Verwerkingsverantwoordelijke
Av. Van Volxem 264/C1, 1190 Bruxelles
BCE/KBO: 0460.646.961
BTW/TVA/VAT: BE0460.646.961
Email: info@pvresponse.be
1. Verwerkte gegevens
| Categorie | Gegevens | Doel |
|---|---|---|
| Identificatie | Naam, e-mail, telefoon | Accountbeheer, facturatie |
| Adres | Straat, gemeente, postcode, land | Facturatie, documenten |
| Bedrijfsgegevens | Bedrijfsnaam, BTW-nummer | B2B facturatie |
| Boetedocumenten | Geüploade PDF of afbeeldingen | AI-analyse voor bezwaarschrift |
| Betalingsgegevens | Transactiereferenties (Mollie) | Betalingsverwerking |
| IP-adres | IP-adres van uw verbinding | Bewijs van toestemming, registratie bij dossieraanmaak, beveiligingslogs (gerechtvaardigd belang — beveiliging) |
| Rijksregisternummer | Rijksregisternummer | Uitsluitend voor bestuurdersidentificatie-antwoorden; versleuteld opgeslagen |
| Handtekening | Afbeelding van uw handgeschreven handtekening | Ondertekening van brieven; versleuteld opgeslagen |
2. Rechtsgronden
Uitvoering overeenkomst (Art. 6(1)(b) AVG) · Wettelijke verplichting (Art. 6(1)(c) AVG) · Gerechtvaardigd belang (Art. 6(1)(f) AVG)
3. Bewaartermijnen
Accountgegevens: tot verwijdering + 12 maanden · Factuurgegevens: 7 jaar (wettelijke bewaarplicht) · Boetedocumenten en gegenereerde brieven: tot verwijdering van het dossier of uw account · Bezoekstatistieken (first-party): 30 dagen · Technische serverlogs: automatische rotatie
4. Doorgifte aan derden
Mollie (betalingen) · Anthropic (AI-verwerking) · Combell (hosting EU/België) · Brevo (Sendinblue SAS, Frankrijk, EU — verzending van transactionele e-mails; ontvangt uw e-mailadres en de berichtinhoud) · Open-Meteo (historische weergegevens — ontvangt enkel de coördinaten en datum/tijd van de overtredingslocatie, geen naam of andere persoonsgegevens) · Komoot GmbH (Photon-geocoder, Duitsland, EU — ontvangt de straat en gemeente van de overtreding als reserve wanneer Nominatim geen resultaat vindt, zonder naam) · Google (Google Ireland Ltd — analyse en advertentiemeting, enkel na toestemming; zie punt 7) · OpenStreetMap Foundation (kaartweergave — zie hieronder). Geen verkoop van persoonsgegevens.
Kaarten (OpenStreetMap)
Op de dossierpagina tonen wij — wanneer uw PV een locatie vermeldt — een kaart van de plaats van de vaststelling. Deze kaart maakt gebruik van kaarttegels van OpenStreetMap (OpenStreetMap Foundation, Verenigd Koninkrijk). Wanneer de kaart wordt geladen, verstuurt uw browser rechtstreeks een verzoek naar tile.openstreetmap.org. Daarbij worden uitsluitend de volgende technische gegevens gedeeld: uw IP-adres, user-agent (browser) en de coördinaten van het kaartbeeld dat u bekijkt. De locatie zelf wordt eenmalig server-side omgezet naar coördinaten via Nominatim (eveneens OSM-infrastructuur); deze opzoeking vertrekt vanaf onze server, niet vanaf uw apparaat. OpenStreetMap plaatst geen cookies en gebruikt geen tracking-pixels. Raadpleeg hun privacybeleid voor meer informatie.
