Privacybeleid

Dit Privacybeleid beschrijft hoe Kapsule Group Limited ("Kapsule Cloud", "wij", "ons", "onze") persoonlijke informatie verzamelt, gebruikt, bewaart, opslaat, openbaart en beschermt wanneer u onze cloudhosting, domeininschrijving, e-mailhosting en gerelateerde producten en diensten (gezamenlijk de "Services") gebruikt. Dit beleid is opgesteld in overeenstemming met de New Zealand Privacy Act 2020 en de twaalf Information Privacy Principles ("IPPs") die in deze wet zijn opgenomen.

Dit Privacybeleid is van toepassing op onze klanten, het personeel van onze klanten, bezoekers van kapsulecloud.com en kpanel.kapsulecloud.com, sollicitanten en elke andere persoon van wie wij persoonlijke informatie bezitten. Dit beleid is niet van toepassing op informatie die u ervoor kiest op de Services op te slaan over andere personen; die verwerking wordt beheerst door de Data Processing Agreement ("DPA").

Wij zijn ervan overtuigd dat we uw persoonlijke informatie openhartig en rechtmatig behandelen. Heeft u een bezwaar, neem dan eerst contact met ons op via [email protected]. Wij zullen met u samen aan een oplossing werken. U kunt ook een klacht indienen bij het Office of the Privacy Commissioner (gegevens in artikel 12).

Kapsule Group Limited (NZBN 9429050450015) is een bedrijf opgericht in Nieuw-Zeeland met een geregistreerd kantoor in Christchurch. Wij zijn de verwerkingsverantwoordelijke onder de Privacy Act 2020 met betrekking tot persoonsgegevens die wij over u in ons bezit hebben.

Contact voor privacyaangelegenheden: [email protected] | Privacy Officer, Kapsule Group Limited, Christchurch, Nieuw-Zeeland.

We verzamelen alleen persoonlijke informatie die we nodig hebben voor een of meer van de doeleinden genoemd in clausule 3.

Accountinformatie: naam, bedrijfsnaam, e-mailadres, telefoonnummer, factuuradres, land, en de gebruikersnaam en gehasht wachtwoord die u instelt.

Verificatiegegevens: waar nodig om fraude te voorkomen of aan wettelijke vereisten te voldoen, overheidsidentificatie, adresverificatie of andere identiteitsdocumenten.

Betalingsinformatie: betalingsmethode, factureringsgeschiedenis, transactie-identificatoren en gedeeltelijke kaartgegevens (laatste vier cijfers en kaarttype). Volledige kaartnummers worden door Stripe getokeniseerd en worden niet op onze systemen opgeslagen.

Verificatiegegevens: gehasht wachtwoorden, two-factor authentication-geheimen en herstelcodes, sessietokens, verificatielogs en audittrails voor wachtwoordherstel.

Metagegevens van Customer Content: bestandsnamen, groottes, inhoudstypen, uploaddatums, toegangslogs en andere metagegevens over inhoud die u opslaat op de Services. We inspecteren de inhoud van Customer Content niet routinematig.

Gebruiksgegevens: serverresourceverbruik (CPU, geheugen, opslag, bandbreedte, aanvragen, query's, e-mailvolumes), functieverbruik in KPanel, API-aanroepregisters, errorlogs en geaggregeerde statistieken die worden gebruikt voor capaciteitsplanning, misbruikpreventie en productverbetering.

Apparaat- en verbindingsinformatie: IP-adres, browsertype en -versie, besturingssysteem, apparaattype, schermresolutie, taal, tijdzone, benaderde geografische locatie afgeleid van IP, verwijzings-URL's en unieke apparaatidentificatoren.

Communicatie: registraties van uw communicatie met ons, inclusief ondersteuningstickets, KPanel-berichten, gesprekken met Kora (onze AI-klantenondersteuningsassistent), e-mails, telefoon- of videogesprekopnames (waar u toestemming geeft), enquêteresponsen en feedback.

Domeinregistratiegegevens: waar u een domein via ons registreert, de eigenaar, beheerder, technische en factureringscontactgegevens die door het relevante Register vereist zijn, inclusief naam, organisatie, adres, e-mail en telefoon. Waar u WHOIS-privacy inschakelt, geeft de openbare WHOIS een privacyproxy-contact weer in plaats van uw persoonlijke contactgegevens, maar we bewaren nog steeds de onderliggende informatie.

E-mailmetagegevens: voor e-mailservices, berichtkoppen (inclusief afzender, ontvanger, onderwerp, bericht-ID, tijdstempels), routeringsgegevens en reputatie-indicatoren. We lezen de inhoud van uw berichten niet routinematig, behalve waar strikt nodig voor beveiliging, misbruikpreventie of naleving van wettelijke vereisten.

