Download onze Privacy Verklaring: https://www.digidentity.eu/nl/documentation

Digidentity respecteert uw privacy. Beschermen van uw persoonsgegevens heeft bij ons de hoogste prioriteit. In deze Privacy Verklaring leggen wij u uit welke persoonsgegevens wij verzamelen en verwerken en hoe wij deze gegevens beveiligen.

Wij zijn wij? Deze Privacy Verklaring beschrijft het verzamelen en gebruik van persoonsgegevens door Digidentity B.V. Verwijzingen in deze Verklaring naar “Digidentity”, “wij” of “ons” betekenen Digidentity B.V. (geregistreerd in het Handelsregister onder nummer 27322631), zijnde de verwerkingsverantwoordelijke voor het verwerken van persoonsgegevens.

Wat is het doel van deze Verklaring? Voor iedere dienst die wij leveren, nemen wij het beschermen van uw privacy en persoonsgegevens serieus. Wij garanderen dat wij enkel persoonsgegevens verwerken voor onze dienstverlening en in overeenstemming met de van toepassing zijnde privacywetgeving (inclusief maar niet beperkt tot de Algemene Verordening Gegevensbescherming – AVG).

We staan niet toe dat anderen toegang krijgen tot uw persoonsgegevens of gebruiken voor andere doelen dan in deze Verklaring zijn opgenomen.

In deze Verklaring geven wij informatie over hoe Digidentity uw persoonsgegevens verwerkt bij gebruik van onze producten, elke interactie met Digidentity en gebruik maakt van onze website (www.digidentity.eu). Dit omvat alle persoonsgegevens die u aanlevert wanneer u onze diensten afneemt. Deze Verklaring geeft informatie over het uitvoeren van uw rechten.

Het is belangrijk dat u zowel deze Privacy Verklaring als onze Algemene Voorwaarden en specifieke Product Voorwaarden leest.

Hoe kunt u in contact komen met ons? Als u vragen, commentaar of verzoeken over deze Privacy Verklaring heeft, neem dan contact op met onze Functionaris Gegevensbescherming (via e mail, post of telefoon) via de onderstaande gegevens.

E mailadres: privacy@digidentity.com Post adres: Postbus 19148, 2500 CC, Den Haag Telefoonnummer: +31 88 7 78 78 78

Als u enige zorgen hebt over de wijze waarop wij uw persoonsgegevens behandelen, heeft u te allen tijde de mogelijkheid een klacht in te dienen bij de autoriteiten. Voor Digidentity is dit de Autoriteit Persoonsgegevens in Nederland.

Voor welke doelen verwerken wij uw persoonsgegevens?

[1] Uitvoeren van contract Digidentity verwerkt persoonsgegevens om onze producten te leveren. De juridische grondslag voor deze verwerkingen is het uitvoeren van het contract tussen Digidentity en u voor het leveren van deze producten en om aan de van toepassing zijnde wet- en regelgeving te voldoen.

[2] Wettelijke verplichting Digidentity verwerkt persoonsgegevens om te voldoen aan wettelijke verplichtingen zoals belastingverplichtingen, gerechtelijke bevelen of politieonderzoeken.

[3] Gerechtvaardigd belang Wij verwerken persoonsgegevens voor het beheren, verbeteren en beschermen van zakelijke belangen en onze website. Dit omvat het oplossen van problemen, data-analyse, testen, fraudepreventie en –detectie, onderhoud, ondersteuning, rapportage en hosting van data.

[4] Toestemming Wij gebruiken geautomatiseerde technologieën en interacties (inclusief maar niet beperkt tot loggen van gegevens, data-analyse en cookies). In het geval dat wij verwerken op basis van uw toestemming voor het verwerken, kunt u uw toestemming altijd intrekken.

In overeenstemming met AVG artikel 9, lid 2a, vragen wij u éénmalige uitdrukkelijke toestemming aan Digidentity te geven om foto's van uw identiteitsdocument en selfies (biometrische gegevens) te verwerken.

Let op: iedere verwerking van persoonsgegevens voor het intrekken van de toestemming blijft rechtmatig. Wanneer u uw toestemming intrekt, kunnen wij mogelijk specifieke diensten of producten niet meer leveren. We zullen u hierover informeren in het geval u de toestemming intrekt.

