1. Inleiding
Renewly Limited ("Renewly", "wij", "ons" of "onze"), een vennootschap geregistreerd in Engeland en Wales (bedrijfsnummer 17297981) met statutaire zetel te 128 City Road, Londen, EC1V 2NX, Verenigd Koninkrijk, is de verwerkingsverantwoordelijke voor uw persoonsgegevens. Wij zetten ons in om deze gegevens en uw recht op privacy te beschermen.
Dit Privacybeleid legt uit hoe wij uw gegevens verzamelen, gebruiken, delen en beschermen wanneer u ons platform voor het volgen van contractverlengingen van leveranciers op renewly.gg gebruikt.
2. Gegevens die wij verzamelen
2.1 Gegevens die u verstrekt
- Accountgegevens: E-mailadres (verplicht), volledige naam, bedrijfsnaam
- Contractgegevens: Contractbestanden (PDF), titels en metadata
- Instellingen & voorkeuren: Meldingsvoorkeuren en communicatie-instellingen
- Passkey-gegevens: Als u een passkey registreert, slaan wij het publieke-sleutelmateriaal en de credential-identifier op die uw apparaat retourneert. De privésleutel verlaat uw apparaat nooit.
2.2 Automatisch verzamelde gegevens
- Gebruiksgegevens: Bezochte pagina's, gebruikte functies, tijd besteed in de dienst
- Apparaatgegevens: Browsertype, IP-adres, besturingssysteem
- Cookies: Essentiële sessiecookies (altijd actief) en, met uw toestemming, analytische cookies. Zie ons Cookiebeleid voor meer informatie.
2.3 Beveiligings- en activiteitenlogs (auditlog)
Wij houden een auditlog bij om de veiligheid van uw account te beschermen en aan wettelijke verplichtingen te voldoen. Het auditlog registreert:
- Authenticatiegebeurtenissen: Aanmelden, afmelden, MFA in-/uitschakelen, sessie-intrekking, registratie en verwijdering van passkeys, magic-link-verzoeken
- Organisatiegebeurtenissen: Aanmaken van organisaties, toevoegen/verwijderen van leden, rolwijzigingen, accepteren/afwijzen van uitnodigingen
- Factureringsgebeurtenissen: Gestarte checkout, abonnementswijzigingen, opzegging
- Gegevensgebeurtenissen: Contractuploads, contractverwijderingen, verzoeken tot accountverwijdering, GDPR-gegevensexports
- Instellingswijzigingen: Meldingsvoorkeuren, koppelen/ontkoppelen van integraties, wisselen van workspace
Elke logvermelding registreert het gebeurtenistype, een tijdstempel, het gebruikers-ID van de handelende persoon, het organisatie-ID (waar van toepassing) en relevante metadata over de actie (bijvoorbeeld welk contract is verwijderd of welke ledenrol is gewijzigd). IP-adressen worden niet opgeslagen in auditlogvermeldingen.
Auditlogvermeldingen worden 3 jaar bewaard (zie sectie 4, Gegevensbewaring). U kunt de auditloggeschiedenis van uw eigen account inzien door contact op te nemen via privacy@renewly.gg.
3. Hoe wij uw gegevens gebruiken
3.1 Dienstverlening
Rechtsgrondslag: Uitvoering van de overeenkomst
- Uw account aanmaken en beheren
- Uw contracten automatisch verwerken en analyseren
- Verlengingsmeldingen versturen
- Klantenondersteuning bieden
3.2 Naleving van wetgeving
Rechtsgrondslag: Wettelijke verplichting
- Voldoen aan wettelijke vereisten
- Beschermen tegen fraude en misbruik
- Onze Servicevoorwaarden handhaven
4. Gegevensbewaring
Wij bewaren uw persoonsgegevens zolang uw account actief is of zolang dit nodig is om u diensten te leveren.
Bewaartermijnen:
- Gegevens van actieve accounts: Bewaard totdat u uw account verwijdert
- Contracten: Bewaard totdat u ze verwijdert
- Auditlogs: 3 jaar (voor beveiliging en compliance)
- Back-ups: 30 dagen, daarna permanent verwijderd
5. Hoe wij uw gegevens delen
Wij verkopen uw persoonsgegevens niet. Wij delen gegevens uitsluitend met vertrouwde dienstverleners:
Supabase (database & opslag)
- Doel: Opslag van accountgegevens, contracten en metadata
- Beveiliging: SOC 2 Type II, ISO/IEC 27001:2022, GDPR-conform
- DPA: Ondertekend
Subverwerkers voor contractextractie
- Reducto: PDF-tekstextractie (fase voor de LLM). Subverwerker; gegevensverwerking geregeld in onze overeenkomst met Reducto. Opt-out per organisatie op verzoek beschikbaar.
