VICAR OS

Laatst bijgewerkt: 19 mei 2026

Privacybeleid

Dit privacybeleid beschrijft hoe VICAR Agency SRL persoonsgegevens verwerkt binnen het agency-platform VICAR OS (app.vicaragency.com). Wij respecteren de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de Belgische Kaderwet van 30 juli 2018.

1. Verwerkingsverantwoordelijke

VICAR Agency SRL is verwerkingsverantwoordelijke voor de persoonsgegevens die via VICAR OS worden verwerkt voor eigen bedrijfsvoering.

  • Rechtsvorm: SRL (besloten vennootschap)
  • Ondernemingsnummer: BE 1007.535.040 (BTW-plichtig)
  • Zetel: Langestraat 61, 8000 Brugge, België
  • Opgericht: 25 maart 2024
  • Hoofdactiviteit: advertentiebureau (NACE — activities of advertising agencies)
  • E-mail: frederic@vicaragency.com
  • Website: vicaragency.com

Voor data die wij verwerken in opdracht van een klant (bv. CRM-leads, recruitment-data, advertentie- of websitestatistieken van die klant) treden wij op als verwerker in de zin van art. 28 AVG. De klant is dan verwerkingsverantwoordelijke en bepaalt de doeleinden. Tussen VICAR Agency en elke klant wordt een verwerkersovereenkomst gesloten.

2. Welke gegevens verwerken wij?

2.1 Gebruikers van VICAR OS (team-leden en klant-portaal)

  • Identificatie: naam, voornaam, e-mailadres, profielfoto (optioneel)
  • Contact: telefoonnummer (optioneel)
  • Account: gehashte wachtwoorden (via Supabase Auth), 2FA-secrets (encrypted), rol (vicar_team of klant), tijdstempels
  • Sessies: IP-adres bij login, user-agent, sessie-cookies, MFA-status
  • Audit: login-historiek, role-promoties, security-events

2.2 Klant-data (verwerkt in opdracht van de klant)

  • CRM-leads: naam, e-mail, telefoon, bedrijf, status, AI-lead-score, interactielog (telefoon, e-mail, meeting, voicemail)
  • ATS-kandidaten: naam, contactgegevens, CV-bijlages, sollicitatiestatus, tags, beoordelingen
  • Advertentiedata: campagnes, ad-creatives, statistieken (spend, impressies, clicks, conversies, ROAS) van Meta, Google Ads, TikTok, Pinterest, LinkedIn — geaggregeerd, geen individuele eindgebruikers
  • Analytics: Google Analytics 4, Search Console, Microsoft Clarity (geaggregeerd verkeer en sessie-replay zonder PII)
  • Organic social: posts, reach, engagement van Facebook-pagina, Instagram, TikTok, Pinterest
  • HR (klantkeuze): personeelsdossiers, verlofbalansen, onkosten, payroll-velden, SDworx-exports
  • Boekhouding (klantkeuze): facturen, BTW-vakken 81/82/83, OCR-extractie
  • Media: foto's en video's opgeslagen in Google Drive Shared Drives (referenties in VICAR OS, originelen op Google Drive)
  • CMS: paginas, posts, formulier-inzendingen, media-uploads van klantsites

2.3 OAuth-tokens van derden

VICAR OS bewaart access- en refresh-tokens om data uit gekoppelde platforms op te halen. Deze tokens worden at rest versleuteld bewaard met AES-256-GCM (zie lib/crypto/tokens.ts) en zijn enkel toegankelijk voor de ingest-jobs van de betreffende klant. Tokens kunnen op elk moment door de klant worden ingetrokken via het instellingen-paneel.

3. Doeleinden en rechtsgronden

  • Uitvoering van de overeenkomst (art. 6.1.b AVG): account-aanmaak, login, dataverwerking voor het leveren van de overeengekomen agency-diensten (leadbeheer, recruitment, ads tracking, rapportages, facturatie, mediabeheer).
  • Wettelijke verplichting (art. 6.1.c AVG): bewaring van facturen (7 jaar BTW-wet), AML/KYC-verplichtingen waar van toepassing.
  • Gerechtvaardigd belang (art. 6.1.f AVG): security-logging, beveiliging tegen misbruik (rate-limiting, HMAC-verificatie, CSRF), interne kwaliteitscontrole, anti-fraude. Onze afweging respecteert uw rechten en vrijheden.
  • Toestemming (art. 6.1.a AVG): optionele functies zoals AI-lead-scoring door derde-partij-modellen, marketing-communicatie. Toestemming kan op elk moment worden ingetrokken.

4. Bewaartermijnen

  • Account-gegevens: tijdens de looptijd van de overeenkomst + 1 jaar daarna voor audit.
  • Facturen en boekhouddata: 7 jaar (wettelijk).
  • CRM- en ATS-data: zolang de klant ze nodig acht; klant beheert verwijdering zelf, of op verzoek.
  • OAuth-tokens: tot intrekking door de gebruiker of disconnect van het platform.
  • Server-logs en audit-trail: 90 dagen (cms_revisions: 90 dagen, max 50 per entity).
  • Soft-deleted media: 30 dagen, daarna definitieve verwijdering via cron.
  • Pending invitations: 30 dagen, daarna automatisch verwijderd.

