Privacybeleid & Gegevensbeveiliging

1. Inleiding en Algemene Informatie

Wij waarderen uw interesse in Chorilo. Gegevensbescherming heeft voor ons een hoge prioriteit. In dit privacybeleid informeren wij u over de verwerking van uw persoonlijke gegevens bij het gebruik van onze website en onze dienst "Chorilo".

Verantwoordelijk voor de verwerking van uw persoonlijke gegevens is Chorilo - Melanie Schneider, Tränkstraße 3, 65558 Holzheim, Duitsland. Voor vragen over gegevensbescherming of het uitoefenen van uw rechten kunt u contact met ons opnemen via e-mail op datenschutz@chorilo.com.

2. Bezoek aan onze website

2.1 Levering van de website

Voor het leveren van onze website verwerken wij technisch noodzakelijke gegevens zoals IP-adres, toegangstijd, browserinformatie, besturingssysteem en taalinstellingen van alle websitebezoekers. Deze verwerking is technisch vereist om het gebruik van onze website mogelijk te maken (Art. 6(1)(b) AVG). De gegevens worden verwijderd na het einde van uw bezoek, tenzij individuele gegevens verder worden verwerkt voor andere doeleinden (bijv. beveiliging).

2.2 Beveiliging en aanvalsdetectie

Voor het detecteren en afweren van aanvallen op onze website en technische infrastructuur (bijv. hacking, denial-of-service-aanvallen) verwerken wij toegangsgegevens zoals IP-adressen, toegangstijd, bezochte subpagina('s) en overgedragen datavolume van alle websitebezoekers. Deze verwerking dient om te voldoen aan onze wettelijke verplichting om beschermende maatregelen te nemen en ons legitieme belang bij het handhaven van de beveiliging van onze systemen (Art. 6(1)(c) en (f) AVG). De gegevens worden over het algemeen zeven (7) dagen na het einde van uw bezoek aan onze website verwijderd, tenzij een aanvalspoging wordt gedetecteerd. In geval van een gedetecteerde aanvalspoging worden de gegevens verder verwerkt voor volledig technisch en, indien nodig, juridisch onderzoek.

3. Cookies

3.1 Algemene informatie over cookies

Wij gebruiken cookies op onze website en in onze dienst "Chorilo". Cookies zijn kleine tekstbestanden die op uw apparaat worden opgeslagen. Ze stellen ons in staat om bepaalde gebruikersgerelateerde informatie op te slaan in verband met het gebruik van onze diensten en om uw computer te herkennen bij een volgend bezoek.

Sommige cookies zijn technisch noodzakelijk om vrij op de website te kunnen navigeren en de functies ervan te gebruiken (noodzakelijke cookies). Andere cookies helpen ons te begrijpen hoe bezoekers onze website gebruiken om deze te verbeteren (analytische cookies, momenteel niet in gebruik). Sessiecookies slaan informatie over uw activiteiten op en worden verwijderd wanneer u de browser sluit. Permanente cookies blijven langer opgeslagen.

3.2 Cookies binnen Chorilo

Voor het leveren van de "Chorilo"-dienst plaatsen wij noodzakelijke cookies. Een SessionID-cookie slaat een willekeurig identificatienummer op om de correct geauthenticeerde gebruiker te herkennen. Een andere cookie slaat de geselecteerde taalinstelling op. Een CSRF-cookie slaat een ander willekeurig identificatienummer op om gegevensoverdracht te beveiligen tegen bepaalde aanvallen (Cross-Site Request Forgery). Deze verwerking is technisch noodzakelijk om het veilige gebruik van de dienst mogelijk te maken (Art. 6(1)(b) AVG). Er worden geen gegevens overgedragen aan derden. Deze cookies worden meestal aan het einde van de browsersessie verwijderd, tenzij een andere instelling in uw webbrowser voorziet in eerdere verwijdering.

4. Gebruik van onze dienst "Chorilo"

4.1 Verwerkte gegevens en doel

Voor het leveren van de "Chorilo"-dienst en het nakomen van de gebruikersovereenkomst verwerken wij de volgende gegevens voor alle gebruikers: Naam, voornaam, e-mailadres, wachtwoord-hash, taal en tijdzone. Voor koordirigenten aanvullend: Koornaam, afgekorte koornaam, koorgrootte en koorstemmen. Voor zangers aanvullend: Koornaam van de koren waartoe de zanger behoort, en koorstem.

