Privacybeleid

1. Inleiding

Zyvora wordt ontwikkeld en beheerd door ShadowPing LLC ("ShadowPing", "wij", "ons" of "onze"). Dit privacybeleid beschrijft hoe wij gegevens verzamelen, gebruiken, opslaan en beschermen wanneer u het Zyvora-platform (het "Platform") gebruikt.

Dit beleid is van toepassing op twee categorieën personen: (1) Abonnees — bedrijven en hun medewerkers die Zyvora gebruiken om hun bedrijfsvoering uit te voeren, en (2) Eindklanten — de klanten van die bedrijven wiens gegevens door Abonnees in het Platform worden ingevoerd.

2. Gegevens die wij verzamelen

Gegevens van abonneeaccount: Bij registratie verzamelen wij uw bedrijfsnaam, contactgegevens, factureringsgegevens en accountreferenties. Deze worden gebruikt om uw account aan te maken en te beheren.

Bedrijfsoperationele gegevens: Gegevens die u invoert om uw bedrijf uit te voeren — inclusief personeelsprofielen, servicecatalogi, schema's, afspraakrecords, verkooptransacties, voorraadbeheerrecords, loongegevens en bedrijfsinstellingen. U bent eigenaar van deze gegevens.

Gegevens van eindklanten: Informatie over uw cliënten die u in het Platform invoert — inclusief namen, contactgegevens, afspraakgeschiedenis, betalingsrecords, loyaliteitspunten, toestemmingsrecords en (indien klinische functies zijn ingeschakeld) gezondheidsgerelateerde informatie. U bent de data-eigenaar voor de gegevens van uw klanten; ShadowPing fungeert als gegevensverwerker namens u.

Visuele en biometrische-achtige gegevens: Als u Zyvora's tegelidentificatie of voor/na-fotofuncties gebruikt, verzamelt en slaat het Platform foto's van nagels, huid of andere fysieke kenmerken van klanten op. Deze afbeeldingen kunnen aan de identiteit van een klant in het Platform worden gekoppeld. U bent verantwoordelijk voor het verkrijgen van passende toestemming van uw klanten voordat u dergelijk beeldmateriaal verzamelt.

Audio- en videobewakingsgegevens: Als u een camera- of beveiligingssysteemintegratie aansluit (zoals Solink, Verkada, Eagle Eye of Spot AI), kunnen audio- en video-opnamen van uw bedrijfspanden — inclusief opnamen van eindklanten die uw salon bezoeken — worden vastgelegd en verwerkt via die integratie. ShadowPing slaat camerafoto's niet rechtstreeks op; deze worden verwerkt en opgeslagen door de externe cameraprovider onder hun eigen voorwaarden. U bent verantwoordelijk voor het naleven van alle toepasselijke wetgeving inzake opnametoestemming en het plaatsen van vereiste meldingen in uw bedrijfsruimten.

Communicatiegegevens: SMS-, RCS-, e-mail- en spraakcommunicatie die via het Platform wordt verzonden (via Twilio en Azure Communication Services). Berichtinhoud, afleveringsstatus en tijdstempels worden opgeslagen voor postvakbeheer en compliance.

Betalingsgegevens: Betalingstransacties verwerkt via geïntegreerde betalingsverwerkers (Square, Stripe, enz.). Onbewerkte kaartnummers worden nooit door ShadowPing opgeslagen — alleen getokeniseerde verwijzingen die door de betalingsverwerker worden verstrekt.

Gebruiks- en analysegegevens: Logboekgegevens, gebruikspatronen van functies, foutrapporten en prestatiemetriek. Deze gegevens worden gebruikt om het Platform te verbeteren en worden niet met derden gedeeld voor reclame.

Apparaat- en hardwaregegevens: IP-adressen, browsertype/app-type, apparaataanduidingen en sessiegegevens die worden verzameld wanneer u het Platform opent. Als u geïntegreerde hardware (iPads, kaartlezers, streepjescodescanners, bonprinters) gebruikt, kunnen apparaataanduidingen en hardwareinteractiegegevens worden verzameld.

