Deze privacyverklaring beschrijft welke persoonsgegevens monsys.ai verwerkt, waarom, hoe lang we ze bewaren, met wie we ze delen en welke rechten je hebt onder de Algemene Verordening Gegevensbescherming (GDPR / AVG).
GoTrust BV, gevestigd in België, exploiteert monsys.ai en is de verwerkingsverantwoordelijke in de zin van de GDPR.
Contact voor privacy-vragen, verzoeken tot inzage, rectificatie of verwijdering: info@gotrust.be.
GoTrust BV heeft geen Functionaris voor Gegevensbescherming (DPO) aangesteld omdat de schaal van de verwerking dit niet vereist onder de GDPR. Voor formele klachten kun je terecht bij de Belgische Gegevensbeschermingsautoriteit (gegevensbeschermingsautoriteit.be).
**Account-gegevens** — werk-e-mailadres, gehashte (bcrypt) wachtwoord, voornaam (optioneel), tenant-naam, rol, IP-adres en tijdstip van laatste login, IP en tijdstip van aanvaarding van de algemene voorwaarden.
**Telemetrie van je servers** — hostname, OS, versie, CPU/geheugen/disk-aggregaten, geïnstalleerde packages, draaiende services, luisterende poorten, SSH-keys, sudo-rechten, container-info. We sturen GEEN rauwe loglijnen of bestandsinhoud op.
**Inventaris van users en groups** op je servers — voor compliance-rapporten. Wachtwoorden worden NOOIT gelezen of opgeslagen.
**Facturatie-gegevens** (alleen Pro-tier) — betaalmethode-metadata (kaart-brand + laatste 4 cijfers, géén volledig kaartnummer), facturen, betaal-status. Volledige kaartdata wordt direct doorgestuurd naar Stripe of PayPal en raakt onze servers niet aan.
**Audit-logs** — wie heeft wanneer welke actie uitgevoerd in de hub (login, agent-creatie, console-sessie, emergency-actie). Bewaard voor security-onderzoek.
**Uitvoering van de overeenkomst** (art. 6.1.b GDPR) voor alle accountgegevens, telemetrie en facturatie — dit is wat je nodig hebt om de dienst te gebruiken.
**Wettelijke verplichting** (art. 6.1.c GDPR) voor facturatiegegevens (Belgische boekhoudwet — bewaartermijn 7 jaar voor uitgaande facturen).
**Gerechtvaardigd belang** (art. 6.1.f GDPR) voor security audit-logs, fraudedetectie, foutopsporing en service-verbetering. Je kunt op elk moment bezwaar maken via info@gotrust.be.
We gebruiken GEEN profilering of geautomatiseerde besluitvorming die je rechtspositie significant beïnvloedt.
We delen gegevens uitsluitend met onderstaande verwerkers, allen onder een verwerkersovereenkomst (DPA):
• **Stripe Payments Europe Ltd** (Ierland) — voor kaart- en SEPA-betalingen. Stripe is GDPR-conform.
• **PayPal (Europe) S.à r.l.** (Luxemburg) — voor PayPal-betalingen.
• **Onze EU hosting provider** — voor het draaien van de hub (servers in een EU datacenter).
• **E-mail-leverancier** — voor transactionele e-mails (account-bevestiging, password reset, factuur-meldingen).
We verkopen NOOIT gegevens, gebruiken GEEN ad-trackers, en sturen GEEN data buiten de EU/EER tenzij uitdrukkelijk via een GDPR-conforme transfer-mechanisme.
**Telemetrie** — Free-tier: 7 dagen rolling window. Pro-tier: 90 dagen rolling window. Daarna automatisch verwijderd.
**Account-gegevens** — gedurende de looptijd van het account + 30 dagen na opzegging (om een rollback bij vergissing toe te laten).
**Audit-logs** — 1 jaar.
**Facturen en betaaldocumenten** — 7 jaar (Belgische boekhoudwet).
**Backups** — onze nightly backups bevatten kopieën van bovenstaande data. Backups worden 30 dagen bewaard. Verwijderingsverzoeken worden binnen 30 dagen ook in backups verwerkt door restore-on-write.
Onder de GDPR heb je recht op:
• **Inzage** in welke gegevens we van je hebben (art. 15);
• **Rectificatie** van foute gegevens (art. 16);
• **Verwijdering** ("recht om vergeten te worden", art. 17) — je tenant en alle bijhorende data wordt binnen 30 dagen verwijderd;
• **Beperking van de verwerking** (art. 18);
• **Overdraagbaarheid** — een machine-leesbare export van je data (art. 20);
• **Bezwaar** tegen verwerking op basis van gerechtvaardigd belang (art. 21);
• Het recht om een **klacht** in te dienen bij de Belgische Gegevensbeschermingsautoriteit (gba-apd.be).
Stuur je verzoek naar info@gotrust.be. We reageren binnen 30 dagen.
Alle persoonsgegevens, telemetrie en backups worden opgeslagen op infrastructuur binnen de Europese Unie. We dragen geen persoonsgegevens over naar derde landen tenzij die dekking hebben onder een passend GDPR-mechanisme (adequaatheidsbesluit of standaardcontractbepalingen).
We passen passende technische en organisatorische maatregelen toe: TLS 1.3 voor alle verbindingen, bcrypt voor wachtwoorden, Ed25519-handtekeningen voor agent-payloads, Row-Level Security in de database voor tenant-isolatie, gebruikers-rollen (RBAC), TOTP-tweefactor voor beheerdersacties.
In het uitzonderlijke geval van een datalek met hoog risico voor je rechten en vrijheden zullen we binnen 72 uur de Gegevensbeschermingsautoriteit informeren en jou rechtstreeks via e-mail.
Onze publieke website (monsys.ai) gebruikt enkel strikt noodzakelijke cookies (taal-voorkeur, sessie). De Hub (app.monsys.ai) gebruikt een sessie-cookie voor authenticatie. Zie ons cookiebeleid voor details en de cookie-banner voor je keuze.
We kunnen deze privacyverklaring aanpassen. Materiële wijzigingen melden we minstens 30 dagen vooraf via e-mail. De meest recente versie is altijd terug te vinden op /privacy.