Welke persoonsgegevens verzamelen wij? Digidentity verwerkt persoonsgegevens op het moment dat u onze website bezoekt, met ons communiceert of wanneer u onze producten aanschaft of gebruikt.

Digidentity verwerkt persoonsgegevens voor:  Administratie en facturatie  Identificatie, identiteitsvalidatie en verificatie  Leveren van producten  Verbeteren van producten  Fraudepreventie en -detectie  Analyse & Statistieken  Voldoen aan wet- en regelgeving  Beheer van klantrelaties  Trainingsdoeleinden  Contactdoeleinden  Versturen van nieuwsbrieven  Verwerken van sollicitaties Digidentity verwerkt o.a. de volgende persoonsgegevens:  Volledige naam  Vorige namen  Geboortedatum en - plaats  Geslacht  Nationaliteit  Identiteitsdocumenten (foto, chip)  Pasfoto uit chip ID & Selfies (biometrische gegevens)  Adresgeschiedenis  E-mailadres  Zakelijk e-mailadres  Zakelijke registratie  Bankrekeningnummer  Identiteitsdocumentnummer  Burger Service Nummer  Handtekening  Mobiele telefoonnummer  Curriculum Vitae  Motivatiebrief

Digidentity Account Een Digidentity account is vereist om onze producten te gebruiken. De juridische grondslag voor de verwerking van persoonsgegevens is uitvoeren van het contract. Voor een Digidentity account heeft u een e-mailadres en een tweede factor nodig voor authenticatie. Wanneer u via de Digidentity Wallet registreert, kunt u een authenticator met een zelfgekozen pincode toevoegen als tweede factor.

Uw e-mailadres en een tweede factor zijn vereist om in te loggen in uw account. Wij maken een pseudoniem aan om uw account in ons systeem te identificeren. Digidentity bewaart deze gegevens totdat u uw account verwijdert of voor de duur van maximaal twee (2) jaar na de laatste keer dat u bent ingelogd in uw account. We nemen dan aan dat u niet langer gebruik wilt maken van onze diensten en verwijderen uw account.

Leveren van producten Digidentity verwerkt persoonsgegevens om onze producten te leveren. De juridische grondslag voor de verwerking van persoonsgegevens is uitvoeren van het contract voor deze producten en te voldoen aan relevante wet- en regelgeving. Als voorbeeld kunnen wij uw volledige naam, geboortedatum, nationaliteit, identiteitsdocumenten, foto’s en identiteitsdocumentnummer verwerken om uw identiteit te verifiëren.

Digidentity is verplicht om onze klanten te identificeren voor onze producten. Digidentity verwerkt foto's van identiteitsbewijzen en selfies (biometrische gegevens) als onderdeel van de identificatie van onze klanten. Het doel van de verwerking van biometrische gegevens, is het leveren van een digitale identiteit voor toegang tot diensten en systemen.

Contact Wanneer u onze producten gebruikt, een bericht naar ons stuurt, het contactformulier invult, of op een andere wijze contact met ons opneemt, accepteert u ons aanbod om contact met u op te nemen. De juridische grondslag voor de verwerking van persoonsgegevens is gerechtvaardigd belang. Voor dit doel kunnen wij uw volledige naam, email adres, mobiele telefoonnummer en ieder gegeven dat u in het bericht hebt opgenomen, verwerken. Wij bewaren deze gegevens totdat we zeker zijn dat u tevreden bent met onze reactie en één (1) jaar hierna. Hierdoor kunnen wij de gegevens gebruiken in het geval van vervolgvragen later.

Digidentity Wallet De Digidentity Wallet (voor Apple iOS en Android) kunt u gebruiken tijdens het registratieproces, ondersteunen bij authenticatie en biedt toegang tot uw authenticator(s) De Wallet vraagt toestemming voor toegang tot de camera van uw toestel om QR-codes te scannen en de NFC lezer om de chip in uw identiteitsdocument te lezen. Uw naam is zichtbaar op de authenticator in de Wallet. Indien u analytics activeert in de Digidentity Wallet, verzamelen wij anonieme data over het gebruik van onze Wallet. U kunt uw profielfoto aan- of uitzetten in de Wallet.

