voorwaarden voor de verwerking van persoonsgegevens van een ReadID SaaS gebruiker: Wij verwerken uw persoonsgegevens als verwerker ten behoeve van de klant om uitvoering te geven aan de overeenkomst die wij met de klant hebben. De wettelijke basis voor de verwerking van de gegevens vloeit dus voort uit de klant en de dienst die hij u levert. Raadpleeg hiervoor dus ook het privacybeleid van de klant. Ook kan er sprake zijn van een gerechtvaardigd belang bij de verwerking om de best mogelijke dienstverlening op de markt te kunnen bieden. Dit omvat het oplossen van problemen, gegevensanalyse, testen, fraudepreventie en -detectie, systeemonderhoud, ondersteuning, rapportage en beheer van gegevens.

Voorwaarden voor de verwerking van persoonsgegevens van medewerkers van klanten: Wij verwerken uw persoonsgegevens voornamelijk bij het aangaan en uitvoeren van de contractuele overeenkomst met onze klant, d.w.z. uw werkgever. Er kan ook een legitiem belang zijn bij het waarborgen van een vertrouwensrelatie met klanten. Denk bijvoorbeeld aan de verwerking van persoonsgegevens die strikt noodzakelijk is om de uiteindelijke begunstigden vast te stellen om bijvoorbeeld fraude te voorkomen. Of voor het uitvoeren van product- en marktonderzoek ten behoeve van kwaliteitsborging, productverbeteringen en het beoordelen van de marktgeschiktheid ervan. Voor bestaande en potentiële nieuwe klanten en hun medewerkers kan dit bijvoorbeeld het volgende omvatten: het opnemen van contact, interviews, het opnemen van dergelijke communicatie gedurende een beperkte periode, enz. 

Voorwaarden voor de verwerking van persoonsgegevens van een bezoeker: Gegevensverwerking van bezoekers is doorgaans gebaseerd op de door u gegeven toestemming. Er kan toestemming worden gevraagd voor de cookies die wij gebruiken op onze website of wanneer u zich abonneert op onze gratis nieuwsbrief door uw e-mailadres op te geven. Indien wij voor de verwerking van uw gegevens afhankelijk zijn van uw toestemming, heeft u te allen tijde het recht om uw toestemming in te trekken. Houd er rekening mee dat elke verwerking die Signicat heeft uitgevoerd vóór de intrekking van uw toestemming rechtmatig blijft. Als u uw toestemming intrekt, kunnen wij u mogelijk bepaalde producten of diensten niet meer leveren. Als u uw toestemming intrekt, laten wij u weten of dit het geval is. Wanneer u solliciteert naar een baan, hebben wij een gerechtvaardigd belang bij de verwerking van uw gegevens.

Voorwaarden voor verwerking van gegevens van ReadID Me gebruikers: Signicat verwerkt geen persoonsgegevens in het kader van ReadID Me, er is dus geen wettelijke grondslag vereist. Om ons ReadID identiteitsverificatieproduct te verbeteren, worden alleen niet-persoonlijke gegevens verwerkt.

Voorwaarden voor verwerking van gegevens van ReadID Client-Only gebruikers: Signicat is als verwerker of verwerkingsverantwoordelijke niet betrokken bij de verwerking van persoonsgegevens. De klant is in dit geval de verwerkingsverantwoordelijke van de persoonsgegevens en heeft een eigen grondslag voor de verwerking ervan. 

Naast deze voorwaarden of grondslagen kunnen er ook wettelijke verplichtingen bestaan met betrekking tot de verwerking van persoonsgegevens in het algemeen. Signicat verwerkt persoonsgegevens om te voldoen aan wettelijke verplichtingen zoals belastingverplichtingen, rechterlijke bevelen of politieonderzoeken.

Wij gebruiken uw persoonsgegevens niet voor marketing-, reclame- of profileringsdoeleinden. U kunt erop vertrouwen dat eerlijkheid, transparantie en veiligheid in elke fase van onze gegevensverwerkingsprocessen zijn ingebouwd.

Wanneer de verwerking van persoonsgegevens wordt uitgevoerd voor een nieuw doel dat verschilt van dat waarvoor ze oorspronkelijk zijn verzameld of niet gebaseerd is op de toestemming van de betrokkene, d.w.z. u, zullen wij de toelaatbaarheid van een dergelijke nieuwe verwerking zorgvuldig beoordelen.

Wij bewaren uw gegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor wij de gegevens hebben verzameld of de doeleinden waarvoor gegevens worden hergebruikt en om te voldoen aan wet- en regelgeving. 