Klinische gegevens (indien van toepassing): Als u Zyvora's klinische functies gebruikt (SOAP-aantekeningen, HIPAA-gemarkeerde formulieren), wordt beschermde gezondheidsinformatie (PHI) opgeslagen met verbeterde beveiligingsmaatregelen en strikte toegangslogregistratie. Een Business Associate Agreement (BAA) is vereist voor het gebruik van klinische functies.

3. Hoe wij uw informatie gebruiken

Wij gebruiken de informatie die wij verzamelen om:

• Het Zyvora Platform en zijn functies te leveren, uit te voeren en te verbeteren
• Uw abonnement, facturering en betalingen te verwerken en te beheren
• Transactionele communicatie te verzenden (facturen, accountmeldingen, betalingsmislukking)
• De AI-aangedreven functies van het Platform in te schakelen (planning, slimme assistent, risicoanalyse, coachingsnotities)
• Klantondersteuning bieden en op uw vragen reageren
• Platformbeveiliging controleren, fraude opsporen en systeemintegriteit waarborgen
• Voldoen aan wettelijke verplichtingen

Wij gebruiken uw gegevens of de gegevens van uw klanten niet voor reclame, marketing door derden of enig ander doel dan het leveren van het Platform.

4. Gegevensdeling & derden

Wij verkopen uw gegevens niet. Wij delen gegevens alleen voor zover nodig om het Platform uit te voeren:

• Betalingsverwerkers: Square, Stripe, PayPal, Global Payments, TSYS, Chase — voor verwerking van klanttransacties. Uw processorgegevens worden opgeslagen in Azure Key Vault, nooit in de database.
• Betalingshardware SDK's: Stripe Terminal en Square Terminal SDK's worden gebruikt voor in-persoon kaartbetalingen. Deze SDK's verwerken kaartgegevens rechtstreeks op het hardwareapparaat en versturen deze naar de respectieve betalingsverwerker.
• Communicatieproviders: Twilio (SMS, MMS, RCS, spraak) en Azure Communication Services (e-mail) — voor het leveren van berichten die via het Platform worden verzonden.
• AI-providers: Verzoeken aan AI-services (inclusief Anthropic Claude, Google Gemini, Groq, en OpenAI, gerouteerd via de AI proxy layer van ShadowPing) zijn beperkt tot wat nodig is voor het genereren van de aangevraagde output. Voor klinische en HIPAA-scoped functies gebruikt ShadowPing specifiek Azure OpenAI Service — een afzonderlijke door Microsoft gehoste service onder een Business Associate Agreement (BAA) met Microsoft — in plaats van de OpenAI consumer API. Gegevens die naar AI-providers worden verzonden, worden niet door deze providers opgeslagen voor modeltraining onder onze enterprise-overeenkomsten.
• Cloud-infrastructuur: Microsoft Azure — het Platform wordt gehost op Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Gegevens worden opgeslagen in beveiligde, toegangsgecontroleerde Azure-omgevingen.
• Afbeeldingslevering: Imgix wordt gebruikt voor het leveren van klantfoto's (inclusief voor/na-afbeeldingen en profielfoto's). Afbeeldingen die zijn opgeslagen in Azure Blob Storage worden via Imgix's CDN geleverd voor geoptimaliseerde weergave.
• Pushberichten: Apple Push Notification Service (APNs) en Google Firebase Cloud Messaging (FCM) worden gebruikt voor het leveren van pushberichten naar mobiele apparaten. Apparaattokens en berichtinhoud worden naar deze providers verzonden voor levering.
• Camera- en beveiligingsintegraties: Als u een camera- of beveiligingssysteemintegratie (Solink, Verkada, Eagle Eye, Spot AI) inschakelt, kunnen klantnamen, personeelsnamen, transactiemetagegevens, timestamps, gebeurtenisgegevens en audio die wordt vastgelegd waar de camerahardware dit ondersteunt van het Platform worden doorgegeven aan de cameraprovider om koppeling van gebeurtenissen en AI-gestuurde videobeoordeling mogelijk te maken. Deze providers verwerken en slaan video- en audioopnamen op onder hun eigen privacybeleid. API-referenties voor camera-integraties worden opgeslagen in Azure Key Vault en worden permanent verwijderd wanneer u de integratie verbreekt of uw account beëindigt.
• Hardware SDK's: Star Micronics (bonprinter SDK) en Zebra (barcodescanner SDK) worden gebruikt voor hardwareintegraties. Afdruktaken kunnen klanten- en transactiegegevens bevatten; barcodescangegevens (inclusief cadeaubonnen en klantenstreepjescodes) worden lokaal door deze SDK's verwerkt.
• Financiële integraties: Plaid kan worden gebruikt voor het koppelen van bankrekeningen voor afstemmingsdoeleinden. QuickBooks, Xero en vergelijkbare accountingintegraties ontvangen financiële transactiegegevens per uw configuratie.
• Loonintegraties: Als u een loonintegratie aansluit (zoals Gusto, ADP of Paychex), worden persoonlijke gegevens van medewerkers inclusief namen, uren, compensatie en belastinggegevens naar de loonprovider verzonden voor loonsverwerking namens u.
• Reputatie- en marketingintegraties: Als u reputatiebeheersingstools (zoals Birdeye of Podium) of marketingplatforms (zoals Google, Meta, Mailchimp of TikTok Business) aansluit, worden klantgegevens relevant voor die integraties (zoals contactgegevens en beoordelingsverzoeken) met de respectieve provider gedeeld per uw configuratie.
• Inkoopintegraties: Als u inkoopintegraties of leveranciersintegraties (zoals SalonInteractive of Shopify) aansluit, worden voorraad- en ordergegevens met deze providers gedeeld per uw configuratie.
• Wettelijke vereisten: Wij kunnen gegevens openbaar maken indien dit wettelijk vereist is, bij gerechtelijk bevel, of ter bescherming van de rechten, eigendom of veiligheid van ShadowPing, onze gebruikers of anderen.