Sollicitaties Heeft u gereageerd op één van onze vacatures of een open sollicitatie ingediend? Zo ja, dan verwerken wij uw persoonsgegevens om de sollicitatie te behandelen en in afwachting van een mogelijk dienstverband. De juridische grondslag voor de verwerking van persoonsgegevens is uitvoering van een contract. Voor dit doel verwerken wij uw curriculum vitae, motivatiebrief en andere gegevens die u bij de sollicitatie hebt opgegeven.

We bewaren uw sollicitatie maximaal vier (4) weken nadat de vacature is ingevuld. We bewaren deze gegevens om contact met u op te nemen in het geval de vacature beschikbaar komt. Als we op dat moment geen aanbieding kunnen doen, kunnen we – met uw toestemming – uw sollicitatie bewaren voor een periode van één jaar. U kunt uw toestemming te allen tijde intrekken door ons een e-mail te sturen. Wanneer een arbeidsovereenkomst is opgesteld, bewaren wij uw gegevens in het personeelsdossier.

Een controle op internet en sociale media kan een onderdeel zijn van de sollicitatieprocedure. De juridische grondslag voor de verwerking van de persoonsgegevens is gerechtvaardigd belang. Voor dit doel zoeken wij op uw naam op het internet en, indien noodzakelijk uw openbare profielen op sociale media. Eventuele resultaten van de sociale media en internetcontrole zullen we met u bespreken. Indien u bezwaar heeft tegen deze controle, kunt u dit aangeven bij het indienen van uw sollicitatie.

Hoe gebruiken wij uw persoonsgegevens? Digidentity gebruikt uw persoonsgegevens voor het leveren van producten en om het contract dat u met ons bent aangegeven, uit te voeren.

Wet- en regelgeving en internationale standaarden voor digitale identiteiten verplichten ons om alle gegevens te verifiëren om zeker te zijn dat de gegevens correct zijn. Uw e-mailadres en telefoonnummer verifiëren wij door u een bevestigingscode te sturen om vast te stellen dat u in bezit bent van het e-mailadres en telefoonnummer. We kunnen uw telefoonnummer en e-mailadres gebruiken om contact met u op te nemen in relatie tot onze producten en diensten die u van ons gebruikt.

Wij verifiëren uw volledige naam, geboortedatum en nationaliteit aan de hand van een identiteitsdocument. Uw leeftijd berekenen wij aan de hand van de geboortedatum en stellen vast of u een contract met ons mag aangaan. Tijdens het registratieproces, kunnen we verzoeken de chip (NFC) in het document uit te lezen of foto’s van de voor- en achterkant van een geldig identiteitsdocument te maken.

Digidentity maakt gebruik van externe geautomatiseerde document-validatie diensten die het identiteitsdocument controleren op geldigheid en echtheid. Deze geautomatiseerde validatie controleert of alle gegevens aanwezig zijn en voldoen aan de eisen (geldig document, foto aanwezig, BSN voldoet aan de controletoets). Identiteitsdocumenten die zijn bewerkt of gemaskeerd, worden afgewezen omdat het document is bewerkt. We verzamelen uw volledige naam, geboortedatum, geboorteplaats, geslacht, nationaliteit en documentnummer van het identiteitsdocument als bewijs van verificatie.

Digidentity vergelijkt de selfies en de foto van het identiteitsbewijs met elkaar om te bepalen of de persoon op het identiteitsdocument het registratieproces uitvoert. Digidentity gebruikt gezichtsvergelijking ('Is dit dezelfde persoon?'), geen gezichtsherkenning ('Wie is deze persoon?').

Voor Zelfstandigen Zonder Personeel (ZZP) die een eHerkenningsmiddel aanvragen, verwerken wij het BSN om een pseudoniem van de Nederlandse overheid te ontvangen zoals vereist door de Belastingdienst. Wij verwijderen het BSN zodra de aanvraag is afgerond.

Voor Beroepscertificaten, verifiëren wij uw registratie bij de beroepsvereniging aan de hand van uw registratienummer om vast te stellen dat u in aanmerking komt voor een beroepscertificaat.

Voor UK Trust Framework producten, verwijzen we door naar de Engelstalige versie van de Privacy Verklaring (https://www.digidentity.eu/en/documentation/).