Cookies en vergelijkbare technologieën: zie ons Cookie Policy op kapsulecloud.com/legal/cookies.

Sollicitantgegevens: waar u solliciteert voor een functie bij ons, uw CV, motivatiebrief, referenties en de informatie die u verstrekt tijdens het wervingsproces.

Overige informatie: alle andere persoonlijke informatie die u aan ons verstrekt.

We verzamelen, gebruiken en delen persoonsgegevens voor de volgende doeleinden:

Het leveren van de Services: inclusief het aanmaken, exploiteren, ondersteunen en onderhouden van uw Account, het inrichten van resources, het leveren van inhoud, het hosten van websites, het verzenden en ontvangen van e-mail namens u, en het registreren van domeinnamen.

Het factureren en innen van betalingen: inclusief het verwerken van transacties, het uitstellen van facturen, het berekenen van belastingen, het opnieuw proberen van mislukte betalingen, het verwerken van terugbetalingen, en het beheren van geschillen en terugboekingen.

Het authenticeren en beveiligen van de Services: inclusief het verifiëren van uw identiteit, het afdwingen van twee-factor-authenticatie, het detecteren en voorkomen van fraude, misbruik en ongeautoriseerde toegang, en het beschermen van de integriteit van het platform.

Het communiceren met u: inclusief het beantwoorden van supportverzoeken, het verstrekken van servicegebonden mededelingen (facturering, veiligheid, storingen, beleidswijzigingen), en (waar u dit toestaat) het verzenden van marketingcommunicatie.

Het verbeteren van onze Services: inclusief het analyseren van geaggregeerde en geanonimiseerde gebruiksgegevens, het uitvoeren van onderzoeken, het ontwikkelen van nieuwe functies, en het benchmarken van prestaties.

Het naleven van wetten: inclusief het reageren op rechtmatige verzoeken van regelgevers, wetshandhavingsautoriteiten of rechtbanken; het nakomen van fiscale en bedrijfsadministratieve verplichtingen; en het naleven van de Privacy Act 2020, Anti-Money Laundering and Countering Financing of Terrorism Act 2009 (voor zover van toepassing), en andere toepasselijke wetten.

Het handhaven van onze overeenkomsten: inclusief het onderzoeken van schendingen van onze Terms of Service of Acceptable Use Policy, het uitoefenen van onze rechten onder deze overeenkomsten, en het verdedigen van rechtsvorderingen.

Het exploiteren van geautomatiseerde misbruikdetectie: we exploiteren geautomatiseerde systemen die patronen in accountactiviteit, verkeer, betalingen en inhoud analyseren om mogelijke schending van onze beleid of misbruik te identificeren. Wanneer het systeem activiteit als waarschijnlijk misbruikelijk markert, kunnen evenredige geautomatiseerde maatregelen worden genomen (zoals verificatiecontroles, frequentiebeperking, accountblokkering of opschorting van de service), onder voorbehoud van menselijke beoordeling op verzoek.

Voor wervingsdoeleinden: waar u solliciteert voor een rol bij ons, om uw geschiktheid te beoordelen en met u te communiceren over de sollicitatie.

We gebruiken uw persoonsgegevens niet voor enig ander doel dan die vermeld in deze clausule of voor doeleinden die u autoriseert.

Het meeste persoonlijke informatie dat wij over u in ons bezit hebben, wordt rechtstreeks van u verzameld wanneer u zich aanmeldt, inlogt, contact opneemt met ondersteuning of gebruik maakt van de Services.

Wij verzamelen persoonlijke informatie ook van onze Sub-processors en andere dienstverleners (bijvoorbeeld, Stripe verstrekt betalingsstatus; Cloudflare verstrekt beveiligings- en verkeerstelemetrie); fraudepreventiedatabases en verificatiediensten van derden; openbare bronnen (inclusief WHOIS-records en overheidsregisters); aanbevelingen (bijvoorbeeld wanneer een ander klant u aanbeveelt en u de aanbeveling accepteert); en uw interacties met onze website (inclusief via cookies; zie Cookie Policy).

#5.1 Kora. Kora is onze AI-ondersteuningsassistent voor klanten, gebouwd op Anthropic Claude. Kora kan uw ondersteuningsberichten, recente ticketgeschiedenis, basale Account-context en alle informatie die u specifiek in een ondersteuningschat opneemt (bijvoorbeeld logfragmenten), lezen om op uw vragen te antwoorden.

