Privacybeleid
Ingangsdatum: 1 juni 2026 · ServiceChanger B.V.
Wie Wij Zijn
ITSM Autopilot is een dienst van ServiceChanger B.V., een besloten vennootschap geregistreerd in Nederland (Oost Gelre). Wij bieden AI-gestuurde automatisering voor IT-servicedesks.
- Verwerkingsverantwoordelijke: ServiceChanger B.V.
- Contact: info@servicechanger.com
- Toezichthouder: Autoriteit Persoonsgegevens (AP), autoriteitpersoonsgegevens.nl
Welke Gegevens Wij Verzamelen en Waarom
- Accountgegevens: Naam, zakelijk e-mailadres en bedrijfsnaam bij het aanmaken van een account. Gebruikt om de dienst te leveren en contact met u op te nemen.
- IT-supportticketgegevens: Inhoud van tickets ontvangen via webhook van uw ITSM-platform (onderwerp, beschrijving, status, prioriteit, categorie, toegewezen team). Uitsluitend verwerkt om uw geconfigureerde AI-agents te laten draaien. Wij zijn verwerker voor deze gegevens — uw organisatie is de verwerkingsverantwoordelijke.
- Activiteiten- en auditlogboeken: Registratie van welke agents op welke tickets hebben gedraaid en welke acties zijn ondernomen. Gebruikt voor transparantie, foutopsporing en uw eigen monitoring. Ticketlogboeken worden na 180 dagen automatisch verwijderd.
- Kennisbankartikelen: Inhoud geëxtraheerd uit afgehandelde tickets, inclusief probleembeschrijvingen, oorzaken en workarounds. Alle persoonsgegevens worden gemaskeerd voor opslag (zie PII-maskering hieronder).
- Factureringsgegevens: Betalingsinformatie wordt verwerkt door Stripe. Wij slaan geen kaartgegevens op. Wij slaan Stripe-klant- en abonnementsidentificatoren op.
- Authenticatiegegevens: Gehashte wachtwoorden en sessietokens beheerd door Supabase Auth. Wij hebben geen toegang tot plaintext wachtwoorden.
- Servicegebruiksgegevens: Basisgebruikspatronen voor het verbeteren van de dienst (bijv. welke functies worden gebruikt). Geen trackers van derden of advertentienetwerken.
Juridische Grondslag voor Verwerking
Wij verwerken persoonsgegevens op de volgende rechtsgronden onder de AVG:
- Uitvoering van een overeenkomst: de verwerking van uw accountgegevens en ticketgegevens is noodzakelijk voor het leveren van de dienst waarop u bent geabonneerd (Art. 6(1)(b) AVG).
- Legitiem belang: het bijhouden van beveiligingslogboeken en audittrails (Art. 6(1)(f) AVG).
- Wettelijke verplichting: naleving van toepasselijk EU- en Nederlands recht (Art. 6(1)(c) AVG).
- Voor bijzondere categorieën gegevens: wij verwerken niet opzettelijk bijzondere categorieën. Als ticketinhoud dergelijke gegevens bevat, valt deze onder dezelfde PII-maskeringsprocedures.
PII-maskering
Gestructureerde persoonsgegevens worden automatisch gedetecteerd en vervangen door plaatshouders voordat ze worden opgeslagen in onze database. Dit geldt voor alle kennisbankartikelen en activiteitenlogboeken.
- E-mailadressen → [EMAIL]
- Telefoonnummers → [PHONE]
- IP-adressen → [IP]
- Creditcardnummers → [CARD]
- BSN/socialezekerheidsnummers → [SSN]
Sub-verwerkers
Wij maken gebruik van de volgende sub-verwerkers om de dienst te leveren. Alle sub-verwerkers zijn contractueel verplicht om gegevens uitsluitend op onze instructies en in overeenstemming met de AVG te verwerken.
- Supabase (database en authenticatie): Gegevens opgeslagen in de Europese Unie. supabase.com
- OpenAI (AI-verwerking): Ticketgegevens worden naar OpenAI gestuurd via uw eigen API-sleutel. U heeft een directe verwerkingsrelatie met OpenAI. Wij treden uitsluitend op als technisch tussenpersoon.
