Hoe wij uw persoonsgegevens verzamelen, gebruiken en beschermen.
Laatst bijgewerkt: 4 april 2026
Zaminor B.V. (i.o.) ("Zaminor", "wij", "ons" of "onze"), geregistreerd in Nederland, is de verwerkingsverantwoordelijke voor uw persoonsgegevens in de zin van artikel 4, lid 7, van de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG").
Wij zetten ons in voor de bescherming van uw privacy en zorgen ervoor dat uw persoonsgegevens worden verwerkt in overeenstemming met de AVG, de Nederlandse Uitvoeringswet Algemene Verordening Gegevensbescherming ("UAVG") en alle overige toepasselijke wetgeving inzake gegevensbescherming.
Dit Privacybeleid legt uit hoe wij uw persoonsgegevens verzamelen, gebruiken, opslaan, delen en beschermen wanneer u ons platform, onze website, mobiele applicatie en bemiddelingsdiensten (gezamenlijk de "Diensten") gebruikt. Dit beleid is van toepassing op alle persoonsgegevens die worden verwerkt in verband met onze Diensten, ongeacht of deze rechtstreeks van u worden verzameld of via externe bronnen worden verkregen.
Door Zaminor te bezoeken of te gebruiken, erkent u dat u dit beleid hebt gelezen en begrepen. Dit beleid schept geen contractuele of andere juridische rechten namens enige partij. Voor contractuele verplichtingen verwijzen wij naar onze Algemene Voorwaarden.
Voor vragen over de verwerking van uw persoonsgegevens of de uitoefening van uw rechten kunt u contact met ons opnemen:
**Privacycontact** E-mail: hello@zaminor.com Postadres: Zaminor B.V. (i.o.), t.a.v. Privacycontact, Nederland
U hebt tevens het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens, Bezuidenhoutseweg 30, 2594 AV Den Haag, Nederland (autoriteitpersoonsgegevens.nl).
Wij verzamelen en verwerken de volgende categorieen persoonsgegevens, afhankelijk van hoe u met onze Diensten omgaat:
**3.1 Accountgegevens.** Wanneer u een account aanmaakt, verzamelen wij: volledige naam, e-mailadres, telefoonnummer, geboortedatum, nationaliteit en woonadres. Deze gegevens zijn noodzakelijk voor het aanmaken en onderhouden van uw gebruikersaccount en het leveren van onze kernbemiddelingsdiensten.
**3.2 Identiteitsverificatiegegevens.** Om uw identiteit te verifieren en de veiligheid van alle betrokken partijen te waarborgen, verzamelen wij: kopieen van door de overheid afgegeven identiteitsdocumenten (paspoort, nationale identiteitskaart of verblijfsvergunning), selfiefoto's voor liveness-verificatie, adresbewijsdocumenten (energierekeningen, bankafschriften of officiele correspondentie niet ouder dan 3 maanden), documentatie over de herkomst van middelen (inkomensverklaringen, arbeidsovereenkomsten, belastingaangiften, beleggingsoverzichten, schenkingsverklaringen), en schattingen van het nettovermogen.
**3.3 Burgerservicenummer (BSN).** Voor Nederlandse ingezetenen verzamelen wij het Burgerservicenummer (BSN) als onderdeel van de identiteitsverificatie. Het BSN wordt verwerkt ten behoeve van identiteitsverificatie zoals toegestaan onder Nederlands recht, in samenhang met Artikel 53, lid 3, van de Algemene wet inzake rijksbelastingen (AWR). Het BSN is op kolomniveau versleuteld in onze database met behulp van pgcrypto en wordt nimmer gebruikt voor andere doeleinden dan wettelijke identificatieverplichtingen. De verwerking van het BSN is toegestaan op grond van Artikel 46 UAVG, dat verwerking toestaat wanneer dit bij wet is vereist.
**3.4 Financiele profielgegevens.** Voor het uitvoeren van hypotheek-prechecks en financiele beoordelingen verzamelen wij: bruto- en netto-inkomensgegevens, arbeidsinformatie en -historie, maandelijkse lasten en bestaande financiele verplichtingen, spaargeld- en beleggingsportefeuilleoverzichten, bestaande hypotheek- of leninggegevens, bankrekeninginformatie en transactiehistorie (via PSD2 open banking-verbinding via Enable Banking of handmatige upload) en kredietgeschiedenisoverzichten waar vrijwillig verstrekt.
**3.5 Vastgoedvoorkeuren.** Als onderdeel van onze matchingdienst verzamelen wij: zoekcriteria (locatie, woningtype, budgetbereik, oppervlakte-eisen), opgeslagen en als favoriet gemarkeerde woningen, bekijkgeschiedenis van woningen, marktvoorkeuren (Spanje, Dubai of beide) en afspraakverzoeken.
**3.6 Communicatiegegevens.** Wij verzamelen vastleggingen van: berichten uitgewisseld via ons platformberichtensysteem, e-mailcorrespondentie met ons team, gespreksopnamen met adviseurs (met voorafgaande kennisgeving en toestemming waar vereist), supporttickets en hun afhandelingshistorie, en documentuitwisselingen in verband met vastgoedtransacties.
**3.7 Technische gegevens en gebruiksgegevens.** Wij verzamelen automatisch: IP-adres (geanonimiseerd voor analyses), browsertype, -versie en taalinstellingen, apparaattype, besturingssysteem en schermresolutie, bezochte pagina's, klikstroomgegevens en sessieduur, verwijzingsbron en zoekopdrachten, foutlogs en prestatiegegevens, en authenticatiegebeurtenissen en beveiligingslogs.