Aanmelden via Google of Facebook
Als u ervoor kiest om in te loggen of te registreren via Google of Facebook, wordt u doorverwezen naar de betreffende aanbieder, die uw aanmelding verwerkt onder diens eigen privacybeleid. Na uw toestemming ontvangen wij van de aanbieder uitsluitend de gegevens die nodig zijn om uw account aan te maken en u te authenticeren: uw naam, uw e-mailadres en een uniek account-identificatienummer bij die aanbieder. Wij ontvangen géén wachtwoord en hebben geen toegang tot uw overige profiel, contacten of berichten. Deze gegevens worden uitsluitend gebruikt voor accountbeheer en authenticatie (Art. 6(1)(b) AVG). Google en Meta (Facebook) treden hierbij op als zelfstandige verwerkingsverantwoordelijken en kunnen gegevens buiten de EU verwerken onder passende waarborgen; raadpleeg hun respectieve privacybeleid. U kunt deze koppeling op elk moment ongedaan maken door uw account te verwijderen.
5. Uw rechten
Inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar. Verzoeken via info@pvresponse.be. Klacht indienen bij de Gegevensbeschermingsautoriteit.
7. Cookies & tracking
Wij gebruiken steeds strikt noodzakelijke cookies, waaronder een sessiecookie (pv_session) voor authenticatie en een cookie voor uw cookievoorkeuren (cookie_consent). Daarnaast gebruiken wij cookies voor analyse en advertentiemeting (Google) — deze worden uitsluitend geplaatst nadat u daarvoor uitdrukkelijk toestemming hebt gegeven via de cookiebanner. Zonder die toestemming worden geen Google-scripts geladen. Raadpleeg ons Cookiebeleid voor meer informatie.
8. Geautomatiseerde verwerking & AI
Uw geüploade documenten worden verwerkt door kunstmatige intelligentie (Anthropic Claude) voor tekstherkenning (OCR) en het opstellen van bezwaarschriften. Er worden geen volledig geautomatiseerde beslissingen genomen met rechtsgevolgen in de zin van Art. 22 AVG. U behoudt te allen tijde de controle: het gegenereerde bezwaarschrift kan door u worden aangepast, aangevuld of verworpen alvorens het te gebruiken.
9. Gegevensbeveiliging
Wij nemen passende technische en organisatorische maatregelen om uw gegevens te beschermen:
- Bestandsversleuteling at rest — alle geüploade documenten (PV's, handtekeningen, certificaten) en alle gegenereerde PDF's worden met AES-256-GCM versleuteld alvorens ze naar schijf worden geschreven. De sleutel staat uitsluitend in een omgevingsvariabele (niet in de database, niet in de broncode).
- Kolomversleuteling at rest voor gevoelige databankvelden — de volgende inhoud wordt vóór opslag op kolomniveau met AES-256-GCM versleuteld (prefix
enc:v1:): rijksregisternummers, de volledige tekst van elk bezwaarschrift (inclusief versies en chat-bewerkingen), de tekst en HTML van elke ontvangen of verzonden antwoordbrief, de tekst en HTML van elk e-mailbericht dat via onze infrastructuur loopt, en het rijksregisternummer binnen elke identificatiebrief-indiening. Een databankdump zonder de afzonderlijke encryptiesleutel levert enkel niet-leesbare cijfertekst op. - Beveiligde verbinding via HTTPS/TLS — alle externe API-oproepen (Anthropic, Mollie, Brevo, Nominatim) gebruiken TLS met authenticatie in de request-header, nooit in de URL.
- Wachtwoorden worden gehasht opgeslagen met Argon2 (nooit in leesbare vorm).
- Sessiebeheer met automatische verloopmechanismen (24 uur).
- Toegangscontrole: alleen geautoriseerde medewerkers hebben toegang tot persoonsgegevens; toegangslogboeken worden 30 dagen bewaard.
10. Internationale doorgifte
Anthropic (Verenigde Staten) verwerkt documentinhoud voor AI-analyse. Deze doorgifte is gedekt door Standard Contractual Clauses (SCC) conform Art. 46 AVG. Google LLC (Verenigde Staten) verwerkt analyse- en advertentiemetingsgegevens (enkel na toestemming); deze doorgifte valt onder het EU-VS Data Privacy Framework. Mollie (betalingen) en Combell (hosting) opereren binnen de EU/EER. OpenStreetMap Foundation (Verenigd Koninkrijk) levert kaarttegels; het VK beschikt over een adequaatheidsbesluit van de Europese Commissie (28 juni 2021), waardoor deze doorgifte geen aanvullende waarborgen vereist.