#5.2 Geheugen en waarneembaarheid. Wij gebruiken Mem0 om het kortetermijngespreksgeheugen voor Kora in stand te houden zodat dit vervolgvragen in context kan beantwoorden, en Langfuse om de AI-kwaliteit, nauwkeurigheid en veiligheid te controleren.

#5.3 Beperkingen op AI-verwerking. Wij machtigen onze AI-subcontractanten niet om Customer Content of uw ondersteuningscommunicatie te gebruiken voor training van hun algemene modellen. AI-verwerking is uitsluitend bedoeld voor het leveren van de Services.

#5.4 Geen geautomatiseerde besluitvorming met juridisch effect. Kora neemt geen beslissingen met juridische of vergelijkbare significante gevolgen voor u. Beslissingen over opschorting, beëindiging, terugbetalingen of accountwijzigingen worden genomen door mensen, of door geautomatiseerde systemen die op verzoek door mensen worden herzien.

#5.5 Menselijke beoordeling. U kunt te allen tijde verzoeken dat uw ondersteuningsinteractie door een mens wordt afgehandeld door een e-mail te sturen naar [email protected] of [email protected].

#6.1 We geven persoonlijke informatie alleen bekend aan: (a) onze Sub-processors (artikel 7), die gebonden zijn aan contractuele vertrouwelijkheids- en beveiligingsverplichtingen en de informatie alleen mogen gebruiken om diensten aan ons te verlenen; (b) integratiePartners en andere derde partijen waar u ons daartoe heeft geïnstrueerd of gemachtigd; (c) professionele adviseurs (advocaten, accountants, auditors, verzekeringsmaatschappijen) onder vertrouwelijkheidsplichten; (d) handhavingsorganen, regelgevende autoriteiten, rechtbanken, registers, of andere autoriteiten waar dit vereist is onder de wet in Nieuw-Zeeland of onder buitenlands recht dat van toepassing is op een Sub-processor; (e) overnamegerechtigden in verband met een fusie, overname, of verkoop van al of nagenoeg al onze activa (we zullen u van dergelijke wijzigingen op de hoogte stellen); (f) waar redelijkerwijs nodig om onze overeenkomsten af te dwingen, onze rechten of die van anderen te beschermen, of schadelijke gevolgen te voorkomen; en (g) met uw uitdrukkelijke toestemming.

#6.2 We verkopen, verhuren, of verhandelen persoonlijke informatie niet.

We vertrouwen op de volgende Sub-processors om de Services te leveren. Elk daarvan is gebonden aan een schriftelijk contract en aan beveiligings- en vertrouwelijkheidsverplichtingen die niet minder beschermend zijn dan die in dit Privacybeleid.

Hetzner Online GmbH: Cloud servers en infrastructuur (Duitsland/Finland).

Cloudflare, Inc.: CDN, DNS, R2 object storage (off-site backups), security (Global; R2 Oceania voor backups).

Stripe, Inc.: Payment processing (Verenigde Staten, Ierland).

Openprovider B.V.: Domeinregistratie: registrar (Nederland).

Migadu Mail AG: Inbound mail handling (Zwitserland).

Mailcow (self-hosted): Customer mailbox hosting (beheerd door ons in NZ/AU regio).

Amazon Web Services Inc (SES): Transactional outbound email (Global).

Anthropic, PBC: AI processing: Kora en platform AI features (Verenigde Staten).

Mem0: AI conversation memory (Verenigde Staten).

Langfuse GmbH: AI observability (Europese Unie).

Sentry (Functional Software, Inc): Error tracking (Verenigde Staten en Europese Unie).

GitHub, Inc: Internal source-code hosting en GitHub Sign In authentication (Verenigde Staten).

Apple, Inc.: Apple Sign In authentication, Apple ontvangt uw Apple ID en e-mailadres wanneer u Sign in with Apple gebruikt. Private relay adressen (eindigend op @privaterelay.apple.com) kunnen in plaats van uw echte e-mailadres worden uitgegeven (Verenigde Staten).

Een huidige en gedateerde lijst wordt bijgehouden op kapsulecloud.com/legal/sub-processors. Wij zullen u minstens dertig dagen voordat een nieuwe Sub-processor persoonlijke gegevens gaat verwerken, op de hoogte stellen, zodat u bezwaar kunt maken op grond van redelijke bezwaren. Indien u bezwaar maakt en wij uw bezorgdheid niet kunnen oplossen, kunt u de betreffende Service beëindigen en ontvangt u een naar evenredigheid berekende terugbetaling van vooruitbetaalde Fees.