Bewaartermijnen voor gegevens van ReadID SaaS gebruikers: Een hardgecodeerde maximale bewaartermijn van 50 dagen wordt afgedwongen voor alle ReadID SaaS sessies die persoonlijke gegevens bevatten. De klant wordt echter geadviseerd om een kortere bewaartermijn in te stellen, bijvoorbeeld niet meer dan enkele dagen, en/of ons onmiddellijk te verzoeken de gegevens te verwijderen nadat hij de sessieresultaten heeft ontvangen. Wanneer een ReadID sessie wordt verwijderd, wordt deze permanent uit de database verwijderd, maar niet uit back-ups van de database. De bewaartijd van de back-up bedraagt maximaal 14 dagen en kan op verzoek van de klant korter worden gemaakt. Deze back-ups zijn nodig om te kunnen herstellen van een ernstig incident. 

Als we gebruik maken van sub-verwerkers voor het uitvoeren van gezichtsbiometrie voor verificatie van identiteitsdocumenthouders of voor de optische verwerking van documentafbeeldingen, eisen we van hen dat ze de verzamelde persoonsgegevens alleen bewaren zolang dit nodig is om het doel te bereiken waarvoor de gegevens worden gebruikt. Dit is ook vastgelegd in de gegevensverwerkingsbijlage van de contractuele overeenkomst met de klant. 

Indien er redelijke gronden zijn om aan te nemen dat bepaalde identiteitsclaims frauduleus zijn, kan de bewaartermijn voor een bepaalde periode worden verlengd totdat er geen redelijke gronden meer zijn hieraan te twijfelen. 

Niet-persoonlijke gegevens die worden verzameld tijdens de ReadID Ready en SDK met SaaS sessies worden bewaard zolang als nodig is om onze dienstverlening te verbeteren. 

Bewaartermijnen gegevens medewerkers van klanten: Persoonsgegevens verwerkt in het kader van de totstandkoming van de overeenkomst met de klant worden zeven (7) jaar na het einde van het contract gearchiveerd. Persoonsgegevens van vertegenwoordigers die toegang nodig hebben tot ons ReadID beheerportaal of aanverwante diensten worden na verwijdering van het account onmiddellijk door Signicat verwijderd. 

Bewaartermijnen voor bezoekersgegevens: deze gegevens worden doorgaans met uw toestemming verkregen. Wij stoppen met het verwerken van de gegevens wanneer u uw toestemming intrekt (bijvoorbeeld door u af te melden voor onze nieuwsbrief of Hall of Fame). Namen vermeld in de Hall of Fame worden na drie (3) jaar verwijderd. Van sollicitanten die een CV en/of motivatiebrief hebben ingediend en niet worden aangenomen, worden de persoonsgegevens na één (1) maand verwijderd. 

Bewaartermijnen voor ReadID Me gebruikersgegevens: Omdat dit niet-persoonlijke gegevens zijn, bewaren we deze zolang nodig is om onze dienstverlening te verbeteren.

Bewaartermijnen voor ReadID Client-Only gebruikersgegevens: Omdat wij in deze context geen persoonsgegevens verwerken, is bewaring niet van toepassing. Raadpleeg het privacybeleid van de klant die de client-only versie van ReadID aanbiedt. 

Als wij de persoonsgegevens niet langer nodig hebben voor de hierboven beschreven doeleinden, worden ze in het algemeen permanent verwijderd of geanonimiseerd. Als we een legitieme juridische reden hebben, kunnen we persoonlijke gegevens langer bewaren dan hierboven beschreven, bijvoorbeeld als we onder een bindend juridisch bevel staan om informatie niet te vernietigen.

Tenzij anders vermeld in dit privacybeleid of afzonderlijk aan u vermeld, delen wij uw persoonsgegevens met verantwoordelijke partijen voor wie wij verwerker zijn (bijvoorbeeld onze klanten), onze geautoriseerde dienstverleners (sub-verwerkers), en met personen die wettelijk het recht hebben om uw persoonsgegevens te ontvangen. Signicat maakt ook gebruik van externe IT-leveranciers en cookiedienstverleners. Wij hebben zorgvuldig beoordeeld of deze externe partijen de eisen inzake gegevensbescherming zullen naleven.

Overdracht van gegevens van ReadID SaaS gebruikers: Signicat maakt gebruik van externe dienstverleners (sub-verwerkers) om identiteitsdocumenten optisch te verifiëren en liveness-detectie en gezichtsvergelijking uit te voeren. Wij delen alleen de noodzakelijke persoonsgegevens die deze externe dienstverleners nodig hebben om hun taken uit te voeren. 

Hieronder vindt u de huidige geautoriseerde sub-verwerkers die voor de ReadID dienst zijn ingeschakeld. Elk van deze sub-verwerkers heeft zijn eigen privacybeleid, de link naar dat beleid vindt u ook hieronder.