11. Kinderen
Onze dienst is niet bedoeld voor personen jonger dan 18 jaar. Wij verzamelen niet bewust persoonsgegevens van minderjarigen. Indien u vaststelt dat een minderjarige gegevens heeft verstrekt, neem dan contact met ons op zodat wij deze kunnen verwijderen.
12. Melding van datalekken
In geval van een inbreuk op de beveiliging van persoonsgegevens stellen wij de bevoegde toezichthoudende autoriteit in kennis binnen 72 uur, overeenkomstig Art. 33 AVG. Indien het datalek een hoog risico inhoudt voor uw rechten en vrijheden, wordt u zonder onredelijke vertraging op de hoogte gebracht overeenkomstig Art. 34 AVG.
13. Wijzigingen van dit beleid
Wij kunnen dit privacybeleid van tijd tot tijd bijwerken. Bij wezenlijke wijzigingen stellen wij u per e-mail op de hoogte. Voortgezet gebruik van de dienst na kennisgeving geldt als aanvaarding van het gewijzigde beleid. De meest recente versie is steeds beschikbaar op pvresponse.be/privacy.
14. Contact
Responsable du traitement
Av. Van Volxem 264/C1, 1190 Bruxelles
BCE/KBO: 0460.646.961
BTW/TVA/VAT: BE0460.646.961
Email: info@pvresponse.be
1. Données traitées
| Catégorie | Données | Finalité |
|---|---|---|
| Identification | Nom, e-mail, téléphone | Gestion du compte, facturation |
| Adresse | Rue, commune, code postal, pays | Facturation, documents |
| Données entreprise | Nom société, TVA | Facturation B2B |
| Documents d'amendes | PDF ou images téléchargées | Analyse IA pour contestation |
| Données de paiement | Références de transaction (Mollie) | Traitement des paiements |
| Adresse IP | Adresse IP de votre connexion | Preuve du consentement, enregistrement lors de la création du dossier, journaux de sécurité (intérêt légitime — sécurité) |
| Numéro de registre national | Numéro de registre national | Uniquement pour les réponses d'identification du conducteur ; stocké chiffré |
| Signature | Image de votre signature manuscrite | Signature des lettres ; stockée chiffrée |
2. Bases légales
Exécution du contrat (Art. 6(1)(b) RGPD) · Obligation légale (Art. 6(1)(c) RGPD) · Intérêt légitime (Art. 6(1)(f) RGPD)
3. Durées de conservation
Données de compte : jusqu'à suppression + 12 mois · Facturation : 7 ans (obligation légale de conservation) · Documents d'amendes et lettres générées : jusqu'à la suppression du dossier ou de votre compte · Statistiques de visite (first-party) : 30 jours · Journaux techniques du serveur : rotation automatique
4. Transferts à des tiers
Mollie (paiements) · Anthropic (traitement IA) · Combell (hébergement UE/Belgique) · Brevo (Sendinblue SAS, France, UE — envoi des e-mails transactionnels ; reçoit votre adresse e-mail et le contenu du message) · Open-Meteo (données météo historiques — reçoit uniquement les coordonnées et la date/heure du lieu de l'infraction, sans nom ni autre donnée personnelle) · Komoot GmbH (géocodeur Photon, Allemagne, UE — reçoit la rue et la commune de l'infraction en solution de secours lorsque Nominatim ne trouve pas de résultat, sans nom) · Google (Google Ireland Ltd — analyse et mesure publicitaire, uniquement après consentement ; voir point 7) · OpenStreetMap Foundation (affichage cartographique — voir ci-dessous). Aucune vente de données.
Cartes (OpenStreetMap)
Sur la page dossier, lorsque votre PV mentionne un lieu, nous affichons une carte du lieu du constat. Cette carte utilise les tuiles de OpenStreetMap (OpenStreetMap Foundation, Royaume-Uni). Lors du chargement de la carte, votre navigateur envoie directement une requête à tile.openstreetmap.org. Seules les données techniques suivantes sont partagées : votre adresse IP, votre user-agent (navigateur) et les coordonnées du fragment de carte affiché. L'adresse elle-même est convertie une seule fois en coordonnées, côté serveur, via Nominatim (également de l'infrastructure OSM) ; cette requête part de nos serveurs, pas de votre appareil. OpenStreetMap ne place aucun cookie et n'utilise pas de pixels de traçage. Consultez leur politique de confidentialité pour plus d'informations.
