• Accountgegevens: naam, e-mailadres, bedrijfsnaam, adresgegevens, telefoonnummer, factuurgegevens
• Betalingsgegevens: betalingen worden verwerkt via Stripe. Upcall slaat geen creditcardgegevens of andere gevoelige betalingsgegevens op. Stripe verwerkt betalingsgegevens volgens hun eigen privacybeleid en beveiligingsstandaarden (PCI DSS compliant)
• Gebruiksgegevens: informatie over hoe u onze diensten gebruikt, inclusief configuraties, workflows, en instellingen
• Technische gegevens: IP-adres, browsertype, apparaatinformatie, logbestanden, systeemprestaties
• Communicatiegegevens: gesprekken en interacties met onze voice agents, inclusief audio-opnames, transcripties, en metadata
• Integratiegegevens: gegevens die worden uitgewisseld met geïntegreerde systemen en diensten die u koppelt aan Upcall
• Kennisbasisgegevens: documenten, FAQ's, en andere content die u uploadt voor gebruik door onze voice agents

• Het leveren, onderhouden en verbeteren van onze voice agent diensten
• Het verwerken van uw verzoeken, communicatie en klantenservice
• Het beheren van uw account en facturering
• Het voldoen aan wettelijke verplichtingen en regelgeving
• Het voorkomen van fraude, misbruik en beveiligingsincidenten
• Het verzenden van belangrijke updates, meldingen en marketingcommunicatie (met uw toestemming)
• Het analyseren van gebruikspatronen om onze diensten te verbeteren
• Het ondersteunen van integraties met door u gekozen derde partijen

• Uitvoering van overeenkomst: voor het leveren van de diensten waarvoor u heeft gekozen
• Wettelijke verplichting: om te voldoen aan verplichtingen uit de wet, zoals belastingwetgeving
• Gerechtvaardigd belang: voor beveiliging, fraudepreventie en verbetering van onze diensten
• Toestemming: voor marketingcommunicatie en optionele functies (u kunt deze altijd intrekken)

Standaard hosting: Uw persoonsgegevens worden standaard opgeslagen op onze eigen servers in Amsterdam, Nederland. Alle gegevens blijven binnen de Europese Economische Ruimte (EER) en voldoen aan de AVG/GDPR-vereisten.

Uw controle: U heeft volledige controle over waar uw gegevens worden opgeslagen. U kunt ervoor kiezen om alle gegevens binnen Nederland of binnen de EER te houden. Indien u kiest voor optionele plugins of integraties van derden (bijvoorbeeld uit de Verenigde Staten), is dit volledig uw keuze en verantwoordelijkheid.

Derde partijen: Wij werken met zorgvuldig geselecteerde derde partijen voor bepaalde diensten. Deze partijen zijn gevestigd binnen de EER of hebben passende waarborgen getroffen conform AVG/GDPR. U wordt geïnformeerd over derde partijen die toegang hebben tot uw gegevens.

Data Processing Agreement: Voor zakelijke klanten bieden wij een uitgebreide Data Processing Agreement (DPA) aan met aanvullende beveiligingsmaatregelen en specifieke afspraken over gegevensopslag. Neem contact met ons op voor meer informatie.

Upcall biedt u de mogelijkheid om te integreren met externe systemen en diensten. U bepaalt zelf welke integraties u gebruikt en welke gegevens worden gedeeld.

• Uw keuze: Alle integraties zijn optioneel en u heeft volledige controle over welke integraties u activeert
• Gegevensdeling: Gegevens worden alleen gedeeld met derde partijen die u expliciet heeft gekozen en geautoriseerd
• Verantwoordelijkheid: Voor integraties met derde partijen buiten de EER bent u verantwoordelijk voor het naleven van de AVG/GDPR-vereisten
• Beveiliging: Wij gebruiken alleen integraties met betrouwbare partners die passende beveiligingsmaatregelen hebben getroffen
• DPA met derden: Wij kunnen u helpen bij het opstellen van Data Processing Agreements met derde partijen indien gewenst

Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies, vernietiging of wijziging:

