Hoe het werkt
🦷Tandartsen🩺Huisartsen🏠Makelaars⚖️Advocaten🍽️Restaurants🔧Loodgieters📊Accountants🏢Overig MKB
PrijzenVergelijkTeamBlogOver onsContact
Plan een demo

Verwerkingsregister NeemtOp

Verwerkingen van persoonsgegevens conform AVG Art. 30, transparant gedocumenteerd.

Laatst bijgewerkt: 15 april 2026

In het kort

Het NeemtOp verwerkingsregister beschrijft welke persoonsgegevens we verwerken, waarvoor, op welke rechtsgrond en hoe lang we ze bewaren. Dit register is onderdeel van onze verwerkersovereenkomst met klanten en voldoet aan AVG Art. 30.

Rollen bij verwerking

Bij gebruik van NeemtOp bestaan er twee hoofdrollen in AVG-termen:

  • Verwerkingsverantwoordelijke = de klant (jouw bedrijf). Jij bepaalt waarvoor de gegevens worden gebruikt en op welke grondslag.
  • Verwerker = NeemtOp (Flireo B.V.). Wij verwerken de gegevens volgens jouw instructies.

Onze sub-verwerkers zijn 'sub-verwerkers' — zij verwerken namens ons. De volledige lijst staat op de sub-verwerkers-pagina.

Categorieën van verwerking

1. Inkomende telefoongesprekken

  • Doel: beantwoorden van klantvragen, afspraken inplannen, doorverbinden.
  • Rechtsgrond: gerechtvaardigd belang (Art. 6(1)(f)) of uitvoering overeenkomst.
  • Categorieën gegevens: naam beller (indien gedeeld), telefoonnummer, gespreksinhoud.
  • Bewaartermijn: 30 dagen, daarna automatisch verwijderd. Langer op verzoek voor gereguleerde sectoren.

2. WhatsApp en chatbericht-verwerking

  • Doel: beantwoorden van klantvragen via chat.
  • Rechtsgrond: idem als telefoongesprekken.
  • Categorieën gegevens: naam (indien gedeeld), telefoonnummer/chat-ID, berichtinhoud.
  • Bewaartermijn: 30 dagen.

3. Klantbeheer (accounts bij jouw bedrijf)

  • Doel: beheren van jouw NeemtOp-configuratie.
  • Rechtsgrond: uitvoering overeenkomst.
  • Categorieën: bedrijfsnaam, contactpersoon, e-mail, telefoon, factuurgegevens.
  • Bewaartermijn: 7 jaar na einde contract (fiscale bewaarplicht).

4. Website-bezoek en -analyse

  • Doel: verbeteren van website en marketing.
  • Rechtsgrond: gerechtvaardigd belang + toestemming voor analytics.
  • Categorieën: IP (geanonimiseerd), user-agent, bezochte pagina's.
  • Bewaartermijn: 14 maanden (conform Plausible/GA4 standaard).

Rechten van betrokkenen (bellers)

Bellers hebben op basis van de AVG de volgende rechten:

  • Recht op inzage (Art. 15)
  • Recht op rectificatie (Art. 16)
  • Recht op verwijdering ('vergetelheid', Art. 17)
  • Recht op beperking (Art. 18)
  • Recht op dataportabiliteit (Art. 20)
  • Recht om bezwaar te maken (Art. 21)

Verzoeken worden gericht aan de verwerkingsverantwoordelijke (= jouw bedrijf). Als klant van NeemtOp kun je via ons dashboard gespreksopnames en transcripties terugzoeken en (indien gewenst) laten verwijderen.

Wij verwerken het verzoek binnen 5 werkdagen nadat jij het aanlevert. Totale termijn richting de betrokkene is maximaal 30 dagen (AVG-vereiste).

Internationale doorgiftes

Standaard worden alle gegevens binnen de EU verwerkt (Neurenberg, Duitsland). Voor specifieke AI-modellen wordt soms gebruik gemaakt van VS-gebaseerde providers (OpenAI, Anthropic). Voor deze doorgiftes geldt:

  • Standard Contractual Clauses (SCC's) met de verwerker
  • Aanvullende technische maatregelen conform Schrems II
  • Pseudonimisering waar mogelijk
  • Opt-out mogelijk via EU-only configuratie (Pro-pakket)

Beveiligingsmaatregelen (Art. 32)

Technisch:

  • TLS 1.2+ voor alle data in transit
  • AES-256 voor data at rest
  • Gescheiden productie/staging/ontwikkel-omgevingen
  • Automatische backups met 30-dagen retentie
  • DDoS-bescherming en rate limiting

Organisatorisch:

  • Role-based access control (RBAC) met minimum-rechten principe
  • MFA verplicht voor alle medewerkers met productie-toegang
  • Jaarlijkse security-audit
  • Incident response-plan met 24-uurs melding
  • Privacy- en security-training voor alle medewerkers

Meldplicht datalek

Bij een datalek melden wij je binnen 24 uur conform AVG Art. 33. Je hebt vervolgens 72 uur om de Autoriteit Persoonsgegevens te informeren als dat nodig is (wij adviseren mee).

Meer informatie over onze incident response-procedure is beschikbaar op aanvraag voor klanten op het Pro-pakket.

Gerelateerde documentatie

Privacy & Compliance overzicht

Verwerkingsketen, privacy-features en bewaartermijnen

Lees meer →

AI Act-compliance

Hoe NeemtOp voldoet aan de EU AI Act

Lees meer →

Sub-verwerkers

Overzicht van externe partijen

Lees meer →

DPIA-template

Voor eigen effectbeoordeling

Lees meer →

Security

Technische maatregelen en certificeringen

Lees meer →

Privacybeleid

Publieke privacyverklaring

Lees meer →

Vragen over compliance?

Ewout, onze juridisch en compliance-adviseur, beantwoordt ze persoonlijk.

Stel je vraag aan Ewout