Connexion via Google ou Facebook
Si vous choisissez de vous connecter ou de vous inscrire via Google ou Facebook, vous êtes redirigé vers le fournisseur concerné, qui traite votre connexion selon sa propre politique de confidentialité. Après votre consentement, nous recevons du fournisseur uniquement les données nécessaires à la création de votre compte et à votre authentification : votre nom, votre adresse e-mail et un identifiant de compte unique auprès de ce fournisseur. Nous ne recevons aucun mot de passe et n'avons pas accès à votre profil, vos contacts ou vos messages. Ces données servent uniquement à la gestion du compte et à l'authentification (Art. 6(1)(b) RGPD). Google et Meta (Facebook) agissent en tant que responsables du traitement indépendants et peuvent traiter des données hors UE sous des garanties appropriées ; consultez leurs politiques de confidentialité respectives. Vous pouvez à tout moment dissocier cette connexion en supprimant votre compte.
5. Vos droits
Accès, rectification, suppression, limitation, portabilité et opposition. Demandes via info@pvresponse.be. Plainte auprès de l'Autorité de protection des données.
7. Cookies & suivi
Nous utilisons en permanence des cookies strictement nécessaires, dont un cookie de session (pv_session) pour l'authentification et un cookie pour vos préférences cookies (cookie_consent). Nous utilisons en outre des cookies d'analyse et de mesure publicitaire (Google) — ceux-ci ne sont placés qu'après votre consentement explicite via la bannière cookies. Sans ce consentement, aucun script Google n'est chargé. Consultez notre Politique de cookies pour plus d'informations.
8. Traitement automatisé & IA
Vos documents téléchargés sont traités par intelligence artificielle (Anthropic Claude) pour la reconnaissance de texte (OCR) et la rédaction de contestations. Aucune décision entièrement automatisée ayant des effets juridiques au sens de l'Art. 22 RGPD n'est prise. Vous gardez le contrôle à tout moment : la contestation générée peut être modifiée, complétée ou rejetée avant utilisation.
9. Sécurité des données
Nous prenons des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des fichiers au repos — tous les documents téléchargés (PV, signatures, certificats) ainsi que l'ensemble des PDF générés sont chiffrés en AES-256-GCM avant écriture sur disque. La clé réside uniquement dans une variable d'environnement (pas dans la base de données, pas dans le code source).
- Chiffrement au niveau colonne pour les champs sensibles — les contenus suivants sont chiffrés en AES-256-GCM avant stockage (préfixe
enc:v1:) : numéros de registre national, le texte intégral de chaque contestation (y compris versions et modifications apportées via le chat), le texte et le HTML de chaque lettre de réponse reçue ou envoyée, le texte et le HTML de chaque e-mail transitant par notre infrastructure, ainsi que le numéro de registre national figurant dans chaque lettre d'identification du conducteur. Une copie de la base de données, sans la clé de chiffrement distincte, ne donne accès qu'à du texte chiffré illisible. - Connexion sécurisée via HTTPS/TLS — tous les appels API externes (Anthropic, Mollie, Brevo, Nominatim) utilisent TLS avec authentification dans l'en-tête de requête, jamais dans l'URL.
- Mots de passe stockés sous forme hachée avec Argon2 (jamais en clair).
- Gestion des sessions avec expiration automatique (24 heures).
- Contrôle d'accès : seul le personnel autorisé a accès aux données personnelles ; les journaux d'accès sont conservés 30 jours.
10. Transferts internationaux
Anthropic (États-Unis) traite le contenu des documents pour l'analyse IA. Ce transfert est couvert par les Clauses Contractuelles Types (CCT) conformément à l'Art. 46 RGPD. Google LLC (États-Unis) traite les données d'analyse et de mesure publicitaire (uniquement après consentement) ; ce transfert relève du cadre de protection des données UE–États-Unis (EU-US Data Privacy Framework). Mollie (paiements) et Combell (hébergement) opèrent au sein de l'UE/EEE. OpenStreetMap Foundation (Royaume-Uni) fournit les tuiles cartographiques ; le Royaume-Uni bénéficie d'une décision d'adéquation de la Commission européenne (28 juin 2021), de sorte que ce transfert ne nécessite pas de garanties supplémentaires.