**3.8 Biometrische gegevens (tijdelijk).** Tijdens de liveness-verificatie als onderdeel van identiteitscontroles verwerkt onze identiteitsverificatieprovider (Sumsub) biometrische gezichtsgegevens. Deze gegevens worden uitsluitend gebruikt om te verifieren dat de persoon die een identiteitsdocument presenteert dezelfde persoon is als afgebeeld op dat document. Biometrische sjablonen worden onmiddellijk verwijderd na voltooiing van de verificatiecontrole. Zaminor slaat geen biometrische sjablonen op. De rechtsgrondslag voor deze verwerking is uw uitdrukkelijke toestemming (Artikel 9, lid 2, onder a, AVG) voor de verwerking van biometrische gegevens als bijzondere categorie.
Wij verwerken uw persoonsgegevens uitsluitend wanneer wij beschikken over een geldige rechtsgrondslag op grond van Artikel 6, lid 1, AVG. De onderstaande tabel beschrijft onze verwerkingsactiviteiten, hun doeleinden en de toepasselijke rechtsgrondslag:
**4.1 Uitvoering van een overeenkomst -- Artikel 6, lid 1, onder b, AVG.** Doeleinden: het aanmaken en beheren van uw gebruikersaccount; het bieden van vastgoedmatching en zoekfunctionaliteit; het uitvoeren van hypotheek-prechecks en financiele beoordelingen; het faciliteren van communicatie tussen u en makelaars; het beheren van vastgoedtransactiedossiers en documentuitwisseling; het verwerken van bemiddelingsvergoedingen; het bieden van klantenondersteuning. Deze grondslag is van toepassing omdat de verwerking noodzakelijk is voor de uitvoering van onze contractuele verplichtingen jegens u op grond van de Algemene Voorwaarden en, waar van toepassing, de Bemiddelingsovereenkomst.
**4.2 Wettelijke verplichting -- Artikel 6, lid 1, onder c, AVG.** Doeleinden: het nakomen van verplichtingen op grond van Nederlands recht, waaronder fiscale administratieplicht (AWR Artikel 52); het uitvoeren van identiteitsverificatie; het verwerken van het BSN voor identificatiedoeleinden (AWR Artikel 53, lid 3); het bewaren van fiscale administratie gedurende 7 jaar (AWR Artikel 52); en het voldoen aan rechtmatige verzoeken van autoriteiten, waaronder de Belastingdienst en wetshandhaving wanneer vereist bij rechterlijk bevel. Deze rechtsgrondslag kan niet worden doorbroken door het recht op verwijdering of bezwaar van de betrokkene gedurende de wettelijke bewaartermijnen.
**4.3 Gerechtvaardigd belang -- Artikel 6, lid 1, onder f, AVG.** Doeleinden: fraudepreventie en -detectie; platformbeveiliging, misbruikpreventie en detectie van ongeautoriseerde toegang; geaggregeerde analyses ter verbetering van onze dienstverlening (met geanonimiseerde gegevens); het bijhouden van audittrails voor operationele integriteit; netwerk- en informatiebeveiliging; het voeren van juridische verweer. Wij hebben voor elk van deze doeleinden een belangenafweging (LIA) uitgevoerd en geconcludeerd dat onze belangen niet zwaarder wegen dan uw grondrechten en vrijheden. U kunt een kopie van onze LIA opvragen bij de FG.
**4.4 Toestemming -- Artikel 6, lid 1, onder a, AVG.** Doeleinden: het verzenden van marketingcommunicatie en nieuwsbrieven; het plaatsen van niet-essentiele cookies (analytisch, marketing); het delen van vastgoedvoorkeuren met geselecteerde externe partners voor promotionele doeleinden; het verwerken van biometrische gegevens voor liveness-verificatie (Artikel 9, lid 2, onder a, AVG als bijzondere categorie). U kunt uw toestemming op elk moment intrekken door contact op te nemen via hello@zaminor.com, door de afmeldlink in marketinge-mails te gebruiken of door uw cookievoorkeuren aan te passen. Intrekking van toestemming heeft geen gevolgen voor de rechtmatigheid van verwerkingen die voor de intrekking hebben plaatsgevonden.
**4.5 Vitaal belang -- Artikel 6, lid 1, onder d, AVG.** In uitzonderlijke omstandigheden kunnen wij persoonsgegevens verwerken ter bescherming van de vitale belangen van een betrokkene of een andere natuurlijke persoon. Deze grondslag wordt uitsluitend ingeroepen in werkelijke noodsituaties.
**4.6 Bijzondere categorieen van gegevens.** Biometrische gegevens (gezichtsbeelden voor liveness-verificatie) vormen een bijzondere categorie op grond van Artikel 9 AVG. Wij verwerken deze gegevens op basis van uw uitdrukkelijke toestemming (Artikel 9, lid 2, onder a, AVG).
Wij gebruiken uw persoonsgegevens voor de volgende specifieke doeleinden:
**Dienstverlening:** Het leveren en onderhouden van onze vastgoedbemiddelingsdiensten, waaronder accountbeheer, vastgoedmatching, hypotheek-prechecks, makelaarscoordinatie, transactieondersteuning en documentbeheer.
**Identiteitsverificatie:** Het verifieren van uw identiteit als onderdeel van ons clientonboardingproces voor de veiligheid van alle betrokken partijen; het bijhouden van administratie zoals vereist door Nederlands recht.
**Financiele beoordeling:** Het analyseren van uw financiele profiel met behulp van ons hypotheek-precheckalgoritme om de indicatieve leencapaciteit voor de Spaanse en Dubai-vastgoedmarkt te bepalen; het genereren van scenariovergelijkingen; het verstrekken van kostenramingen voor vastgoedtransacties.