• Publieke cloudaanbieder:
  • Amazon Web Services (AWS), Inc. We gebruiken verschillende AWS-regio's, afhankelijk van de locatie van onze klanten. De huidige locaties zijn Ierland, Frankfurt, Londen en Sydney. Het algemene privacybeleid van AWS kunt u hier vinden: https://aws.amazon.com/privacy/. Amazon Web Services EMEA SARL is de geautoriseerde vertegenwoordiger van AWS, Inc. in de Europese Economische Ruimte (EER). Relevant om in dit verband te raadplegen zijn de AWS-bijlagen voor gegevensverwerking: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf en https://d1.awsstatic.com/Supplementary_Addendum_to_the_AWS_GDPR_DPA.pdf
  • Open Telekom Cloud, T-Systems International GmbH, voor addendum voor gegevensverwerking zie https://open-telekom-cloud.com/_Resources/Persistent/d/8/0/d/d80d17f63186334ba36afcc6924a0e2b4575f3ef/open-telekom-cloud-supplementary- voorwaarden-opdrachtverwerking-persoonsgegevens.pdf.  
  • Microsoft Azure, als koude stand-by voor continuïteitsdoeleinden. We hebben een overeenkomst met Microsoft Ireland Operations Limited voor de hosting van ReadID-servers in Ierland als toplocatie. Voor een klant die gevestigd is in de EER zal de verwerking van persoonsgegevens altijd ook in de EER plaatsvinden. Het privacybeleid van Azure vindt u hier: https://azure.microsoft.com/en-us/explore/trusted- https://azure.microsoft.com/en-us/explore/trusted-loud/privacy#:~:text=We%20do%20not%20share%20your,the%20services% 20jij%20heb%20. De meest recente bijlage over gegevensverwerking vindt u hier: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA.
• Biometrische verificatie-aanbieder:
  • iProov Ltd, www.iproov.com, zie voor privacybeleid https://www.iproov.com/biometric-data-retention-schedule.  
• Optische verificatie-aanbieder:
  • Veriff ÖU, http://www.veriff.com, voor privacybeleid zie https://www.veriff.com/privacy-notice.  
  • Onfido Ltd, www.onfido.com, voor privacybeleid zie https://onfido.com/privacy/.  

Houd er rekening mee dat deze sub-verwerkers ook zelf weer gebruik kunnen maken van sub-verwerkers.

Signicat deelt uw persoonsgegevens alleen met externe partijen wanneer dit is toegestaan volgens de toepasselijke privacy- en gegevensbeschermingswetgeving. Signicat kan persoonsgegevens aan externe partijen verstrekken omdat:

• Het noodzakelijk is voor de uitvoering van een overeenkomst met u of onze klant;
• U hiermee heeft ingestemd;
• Signicat een gerechtvaardigd belang heeft;
• Signicat hiertoe wettelijk verplicht is.

Al onze gegevens worden gehost en verwerkt in de Europese Economische Ruimte (EER), met uitzondering van de persoonlijke gegevens die we verwerken voor ReadID klanten die zich buiten de EER bevinden of waarvoor we optische of biometrische verificatie door sub-verwerkers gebruiken. In dit laatste geval vindt de verwerking plaats in het Verenigd Koninkrijk. Persoonsgegevens kunnen wettelijk worden overgedragen naar het Verenigd Koninkrijk op basis van een besluit van de Europese Commissie over de adequaatheid van gegevensbescherming aldaar. Voor een verdere motivering van uw verwerking van persoonsgegevens in dit kader verwijzen wij u ook naar het privacybeleid van de klant.

Overdracht van gegevens van medewerkers van klanten: De persoonsgegevens van medewerkers van onze klanten kunnen worden gedeeld met onze reclame- en marketingpartners, bedrijven die tevredenheidsonderzoeken uitvoeren, incassobureaus, kredietregisters, autoriteiten en organisaties die bemiddelen of (elektronische) post-, compliance- of betalingsdiensten leveren en dergelijke. Persoonlijke gegevens die nodig zijn voor toegang tot ReadID sessiegegevens kunnen worden gedeeld met de hierboven genoemde openbare cloudaanbieders. 

Overdracht van bezoekersgegevens: Bezoekersgegevens kunnen worden overgedragen aan externe IT-leveranciers en cookiedienstverleners. Wij hebben zorgvuldig beoordeeld of deze externe partijen de eisen inzake gegevensbescherming zullen naleven.

Overdracht van gegevens van ReadID Me gebruikers: Persoonsgegevens worden in deze context niet door Signicat verwerkt. Metagegevens worden uitsluitend voor verdere verwerking overgedragen aan de bovengenoemde publieke cloudproviders.

Overdracht van gegevens van ReadID Client-Only gebruikers: Een overdrachtsbeleid is niet vereist, aangezien wij in deze context geen persoonlijke gegevens verwerken. Raadpleeg het privacybeleid van de klant die de client-only versie van ReadID aanbiedt.