#8.1 Enkele Sub-processors bevinden zich buiten Nieuw-Zeeland. Wanneer persoonsgegevens naar het buitenland worden overgedragen, zorgen wij ervoor dat de ontvanger (door contract of uit hoofde van de wet) verplicht is om beschermingsmaatregelen toe te passen die vergelijkbaar zijn met die in de Privacy Act 2020. Dit omvat ervoor zorgen dat de ontvanger gebonden is aan privacywetten die naar ons oordeel vergelijkbare waarborgen bieden (bijvoorbeeld de EU General Data Protection Regulation), of door contractuele waarborgen die wij van toepassing hebben verklaard.

#8.2 Door gebruik te maken van de Services, authoriseert u de overdracht van uw persoonsgegevens naar de jurisdicties waarin onze Sub-processors opereren, zoals vermeld in clausule 7 en op kapsulecloud.com/legal/sub-processors.

#8.3 U kunt deze authorisatie intrekken door de Services te beëindigen. Intrekking van de authorisatie kan het voor ons onmogelijk maken om de Services voort te zetten.

We behouden persoonlijke informatie alleen zolang als nodig voor de doeleinden genoemd in clausule 3, of zoals wettelijk vereist.

Accountinformatie: behouden voor de gehele duur van het Account plus 12 maanden na sluiting.

Facturerings- en belastinggegevens: 7 jaar vanaf de transactiedatum (Tax Administration Act 1994).

Customer Content: behouden voor de duur van het abonnement plus een Grace Period van 30 dagen na beëindiging.

Off-site backups (Customer Content): minimaal 30 dagen rolling retention (langer voor hogere Plans), verwijderd bij volgende rotatie na deletie.

Supportcommunicatie: 3 jaar nadat het ticket is gesloten.

Kora chatlogboeken: 12 maanden vanaf de datum van het gesprek, daarna geaggregeerd en geanonimiseerd.

Authenticatie- en beveiligingslogboeken: 12 maanden (langer indien nodig voor een actief onderzoek).

Toestemmingsgegevens voor marketing: gedurende de periode van de toestemming plus 7 jaar na intrekking (ter onderbouwing van de toestemming).

Wervingsinformatie: 12 maanden na de recruteringsbeslissing (tenzij u ons vraagt dit langer te behouden voor toekomstige kansen).

WHOIS Data: voor de duur van de domeininschrijving plus elke periode vereist door ICANN of het desbetreffende Register.

We kunnen de retentietermijn verlengen waar nodig om te voldoen aan de wet, om een juridieke claim te verdedigen, of om een beveiligingsincident te onderzoeken of op te lossen.

#10.1 We beschermen persoonsgegevens met behulp van een gelaagde aanpak, inclusief: TLS-versleuteling voor alle gegevens in transit; versleuteling in rust voor back-ups en gevoelige databases; restic-versleutelde off-site back-ups in Cloudflare R2 (Oceania-regio); strikte op rollen gebaseerde toegangscontroles en least-privilege-principes; verplichte twee-factor-authenticatie voor al het personeel met toegang tot productiesystemen; regelmatige beveiligingspatches, kwetsbaarheidsscans en periodieke penetratietests; scheiding van klantgegevens; logboekregistratie en monitoring van toegang en wijzigingen; gedocumenteerde procedures voor incidentbeheer en schendingsmeldingen; en vertrouwelijkheidsverklaringen van personeel en voortdurende privacy- en beveiligingstraining.

#10.2 Een gedetailleerde beschrijving van onze technische en organisatorische maatregelen is beschikbaar op kapsulecloud.com/legal/security.

#10.3 Geen enkel systeem is volledig veilig. Als een meldingsplichtige privacyschending optreedt, zullen we het Office of the Privacy Commissioner en betrokken personen zo spoedig mogelijk, en in elk geval binnen tweeënzeventig uur nadat we van de schending op de hoogte zijn gesteld, in kennis stellen, zoals vereist door de secties 112 en 114 van de Privacy Act 2020.

Onder de Privacy Act 2020 hebt u de volgende rechten met betrekking tot persoonsgegevens die wij over u in ons bezit hebben.

Recht op inzage (IPP 6): u mag een kopie aanvragen van de persoonsgegevens die wij over u in ons bezit hebben. Wij zullen reageren binnen twintig werkdagen na ontvangst van uw verzoek.

Recht op rectificatie (IPP 7): u mag verzoeken dat wij persoonsgegevens corrigeren die onjuist, onvolledig, verouderd, irrelevant of misleidend zijn. Waar wij niet akkoord gaan met een correctie, zullen wij een verklaring van de gevraagde correctie bijvoegen, indien u daarom verzoekt.