**Communicatie:** Het faciliteren van beveiligde berichtenuitwisseling tussen u, ons team en gecontracteerde makelaars; het verzenden van dienstgerelateerde meldingen (transactie-updates, documentverzoeken, KYC-statuswijzigingen, afspraakherinneringen); het beantwoorden van ondersteuningsvragen.
**Platformverbetering:** Het analyseren van geaggregeerde en geanonimiseerde gebruikspatronen om de platformfunctionaliteit, gebruikerservaring en dienstkwaliteit te verbeteren; het uitvoeren van A/B-tests; het identificeren en oplossen van technische problemen.
**Beveiliging:** Het detecteren en voorkomen van ongeautoriseerde toegang en andere beveiligingsrisico's; het handhaven van systeemintegriteit.
**Marketing (uitsluitend op basis van toestemming):** Het verzenden van nieuwsbrieven, vastgoedwaarschuwingen die aansluiten bij uw voorkeuren, marktupdates en promotionele aanbiedingen, uitsluitend met uw voorafgaande uitdrukkelijke toestemming.
Overeenkomstig Artikel 13, lid 2, onder f, Artikel 14, lid 2, onder g, en Artikel 22 AVG informeren wij u over de volgende geautomatiseerde besluitvormingsprocessen:
**6.1 Hypotheek-precheckalgoritme.** Wij gebruiken een geautomatiseerd algoritme om uw indicatieve leencapaciteit te berekenen op basis van uw financiele profielgegevens (inkomen, uitgaven, bestaande verplichtingen, spaargeld) en marktspecifieke leenregels (Spaanse niet-ingezetenen LTV maximaal 70%, Dubai niet-ingezetenen LTV maximaal 65%, toepasselijke stressbuffers). Dit algoritme levert geen juridisch bindende beslissingen op. De resultaten zijn uitsluitend indicatief en vormen geen hypotheekaanbod, financieel advies of financieringsgarantie. De logica omvat standaard schuld-inkomensratio-berekeningen, loan-to-value-beoordelingen en stress-geteste betaalbaarheidschecks op basis van openbaar beschikbare marktregels.
**6.2 Uw rechten inzake geautomatiseerde beslissingen.** Geen enkel besluit met rechtsgevolgen of vergelijkbare wezenlijke gevolgen voor u wordt uitsluitend genomen op basis van geautomatiseerde verwerking. Alle hierboven beschreven geautomatiseerde uitkomsten zijn onderworpen aan menselijk toezicht. U hebt het recht om: (a) menselijke tussenkomst te verkrijgen bij elke geautomatiseerde beoordeling; (b) uw standpunt kenbaar te maken over elke geautomatiseerde uitkomst; (c) elke beslissing die is beinvloed door geautomatiseerde verwerking aan te vechten. Om deze rechten uit te oefenen, neemt u contact op met de FG via hello@zaminor.com.
Zaminor gebruikt kunstmatige intelligentie (AI) in verschillende onderdelen van het platform. In overeenstemming met Verordening (EU) 2024/1689 (de EU AI-verordening) lichten wij hieronder toe welke AI-systemen wij gebruiken en wat uw rechten als gebruiker zijn.
**Identiteitsverificatie (AI-systeem met hoog risico).** Onze leverancier voor identiteitsverificatie, Sumsub, gebruikt AI voor documentherkenning, livenessdetectie en biometrische gezichtsvergelijking tijdens de KYC-procedure. Onder artikel 6 en bijlage III van de AI-verordening kwalificeert dit als een AI-systeem met hoog risico. Elke door AI gemarkeerde uitkomst wordt beoordeeld door een menselijke compliance officer voordat een beslissing uw account raakt. Op grond van artikel 26, lid 11, van de AI-verordening en artikel 22 AVG heeft u het recht om een menselijke beoordeling aan te vragen van elke KYC-beslissing waarin AI betrokken is.
**AI-assistent (beperkt risico, transparantieverplichting).** Onze klantgerichte assistent Donna is een AI-systeem dat draait op grote taalmodellen van derden (Anthropic Claude). Onder artikel 50, lid 1, van de AI-verordening maakt Donna haar AI-karakter kenbaar aan het begin van elk gesprek en toont zij een permanent AI-label. U kunt te allen tijde vragen om contact met een menselijke makelaar. Donna is bedoeld om informatie te verstrekken; zij geeft geen financieel, juridisch of fiscaal advies en haar antwoorden zijn niet bindend voor Zaminor. Aanvullende interne review-agenten opereren uitsluitend binnen onze content-pijplijn en hebben geen rechtstreeks contact met u; hun output bereikt u alleen via Donna of via inhoud die door onze redactie is beoordeeld en gepubliceerd.
**AI-ondersteunde inhoud (Artikel 50, lid 2, redactionele uitzondering).** Sommige blogartikelen, begrippenlijsten, marktgidsen en woningbeschrijvingen op ons platform worden opgesteld met behulp van AI en voor publicatie beoordeeld door onze redactie. De redactionele eindverantwoordelijkheid berust bij Milad Ahmadi. Wanneer Zaminor zich beroept op de redactionele uitzondering onder artikel 50, lid 2, vierde alinea, van de AI-verordening, wordt dit vastgelegd in de metadata van het artikel.
**Geen verboden AI-praktijken.** Zaminor gebruikt geen AI voor enige van de praktijken die zijn verboden onder artikel 5 van de AI-verordening, waaronder subliminale beinvloeding, het uitbuiten van kwetsbaarheden, sociale scoring, biometrische identificatie in real-time in de openbare ruimte, voorspellend politieoptreden, emotieherkenning op de werkvloer of ongerichte facial image scraping.