11. Enfants
Notre service n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous constatez qu'un mineur a fourni des données, veuillez nous contacter afin que nous puissions les supprimer.
12. Notification de violation de données
En cas de violation de la sécurité des données personnelles, nous informons l'autorité de contrôle compétente dans les 72 heures, conformément à l'Art. 33 RGPD. Si la violation présente un risque élevé pour vos droits et libertés, vous serez informé sans délai excessif conformément à l'Art. 34 RGPD.
13. Modifications de cette politique
Nous pouvons mettre à jour cette politique de confidentialité de temps en temps. En cas de modifications substantielles, nous vous informerons par e-mail. L'utilisation continue du service après notification vaut acceptation de la politique modifiée. La version la plus récente est toujours disponible sur pvresponse.be/privacy.
14. Contact
Verantwortlicher
Av. Van Volxem 264/C1, 1190 Bruxelles
BCE/KBO: 0460.646.961
BTW/TVA/VAT: BE0460.646.961
Email: info@pvresponse.be
1. Verarbeitete Daten
| Kategorie | Daten | Zweck |
|---|---|---|
| Identifikation | Name, E-Mail, Telefon | Kontoverwaltung, Rechnungsstellung |
| Adresse | Straße, Gemeinde, PLZ, Land | Rechnungsstellung, Dokumente |
| Unternehmensdaten | Firmenname, USt-IdNr. | B2B-Rechnungsstellung |
| Bußgelddokumente | Hochgeladene PDFs oder Bilder | KI-Analyse für Widerspruch |
| Zahlungsdaten | Transaktionsreferenzen (Mollie) | Zahlungsabwicklung |
| IP-Adresse | IP-Adresse Ihrer Verbindung | Nachweis der Einwilligung, Erfassung bei der Fallerstellung, Sicherheitsprotokolle (berechtigtes Interesse — Sicherheit) |
| Nationalregisternummer | Nationalregisternummer | Ausschließlich für Fahreridentifikationsantworten; verschlüsselt gespeichert |
| Unterschrift | Bild Ihrer handschriftlichen Unterschrift | Unterzeichnung von Schreiben; verschlüsselt gespeichert |
2. Rechtsgrundlagen
Vertragserfüllung (Art. 6(1)(b) DSGVO) · Rechtliche Verpflichtung (Art. 6(1)(c) DSGVO) · Berechtigtes Interesse (Art. 6(1)(f) DSGVO)
3. Aufbewahrungsfristen
Kontodaten: bis Löschung + 12 Monate · Rechnungsdaten: 7 Jahre (gesetzliche Aufbewahrungspflicht) · Bußgelddokumente und erzeugte Schreiben: bis zur Löschung des Falls oder Ihres Kontos · Besuchsstatistiken (First-Party): 30 Tage · Technische Serverprotokolle: automatische Rotation
4. Weitergabe an Dritte
Mollie (Zahlungen) · Anthropic (KI-Verarbeitung) · Combell (Hosting EU/Belgien) · Brevo (Sendinblue SAS, Frankreich, EU — Versand transaktionaler E-Mails; erhält Ihre E-Mail-Adresse und den Nachrichteninhalt) · Open-Meteo (historische Wetterdaten — erhält ausschließlich die Koordinaten sowie Datum/Uhrzeit des Tatorts, keinen Namen und keine sonstigen personenbezogenen Daten) · Komoot GmbH (Photon-Geocoder, Deutschland, EU — erhält Straße und Gemeinde des Tatorts als Ausweichlösung, wenn Nominatim kein Ergebnis findet, ohne Namen) · Google (Google Ireland Ltd — Analyse und Werbemessung, nur nach Einwilligung; siehe Punkt 7) · OpenStreetMap Foundation (Kartendarstellung — siehe unten). Kein Verkauf personenbezogener Daten.