- Stripe (facturering en betalingen): Verwerkt betalingsinformatie. stripe.com/privacy
- Resend (transactionele e-mail): Verstuurt accountgerelateerde e-mails (verificatie, welkom, factureringsmeldingen). resend.com
- Vercel (hosting en infrastructuur): Applicatie wordt gehost op Vercel. vercel.com/legal/privacy-policy
Gegevensbewaring
Wij bewaren persoonsgegevens alleen zolang als noodzakelijk voor het genoemde doel.
- Accountgegevens: bewaard voor de duur van het abonnement en verwijderd binnen 30 dagen na verwijdering van het account.
- Ticketactiviteitenlogboeken: automatisch verwijderd na 180 dagen, ongeacht de accountstatus.
- Kennisbankartikelen: bewaard totdat ze handmatig door de Klant worden verwijderd, of binnen 30 dagen na verwijdering van het account.
- Factureringsgegevens: bewaard gedurende 7 jaar overeenkomstig de Nederlandse boekhoudkundige vereisten (Art. 2:10 BW).
- Beveiligings- en auditlogboeken: bewaard gedurende 180 dagen.
Gegevensbeveiliging
Wij passen de volgende beveiligingsmaatregelen toe om uw gegevens te beschermen:
- Versleuteling: Alle gegevens zijn versleuteld tijdens transport (TLS 1.3) en in rust.
- Row-level security: De gegevens van elke organisatie zijn geïsoleerd op databaseniveau. Geen enkele organisatie heeft toegang tot de gegevens van een andere.
- Credential vault: API-sleutels en credentials worden opgeslagen in een versleutelde kluis (Supabase Vault). Wij hebben geen toegang tot plaintext-secrets.
- Toegangscontroles: Toegang tot productiesystemen is beperkt tot geautoriseerd personeel. Twee-factor authenticatie wordt intern afgedwongen.
- Melding van datalekken: Bij een datalek melden wij dit binnen 72 uur aan de toezichthoudende autoriteit (AVG Art. 33) en informeren wij betrokken Klanten zonder onnodige vertraging (Art. 34) voor zover wettelijk vereist.
Uw Rechten Onder de AVG
Als betrokkene heeft u de volgende rechten. Neem contact op via info@servicechanger.com om deze uit te oefenen.
- Recht op inzage: vraag een kopie op van de persoonsgegevens die wij over u bewaren.
- Recht op rectificatie: vraag correctie aan van onjuiste gegevens.
- Recht op verwijdering: vraag verwijdering van uw persoonsgegevens aan onder bepaalde voorwaarden.
- Recht op beperking: vraag beperking van de verwerking van uw gegevens aan.
- Recht op gegevensoverdraagbaarheid: vraag uw gegevens op in een machineleesbaar formaat.
- Recht op bezwaar: maak bezwaar tegen verwerking op basis van legitiem belang.
- Recht op klacht: bij de Autoriteit Persoonsgegevens (AP) via autoriteitpersoonsgegevens.nl.
Cookies
ITSM Autopilot gebruikt uitsluitend essentiële cookies die nodig zijn voor authenticatie en sessiebeheer. Wij gebruiken geen:
- Tracking- of advertentiecookies
- Analysetools van derden (Google Analytics, Hotjar, etc.)
- Socialemediapixels
OpenAI en Uw Gegevens
Wanneer u AI-agents configureert, wordt ticketinhoud naar OpenAI gestuurd via uw eigen API-sleutel. Dit betekent:
- U heeft een directe contractuele relatie met OpenAI. Lees hun gegevensbeleid op openai.com/policies.
- OpenAI gebruikt API-data standaard niet voor modeltraining.
- Wij treden op als technisch tussenpersoon. Wij hebben geen controle over hoe OpenAI deze gegevens verwerkt.
- Met Pre-AI maskering ingeschakeld: gestructureerde persoonsgegevens worden verwijderd voor verzending, en store=false voorkomt tijdelijke bewaring door OpenAI.
- Wij verkopen, delen of gebruiken uw ticketgegevens niet voor andere doeleinden dan het uitvoeren van uw geconfigureerde agents.
Beleidswijzigingen
Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken. Wij informeren u over belangrijke wijzigingen via e-mail, ten minste 30 dagen vóór de ingangsdatum. Het bijgewerkte beleid wordt op deze pagina gepubliceerd met de ingangsdatum. Voortgezet gebruik na de ingangsdatum geldt als acceptatie. Als u niet akkoord gaat, kunt u uw abonnement vóór de ingangsdatum opzeggen.