**Uw AI-rechten.** U heeft het recht om: (a) geinformeerd te worden wanneer u interacteert met een AI-systeem; (b) een menselijke beoordeling aan te vragen van elke beslissing waarin AI betrokken is die u raakt; (c) bezwaar te maken tegen volledig geautomatiseerde besluitvorming op grond van artikel 22 AVG; (d) een klacht in te dienen bij de Nederlandse markttoezichthouder (Autoriteit Persoonsgegevens voor AI met betrekking tot persoonsgegevens; Rijksinspectie Digitale Infrastructuur voor andere AI-zaken zodra deze is aangewezen).
Wij delen uw persoonsgegevens uitsluitend wanneer dit noodzakelijk is voor de in dit beleid beschreven doeleinden en met passende juridische waarborgen. Wij verkopen uw persoonsgegevens niet aan derden. De volgende categorieen ontvangers kunnen uw gegevens ontvangen:
**7.1 Identiteitsverificatieprovider (Sumsub).** Sumsub B.V. verwerkt identiteitsverificatiegegevens (scans van identiteitsdocumenten, selfiefoto's, liveness-checkgegevens) als verwerker namens ons op grond van een Verwerkersovereenkomst. De verwerking is beperkt tot identiteitsverificatie en liveness-checks. Sumsub verwerkt gegevens binnen de EU/EER, maar kan sub-verwerkers buiten de EER inzetten, beschermd door Standaard Contractbepalingen (SCC's) en aanvullende maatregelen.
**7.2 Vastgoedmakelaars.** Wanneer u interesse toont in een specifieke woning of makelaarsbemiddeling aanvraagt, delen wij relevante gegevens (naam, contactgegevens, vastgoedvoorkeuren, samenvatting financiele capaciteit) met erkende lokale makelaars in Spanje en/of Dubai. Makelaars in Spanje opereren rechtstreeks onder de AVG. Makelaars in Dubai ontvangen gegevens beschermd door SCC's. Gegevensdeling met makelaars is gebaseerd op uitvoering van de overeenkomst (Artikel 6, lid 1, onder b, AVG) en u wordt voorafgaand aan de deling geinformeerd.
**7.3 Vastgoeddataprovider (Casafari).** Casafari levert vastgoedaanbiedingsgegevens aan ons platform via hun API. Wij ontvangen vastgoedgegevens van Casafari; wij delen uw persoonsgegevens niet met Casafari. Casafari opereert als zelfstandige verwerkingsverantwoordelijke voor gegevens die zij via hun eigen diensten verzamelen.
**7.4 Betalingsverwerker (Stripe).** Stripe Payments Europe, Ltd. (Ierland) verwerkt betalingsgegevens (naam, e-mail, betaalkaart- of iDEAL-bankgegevens) voor bemiddelingsvergoedingstransacties. Stripe treedt op als zelfstandige verwerkingsverantwoordelijke voor betalingsverwerking onder hun eigen privacybeleid en als verwerker voor bepaalde gegevens op grond van onze Verwerkersovereenkomst. Stripe is gecertificeerd onder het EU-VS Data Privacy Framework.
**7.5 Hosting en infrastructuur.** Onze platformbackend wordt gehost op Render.com (Render Services, Inc.) in hun EU-regio (Frankfurt, Duitsland). Applicatiegegevens, inclusief versleutelde databases, worden opgeslagen binnen de EU. Render is gecertificeerd onder het EU-VS Data Privacy Framework en ISO/IEC 27001:2022, en wij hebben een Verwerkersovereenkomst gesloten met Render. Authenticatie wordt afgehandeld door Laravel Sanctum met versleutelde tokengebaseerde sessies. Databasehosting wordt verzorgd door Render.com (PostgreSQL, datacenter Frankfurt, EU-regio).
**7.6 Hypotheekpartners en financiele instellingen.** Wanneer u een formele hypotheekaanvraag indient (verder dan de indicatieve precheck), delen wij financiele profielgegevens met hypotheekverstrekkers in het betreffende rechtsgebied. Deze deling vereist uw uitdrukkelijke, geinformeerde toestemming en wordt beheerst door een afzonderlijke Bemiddelingsovereenkomst.
**7.7 Juridisch adviseurs, notarissen en escrow-agenten.** Relevante dossiergegevens kunnen worden gedeeld met notarissen, juridisch raadslieden en escrow-agenten in Nederland, Spanje of Dubai om vastgoedtransacties te faciliteren. Deze deling is gebaseerd op uitvoering van de overeenkomst en vindt plaats binnen het kader van uw actieve transactie.
**7.8 Regelgevende en rechterlijke autoriteiten.** Wij kunnen persoonsgegevens openbaar maken aan de Belastingdienst zoals vereist door de wet, en aan wetshandhaving wanneer vereist bij rechterlijk bevel. Wij kunnen ook gegevens verstrekken aan de Autoriteit Persoonsgegevens op rechtmatig verzoek, en aan overige EU/EER-regelgevende autoriteiten met bevoegde jurisdictie.
**7.9 Analyseproviders.** Umami (zelfgehost, EU) wordt gebruikt voor geaggregeerde, geanonimiseerde gebruiksanalyses. Umami is een privacy-vriendelijke, cookieloze analyseoplossing die geen persoonsgegevens verwerkt en geen individuele gebruikersprofielen aanmaakt. Er is geen toestemming nodig voor Umami-analyses. Zie ons Cookiebeleid voor details.