Daarnaast kunnen alle gebruikers vrijwillig adres- en geboortedatumgegevens verstrekken en een foto uploaden. Verder worden gebruiksgegevens verwerkt, met name inhoud en toezeggingen voor afspraken, geüploade bestanden (bladmuziek, documenten) en communicatiegegevens binnen repetitiesessies.

Deze gegevens worden verwerkt om gebruikersbeheer en authenticatie te beheren, communicatie tussen gebruikers van een koor mogelijk te maken en het gebruik van de functies van de dienst te faciliteren (bijv. afsprakenbeheer, bladmuziekbeheer, repetitiesessie-functies). De rechtsgrondslag is de nakoming van de gebruikersovereenkomst (Art. 6(1)(b) AVG).

4.2 Ontvangers van gegevens

a) Andere koorleden

Bepaalde gegevens (naam, voornaam, e-mail [optioneel], foto [optioneel], koorstem, afspraaktoezeggingen) zijn zichtbaar voor andere leden van het betreffende koor om organisatie en communicatie binnen het koor mogelijk te maken.

b) Hosting

Alle bovengenoemde persoonlijke gegevens worden opgeslagen en verwerkt op servers van DigitalOcean LLC, 101 Avenue of the Americas, New York, NY 10013, VS, als verwerker (Art. 28 AVG) om de "Chorilo"-dienst technisch te leveren (hosting). De serverlocatie is in de EU (Frankfurt am Main). Gegevensoverdracht naar de VS is gebaseerd op het EU-VS Data Privacy Framework (adequaatheidsbesluit) of Standaardcontractbepalingen (Art. 45, 46 AVG).

c) E-mailverzending (Systeemmails)

Naam, voornaam en e-mailadres worden overgedragen aan The Rocket Science Group LLC (Mailchimp), 675 Ponce De Leon Ave NE, Suite 5000, Atlanta, GA 30308, VS, als verwerker (Art. 28 AVG) om de verzending van systeemmails technisch te implementeren (bijv. wachtwoordreset, uitnodigingen). Gegevensoverdracht naar de VS is gebaseerd op het EU-VS Data Privacy Framework (adequaatheidsbesluit) of Standaardcontractbepalingen (Art. 45, 46 AVG).

d) E-mailverwerking (Support)

Wanneer u contact met ons opneemt via e-mail (bijv. op support@chorilo.com), worden uw e-mailadres en de inhoud van uw vraag verwerkt via servers van STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlijn, Duitsland, als verwerker (Art. 28 AVG) om uw vraag te ontvangen en te beantwoorden. De rechtsgrondslag is de verwerking van uw verzoek (Art. 6(1)(b) AVG) of ons legitieme belang bij het bieden van klantenondersteuning (Art. 6(1)(f) AVG).

e) Foutopsporing (Sentry)

Om technische fouten in onze applicatie te detecteren en analyseren, gebruiken wij de Sentry-dienst van Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, VS. In geval van een fout kunnen technische gegevens zoals apparaatinformatie, besturingssysteem, browser en mogelijk geanonimiseerde delen van gebruikersinteracties en een geanonimiseerde gebruikers-ID worden verzonden naar Sentry. Dit dient ons legitieme belang bij het verbeteren van de stabiliteit en functionaliteit van onze dienst (Art. 6(1)(f) AVG). Gegevensoverdracht naar de VS is gebaseerd op het EU-VS Data Privacy Framework (adequaatheidsbesluit) of Standaardcontractbepalingen (Art. 45, 46 AVG).

f) Pushmeldingen (Firebase Cloud Messaging)

Voor het verzenden van pushmeldingen in onze mobiele app gebruiken wij Firebase Cloud Messaging (FCM) van Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, VS, als verwerker (Art. 28 AVG). Een apparaatspecifiek token (FCM-token) wordt verwerkt om meldingen naar uw apparaat te verzenden. Daarnaast kunnen technische gegevens zoals apparaattype en besturingssysteem worden verzonden. Dit dient de nakoming van de gebruikersovereenkomst en de levering van de meldingsfunctie (Art. 6(1)(b) AVG). Gegevensoverdracht naar de VS is gebaseerd op het EU-VS Data Privacy Framework (adequaatheidsbesluit) of Standaardcontractbepalingen (Art. 45, 46 AVG).