5. Sub-verwerkers

Wij maken gebruik van de volgende sub-verwerkers. Elk van deze partijen werkt onder een verwerkersovereenkomst en passende technische en organisatorische maatregelen.

PartijDoelLocatie
Supabase Inc.Database, authenticatie, opslagEU (eu-west-1, Ierland)
Vercel Inc.Hosting van de webapplicatie en serverless functionsEU + globaal CDN
Cloudflare Inc.DNS, Turnstile (bot-protectie)Globaal
Google LLCOAuth-login, Google Drive, Analytics, Search Console, Ads, Calendar, Gmail (waar gekoppeld)VS (EU-DPF + SCC)
Meta Platforms Inc.Marketing API voor Meta/Facebook/Instagram ads + organicVS (EU-DPF + SCC)
TikTok Ltd.Login Kit + Business API (waar gekoppeld)EU / VS (SCC)
Pinterest Inc.Pinterest Business API (waar gekoppeld)VS (SCC)
Anthropic, PBCAI-functies (lead-scoring, rapportages, content-extractie) — model: ClaudeVS (SCC, zero-retention API-mode waar mogelijk)
Microsoft (Clarity)Sessie-replay en heatmaps op klantsites (geanonimiseerd)EU/VS (SCC)
SMTP-providerTransactionele e-mails (login, rapportages, reminders)EU
TeamleaderOptionele CRM/facturatie-synchronisatie (waar gekoppeld)EU (België)
fal.aiOptionele beeldgeneratie voor visual contentVS (SCC)
Sentry (optioneel)Error-trackingEU

Een actuele lijst is op verzoek beschikbaar. Bij wijziging van sub-verwerkers wordt de klant vooraf geïnformeerd met de mogelijkheid om gemotiveerd bezwaar te maken.

6. Internationale doorgifte

Waar gegevens worden doorgegeven buiten de Europese Economische Ruimte, gebeurt dit op basis van het EU-VS Data Privacy Framework (voor gecertificeerde partijen), de Standaardcontractbepalingen van de Europese Commissie (SCC, 2021/914) en bijkomende passende waarborgen (encryptie at rest en in transit, toegangscontrole, audit-logs).

7. Beveiliging

  • TLS 1.2+ voor alle verbindingen, HSTS-preload
  • Encryptie at rest van OAuth-tokens en webhook-secrets (AES-256-GCM)
  • Row-level security in Supabase op alle multi-tenant tabellen
  • Mandatory 2FA (TOTP) aanbevolen voor VICAR-team-accounts
  • HMAC-SHA256 op alle webhook-endpoints (replay-protection ±5 min)
  • Content-Security-Policy met per-request nonces, X-Frame-Options DENY, Strict-Transport-Security
  • Geautomatiseerde dagelijkse back-ups van de database (Supabase, 7 dagen retentie standaard)
  • Periodieke security-audits (laatste: april + mei 2026) en RLS-tests in CI

8. Uw rechten

U beschikt over de volgende rechten:

  • Recht op inzage (art. 15 AVG)
  • Recht op rectificatie (art. 16)
  • Recht op verwijdering / vergetelheid (art. 17)
  • Recht op beperking van de verwerking (art. 18)
  • Recht op overdraagbaarheid (art. 20)
  • Recht van bezwaar (art. 21)
  • Recht om toestemming in te trekken zonder de rechtmatigheid van eerdere verwerking aan te tasten

Verzoek versturen naar frederic@vicaragency.com. Wij reageren binnen 30 dagen. U heeft daarnaast steeds het recht een klacht in te dienen bij de Belgische Gegevensbeschermingsautoriteit (gegevensbeschermingsautoriteit.be), Drukpersstraat 35, 1000 Brussel.

9. Cookies

VICAR OS gebruikt uitsluitend strikt noodzakelijke cookies om de applicatie te laten werken: de Supabase-sessiecookie (authenticatie) en een anti-CSRF-cookie. Wij plaatsen geen marketing- of analytics-cookies op het platform zelf. Cookies op klant-websites die via het VICAR-OS-CMS worden gepubliceerd, vallen onder het cookiebeleid van de betreffende klantsite.

10. Geautomatiseerde besluitvorming

VICAR OS gebruikt AI-functies (Claude van Anthropic) voor optionele lead-scoring, rapportgeneratie en branding-extractie. Deze output is louter adviserend en heeft geen juridische gevolgen voor betrokkenen. Er gebeurt geen geautomatiseerde besluitvorming in de zin van art. 22 AVG.

11. Datalekken

Een vermoeden van datalek wordt binnen 72 uur na vaststelling gemeld aan de Gegevensbeschermingsautoriteit en aan de betrokken klanten. Wij houden een intern register van incidenten bij.

12. Wijzigingen

Dit beleid kan worden aangepast wanneer functionaliteit of wetgeving dat vereist. Materiële wijzigingen worden vooraf gecommuniceerd aan ingelogde gebruikers en aan klanten. De laatst-bijgewerkt-datum bovenaan geeft de huidige versie aan.

13. Contact

VICAR Agency SRL
Langestraat 61, 8000 Brugge, België
KBO BE 1007.535.040
E-mail: frederic@vicaragency.com
Website: vicaragency.com