• Versleuteling: Alle gegevens worden versleuteld tijdens opslag (at rest) en tijdens overdracht (in transit) met behulp van industry-standard encryptieprotocollen
• Toegangscontrole: Strikt toegangsbeheer met multi-factor authenticatie en role-based toegangsrechten
• Beveiligingsmonitoring: Continue monitoring van systemen op beveiligingsincidenten en verdachte activiteiten
• Regelmatige audits: Periodieke beveiligingsaudits en penetratietests door externe partijen
• Back-up en recovery: Regelmatige back-ups en disaster recovery procedures om gegevensverlies te voorkomen
• Medewerkertraining: Regelmatige training van medewerkers op het gebied van gegevensbescherming en beveiliging

Uitgebreide beveiliging: Voor klanten met specifieke beveiligingsvereisten bieden wij uitgebreide beveiligingsopties aan, inclusief extra versleuteling, geïsoleerde omgevingen en aangepaste beveiligingsprotocollen. Neem contact met ons op voor meer informatie over deze opties.

Gegevensminimalisatie: Wij verzamelen alleen de gegevens die noodzakelijk zijn voor het leveren van onze diensten. U kunt op elk moment verzoeken om verwijdering van niet-essentiële gegevens.

Retentie: Wij bewaren gegevens alleen zolang als noodzakelijk voor de doeleinden waarvoor zij zijn verzameld, of zolang als vereist door de wet. Standaard bewaren wij:

• Accountgegevens: zolang uw account actief is en daarna maximaal 2 jaar
• Gespreksgegevens: volgens uw instellingen, standaard maximaal 12 maanden
• Factuurgegevens: conform wettelijke verplichtingen (7 jaar)
• Logbestanden: maximaal 90 dagen

Geen opslag optie: Voor klanten die geen bedrijfsgegevens willen opslaan, bieden wij opties aan waarbij gegevens alleen tijdelijk worden verwerkt en niet worden opgeslagen. Neem contact met ons op om deze optie te bespreken.

• Recht op inzage: U kunt opvragen welke gegevens wij van u hebben en hoe deze worden gebruikt
• Recht op rectificatie: U kunt onjuiste of onvolledige gegevens laten corrigeren
• Recht op verwijdering ("recht om vergeten te worden"): U kunt verzoeken om verwijdering van uw gegevens, tenzij wij wettelijk verplicht zijn deze te bewaren
• Recht op beperking: U kunt de verwerking van uw gegevens beperken in bepaalde omstandigheden
• Recht op bezwaar: U kunt bezwaar maken tegen bepaalde verwerkingen, zoals direct marketing
• Recht op dataportabiliteit: U kunt uw gegevens in een gestructureerd, machineleesbaar formaat ontvangen
• Recht om toestemming in te trekken: Indien verwerking gebaseerd is op toestemming, kunt u deze altijd intrekken

Om deze rechten uit te oefenen, kunt u contact met ons opnemen via contact. Wij reageren binnen 30 dagen op uw verzoek.

In het geval van een datalek waarbij persoonsgegevens mogelijk zijn gecompromitteerd, zullen wij:

• Het datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens (AP)
• Betrokkenen informeren indien het datalek een hoog risico voor hun rechten en vrijheden vormt
• Onmiddellijk maatregelen nemen om de schade te beperken en herhaling te voorkomen
• Een gedetailleerd rapport opstellen over de oorzaak en gevolgen van het datalek

Voor vragen over dit privacybeleid, om uw rechten uit te oefenen, of voor informatie over onze beveiligingsopties en Data Processing Agreements, kunt u contact met ons opnemen via contact.

Functionaris voor gegevensbescherming: Indien u een vraag of klacht heeft over de verwerking van uw persoonsgegevens, kunt u ook contact opnemen met onze functionaris voor gegevensbescherming via hetzelfde contactformulier.

Klacht indienen: U heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) als u van mening bent dat wij uw persoonsgegevens niet correct verwerken. U kunt contact opnemen met de AP via www.autoriteitpersoonsgegevens.nl.