g) Betalingsverwerking (Stripe)

Voor het verwerken van betalingen en abonnementen gebruiken wij Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, VS, als verwerker (Art. 28 AVG). Tijdens betalingsverwerking worden naam, e-mailadres, betalingsinformatie (creditcardgegevens, IBAN) en factuuradres naar Stripe verzonden. Deze verwerking is noodzakelijk voor de nakoming van het betalingscontract (Art. 6(1)(b) AVG). Stripe is PCI-DSS gecertificeerd en garandeert de hoogste beveiligingsstandaarden voor betalingsgegevens. Gegevensoverdracht naar de VS is gebaseerd op het EU-VS Data Privacy Framework (adequaatheidsbesluit) of Standaardcontractbepalingen (Art. 45, 46 AVG).

4.3 Bewaartermijn

Wij bewaren uw persoonlijke gegevens alleen zo lang als nodig is om de doeleinden waarvoor ze zijn verzameld te vervullen of zoals wettelijk vereist.

Gegevens gerelateerd aan uw gebruikersaccount (zoals profielgegevens, ensemblelidmaatschappen, geüploade bladmuziek) worden bewaard zolang uw account actief is. Als u uw account verwijdert, worden deze gegevens verwijderd volgens ons gegevensverwijderingsbeleid, onder voorbehoud van wettelijke bewaarverplichtingen.

Gebruiksgegevens en technische logs worden doorgaans voor een korte periode bewaard (bijv. 7 tot 30 dagen), tenzij langere opslag noodzakelijk is voor foutanalyse of beveiligingsredenen.

5. Verwerking van telefonische vragen

Wanneer u telefonisch contact met ons opneemt, of het nu gaat om algemene vragen of klantenondersteuning, verwerken wij de gegevens die u verstrekt, zoals uw naam, telefoonnummer, klantnummer (indien van toepassing) en de inhoud van uw verzoek. Deze verwerking is noodzakelijk om uw verzoek te behandelen volgens Art. 6(1)(b) AVG. Na voltooiing van de verwerking beperken wij de verwerking tot het specifieke doel (bijv. contractvervulling, nieuwe klantenwerving). Zodra het doel is vervuld en wettelijke bewaartermijnen (bijv. handels- en belastingrecht) zijn verstreken, worden uw gegevens automatisch verwijderd.

6. Verwerking van vragen via sociale media

Als u contact met ons opneemt via onze profielen op sociale netwerken (bijv. Facebook, Twitter, LinkedIn, Xing), verwerken wij de gegevens die u in uw respectieve profiel heeft opgeslagen om uw verzoek te behandelen volgens Art. 6(1)(b) AVG. Na voltooiing van de verwerking beperken wij de verwerking tot het specifieke doel. Zodra het doel is vervuld en wettelijke bewaartermijnen zijn verstreken, worden uw gegevens verwijderd.

7. Nieuwe klantenwerving en directe marketing

Om potentiële klanten te informeren over onze producten en diensten, kunnen wij bedrijfsmedewerkers telefonisch, per post, e-mail of via platforms zoals Xing en LinkedIn contacteren. Daarbij verwerken wij gegevens zoals naam, contactgegevens (postadres, e-mail, telefoonnummer, platformidentificatie), functie in het bedrijf en informatie over potentiële interesse in onze aanbiedingen. Wij verkrijgen deze gegevens ofwel rechtstreeks van u (bijv. op beurzen, via contactformulieren) of uit openbaar toegankelijke bronnen (platformprofielen, directories), waar toegestaan.

De verwerking van deze gegevens is gebaseerd op ons legitieme belang (Art. 6(1)(f) AVG) bij directe marketing en het verhogen van onze verkoop, maar alleen als u geen bezwaar heeft gemaakt en het contact binnen redelijke verwachtingen valt en geen onredelijke overlast vormt. U kunt op elk moment bezwaar maken tegen het gebruik van uw gegevens voor directe marketing. Wij zullen uw gegevens verwijderen of de verbinding op platforms beëindigen als u bezwaar maakt, als er geen interesse meer is, of als een reactie permanent uitblijft.