Als grensoverschrijdend vastgoedbemiddelingsplatform dat opereert in Nederland, Spanje en Dubai, zijn bepaalde overdrachten van persoonsgegevens buiten de Europese Economische Ruimte (EER) noodzakelijk. Wij waarborgen dat alle dergelijke overdrachten voldoen aan Hoofdstuk V van de AVG (Artikelen 44-49).
**8.1 Overdrachten binnen de EER.** Het merendeel van uw gegevens wordt verwerkt binnen de EER. Onze primaire hosting (Render.com Frankfurt) en kernactiviteiten zijn EU-gebaseerd. Overdrachten aan in Spanje gevestigde makelaars vereisen geen aanvullende waarborgen aangezien Spanje binnen de EER valt.
**8.2 Overdrachten naar de Verenigde Staten.** Bepaalde sub-verwerkers (Stripe, moederentiteit Render) zijn in de VS gevestigde bedrijven. Deze overdrachten worden beschermd door: (a) het adequaatheidsbesluit EU-VS Data Privacy Framework (DPF) van 10 juli 2023, wanneer de ontvanger DPF-gecertificeerd is (Render en Stripe zijn DPF-gecertificeerd); en (b) Standaard Contractbepalingen (SCC's) goedgekeurd bij Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie, gehandhaafd als aanvullende waarborg naast DPF-certificering. Wij merken op dat het DPF-adequaatheidsbesluit in september 2025 is bevestigd door het Gerecht; echter, er is hoger beroep aangetekend bij het Hof van Justitie van de EU door NOYB in oktober 2025. Mocht het DPF ongeldig worden verklaard, dan dienen onze SCC's en aanvullende technische maatregelen (versleuteling in transit en in rust, pseudonimisering) als primair overdrachtsmechanisme.
**8.3 Overdrachten naar de Verenigde Arabische Emiraten (Dubai).** Wanneer u zich bezighoudt met de Dubai-vastgoedmarkt, worden relevante transactiegegevens gedeeld met in Dubai gevestigde makelaars en lokale dienstverleners. De VAE beschikken niet over een EU-adequaatheidsbesluit. Alle overdrachten worden beschermd door: (a) Standaard Contractbepalingen (SCC's) gesloten met elke in Dubai gevestigde ontvanger; (b) aanvullende technische maatregelen waaronder end-to-end-versleuteling van gegevens in transit, AES-256-versleuteling in rust en gegevensminimalisatie (alleen gegevens die strikt noodzakelijk zijn voor de transactie worden overgedragen); en (c) een Transfer Impact Assessment (TIA) uitgevoerd voor elke gegevensstroom naar de VAE, waarin het juridische kader, risico's op overheidstoegang en de doeltreffendheid van aanvullende maatregelen worden beoordeeld.
**8.4 Transfer Impact Assessments.** Wij voeren Transfer Impact Assessments (TIA's) uit en onderhouden deze voor alle grensoverschrijdende gegevensstromen buiten de EER, overeenkomstig EDPB-Aanbevelingen 01/2020. TIA's worden jaarlijks herzien of wanneer er een wezenlijke wijziging optreedt in het juridische kader van het ontvangende land. Kopieen van onze TIA's zijn op verzoek beschikbaar bij de FG.
De volgende sub-verwerkers verwerken persoonsgegevens namens ons op grond van een Verwerkersovereenkomst. Wij onderhouden een actueel register van sub-verwerkers en stellen u ten minste 30 dagen van tevoren in kennis van wezenlijke wijzigingen:
| Sub-verwerker | Doel | Verwerkte gegevens | Locatie | Overdrachtsmechanisme | | --- | --- | --- | --- | --- | | Render Services, Inc. | Applicatiehosting, database | Alle platformgegevens | EU (Frankfurt) | SCC's | | Sumsub B.V. | Identiteitsverificatie, liveness-check | Identiteitsdocumenten, selfies, biometrische gegevens (tijdelijk) | EU (sub-verwerkers mogelijk buiten EER) | SCC's + aanvullende maatregelen | | Stripe Payments Europe, Ltd. | Betalingsverwerking (bemiddelingsvergoedingen) | Naam, e-mail, betalingsgegevens | Ierland (EU); moederentiteit VS | DPF + SCC's | | Umami (zelfgehost) | Webanalyse (geanonimiseerd) | Geanonimiseerde gebruiksgegevens (geen persoonsgegevens verwerkt) | EU (Frankfurt) | Intra-EER | | Enable Banking Oy | PSD2 open banking-gegevensaggregatie | Bankrekeninggegevens, transactiehistorie | Finland (EU) | Intra-EER |
Wijzigingen in deze sub-verwerkerlijst worden gecommuniceerd via e-mailmelding aan geregistreerde gebruikers. Indien u bezwaar maakt tegen een nieuwe sub-verwerker, kunt u uw account beeindigen overeenkomstig Artikel 10 van onze Algemene Voorwaarden.
Wij bewaren uw persoonsgegevens uitsluitend zo lang als noodzakelijk voor de doeleinden waarvoor deze zijn verzameld, of zoals vereist door toepasselijke wetgeving. De volgende bewaartermijnen zijn van toepassing:
**10.1 Identiteitsverificatiegegevens** (kopieen van identiteitsdocumenten, selfie-verificatieresultaten, adresbewijs, documentatie herkomst middelen): **5 jaar** na beeindiging van de zakelijke relatie of de datum van de laatste transactie, afhankelijk van welke later valt. Rechtsgrondslag: Nederlands recht. Deze gegevens kunnen niet op verzoek worden verwijderd gedurende de wettelijke bewaartermijn.