Signicat heeft de nodige organisatorische, technische en contractuele veiligheidsmaatregelen getroffen om uw persoonlijke gegevens te beschermen tegen onopzettelijk verlies, ongeoorloofde toegang, wijziging of openbaarmaking. Voorbeelden van organisatorische controles zijn: er is een beveiligingsbeleid met betrekking tot de verwerking van gegevens, onze beveiligingscertificeringen en onze gedragscode. Technische controles omvatten de versleuteling van persoonsgegevens in opslag en tijdens het versturen, en toegangscontroles, waaronder sterke authenticatie. Contractueel zijn deze controles vastgelegd. Onderdeel van ons contract met de klant is een verwerkingsbijlage, die tot doel heeft om persoonsgegevens van ReadID gebruikers en medewerkers van klanten te beschermen door duidelijke verwachtingen te formuleren met betrekking tot de omgang met hun persoonlijke gegevens. 

We hebben procedures opgezet om eventuele vermoedelijke inbreuken op persoonsgegevens aan te pakken, en we zullen onze klant, alle relevante gegevensbeschermingsautoriteiten en zelfs u rechtstreeks op de hoogte stellen van een inbreuk als we daartoe wettelijk verplicht zijn.

Binnen Signicat hebben onze eigen medewerkers alleen toegang tot jouw persoonsgegevens als dit noodzakelijk is voor hun functie. Al deze personen hebben tevens een geheimhoudingsplicht en worden periodiek gescreend. 

Wij beschikken over een gecertificeerd managementsysteem voor informatiebeveiliging (ISO27001:2022) en privacybescherming (ISO27701:2019). Als onderdeel van deze certificering worden onze beveiligings- en privacymaatregelen ter bescherming van uw persoonsgegevens jaarlijks geëvalueerd door een onafhankelijke externe auditor. Ook zijn al onze sub-verwerkers minimaal ISO27001 gecertificeerd.

U heeft het recht om:

• Informatie op te vragen over persoonsgegevens die wij verwerken en wat wij met de persoonsgegevens doen;
• Inzage te vragen in uw persoonsgegevens;
• Correctie van uw persoonsgegevens te verzoeken;
• Verwijdering van uw persoonsgegevens te verzoeken;
• Overdracht van uw persoonsgegevens te verzoeken (indien technisch en/of juridisch mogelijk);
• Bezwaar te maken tegen specifieke verwerkingen van de persoonsgegevens;
• Uw toestemming in te trekken.

Om deze rechten uit te oefenen, kunt u een e-mail sturen naar dataprotectionofficer@signicat.com. 

Houd er rekening mee dat als uw verzoek betrekking heeft op gegevens die wij als verwerker hebben verwerkt (d.w.z. in het kader van onze dienstverlening), u uw verzoek moet indienen bij de klant, die de verantwoordelijke is voor de verwerking van uw persoonsgegevens. Wij zullen u hierover informeren indien nodig. 

Wanneer u gebruik maakt van uw rechten, zal Signicat mogelijk specifieke informatie van u vragen om ons te helpen uw identiteit te bevestigen en uw recht op toegang tot de relevante persoonlijke gegevens (of om uw andere wettelijke rechten uit te oefenen) te garanderen. Dit is een veiligheidsmaatregel die we nemen om te voorkomen dat uw persoonlijke gegevens openbaar worden gemaakt aan iemand die geen recht heeft om deze te ontvangen of in te zien.

We kunnen ook contact met u opnemen om meer informatie te vragen met betrekking tot uw verzoek, zodat we sneller kunnen reageren.

Wij proberen binnen één maand op alle legitieme verzoeken te reageren. Soms kan het langer dan een maand duren als uw verzoek bijzonder complex is of als u meerdere verzoeken heeft ingediend. In dit geval zullen wij u hiervan op de hoogte stellen en u op de hoogte houden.

Signicat heeft een FG aangesteld. De FG houdt toezicht op de toepassing en naleving van de wetgeving inzake gegevensbescherming, zoals de Algemene Verordening Gegevensbescherming (AVG). Indien u niet tevreden bent over de wijze waarop een vraag of klacht is afgehandeld, kunt u contact opnemen met de FG via dataprotectionofficer@signicat.com . Daarnaast kunt u altijd een vraag stellen of een klacht indienen bij de Autoriteit Persoonsgegevens. Houd er rekening mee dat Signicat in de meeste gevallen optreedt als verwerker van persoonsgegevens voor haar klanten, d.w.z. de verwerkingsverantwoordelijken. Wij kunnen u doorverwijzen naar de klant die verantwoordelijk is voor de verwerking van uw persoonsgegevens. 

Ja, ons privacybeleid kan van tijd tot tijd veranderen. De meest actuele versie van ons privacybeleid vindt u altijd op: Signicat Privacy and Cookie Policy. 

Het huidige beleid is per november 2025.