- Google Vertex (Gemini): Primaire LLM-extractie. Draait in de eigen regio (EU-regio voor EU, VS-regio voor VS). Geen bewaring en geen modeltraining op gegevens, conform de voorwaarden van Google Vertex.
- Anthropic (Claude): Validatieronde. Draait via de Anthropic Direct API voor beide regio's. Geen bewaring en geen modeltraining op API-gegevens, conform de API-voorwaarden van Anthropic. Opt-out per organisatie beschikbaar.
- Wat wordt verzonden: Alleen contracttekst (geen namen, e-mailadressen of accountgegevens).
Zie de canonieke lijst van subverwerkers en de toelichting op operationele logs op /trust.
Resend (e-maildienst)
- Doel: Verzenden van verlengingsmeldingen en service-e-mails
- Beveiliging: GDPR-conform
- Wat wordt verzonden: E-mailadres en inhoud van de melding
5.1 Externe clients die u autoriseert
Renewly ondersteunt OAuth 2.1-autorisatie, zodat u externe applicaties (bijvoorbeeld AI-assistenten en ontwikkelaarstools) aan uw account kunt koppelen. Wanneer u toestemming geeft op het autorisatiescherm, ontvangt de gekoppelde applicatie een token waarmee deze namens u onze API kan aanroepen binnen de scopes die u hebt goedgekeurd.
Wat wordt gedeeld
- Scope: Alleen de gegevens die vallen onder de scopes die u goedkeurt (bijv. contracten lezen, concept-e-mails opstellen). Het toestemmingsscherm toont de exacte machtigingen voordat u bevestigt.
- Tenantgrens: De applicatie kan alleen uw eigen contracten zien en de gegevens van organisaties waarvan u lid bent, nooit de gegevens van een andere klant.
- Wat wij verzenden: Contractmetadata, geëxtraheerde velden en de output die de aangevraagde tool produceert. Wij verzenden niet uw wachtwoord, MFA-factoren, factuurgegevens of andere accountgegevens.
Uw controle
- Intrekking: U kunt elke gekoppelde applicatie op elk moment intrekken via Settings → Connections. Intrekking maakt het token onmiddellijk ongeldig.
- Audit: OAuth-toekenningen en -intrekkingen worden gelogd en weergegeven in uw instellingen.
- Beleid van derden: Zodra gegevens Renewly verlaten, vallen ze onder het privacybeleid van de gekoppelde applicatie. Lees dat beleid voordat u toegang verleent.
5.2 Externe services die u koppelt (Google Calendar, Microsoft Calendar, Slack, DocuSign, Salesforce)
Renewly kan naar buiten toe verbinding maken met externe services, zodat contractverlengingsgebeurtenissen verschijnen waar u al werkt. Wanneer u een van deze koppelingen start vanuit Settings → Integrations, doorloopt u een OAuth- of webhookflow aan de kant van de externe partij en verleent u Renewly de minimale machtigingen die nodig zijn om die integratie te laten werken.
Google Calendar
- Aangevraagde scopes:
https://www.googleapis.com/auth/calendar.events (afspraken in uw agenda's lezen en schrijven) en https://www.googleapis.com/auth/userinfo.email (het primaire e-mailadres van uw Google-account, gebruikt om de koppeling te labelen). - Wat wij ermee doen: Wij maken herinneringsafspraken voor verlengingen aan in uw primaire Google Calendar op de standaard herinneringsmomenten (90, 60, 30 en 7 dagen voor de verlengingsdatum van elk contract), en werken die afspraken bij of verwijderen ze wanneer u het onderliggende contract in Renewly wijzigt of verwijdert. Wij lezen uw overige agenda-afspraken niet, wijzigen geen afspraken van andere applicaties en schrijven niet naar andere agenda's dan uw primaire agenda.
- Wat wij opslaan: Een versleuteld OAuth-refresh-token (AES-256-GCM at rest), het e-mailadres van het Google-account waarmee u de koppeling hebt gemaakt, en een serverzijdige registratie van welk Renewly-contract bij welk Google-afspraak-ID hoort, zodat wij later de juiste afspraak kunnen bijwerken. Wij slaan nooit de inhoud van uw overige agenda-afspraken op.