**10.2 BSN (Burgerservicenummer):** **5 jaar** na beeindiging van de zakelijke relatie. Rechtsgrondslag: Nederlands recht in samenhang met AWR Artikel 53, lid 3. Versleuteld op kolomniveau. Kan niet op verzoek worden verwijderd gedurende de bewaartermijn.
**10.3 Financiele profielgegevens** (inkomensgegevens, bankafschriften, hypotheek-precheck in- en uitvoer): **5 jaar** na beeindiging van de zakelijke relatie. Rechtsgrondslag: Nederlands recht. Gegevens die uitsluitend voor hypotheek-precheckdoeleinden zijn gebruikt worden verwijderd bij sluiting van het account.
**10.4 Transactie- en fiscale administratie** (facturen bemiddelingsvergoedingen, betalingsgegevens, transactiecorrespondentie, btw-administratie): **7 jaar** na het einde van het boekjaar waarin de transactie heeft plaatsgevonden. Rechtsgrondslag: AWR Artikel 52 (Nederlandse fiscale bewaarplicht). Voor administratie die specifiek betrekking heeft op onroerend goed: **10 jaar** (AWR Artikel 52, lid 4).
**10.5 Accountgegevens** (naam, e-mail, telefoon, adres, voorkeuren): Duur van het actieve account **plus 2 jaar** na sluiting of beeindiging van het account. De 2-jarige periode na sluiting dient voor de afhandeling van eventuele lopende geschillen, terugboekingen of juridische claims. Na 2 jaar worden gegevens verwijderd, tenzij een langere bewaartermijn van toepassing is op grond van een andere categorie.
**10.6 Communicatiegegevens** (platformberichten, e-mailcorrespondentie, supporttickets): **3 jaar** na de laatste interactie of sluiting van het account, afhankelijk van welke later valt. Gespreksopnamen (waar toestemming is verleend) worden 2 jaar bewaard.
**10.7 Marketing- en toestemmingsgegevens** (e-mailvoorkeuren, toestemmingsregistraties, nieuwsbriefabonnementen): Marketingvoorkeuren worden onmiddellijk verwijderd bij intrekking van toestemming. Toestemmingsregistraties (bewijs dat toestemming is gegeven of ingetrokken) worden **5 jaar** bewaard als bewijs van naleving van Artikel 7, lid 1, AVG.
**10.8 Gebruiks- en analysegegevens:** Geanonimiseerd binnen **26 maanden** na verzameling. Geanonimiseerde en geaggregeerde gegevens (die niet langer persoonsgegevens vormen) kunnen voor onbepaalde tijd worden bewaard voor statistische en onderzoeksdoeleinden.
**10.9 Biometrische gegevens** (liveness-verificatiesjablonen): **Onmiddellijk** verwijderd na voltooiing van de identiteitsverificatiecontrole. Wij slaan geen biometrische sjablonen op. Sumsub, onze identiteitsverificatieprovider, verwijdert biometrische gegevens overeenkomstig hun Verwerkersovereenkomst en bewaarbeleid.
**10.10 Beveiligingslogs** (authenticatiegebeurtenissen, toegangslogs, audittrails): **2 jaar** vanaf de datum van de gebeurtenis, ten behoeve van beveiligingsmonitoring en incidentonderzoek.
Na het verstrijken van de toepasselijke bewaartermijn worden persoonsgegevens veilig verwijderd met behulp van gangbare methoden (cryptografische wissing voor versleutelde gegevens, veilige overschrijving voor onversleutelde gegevens) of onomkeerbaar geanonimiseerd. Wij voeren periodieke bewaartermijnaudits uit om naleving van deze schema's te waarborgen.
Op grond van de AVG en de UAVG hebt u de volgende rechten met betrekking tot uw persoonsgegevens. U kunt deze rechten kosteloos uitoefenen, met inachtneming van de hieronder beschreven beperkingen:
**11.1 Recht op inzage (Artikel 15 AVG).** U hebt het recht om bevestiging te verkrijgen of uw persoonsgegevens worden verwerkt en, indien dat het geval is, een kopie van die gegevens te ontvangen, samen met informatie over de doeleinden van de verwerking, de categorieen gegevens, de ontvangers, de bewaartermijnen en de bron van de gegevens. Wij verstrekken de informatie in een gangbaar elektronisch formaat (PDF of JSON) binnen 30 dagen na uw verzoek.
**11.2 Recht op rectificatie (Artikel 16 AVG).** U hebt het recht om correctie te verzoeken van onjuiste persoonsgegevens of aanvulling van onvolledige gegevens zonder onredelijke vertraging. Voor identiteitsverificatiegegevens kan rectificatie het indienen van bijgewerkte identiteitsdocumenten vereisen om de nauwkeurigheid te waarborgen.
**11.3 Recht op verwijdering (Artikel 17 AVG).** U hebt het recht om verwijdering van uw persoonsgegevens te verzoeken wanneer: (a) de gegevens niet langer noodzakelijk zijn voor het doel waarvoor zij zijn verzameld; (b) u uw toestemming intrekt en er geen andere rechtsgrondslag is; (c) u bezwaar maakt tegen de verwerking en er geen dwingende gerechtvaardigde gronden zijn; (d) de gegevens onrechtmatig zijn verwerkt; of (e) verwijdering wettelijk vereist is. **Belangrijke beperking:** Wij kunnen identiteitsverificatiegegevens, BSN-gegevens, transactiegegevens of fiscale administratie niet verwijderen gedurende de wettelijke bewaartermijnen op grond van de AWR (Artikel 52) en ander toepasselijk Nederlands recht. Indien u verwijdering verzoekt gedurende deze perioden, beperken wij de verwerking tot het wettelijk vereiste minimum en verwijderen wij de gegevens zodra de bewaartermijn is verstreken.
**11.4 Recht op beperking van de verwerking (Artikel 18 AVG).** U hebt het recht om beperking van de verwerking te verzoeken wanneer: (a) u de juistheid van de gegevens betwist (gedurende de verificatieperiode); (b) de verwerking onrechtmatig is maar u zich verzet tegen verwijdering; (c) wij de gegevens niet langer nodig hebben maar u deze nodig hebt voor de instelling, uitoefening of onderbouwing van een rechtsvordering; of (d) u bezwaar hebt gemaakt tegen de verwerking in afwachting van de verificatie van onze gerechtvaardigde gronden.
**11.5 Recht op gegevensoverdraagbaarheid (Artikel 20 AVG).** U hebt het recht om de persoonsgegevens die u aan ons hebt verstrekt te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat (JSON of CSV), en om die gegevens zonder belemmering over te dragen aan een andere verwerkingsverantwoordelijke. Dit recht is van toepassing op gegevens die worden verwerkt op basis van toestemming of uitvoering van een overeenkomst en die langs geautomatiseerde weg worden verwerkt. Identiteitsverificatiegegevens die worden verwerkt op grond van een wettelijke verplichting zijn uitgesloten van overdraagbaarheid.
**11.6 Recht van bezwaar (Artikel 21 AVG).** U hebt het recht om te allen tijde bezwaar te maken tegen verwerking op basis van gerechtvaardigde belangen (Artikel 6, lid 1, onder f), op gronden die verband houden met uw bijzondere situatie. Wij staken de verwerking, tenzij wij dwingende gerechtvaardigde gronden aantonen die zwaarder wegen dan uw belangen. U hebt een absoluut recht om te allen tijde bezwaar te maken tegen verwerking voor directmarketingdoeleinden, zonder dat u hiervoor een reden hoeft op te geven.
**11.7 Recht om toestemming in te trekken (Artikel 7, lid 3, AVG).** Wanneer verwerking is gebaseerd op toestemming, kunt u die toestemming op elk moment intrekken. Intrekking heeft geen gevolgen voor de rechtmatigheid van verwerkingen die voor de intrekking hebben plaatsgevonden.
**11.8 Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (Artikel 22 AVG).** U hebt het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit dat rechtsgevolgen heeft voor u of u op vergelijkbare wijze aanmerkelijk treft. Zoals beschreven in Artikel 6 zijn al onze geautomatiseerde processen onderworpen aan menselijk toezicht. U kunt menselijke tussenkomst verzoeken, uw standpunt kenbaar maken en elke geautomatiseerde uitkomst aanvechten.
**11.9 Recht om een klacht in te dienen.** U hebt het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens indien u van mening bent dat de verwerking van uw persoonsgegevens inbreuk maakt op de AVG of UAVG. Contact: Autoriteit Persoonsgegevens, Bezuidenhoutseweg 30, 2594 AV Den Haag, Nederland (autoriteitpersoonsgegevens.nl).
**Uitoefening van uw rechten.** Om een van deze rechten uit te oefenen, neemt u contact op met ons via hello@zaminor.com of schrijft u naar Zaminor B.V. (i.o.), t.a.v. Privacy, Nederland. Wij verifieren uw identiteit alvorens een verzoek te verwerken. Wij reageren binnen 30 dagen. Indien uw verzoek complex is of wij een groot aantal verzoeken ontvangen, kunnen wij deze termijn verlengen met maximaal 60 dagen (90 dagen totaal); wij informeren u over een eventuele verlenging binnen de initiele termijn van 30 dagen. Verzoeken zijn kosteloos, tenzij deze kennelijk ongegrond of buitensporig zijn (Artikel 12, lid 5, AVG).
Wij implementeren passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat in verhouding staat tot het risico, overeenkomstig Artikel 32 AVG. Onze beveiligingsmaatregelen omvatten:
**Technische maatregelen:** TLS 1.3-versleuteling voor alle gegevens in transport; AES-256-versleuteling in rust voor alle opgeslagen gegevens; kolomniveau-versleuteling met pgcrypto voor zeer gevoelige persoonsgegevens (BSN, bankrekeningnummers, URL's van identiteitsdocumenten, selfie-URL's); veilig sleutelbeheer met sleutelrotatie; rolgebaseerde toegangscontrole (RBAC) met het principe van minste privilege; multi-factor authenticatie (MFA) voor alle medewerkers en beheerderstoegang; Web Application Firewall (WAF) en DDoS-bescherming; geautomatiseerde kwetsbaarheidsscan en regelmatige penetratietests; veilige softwareontwikkelingslevenscyclus (SSDLC) met beveiligingscodebeoordelingen.
**Organisatorische maatregelen:** Gegevensbeschermingseffectbeoordelingen (DPIA's) voor risicovolle verwerkingsactiviteiten (identiteitsverificatieverwerking, grensoverschrijdende overdrachten, geautomatiseerde besluitvorming); gegevensbeschermingstraining en geheimhoudingsverklaringen voor medewerkers; clean desk- en clean screen-beleid voor medewerkers die persoonsgegevens verwerken; beveiligingsbeoordelingen van leveranciers en beoordeling van Verwerkersovereenkomsten voor alle sub-verwerkers; incidentresponsprocedures afgestemd op de meldingsvereisten van Artikelen 33/34 AVG; regelmatige interne en externe beveiligingsaudits; toegangsregistratie en -monitoring met anomaliedetectie; gedocumenteerde gegevensclassificatie- en verwerkingsprocedures.