Tijdens het registratieproces, dient u foto’s (selfies) te maken. Deze foto’s vergelijken wij met de foto op het identiteitsdocument om uw identiteit te verifiëren. Wij bewaren de pasfoto uit de chip in het document of de pasfoto op de voorkant van het document, om heridentificatie uit te voeren. Wij kunnen u vragen om nogmaals selfies te maken die we vervolgens vergelijken met de opgeslagen foto om vast te stellen of u de houder van het account bent.

Digidentity voert diverse validatie en verificatie stappen uit om uw identiteit te bevestigen. In het geval dat wij fraude detecteren, wijzen wij uw identiteitsverzoek af en registreren een fraude-indicatie. Dit kan resulteren in een afwijzing van alle Digidentity producten.

Digidentity gebruikt externe dienstverleners voor de validatie van identiteitsdocumenten (is document echt, geldig, verloren of gestolen), uitvoeren van “liveness detection” en gezichtsvergelijking, leveren van activiteitengeschiedenis en stellen van kennis-gebaseerde vragen. We delen enkel de persoonsgegevens met deze dienstverleners die noodzakelijk zijn voor het uitvoeren van hun diensten. Digidentity maakt gebruik van externe IT-leveranciers en cookie dienstverleners.

  Digidentity deelt enkel uw persoonsgegevens met derden als dit is toegestaan door de relevante privacy en databeveiligingswetgeving. Digidentity kan persoonsgegevens delen met derde partijen als:  Digidentity contracteert derde partijen om persoonsgegevens te verwerken  het noodzakelijk is voor de uitvoering van het contract  u toestemming heeft gegeven  Digidentity een gerechtvaardigd belang heeft  Digidentity wettelijk verplicht is om persoonsgegevens te delen

Digidentity verwerkt alle persoonsgegevens in de Europese Economische Ruimte (EER) en Verenigd Koninkrijk. Wij verkopen of delen uw persoonsgegevens niet met derden of slaan uw persoonsgegevens niet buiten de EER op. Wij delen enkel persoonsgegevens met derde partijen om te voldoen aan wettelijke verplichtingen.

Activiteit Locatie Verwerking Productiesystemen Ierland, Verenigd Koninkrijk Liveness Detection & Face Comparison Duitsland, Ierland Certificate Authority (CA) systemen Nederland Validatie van identiteitsdocumenten Nederland, Ierland Identiteitsfraude controles Nederland, Verenigd Koninkrijk

Digidentity gebruikt geautomatiseerde besluitvorming bij de validatie en verificatie van identiteitsbewijzen. Onze systemen besluiten op basis van de resultaten van validatie en verificatie om de identiteit goed te keuren of af te wijzen. Wij beoordelen handmatig alle afgewezen bewijzen om te voorkomen dat het systeem bewijs ten onrechte afkeurt. Wij voeren, op basis van steekproef, handmatige beoordeling uit op automatisch goedgekeurde identiteiten om foutief goedgekeurde identiteiten te detecteren. Ten onrechte goedgekeurde identiteiten zullen wij handmatig afkeuren.

Hoe beschermen wij uw persoonsgegevens? Digidentity heeft beveiligingsmaatregelen genomen om uw persoonsgegevens te beschermen tegen verlies, ongeautoriseerde toegang en wijzigingen. Digidentity hanteert de principes van “Privacy by Design” en “Privacy by Default” hetgeen betekent dat beveiligen van persoonsgegevens een standaard onderdeel is van het ontwerp van onze systemen.

Digidentity verzamelt enkel persoonsgegevens die we nodig hebben (data minimalisatie) en verwerkt de persoonsgegevens alleen voor de geïdentificeerde doelen. Wij verwerken enkel gevalideerde en geverifieerde persoonsgegevens (gegevens zijn gecontroleerd bij een gezaghebbende bron) om accurate en juiste digitale identiteiten te leveren. Digidentity maakt gebruik van een pseudoniem voor iedere account en versleuteling om de gegevens te beschermen. We beperken toegang tot uw gegevens tot medewerkers die de gegevens nodig hebben voor hun werkzaamheden. Deze medewerkers verwerken uw gegevens enkel zoals in de interne procedure is vastgelegd en zijn gehouden om uw gegevens vertrouwelijk te houden.

Wij hebben procedures opgesteld hoe om te gaan met vermoeden van het lekken van persoonsgegevens. Wij zullen u als relevante toezichthouders informeren in het geval een datalek zich voordoet waar wij wettelijk verplicht zijn dit te melden.