8. Verwijzingsprogramma

Chorilo biedt een verwijzingsprogramma waarbij geregistreerde ensembles andere ensembles kunnen doorverwijzen en commissies kunnen ontvangen. De volgende gegevens worden verwerkt als onderdeel van dit programma:

Als u zich registreert via een verwijzingslink en een betaald abonnement afsluit, wordt uw ensemblenaam weergegeven aan het verwijzende ensemble zodat zij hun verwijzingscommissies kunnen volgen. Dit dient transparantie en het legitieme belang van het verwijzende ensemble bij het volgen van hun compensatieclaims in overeenstemming met Art. 6(1)(f) AVG.

De volgende informatie wordt weergegeven aan het verwijzende ensemble:

• Naam van het doorverwezen ensemble
• Commissiebedrag
• Transactie-aanmaaktijd

Er worden geen persoonlijke gegevens van individuele leden van het doorverwezen ensemble gedeeld. De weergave van de ensemblenaam is uitsluitend voor het volgen van commissieafrekeningen en is standaardpraktijk in verwijzingsprogramma's. De transactie wordt pas weergegeven aan het verwijzende ensemble nadat een betaald abonnement is voltooid.

8. Onderhoud en beheer van IT-systemen

Om de functionaliteit en beveiliging van onze IT-systemen te waarborgen, kunnen onze IT-dienstverleners mogelijk toegang krijgen tot persoonlijke gegevens tijdens onderhoudswerkzaamheden. Deze toegangen zijn strikt beperkt tot wat noodzakelijk is en worden uitgevoerd in overeenstemming met strikte vertrouwelijkheidsovereenkomsten en technische en organisatorische maatregelen om uw gegevens te beschermen. De rechtsgrondslag is ons legitieme belang (Art. 6(1)(f) AVG) bij de stabiele en veilige werking van onze diensten.

9. Gegevensbeveiliging

Wij implementeren uitgebreide technische en organisatorische maatregelen om uw gegevens te beschermen tegen ongeautoriseerde toegang, verlies of misbruik. Deze omvatten encryptietechnologieën, toegangscontroles en regelmatige beveiligingsbeoordelingen. Ondanks alle inspanningen kan absolute beveiliging niet worden gegarandeerd voor gegevensoverdracht via internet.

10. Uw rechten als betrokkene

U heeft het recht op toegang tot informatie over de persoonlijke gegevens die u betreffen (Art. 15 AVG).

U kunt verzoeken om correctie van onjuiste gegevens (Art. 16 AVG).

Verder heeft u het recht op verwijdering (Art. 17 AVG) en beperking van verwerking (Art. 18 AVG) van uw gegevens.

Als gegevensverwerking is gebaseerd op uw toestemming of er een contract voor gegevensverwerking bestaat en de gegevensverwerking wordt uitgevoerd met behulp van geautomatiseerde procedures, kunt u recht hebben op gegevensoverdraagbaarheid (Art. 20 AVG). Als u toestemming heeft gegeven voor de verwerking, kunt u uw toestemming op elk moment intrekken met werking voor de toekomst. De rechtmatigheid van de verwerking die is uitgevoerd op basis van de toestemming tot intrekking wordt niet beïnvloed door de intrekking.

U heeft ook het recht om een klacht in te dienen bij een toezichthoudende autoriteit voor gegevensbescherming over onze verwerking van uw persoonlijke gegevens.

11. Wijzigingen in dit privacybeleid

Wij behouden ons het recht voor om dit privacybeleid aan te passen zodat het altijd voldoet aan de huidige wettelijke vereisten of om wijzigingen in onze diensten in het privacybeleid te implementeren, bijv. bij het introduceren van nieuwe diensten. Het nieuwe privacybeleid is dan van toepassing op uw volgende bezoek.

12. Verantwoordelijke entiteit

De verantwoordelijke entiteit volgens de wetgeving inzake gegevensbescherming is: