Privacybeleid

ManagementSysteem.nl respecteert je privacy en gaat zorgvuldig om met persoonsgegevens. In dit privacybeleid lees je welke gegevens wij verwerken, waarom wij dat doen, op welke grondslagen wij ons baseren en welke rechten je hebt. Het beleid geldt voor onze marketingwebsite, voor het aangaan en uitvoeren van overeenkomsten en voor het gebruik van ons SaaS-platform voor informatiebeveiliging en compliance.

Laatst bijgewerkt: juni 2026

1. Inleiding en wie wij zijn

ManagementSysteem.nl is een Nederlands SaaS-platform voor informatiebeveiliging en compliance (ISMS en GRC). Het is een no-code register- en tabelbouwer waarmee organisaties hun beheersing van kaders als ISO 27001, NEN 7510, BIO en ENSIA, AVG, ISO 9001 en vergelijkbare normen inrichten en bijhouden. Onze website en ons platform worden in Nederland (EU) gehost.

Onze identiteits- en contactgegevens zijn:

• Handelsnaam: ManagementSysteem.nl
• KVK-nummer: 99739704
• Adres: Euclideslaan 55, 3584 BM Utrecht, Nederland

Heb je een vraag over dit privacybeleid of over de verwerking van je gegevens? Neem dan contact met ons op via ons contactformulier. Wij gebruiken op deze website bewust geen e-mailadressen, zodat alle vragen op een veilige en gestructureerde manier bij ons binnenkomen.

Wij hebben geen Functionaris Gegevensbescherming (FG) aangesteld, omdat dit voor onze organisatie niet wettelijk verplicht is. Vragen over privacy en de verwerking van persoonsgegevens kun je stellen via ons contactformulier. Je verzoek krijgt een referentie, zodat wij het gestructureerd kunnen opvolgen.

2. Welke persoonsgegevens wij verwerken

Afhankelijk van hoe je met ons in contact staat, verwerken wij de volgende categorieën persoonsgegevens.

• Contactgegevens: naam, e-mailadres en de inhoud van je bericht wanneer je het contactformulier invult of je aanmeldt voor onze nieuwsbrief. De nieuwsbriefaanmelding verloopt via een opt-in op het aanmeldformulier.
• Accountgegevens: naam, zakelijk e-mailadres, gebruikersnaam, functie of rol, organisatienaam en authenticatiegegevens (zoals een gehasht wachtwoord) van gebruikers van het platform. Wachtwoorden bewaren wij uitsluitend in gehashte vorm en nooit in leesbare vorm.
• Gebruiks- en apparaatgegevens: gepseudonimiseerde gegevens over het gebruik van de website en het platform, zoals bezochte pagina's, IP-adres, browsertype en globale locatie. Statistieken via Google Analytics verzamelen wij uitsluitend na jouw cookietoestemming.
• Communicatiegegevens: correspondentie en supportverzoeken die je met ons deelt, inclusief de gegevens die nodig zijn om je vraag te beantwoorden.
• Facturatie- en contractgegevens: bedrijfsgegevens, factuuradres, btw-nummer, gekozen modules en abonnementen, en betaal- en factuurgegevens die horen bij de overeenkomst.
• Klantinhoud in het platform: de registers, risico's, documenten, bewijsstukken en taken die jij of je organisatie in het platform vastlegt. Deze inhoud kan persoonsgegevens van jouw medewerkers of derden bevatten. Voor deze gegevens zijn wij verwerker, zie sectie 4.

3. Doeleinden en grondslagen

Wij verwerken persoonsgegevens alleen voor duidelijk omschreven doeleinden en op basis van een geldige grondslag uit de AVG.

• Afhandelen van contactverzoeken via het contactformulier. Grondslag: gerechtvaardigd belang (jouw vraag adequaat beantwoorden) en, waar relevant, de uitvoering of voorbereiding van een overeenkomst.
• Versturen van de nieuwsbrief. Grondslag: toestemming, die je geeft via een opt-in. Je kunt je op elk moment afmelden en bezwaar maken tegen deze verwerking.
• Aanbieden en beheren van een account en het platform. Grondslag: uitvoering van de overeenkomst.
• Operationele en technische verwerking van gebruiks- en apparaatgegevens, zoals serverlogs en het gebruik van het IP-adres voor het leveren, bereikbaar houden en beveiligen van de website en het platform. Grondslag: gerechtvaardigd belang in een veilige en betrouwbare dienst en, waar van toepassing, de uitvoering van de overeenkomst. Deze verwerking staat los van de op toestemming gebaseerde analytics.
• Facturatie en administratie. Grondslag: uitvoering van de overeenkomst en het voldoen aan een wettelijke verplichting (zoals de fiscale bewaarplicht).
• Klantenservice en support. Grondslag: uitvoering van de overeenkomst en gerechtvaardigd belang.
• Beveiliging, fraudepreventie en spambestrijding (waaronder Google reCAPTCHA op het contactformulier, indien ingeschakeld). Grondslag: gerechtvaardigd belang in een veilige en betrouwbare dienst.
• Weergave van lettertypen. Wij hosten onze lettertypen op onze eigen servers. Hierbij worden geen externe partijen aangesproken en wordt geen IP-adres aan derden doorgegeven. Grondslag: gerechtvaardigd belang in een correcte en consistente weergave van onze website.
• Verbeteren van de website via statistieken. Grondslag: toestemming (cookies staan standaard uit).
• Voldoen aan wettelijke verplichtingen. Grondslag: wettelijke verplichting.

4. Onze rol: verwerker en verwerkingsverantwoordelijke

Onze rol onder de AVG verschilt per soort gegevens.

Verwerker voor klantinhoud in het platform. Voor de gegevens die een klant in het platform invoert, dus de eigen ISMS- en compliance-inhoud zoals registers, risico's, documenten, bewijsstukken en taken, treedt ManagementSysteem.nl op als verwerker. De klant blijft verwerkingsverantwoordelijke en bepaalt het doel en de middelen van die verwerking. Wij verwerken deze gegevens uitsluitend volgens de instructies van de klant en gebruiken ze niet voor eigen doeleinden.

Voor deze verwerking sluiten wij een verwerkersovereenkomst (DPA) die onderdeel uitmaakt van de klantovereenkomst en samen daarmee tot stand komt. De verwerkersovereenkomst voldoet aan artikel 28 AVG en regelt onder meer de inschakeling van sub-verwerkers met goedkeuring van de klant, het verlenen van bijstand bij verzoeken van betrokkenen en het zonder onnodige vertraging melden van datalekken aan de klant als verwerkingsverantwoordelijke.

Verwerkingsverantwoordelijke voor onze eigen gegevens. Voor account-, contract-, facturatie-, support- en marketinggegevens is ManagementSysteem.nl zelf verwerkingsverantwoordelijke. Voor die gegevens bepalen wij het doel en de middelen, zoals beschreven in dit privacybeleid.

5. Cookies en analytics

Onze website plaatst functionele cookies die nodig zijn om de site te laten werken. Analytische cookies, zoals voor Google Analytics, plaatsen wij alleen nadat je daar via de cookiebanner toestemming voor hebt gegeven. Standaard staan deze uit. Je kunt je voorkeuren altijd aanpassen of intrekken.

Als Google reCAPTCHA op het contactformulier is ingeschakeld, kan deze dienst cookies plaatsen en gegevens, waaronder je IP-adres, aan Google doorgeven. Deze doorgifte valt onder de waarborgen die in sectie 7 zijn beschreven. Lees voor een volledig overzicht van de cookies, hun doel en hun bewaartermijn ons cookiebeleid.

6. Delen met derden en sub-verwerkers

Wij verkopen je gegevens niet. Wij schakelen wel zorgvuldig geselecteerde dienstverleners in die namens ons persoonsgegevens verwerken. Met iedere partij die persoonsgegevens voor ons verwerkt, sluiten wij een verwerkersovereenkomst, zodat je gegevens ook bij hen goed beschermd zijn.

Partij	Doel	Locatie
Brevo (Sendinblue)	Transactionele e-mail en verzending van de nieuwsbrief	Europese Unie
Google (Analytics en reCAPTCHA)	Statistieken en spambestrijding op het contactformulier	Ierland en Verenigde Staten
Hostingprovider	Hosting van de website en het platform	Nederland

Onze lettertypen hosten wij op onze eigen servers. Hierbij worden geen externe lettertypediensten aangesproken en wordt geen IP-adres aan derden doorgegeven. Daarnaast kunnen wij gegevens delen wanneer een wettelijke verplichting ons daartoe verplicht.

Brevo verwerkt en bewaart gegevens binnen de Europese Unie. Mocht een onderdeel van de verwerking door Brevo buiten de EER plaatsvinden, dan gebeurt dit onder de waarborgen die in sectie 7 zijn beschreven.

7. Doorgifte buiten de Europese Economische Ruimte

Wij verwerken je gegevens bij voorkeur binnen de Europese Economische Ruimte (EER). Sommige diensten van Google kunnen leiden tot doorgifte van gegevens naar de Verenigde Staten. Voor die doorgifte aan Google zorgen wij voor passende waarborgen: Google LLC is gecertificeerd onder het EU-US Data Privacy Framework en wij baseren ons waar nodig aanvullend op de standaardcontractbepalingen (Standard Contractual Clauses) van de Europese Commissie.

8. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan nodig is voor de doeleinden waarvoor ze zijn verzameld, of zo lang als wettelijk vereist.