5. Gegevensopslag & beveiliging

Alle platformgegevens worden opgeslagen op Microsoft Azure-infrastructuur met beveiligingsmaatregelen van ondernemingskwaliteit. Wij implementeren de volgende beveiligingsmaatregelen:

• Beveiliging op rijvlak met meerdere tenants op alle databasetabellen — uw gegevens zijn geïsoleerd van andere tenants
• Azure Key Vault voor alle gevoelige referenties (betalingsprocessorreferenties, API-tokens, OAuth-tokens)
• AES-256-codering voor gegevens in rust en TLS 1.2+ voor gegevens in transit
• Onveranderbaar, append-only auditlogboek voor alle toegang tot gegevens en wijzigingen
• Op rollen gebaseerde toegangscontrole met meer dan 250 granulaire machtigingen
• SAS-tokentoegang met een vervaltijd van 15 minuten voor bestand-/media-toegang
• Geautomatiseerde beveiligingsbewaking, anomaliedetectie en snelheidsbeperking

Geen onbewerkte betalingskaartgegevens worden ooit op onze servers opgeslagen. Processoraanmeldingsgegevens worden uitsluitend in Azure Key Vault opgeslagen.

6. Gegevens van eindklanten en uw verantwoordelijkheden

Als abonnee bent u de gegevensbeheerder voor de persoonlijke informatie van uw klanten die in het Platform is opgeslagen. Zyvora verwerkt deze gegevens als gegevensverwerker namens u, uitsluitend om de Platform-services te leveren.

U bent verantwoordelijk voor:

• Het verkrijgen van alle wettelijk vereiste toestemmingen van uw klanten voordat u hun gegevens verzamelt, inclusief toestemming voor foto's, biometrische afbeeldingen en alle gegevens die via geïntegreerde verbindingen worden verzameld
• Het informeren van uw klanten als uw zaak onderworpen is aan audio- of videobewaking via een geïntegreerde camerintegratie, en het plaatsen van alle wettelijk vereiste opnamekennisgevingen
• Het beantwoorden van aanvragen van uw klanten met betrekking tot gegevenssubjectrechten (toegang, correctie, verwijdering)
• Het voldoen aan de toepasselijke gegevensbeschermingswetten in uw rechtsgebied, inclusief GDPR, CCPA en alle andere toepasselijke regelgeving

Zyvora biedt hulpmiddelen ter ondersteuning van GDPR-naleving, inclusief gegevensexport van klanten, workflow voor recht op verwijdering met audittrails, en per-salon-toestemmingbijhouden met versiebeheer van juridische tekst.