Recht om verwijdering aan te vragen: wij zullen persoonsgegevens verwijderen wanneer wij deze niet langer nodig hebben, behoudens retentie vereist door wet (zie clausule 9).

Recht om een draagbare kopie te ontvangen: waar redelijkerwijs praktisch haalbaar, zullen wij uw gegevens verstrekken in een gestructureerd, algemeen gebruikt, machine-leesbaar formaat (zoals CSV of JSON).

Recht om toestemming in te trekken: waar wij vertrouwen op uw toestemming (bijvoorbeeld voor marketingcommunicatie), mag u toestemming op elk moment intrekken zonder gevolgen voor de rechtmatigheid van eerdere verwerking.

Recht om een klacht in te dienen: u mag een klacht bij ons indienen op [email protected]. Indien u niet tevreden bent met ons antwoord, mag u een klacht indienen bij het Office of the Privacy Commissioner (zie clausule 12).

Om een van deze rechten uit te oefenen, neem contact op met [email protected]. Wij kunnen uw identiteit moeten verifiëren voordat wij reageren. Wij berekenen geen vergoeding voor deze verzoeken, behalve wanneer een verzoek kennelijk ongegrond, excessief of herhaaldelijk is.

Indien u niet tevreden bent met ons antwoord op een privacyprobleem, kunt u contact opnemen met: Office of the Privacy Commissioner, PO Box 10094, Wellington 6143, New Zealand. Telefoon: 0800 803 909. Website: privacy.org.nz.

We richten de Services niet specifiek op ingezetenen van een bepaalde rechtsmacht buiten Nieuw-Zeeland.

We streven ernaar om rechten die u onder uw plaatselijke wetgeving zijn toegekend te respecteren (inclusief, waar van toepassing, de EU General Data Protection Regulation, UK General Data Protection Regulation, en Australian Privacy Act 1988).

Indien u van mening bent dat een specifiek lokaal recht op u van toepassing is en niet wordt behandeld in dit Privacybeleid, kunt u contact opnemen met [email protected]. We zullen op uw specifieke verzoek reageren voor zover dit van toepassing is op onze gegevensverwerking.

De Services zijn niet gericht op kinderen onder de 18 jaar, en we verzamelen niet opzettelijk persoonsgegevens van personen onder de 18 jaar. Als u van mening bent dat we persoonsgegevens van een persoon onder de 18 jaar hebben verzameld, kunt u contact opnemen met [email protected] zodat we deze onmiddellijk kunnen verwijderen.

Ons gebruik van cookies, pixels, lokale opslag en soortgelijke technologieën wordt beschreven in ons Cookie Policy op kapsulecloud.com/legal/cookies.

#16.1 Wij kunnen u servicegerelateerde communicatie sturen (bijvoorbeeld factuurmittingen, beveiligingswaarschuwingen, meldingen over storingen, beleidsupdates). Dit zijn geen marketingcommunicaties en u kunt hieruit niet afmelden zolang u een actief Account heeft.

#16.2 Voor zover u zich heeft aangemeld, kunnen wij u marketingcommunicatie sturen (zoals productupdates, aanbiedingen en uitnodigingen voor evenementen). U kunt zich op elk moment afmelden door op de uitschrijvingslink in een marketinge-mail te klikken, uw voorkeuren in KPanel bij te werken, of door een e-mail te sturen naar [email protected].

#16.3 Onze marketing voldoet aan de Unsolicited Electronic Messages Act 2007. Wij zullen ons duidelijk identificeren, een functioneel afmeldingsmechanisme opnemen, en alleen marketing sturen indien wij uw uitdrukkelijke, impliciete of geachte toestemming onder die wet hebben.

De Services kunnen links naar websites en diensten van derden bevatten. Wij zijn niet verantwoordelijk voor de privacypraktijken van deze derden. U dient hun privacybeleid te raadplegen voordat u persoonlijke informatie aan hen verstrekt.

We kunnen dit Privacybeleid van tijd tot tijd bijwerken om wijzigingen in onze praktijken of in de wet te weerspiegelen. Materiële wijzigingen worden per e-mail of KPanel-kennisgeving ten minste dertig dagen voordat zij van kracht worden, bekend gemaakt. Niet-materiële wijzigingen (zoals typografische correcties of contactgegevens updates) worden van kracht op het moment van publicatie. De datum "Laatst bijgewerkt" bovenaan dit Beleid geeft de meest recente wijziging aan.

Functionaris Gegevensbescherming, Kapsule Group Limited, Christchurch, Nieuw-Zeeland.

E-mail: [email protected]