- Bewaring: Tokens worden bewaard totdat u Calendar in Renewly ontkoppelt, uw Renewly-account verwijdert of het token via uw Google-account wordt ingetrokken. Bij ontkoppeling worden de versleutelde tokens binnen 24 uur verwijderd; bij accountverwijdering worden ze verwijderd als onderdeel van de volledige accountopschoning (zie sectie 4, Gegevensbewaring).
- Beperkt gebruik: Renewly's gebruik en overdracht aan andere apps van informatie ontvangen via Google API's voldoet aan het Google API Services User Data Policy, inclusief de Limited Use-vereisten. Concreet: wij gebruiken Google-gebruikersgegevens niet om gegeneraliseerde AI-/ML-modellen te trainen, verkopen of dragen ze niet over aan derden en gebruiken ze niet voor advertenties. Menselijke toegang is beperkt tot het minimum dat nodig is voor beveiligingscontrole, debugging op verzoek van de gebruiker of naleving van wetgeving.
Microsoft Calendar (Outlook / Microsoft 365)
- Aangevraagde scopes:
Calendars.ReadWrite en User.Read (uw primaire e-mailadres). - Wat wij ermee doen: Zelfde als Google Calendar - herinneringsafspraken voor verlengingen aanmaken, bijwerken en verwijderen in uw primaire Microsoft-agenda.
- Bewaring + opslag: Zelfde als Google Calendar (versleutelde tokens, verwijderd bij ontkoppeling of accountverwijdering).
Slack en Microsoft Teams
- Mechanisme: Uitgaand, via het plakken van een Incoming-Webhook-URL. U maakt de webhook aan in uw Slack-workspace of Teams-kanaal en plakt de URL in Renewly. Geen OAuth, geen Renewly-app geïnstalleerd in uw workspace.
- Wat wij verzenden: Verlengingswaarschuwingen (contracttitel, dagen tot verlenging, link terug naar Renewly). Eenrichtingsverkeer: wij lezen nooit berichten uit uw workspace.
- Wat wij opslaan: De versleutelde webhook-URL (AES-256-GCM at rest). Verwijderd bij ontkoppeling of accountverwijdering.
DocuSign en Salesforce
- Scopes: Beperkt tot wat elke integratie vereist - DocuSign: handtekeningen/enveloppen lezen en aanmaken, Salesforce: contractrecords lezen en schrijven volgens veldtoewijzing.
- Wat wij ermee doen: Wij synchroniseren contractmetadata tussen Renewly en deze systemen, zodat de contractstatus consistent is. Wij lezen nooit documenten of records buiten de veldtoewijzingen die u configureert.
- Bewaring + opslag: Versleutelde refresh-tokens, verwijderd bij ontkoppeling of accountverwijdering.
Op elk moment ontkoppelen: Elke gekoppelde service heeft een Disconnect-knop op de bijbehorende kaart onder Settings → Integrations. Bij ontkoppeling worden de opgeslagen tokens of de webhook-URL binnen 24 uur verwijderd. Specifiek voor Google kunt u de toegang van Renewly daarnaast intrekken via uw pagina Google-accountmachtigingen.
6. Uw rechten
6.1 GDPR-rechten (gebruikers in de EU/EER)
✓Recht op inzage:Vraag een kopie van uw persoonsgegevens aan (Settings → Export My Data)
✓Recht op rectificatie:Corrigeer onjuiste persoonsgegevens (Settings → Profile)
✓Recht op gegevenswissing:Vraag verwijdering van uw gegevens aan (Settings → Delete Account)
✓Recht op gegevensoverdraagbaarheid:Ontvang uw gegevens in een machineleesbaar formaat (JSON)
✓Recht om een klacht in te dienen:U hebt het recht om een klacht in te dienen bij een toezichthoudende autoriteit voor gegevensbescherming. In het VK is dit het Information Commissioner's Office (ico.org.uk). In de EU/EER kunt u een klacht indienen bij de toezichthoudende autoriteit van de lidstaat waar u gewoonlijk verblijft, waar u werkt of waar de vermeende inbreuk heeft plaatsgevonden (overzicht op edpb.europa.eu).