We hebben een gecertificeerd Management Systeem voor informatiebeveiliging (ISO27001:2022) en beveiliging van persoonsgegevens (ISO27701:2019). Als onderdeel van de certificering worden onze beveiligingsmaatregelen om uw persoonsgegevens te beschermen jaarlijks beoordeeld door een onafhankelijke externe auditor. Digidentity staat onder toezicht van de Rijksdienst voor Digitale Infrastructuur (RDI) voor Vertrouwensdiensten en Elektronische Identificatie waarin ook het voldoen aan AVG is meegenomen.

Hoe lang bewaren wij uw persoonsgegevens? Digidentity moet persoonsgegevens bewaren voor kwaliteitsdoeleinden en te voldoen aan wet- en regelgeving. Wij hebben de volgende bewaartermijnen vastgesteld.

Persoonsgegevens Bewaartermijn Geverifieerde persoonsgegevens & foto uit chip, pasfoto op voorkant document Actief gedurende contract, gearchiveerd voor zeven (7) jaar na verwijderen van het account Identiteitsverificatie en -validatierapporten Actief gedurende contract, gearchiveerd voor zeven (7) jaar na verwijderen van het account Fotografisch bewijs (identiteitsdocumenten, selfies) Verwijderd na 45 dagen tenzij gebruiker toestemming heeft gegeven om langer te bewaren Burger Service Nummer Verwijderd na afronding van de registratie PKI-sleutel levelscyclus gegevens Actief gedurende contract, gearchiveerd voor zeven (7) jaar na verwijderen van het account Organisatiegegevens Actief gedurende contract, gearchiveerd voor zeven (7) jaar na verwijderen van het account Accounts – 24 maanden inactief Verwijderd na 45 dagen Accounts – niet afgerond Verwijderd na 45 dagen Accounts – zonder diensten Verwijderd na 45 dagen

  Digidentity geeft enkel toegang tot gearchiveerde persoonsgegevens om te voldoen aan verplichtingen voor audits en forensische onderzoek. Tijdens archivering zijn de persoonsgegevens veilig opgeslagen (versleuteld en gemaskeerd). Gearchiveerde persoonsgegevens zijn alleen toegankelijk voor personeel met rollen gerelateerd tot informatiebeveiliging zoals de Security Officer en de Data Protection Officer (DPO). Na de bewaartermijn van zeven jaar, vernietigen wij het archief. Deze vernietiging van de gegevens zorgt dat data niet hersteld kan worden.

Wat zijn uw rechten? U heeft het recht om te:  Verzoeken om informatie over persoonsgegevens die wij verwerken en hoe wij omgaan met persoonsgegevens  Verzoeken om toegang tot uw persoonsgegevens  Verzoeken om uw persoonsgegevens te corrigeren  Verzoeken om uw persoonsgegevens te verwijderen  Verzoeken om uw persoonsgegevens over te dragen (indien technisch en/of juridisch mogelijk)  Bezwaar te maken tegen specifieke verwerking van uw persoonsgegevens  Intrekken van toestemming

Indien u gebruik maakt van uw rechten, zijn wij verplicht om uw identiteit vast te stellen. U kunt uw rechten zoals toegang tot, corrigeren van en verwijderen van persoonsgegevens en intrekken van toestemming, zelf uitvoeren in uw Digidentity account op onze website (www.digidentity.eu).

Informatie over het uitvoeren van uw rechten is beschikbaar in het document ""Data Subject Access Right @ Digidentity" op onze website: https://www.digidentity.eu/nl/documentation.

Digidentity ondersteunt dataportabiliteit. U kunt uw persoonsgegevens downloaden in uw Digidentity account.

Digidentity behoudt het recht om deze Privacy Verklaring bij te werken. Nieuwe versies publiceren wij op onze website. Wij adviseren u om regelmatig onze website te controleren of een nieuwe versie beschikbaar is.

Digidentity protects your personal data and implemented a management system for security and privacy which has been certified against ISO27001:2022, ISO27017:2015, ISO27018:2019 and IS27701:2019.

Opmerking: Alle wijzigingen in dit document ten opzichte van vorige versie zijn gemarkeerd in grijs.