• Berichten via het contactformulier: wij verwijderen deze uiterlijk 12 maanden nadat je vraag is afgehandeld, tenzij de inhoud nodig is voor een lopende of voorgenomen overeenkomst.
• Support- en communicatiegegevens: wij bewaren deze gedurende de looptijd van de overeenkomst en tot 24 maanden na het laatste contact, daarna verwijderen wij ze.
• Nieuwsbrief: tot het moment dat je je afmeldt of bezwaar maakt.
• Accountgegevens: wij verwijderen deze uiterlijk 6 maanden na beëindiging van de overeenkomst, tenzij een wettelijke bewaarplicht een langere termijn vereist.
• Contract- en facturatiegegevens: facturen bewaren wij 7 jaar op grond van de Nederlandse fiscale bewaarplicht.
• Analytics: volgens de termijnen zoals beschreven in ons cookiebeleid.

9. Beveiliging van je gegevens

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, misbruik en ongeoorloofde toegang. Denk aan versleutelde verbindingen, hosting in Nederland, toegangsbeheer op basis van rollen en rechten, het in gehashte vorm opslaan van wachtwoorden, logging en regelmatige evaluatie van onze maatregelen. Onze dienstverleners zijn via verwerkersovereenkomsten contractueel verplicht een vergelijkbaar beveiligingsniveau te hanteren. Wij verbeteren onze beveiliging doorlopend op basis van de stand van de techniek en de aard van de gegevens.

Bij een datalek handelen wij conform de artikelen 33 en 34 van de AVG. Wanneer dat vereist is, melden wij het lek bij de Autoriteit Persoonsgegevens en informeren wij de betrokkenen. Betreft het lek klantinhoud waarvoor wij verwerker zijn, dan informeren wij de betrokken klant als verwerkingsverantwoordelijke zonder onnodige vertraging.

10. Jouw rechten onder de AVG

Je hebt op grond van de AVG verschillende rechten met betrekking tot je persoonsgegevens:

• het recht op inzage in je gegevens;
• het recht op rectificatie (verbetering) van onjuiste gegevens;
• het recht op verwijdering (gegevenswissing);
• het recht op beperking van de verwerking;
• het recht van bezwaar tegen de verwerking;
• het recht op overdraagbaarheid van je gegevens (dataportabiliteit);
• het recht om eerder gegeven toestemming op elk moment in te trekken.

Wil je een van deze rechten uitoefenen? Dien je verzoek dan in via ons contactformulier. Wij reageren zo snel mogelijk en uiterlijk binnen één maand, zoals de AVG voorschrijft. Om je te kunnen helpen, kunnen wij je vragen je identiteit te bevestigen. Betreft je verzoek gegevens die je organisatie in het platform heeft vastgelegd, dan is jouw organisatie verwerkingsverantwoordelijke en richt je je in de eerste plaats tot die organisatie, die ons als verwerker kan inschakelen.

11. Klacht indienen bij de Autoriteit Persoonsgegevens

Ben je niet tevreden over de manier waarop wij met je persoonsgegevens omgaan? Je kunt altijd rechtstreeks een klacht indienen bij de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens. Wij stellen het wel op prijs als je ons eerst de kans geeft om er samen uit te komen via ons contactformulier, maar dit is geen voorwaarde voor je recht om een klacht in te dienen.

De Autoriteit Persoonsgegevens is bereikbaar via de website autoriteitpersoonsgegevens.nl en per post via Postbus 93374, 2509 AJ Den Haag.

12. Geautomatiseerde besluitvorming en profilering

Wij maken geen gebruik van geautomatiseerde besluitvorming of profilering met rechtsgevolgen of vergelijkbare aanzienlijke gevolgen voor jou in de zin van artikel 22 AVG. Besluiten met juridische impact worden niet uitsluitend op basis van geautomatiseerde verwerking genomen. De op toestemming gebaseerde analytics vormt geen geautomatiseerde besluitvorming of profilering met rechtsgevolgen of vergelijkbare aanzienlijke gevolgen.

13. Wijzigingen in dit privacybeleid

Wij kunnen dit privacybeleid van tijd tot tijd aanpassen, bijvoorbeeld door gewijzigde wetgeving, nieuwe functionaliteiten of nieuwe dienstverleners. De meest actuele versie vind je altijd op deze pagina, met bovenaan de datum van laatste wijziging. Bij ingrijpende wijzigingen informeren wij je waar dat passend is.

14. Contact

Heb je vragen over dit privacybeleid of over de verwerking van je persoonsgegevens? Neem dan contact met ons op via ons contactformulier. Onze identiteitsgegevens zijn:

• Handelsnaam: ManagementSysteem.nl
• KVK-nummer: 99739704
• Adres: Euclideslaan 55, 3584 BM Utrecht, Nederland