6.2 CCPA-rechten (inwoners van Californië)
- Weten welke persoonsgegevens wij verzamelen en gebruiken
- Inzage krijgen in uw persoonsgegevens
- Verwijdering van uw persoonsgegevens aanvragen
- Afmelden voor verkoop (let op: wij verkopen geen persoonsgegevens)
7. Gegevensbeveiliging
Wij treffen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen:
Technische maatregelen
- ✓ Versleuteling tijdens verzending (TLS 1.3)
- ✓ Versleuteling in rust (AES-256)
- ✓ Wachtwoordloze authenticatie via passkey (WebAuthn) en magic-link-e-mail
- ✓ Multifactorauthenticatie (TOTP) beschikbaar voor alle accounts
- ✓ Beveiliging op rijniveau
Organisatorische maatregelen
- ✓ Beperkte toegang voor medewerkers
- ✓ Beveiligingstrainingen
- ✓ Procedures voor incidentrespons
- ✓ Regelmatige beveiligingsaudits
8. Gegevenslocatie en internationale doorgiften
Renewly is een dienst met twee regio's. U kiest uw regio bij registratie en uw contracten, accountgegevens en auditlogs worden voor de levensduur van de workspace in die regio opgeslagen.
European Union
- Opslag: Supabase eu-central-1 (AWS Frankfurt)
- Primaire extractie: Google Vertex in the EU region
United States
- Opslag: Supabase us-east-1 (AWS N. Virginia)
- Primaire extractie: Google Vertex in the US region
Twee fasen van de contractextractie gaan momenteel over regiogrenzen heen: PDF-tekstextractie (via onze subverwerker Reducto) en LLM-validatie (via de Anthropic Direct API voor Claude). Beide hebben een opt-out per organisatie. Zie /trust voor het canonieke overzicht.
Voor doorgiften van persoonsgegevens vanuit de Europese Economische Ruimte, het Verenigd Koninkrijk of Zwitserland naar landen zonder adequaatheidsbesluit van de Europese Commissie (of het Britse equivalent) steunt Renewly op de standaardcontractbepalingen (SCC's) van de Europese Commissie en, waar van toepassing, het UK International Data Transfer Addendum. Kopieën van deze mechanismen zijn op verzoek verkrijgbaar via privacy@renewly.gg. Wij hebben een ondertekende DPA met Supabase en een Renewly-DPA is op verzoek beschikbaar.
9. Cookies en tracking
Wij gebruiken twee categorieën cookies. Essentiële cookies staan altijd aan en zijn vereist om de dienst te laten werken. Niet-essentiële analytische cookies (Apollo, Microsoft Clarity, Google Analytics) worden alleen geladen als u ze expliciet accepteert via de cookiebanner of in uw accountinstellingen.
Essentiële cookies (altijd actief)
- Doel: Houden u aangemeld en slaan uw cookievoorkeur op
- Uit te schakelen: Nee - zonder deze cookies werkt de dienst niet
Analytische cookies (toestemming vereist)
- Services: Apollo, Microsoft Clarity, Google Analytics
- Doel: Begrijpen hoe het product wordt gebruikt, zodat wij het kunnen verbeteren
- Rechtsgrondslag: Toestemming (GDPR art. 6(1)(a))
- Voorkeur wijzigen: Settings → Account → Cookie preferences, op elk moment
Zie ons Cookiebeleid voor de volledige lijst van cookies, wat elke service ontvangt en hoe u uw toestemming intrekt.
10. Melding van datalekken
Wanneer een inbreuk in verband met persoonsgegevens waarschijnlijk een risico inhoudt voor uw rechten en vrijheden, melden wij dit zonder onnodige vertraging aan de bevoegde toezichthoudende autoriteit en, waar haalbaar, binnen 72 uur (GDPR art. 33). Wanneer de inbreuk waarschijnlijk een hoog risico voor u inhoudt, stellen wij ook u zonder onnodige vertraging op de hoogte (GDPR art. 34), met informatie over de inbreuk en de stappen die wij nemen.
11. Contact
Als u vragen hebt over dit Privacybeleid of onze gegevenspraktijken:
Verwerkingsverantwoordelijke: Renewly Limited (bedrijfsnummer 17297981)
Statutaire zetel: 128 City Road, Londen, EC1V 2NX, Verenigd Koninkrijk
E-mail: privacy@renewly.gg
Reactietijd: Wij streven ernaar binnen 5 werkdagen te reageren
Dit Privacybeleid kan van tijd tot tijd worden bijgewerkt. Wezenlijke wijzigingen worden per e-mail aan actieve gebruikers gecommuniceerd. Voortgezet gebruik van de dienst nadat wijzigingen zijn gepubliceerd, geldt als aanvaarding.
Meer over hoe wij uw gegevens beschermen, leest u op onze Beveiligingspagina.