Karten (OpenStreetMap)
Auf der Fallseite zeigen wir — wenn Ihr Bescheid einen Ort angibt — eine Karte des Feststellungsortes. Diese Karte verwendet Kartenkacheln von OpenStreetMap (OpenStreetMap Foundation, Vereinigtes Königreich). Beim Laden der Karte sendet Ihr Browser eine direkte Anfrage an tile.openstreetmap.org. Dabei werden ausschließlich die folgenden technischen Daten geteilt: Ihre IP-Adresse, Ihr User-Agent (Browser) und die Koordinaten des angezeigten Kartenausschnitts. Die Adresse selbst wird einmalig serverseitig über Nominatim (ebenfalls OSM-Infrastruktur) in Koordinaten umgewandelt; diese Anfrage erfolgt von unseren Servern, nicht von Ihrem Gerät. OpenStreetMap setzt keine Cookies und verwendet keine Tracking-Pixel. Einzelheiten finden Sie in deren Datenschutzerklärung.
Anmeldung über Google oder Facebook
Wenn Sie sich über Google oder Facebook anmelden oder registrieren, werden Sie zum jeweiligen Anbieter weitergeleitet, der Ihre Anmeldung gemäß seiner eigenen Datenschutzerklärung verarbeitet. Nach Ihrer Einwilligung erhalten wir vom Anbieter ausschließlich die zur Kontoerstellung und Authentifizierung erforderlichen Daten: Ihren Namen, Ihre E-Mail-Adresse und eine eindeutige Konto-Kennung beim Anbieter. Wir erhalten kein Passwort und haben keinen Zugriff auf Ihr übriges Profil, Ihre Kontakte oder Nachrichten. Diese Daten werden ausschließlich zur Kontoverwaltung und Authentifizierung verwendet (Art. 6(1)(b) DSGVO). Google und Meta (Facebook) handeln dabei als eigenständige Verantwortliche und können Daten außerhalb der EU unter geeigneten Garantien verarbeiten; siehe deren jeweilige Datenschutzerklärungen. Sie können diese Verknüpfung jederzeit durch Löschen Ihres Kontos aufheben.
5. Ihre Rechte
Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität und Widerspruch. Anfragen an info@pvresponse.be.
7. Cookies & Tracking
Wir verwenden stets unbedingt notwendige Cookies, darunter ein Session-Cookie (pv_session) für die Authentifizierung und ein Cookie für Ihre Cookie-Präferenzen (cookie_consent). Darüber hinaus verwenden wir Cookies für Analyse und Werbemessung (Google) — diese werden ausschließlich gesetzt, nachdem Sie über das Cookie-Banner ausdrücklich eingewilligt haben. Ohne diese Einwilligung werden keine Google-Skripte geladen. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.
8. Automatisierte Verarbeitung & KI
Ihre hochgeladenen Dokumente werden durch künstliche Intelligenz (Anthropic Claude) für Texterkennung (OCR) und die Erstellung von Widersprüchen verarbeitet. Es werden keine vollständig automatisierten Entscheidungen mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO getroffen. Sie behalten jederzeit die Kontrolle: Der generierte Widerspruch kann von Ihnen angepasst, ergänzt oder verworfen werden, bevor Sie ihn verwenden.
9. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:
- Dateiverschlüsselung im Ruhezustand — alle hochgeladenen Dokumente (Protokolle, Unterschriften, Zertifikate) sowie alle erzeugten PDFs werden vor dem Schreiben auf die Festplatte mit AES-256-GCM verschlüsselt. Der Schlüssel liegt ausschließlich in einer Umgebungsvariable (nicht in der Datenbank, nicht im Quellcode).
- Spaltenverschlüsselung im Ruhezustand für sensible Datenbankfelder — die folgenden Inhalte werden vor der Speicherung auf Spaltenebene mit AES-256-GCM verschlüsselt (Präfix
enc:v1:): Nationalregisternummern, der vollständige Text jedes Einspruchs (einschließlich Versionen und per Chat eingebrachter Änderungen), Text und HTML jeder eingegangenen oder versendeten Antwortschreiben, Text und HTML jeder E-Mail, die über unsere Infrastruktur läuft, sowie die Nationalregisternummer innerhalb jeder Fahreridentifikationsmeldung. Ein Datenbank-Dump ohne den separaten Verschlüsselungsschlüssel liefert nur unlesbaren Chiffretext. - Sichere Verbindung über HTTPS/TLS — sämtliche externen API-Aufrufe (Anthropic, Mollie, Brevo, Nominatim) verwenden TLS mit Authentifizierung im Request-Header, niemals in der URL.
- Passwörter werden mit Argon2 gehasht gespeichert (niemals im Klartext).
- Sitzungsverwaltung mit automatischem Ablauf (24 Stunden).
- Zugangskontrollen: Nur autorisiertes Personal hat Zugang zu personenbezogenen Daten; Zugriffsprotokolle werden 30 Tage aufbewahrt.
10. Internationale Übermittlungen
Anthropic (Vereinigte Staaten) verarbeitet Dokumentinhalte für die KI-Analyse. Diese Übermittlung ist durch Standardvertragsklauseln (SVK) gemäß Art. 46 DSGVO abgedeckt. Google LLC (Vereinigte Staaten) verarbeitet Analyse- und Werbemessungsdaten (nur nach Einwilligung); diese Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework. Mollie (Zahlungen) und Combell (Hosting) operieren innerhalb der EU/des EWR. OpenStreetMap Foundation (Vereinigtes Königreich) liefert die Kartenkacheln; für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der Europäischen Kommission (28. Juni 2021), sodass diese Übermittlung keine zusätzlichen Garantien erfordert.
11. Kinder
Unser Dienst ist nicht für Personen unter 18 Jahren bestimmt. Wir erheben nicht wissentlich personenbezogene Daten von Minderjährigen. Falls Sie feststellen, dass ein Minderjähriger Daten bereitgestellt hat, kontaktieren Sie uns bitte, damit wir diese löschen können.
12. Meldung von Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten informieren wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Art. 33 DSGVO. Wenn die Verletzung ein hohes Risiko für Ihre Rechte und Freiheiten darstellt, werden Sie unverzüglich gemäß Art. 34 DSGVO benachrichtigt.
13. Änderungen dieser Richtlinie
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen informieren wir Sie per E-Mail. Die fortgesetzte Nutzung des Dienstes nach Benachrichtigung gilt als Annahme der geänderten Richtlinie. Die aktuelle Version ist stets unter pvresponse.be/privacy verfügbar.
14. Kontakt
Data controller
Av. Van Volxem 264/C1, 1190 Bruxelles
BCE/KBO: 0460.646.961
BTW/TVA/VAT: BE0460.646.961
Email: info@pvresponse.be
1. Data processed
| Category | Data | Purpose |
|---|---|---|
| Identification | Name, email, phone | Account management, invoicing |
| Address | Street, city, postal code, country | Invoicing, documents |
| Business data | Company name, VAT number | B2B invoicing |
| Fine documents | Uploaded PDFs or images | AI analysis for contestation |
| Payment data | Transaction references (Mollie) | Payment processing |
| IP address | IP address of your connection | Proof of consent, recorded at case creation, security logs (legitimate interest — security) |
| National Registry Number | National Registry Number | Only for driver-identification responses; stored encrypted |
| Signature | Image of your handwritten signature | Signing letters; stored encrypted |
2. Legal bases
Contract performance (Art. 6(1)(b) GDPR) · Legal obligation (Art. 6(1)(c) GDPR) · Legitimate interest (Art. 6(1)(f) GDPR)
3. Retention periods
Account data: until deletion + 12 months · Invoice data: 7 years (statutory retention obligation) · Fine documents and generated letters: until the case or your account is deleted · Visit statistics (first-party): 30 days · Technical server logs: automatic rotation
4. Third-party transfers
Mollie (payments) · Anthropic (AI processing) · Combell (EU/Belgium hosting) · Brevo (Sendinblue SAS, France, EU — transactional e-mail delivery; receives your e-mail address and the message content) · Open-Meteo (historical weather data — receives only the coordinates and date/time of the violation location, no name or other personal data) · Komoot GmbH (Photon geocoder, Germany, EU — receives the street and municipality of the violation as a fallback when Nominatim finds no match, with no name attached) · Google (Google Ireland Ltd — analytics and advertising measurement, only after consent; see section 7) · OpenStreetMap Foundation (map display — see below). No sale of personal data.
Maps (OpenStreetMap)
On the case page, when your PV lists a location, we display a map of the place of observation. This map uses tiles from OpenStreetMap (OpenStreetMap Foundation, United Kingdom). When the map loads, your browser sends a direct request to tile.openstreetmap.org. Only the following technical data are shared: your IP address, user-agent (browser) and the coordinates of the map viewport. The address itself is converted to coordinates once, server-side, via Nominatim (also OSM infrastructure); this lookup originates from our servers, not from your device. OpenStreetMap sets no cookies and uses no tracking pixels. See their privacy policy for details.
Sign-in via Google or Facebook
If you choose to log in or register via Google or Facebook, you are redirected to that provider, which processes your sign-in under its own privacy policy. After your consent, we receive from the provider only the data needed to create your account and authenticate you: your name, your email address and a unique account identifier at that provider. We do not receive any password and have no access to your wider profile, contacts or messages. This data is used solely for account management and authentication (Art. 6(1)(b) GDPR). Google and Meta (Facebook) act as independent controllers and may process data outside the EU under appropriate safeguards; see their respective privacy policies. You can unlink this connection at any time by deleting your account.
5. Your rights
Access, rectification, erasure, restriction, portability and objection. Requests to info@pvresponse.be. Complaint to the Data Protection Authority.
7. Cookies & tracking
We always use strictly necessary cookies, including a session cookie (pv_session) for authentication and a cookie for your cookie preferences (cookie_consent). In addition, we use cookies for analytics and advertising measurement (Google) — these are set only after you have given explicit consent via the cookie banner. Without that consent, no Google scripts are loaded. See our Cookie Policy for more information.
8. Automated processing & AI
Your uploaded documents are processed by artificial intelligence (Anthropic Claude) for text recognition (OCR) and drafting objection letters. No fully automated decisions with legal effects within the meaning of Art. 22 GDPR are made. You retain control at all times: the generated objection can be modified, supplemented or rejected by you before use.
9. Data security
We take appropriate technical and organisational measures to protect your data:
- File encryption at rest — all uploaded documents (PVs, signatures, certificates) and all generated PDFs are encrypted with AES-256-GCM before being written to disk. The key lives only in an environment variable (not in the database, not in the source code).
- Column-level encryption at rest for sensitive database fields — the following contents are encrypted with AES-256-GCM before storage (prefix
enc:v1:): National Registry Numbers, the full text of every contestation letter (including versions and chat-driven edits), the text and HTML of every incoming or outgoing reply letter, the text and HTML of every email flowing through our infrastructure, and the National Registry Number inside every driver-identification submission. A database dump without the separate encryption key yields only unreadable ciphertext. - Secure connection via HTTPS/TLS — every outbound API call (Anthropic, Mollie, Brevo, Nominatim) uses TLS with authentication in the request header, never in the URL.
- Passwords stored hashed with Argon2 (never in plain text).
- Session management with automatic expiry (24 hours).
- Access controls: only authorised staff have access to personal data; access logs are retained for 30 days.
10. International transfers
Anthropic (United States) processes document content for AI analysis. This transfer is covered by Standard Contractual Clauses (SCCs) in accordance with Art. 46 GDPR. Google LLC (United States) processes analytics and advertising-measurement data (only after consent); this transfer is covered by the EU-US Data Privacy Framework. Mollie (payments) and Combell (hosting) operate within the EU/EEA. OpenStreetMap Foundation (United Kingdom) provides the map tiles; the UK benefits from a European Commission adequacy decision (28 June 2021), so this transfer requires no additional safeguards.
11. Children
Our service is not intended for persons under 18 years of age. We do not knowingly collect personal data from minors. If you become aware that a minor has provided data, please contact us so we can delete it.
12. Data breach notification
In the event of a personal data breach, we will notify the competent supervisory authority within 72 hours in accordance with Art. 33 GDPR. If the breach poses a high risk to your rights and freedoms, you will be notified without undue delay in accordance with Art. 34 GDPR.
13. Changes to this policy
We may update this privacy policy from time to time. In the event of material changes, we will notify you by email. Continued use of the service after notification constitutes acceptance of the amended policy. The most recent version is always available at pvresponse.be/privacy.