**Pseudonimisering:** Waar technisch haalbaar passen wij pseudonimisering toe om de risico's van de verwerking van persoonsgegevens te verminderen. Interne analyses gebruiken gepseudonimiseerde of geanonimiseerde datasets. Productiegegevens worden nimmer gebruikt in test- of ontwikkelomgevingen.
In geval van een inbreuk in verband met persoonsgegevens als bedoeld in Artikel 4, lid 12, AVG volgen wij een gedocumenteerde incidentresponsprocedure:
**Melding aan de toezichthoudende autoriteit (Artikel 33 AVG).** Wij melden de inbreuk aan de Autoriteit Persoonsgegevens zonder onredelijke vertraging en, waar mogelijk, binnen 72 uur nadat wij kennis hebben genomen van een inbreuk die waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De melding omvat de aard van de inbreuk, de categorieen en het geschatte aantal getroffen betrokkenen en gegevensrecords, de waarschijnlijke gevolgen, en de getroffen of voorgestelde maatregelen om de inbreuk aan te pakken.
**Melding aan betrokkenen (Artikel 34 AVG).** Indien de inbreuk waarschijnlijk een hoog risico inhoudt voor uw rechten en vrijheden, stellen wij u zonder onredelijke vertraging in kennis in duidelijke en begrijpelijke taal, met een beschrijving van de aard van de inbreuk, de waarschijnlijke gevolgen, de door ons getroffen maatregelen en hoe u de mogelijke nadelige gevolgen kunt beperken.
**Inbreukenregister.** Wij onderhouden een register van alle inbreuken in verband met persoonsgegevens, ongeacht of deze de meldingsdrempel bereiken, overeenkomstig Artikel 33, lid 5, AVG.
Onze Diensten zijn uitsluitend gericht op personen van 18 jaar en ouder. Wij verzamelen of verwerken niet bewust persoonsgegevens van kinderen jonger dan 18 jaar. De vastgoedbemiddelingsdiensten die wij aanbieden vereisen inherent dat gebruikers handelingsbekwaam zijn om vastgoedtransacties aan te gaan.
Indien wij ontdekken dat wij onbedoeld persoonsgegevens van een persoon jonger dan 18 jaar hebben verzameld, nemen wij onmiddellijk stappen om die gegevens te verwijderen en het bijbehorende account te beeindigen. Als u meent dat wij gegevens van een minderjarige hebben verzameld, neem dan contact op met ons via hello@zaminor.com.
Overeenkomstig Artikel 35 AVG hebben wij Gegevensbeschermingseffectbeoordelingen (DPIA's) uitgevoerd voor de volgende risicovolle verwerkingsactiviteiten:
- Identiteitsverificatieverwerking (inclusief biometrische liveness-checks) - Geautomatiseerde financiele profilering en hypotheek-precheckberekeningen - Grensoverschrijdende gegevensoverdrachten naar de VAE (Dubai-makelaarsnetwerk) - PSD2 open banking-gegevensaggregatie en financiele analyse
DPIA's worden jaarlijks herzien en bijgewerkt of wanneer er een significante wijziging optreedt in de verwerkingsactiviteit. Samenvattingen van onze DPIA's zijn op verzoek beschikbaar bij de FG.
Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken om wijzigingen in onze verwerkingsactiviteiten, toepasselijke wetgeving of regelgevende richtsnoeren weer te geven. Wij zullen uw rechten op grond van dit beleid niet beperken zonder uw uitdrukkelijke toestemming.
**Wezenlijke wijzigingen** (wijzigingen in rechtsgronden, nieuwe categorieen gegevens, nieuwe ontvangers, wijzigingen in bewaartermijnen of wijzigingen die uw rechten raken) worden ten minste 30 dagen voordat zij van kracht worden gecommuniceerd via e-mail aan uw geregistreerde e-mailadres en via een platformmelding. De melding beschrijft duidelijk de wijzigingen en hun gevolgen.
**Niet-wezenlijke wijzigingen** (verduidelijkingen, opmaak, bijgewerkte contactgegevens) kunnen te allen tijde worden doorgevoerd, waarbij de datum "Laatst bijgewerkt" dienovereenkomstig wordt herzien.
Indien u niet instemt met een wezenlijke wijziging, kunt u uw recht op verwijdering uitoefenen (met inachtneming van wettelijke bewaarverplichtingen) en uw account beeindigen voor de ingangsdatum van de wijziging. Voortgezet gebruik van de Diensten na de ingangsdatum houdt aanvaarding in van het herziene beleid.
Op dit Privacybeleid is Nederlands recht van toepassing. Geschillen die voortvloeien uit of verband houden met dit beleid worden voorgelegd aan de exclusieve bevoegdheid van de bevoegde rechtbanken van Den Haag, Nederland, onverminderd uw recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens of om de bevoegdheid in te roepen van de rechter in uw gewone verblijfplaats indien u een EU-consument bent (Artikel 79, lid 2, AVG).
Voor vragen, zorgen of verzoeken met betrekking tot dit Privacybeleid of onze gegevensverwerkingspraktijken:
**Privacycontact** E-mail: hello@zaminor.com Post: Zaminor B.V. (i.o.), t.a.v. Privacy, Nederland
**Algemene vragen** E-mail: hello@zaminor.com Website: zaminor.com/contact
**Toezichthoudende autoriteit** Autoriteit Persoonsgegevens Bezuidenhoutseweg 30, 2594 AV Den Haag, Nederland Telefoon: +31 70 888 8500 Website: autoriteitpersoonsgegevens.nl
This Privacy Policy is provided for informational purposes. Consult with a qualified attorney for legal advice specific to your situation.