7. GDPR & internationale gegevensoverdrachten

Als u zich in de Europese Economische Ruimte (EER), het Verenigd Koninkrijk of een ander rechtsgebied met gegevensbeschermingswetten bevindt, hebt u mogelijk specifieke rechten met betrekking tot uw persoonlijke gegevens. Deze kunnen het recht omvatten om toegang tot, correctie van, verwijdering van, beperking van de verwerking van of overdracht van uw gegevens, en het recht om tegen bepaalde verwerking bezwaar in te dienen.

Gegevensoverdrachten buiten de EER worden uitgevoerd onder passende waarborgen, inclusief Standaardcontractbepalingen waar toepasselijk. Neem alstublieft contact met ons op via privacy@zyvora.app als u vragen hebt over internationale gegevensoverdrachten.

8. CCPA (Californische inwoners)

Als u een inwoner van Californië bent, hebt u rechten onder de California Consumer Privacy Act (CCPA), inclusief het recht om te weten welke persoonlijke informatie we verzamelen, het recht om uw persoonlijke informatie te verwijderen, en het recht om zich af te melden voor de verkoop van uw persoonlijke informatie.

ShadowPing verkoopt geen persoonlijke informatie. Om uw CCPA-rechten uit te oefenen, neem contact met ons op via privacy@zyvora.app.

9. Gegevensbewaring

We bewaren abonneegegevens zolang uw abonnement actief is. Na annulering zijn gegevens gedurende 90 dagen toegankelijk in de modus alleen-lezen, daarna gearchiveerd naar koude opslag. Gearchiveerde gegevens worden minstens 7 jaar bewaard voor juridische en nalevingsdoeleinden, tenzij u eerder verwijdering aanvraagt.

Gegevens van eindklanten worden bewaard volgens de configureerbare retentiebeleid binnen het Platform (standaard 7 jaar bewaring voor klantdocumenten). Klinische gegevens zijn onderworpen aan vereisten voor het bewaren van medische gegevens in uw rechtsgebied.

Metagegevens van camera-integraties — inclusief VideoBookmark-records, gebeurtenismetagegevens en verlopen toegangs-URL's die aan camera-integraties zoals Solink zijn gekoppeld — worden behouden terwijl de integratie actief is en gedurende 90 dagen na verbreking of annulering van het account, waarna deze permanent worden verwijderd. Daadwerkelijke videofragmenten worden niet opgeslagen door ShadowPing; deze blijven bij de externe cameraprovider onder hun eigen retentiebeleid. Referenties voor camera-integratie opgeslagen in Azure Key Vault worden vernietigd wanneer de integratie wordt verbroken of uw account wordt beëindigd.

Auditloggegevens worden 12 maanden in actieve opslag behouden en daarna gearchiveerd in opslag voor lange termijn.

10. Cookies en tracking

De Zyvora-webtoepassing gebruikt sessiecookies en lokale opslag voor authenticatie en toepassingsstatus. We gebruiken geen advertentiecookies van derden of trackingpixels.

De Zyvora-marketingwebsite (zyvora.app) kan analysetools gebruiken om bezoekersgedrag te begrijpen. Er wordt geen persoonlijk identificeerbare informatie verzameld via deze analyses.

11. Privacy van kinderen

Het Platform is bedoeld voor zakelijk gebruik en is niet gericht op personen onder de 18 jaar. We verzamelen niet opzettelijk persoonlijke informatie van minderjarigen. Als een abonnee informatie over minderjarigen verzamelt (bijv. voor jeugddiensten), is de abonnee verantwoordelijk voor het verkrijgen van passende toestemming van ouders.

12. Wijzigingen in dit beleid

We kunnen dit privacybeleid van tijd tot tijd bijwerken. We zullen u op de hoogte brengen van wezenlijke wijzigingen per e-mail of in het Platform. De "Effectieve datum" boven aan deze pagina weerspiegelt wanneer de huidige versie werd gepubliceerd.

13. Neem contact met ons op

Voor vragen met betrekking tot privacy, verzoeken van gegevenssubjecten of om een Business Associate Agreement (BAA) voor gebruik van klinische functies aan te vragen, neem alstublieft contact met ons op:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app