Koldwerk

Privacyverklaring

Versie 1.0 — laatst bijgewerkt 20-5-2026

Koldwerk verwerkt persoonsgegevens van eindklanten van onze SaaS- klanten (installatiebedrijven). Deze verklaring beschrijft welke gegevens, met welk doel, en hoe lang we ze bewaren.

1. Verwerkingsverantwoordelijke

Voor administratie van eindklanten via het Koldwerk-platform is het installatiebedrijf de verwerkingsverantwoordelijke. Koldwerk treedt op als verwerker in de zin van AVG art. 28.

2. Welke gegevens

  • NAW-gegevens (bedrijfsnaam, KvK, BTW, adres, postcode, plaats)
  • Contactgegevens (naam, e-mail, telefoon)
  • Installatie-specifieke data (locatie, serienummers, koudemiddel)
  • Werkbon-historie inclusief handtekeningen
  • Audit-log met alle wijzigingen (BRL-eis)

2a. Rechtsgronden (art. 6 AVG)

Per type verwerking hanteren we de volgende rechtsgronden:

  • Account & sessies — uitvoering overeenkomst (art. 6 lid 1 sub b)
  • Werkbonnen, installatie-historie & audit-log — wettelijke plicht (art. 6 lid 1 sub c) op grond van BRL-100 / Wet milieubeheer / F-gassen-verordening (7 jaar bewaartermijn)
  • Cookie-analytics — toestemming (art. 6 lid 1 sub a), alleen na expliciete opt-in via de cookie-banner
  • Marketing-mailings — toestemming (art. 6 lid 1 sub a), gericht opt-in elders en altijd uitschrijfbaar
  • Misbruik-detectie & rate-limit logs — gerechtvaardigd belang (art. 6 lid 1 sub f) ten behoeve van de veiligheid van het platform en alle gebruikers

3. Beveiliging

  • NAW van eindklanten versleuteld at-rest met AES-256-GCM
  • Wachtwoorden gehasht met Argon2id (OWASP-aanbevolen parameters)
  • Strikte multi-tenant isolatie — geen cross-tenant data-toegang
  • Append-only audit-log voor BRL-100 / K25000 traceability
  • HSTS, CSP, security-headers via reverse proxy

4. Bewaartermijn

Werkbonnen, koudemiddel-mutaties en kalibratie-records worden 7 jaar bewaard conform BRL-eisen. Na opzegging van het abonnement: 30 dagen grace-period waarin export mogelijk is, daarna anonimisering.

5. Sub-processors

  • Cloudflare R2 (Frankfurt, EU) — bestandsopslag
  • Resend (EU) — transactionele e-mail
  • Mollie (NL) — betalingsverwerking
  • Vercel (Frankfurt, EU) — hosting (kan wijzigen)
  • Neon of Supabase (EU) — managed Postgres

6. Rechten van betrokkenen

Eindklanten kunnen via hun installatiebedrijf inzage, rectificatie of verwijdering aanvragen. Klantportaal-gebruikers kunnen hun eigen gegevens inzien via /portaal/profiel.

7. Contact

Voor vragen over privacy: privacy@koldwerk.nl. Klachten bij de Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl.