AVG-informatie - Vezpa PMS

1. Inleiding en Toepassingsgebied

Deze informatie beschrijft hoe Vezpa di Paolo Vezzola (hierna "Vezpa" of "Wij") persoonsgegevens verwerkt in overeenstemming met:

Verordening (EU) 2016/679 (AVG)
Wetsdecreet 196/2003 (Italiaanse Privacywet) zoals gewijzigd bij D.Lgs. 101/2018
Maatregelen en Richtsnoeren van de Italiaanse toezichthoudende autoriteit voor de bescherming van persoonsgegevens (Garante)

1.1 Op wie het van toepassing is

Deze informatie is van toepassing op:

👤 Beheerders van accommodaties die Vezpa gebruiken (directe klanten)
🏨 Gasten die verblijven in accommodaties die Vezpa gebruiken
👔 Commerciele partners en leveranciers
🌐 Bezoekers van de website vezpa.it

1.2 Dubbele rol van Vezpa

Vezpa handelt in twee verschillende rollen:

VERWERKINGSVERANTWOORDELIJKE Voor de gegevens van de beheerders van accommodaties (klanten)
VERWERKER Voor de gegevens van gasten (wij verwerken gegevens in opdracht van de beheerder van de accommodatie)

2. Identiteit en Contactgegevens van de Verwerkingsverantwoordelijke

Verwerkingsverantwoordelijke:

Vezpa di Paolo Vezzola
Statutaire zetel: Desenzano del Garda (BS), 25015, via San Zeno 67
BTW-nummer: 04449070988
Fiscaal nummer: VZZPLA84C10D284C
PEC: [email protected]
E-mail: [email protected]

3. Categorieen van Verwerkte Persoonsgegevens

3.1 Gegevens van Beheerders (Klanten)

Categorie	Type Gegevens	Verplichting
Identificatiegegevens	Voornaam, achternaam, geboortedatum, fiscaal nummer	✅ Verplicht
Contactgegevens	E-mail, telefoon, adres	✅ Verplicht
Bedrijfsgegevens	Bedrijfsnaam, BTW-nummer, gegevens accommodatie	✅ Verplicht
Betaalgegevens	IBAN, creditcard (via Stripe)	✅ Verplicht voor abonnement
Gebruiksgegevens	Toegangslogs, IP, activiteit op het platform	⚙️ Automatisch
Communicatiegegevens	E-mail, supportchat, tickets	📝 Vrijwillig

3.2 Gegevens van Gasten (als Verwerker)

Categorie	Type Gegevens	Rechtsgrond (van de Verwerkingsverantwoordelijke)
Persoonsgegevens	Voornaam, achternaam, geboortedatum en -plaats, nationaliteit, geslacht	Wettelijke verplichting (Italiaanse TULPS-wet, art. 109 en gelijkwaardige EU-regelgeving)
Identiteitsdocument	Type, nummer, afgiftedatum, uitgevende instantie, gescande of gefotografeerde afbeelding	Wettelijke verplichting
OCR-extractie	Automatisch uit het document geextraheerde tekstgegevens (naam, datum, nummer)	Uitvoering van de overeenkomst (art. 6.1.b) - alleen om data entry te vergemakkelijken
Contactgegevens	E-mail, telefoon, adres	Uitvoering van de overeenkomst
Boekingsgegevens	Verblijfsdata, aantal gasten, kamer, tarieven, maaltijdregeling	Uitvoering van de overeenkomst
Betaalgegevens	Transacties, bonnetjes (kaartgegevens beheerd door Stripe, niet opgeslagen bij Vezpa)	Uitvoering van de overeenkomst + fiscale verplichting

⚠️ Bijzondere gegevens (art. 9 AVG):

De verkregen identiteitsdocumenten kunnen elementen bevatten die kunnen worden aangemerkt als "bijzonder" in de zin van art. 9 AVG, doorgaans:

Geboorteplaats (waaruit etnische afkomst kan worden afgeleid)
Fotografische afbeelding van het gezicht (niet gebruikt voor geautomatiseerde biometrische herkenning)

Rechtmatigheid van de verwerking: art. 9.2.b (nakoming van verplichtingen op het gebied van arbeidsrecht, veiligheid en sociale bescherming), 9.2.g (zwaarwegend algemeen belang - registraties van openbare veiligheid) en 9.2.f (vaststelling van rechten). Doeleinden beperkt tot de door de wet opgelegde verplichtingen jegens overheidsinstanties.

Aanvullende maatregelen: toegang beperkt tot alleen geautoriseerde rollen (directeur, assistent), geen profilering op deze gegevens, geen mededeling aan derden buiten de ontvangende overheidsinstanties.

Vezpa verzamelt geen opzettelijk andere bijzondere gegevens (politieke/religieuze overtuigingen, gezondheidsgegevens, genetische gegevens, seksuele geaardheid). Als dergelijke gegevens per ongeluk door de gebruiker worden ingevoerd, moeten zij onmiddellijk worden verwijderd.

4. Doeleinden en Rechtsgrond van de Verwerking

4.1 Voor Beheerders (Klanten)

Doel	Rechtsgrond (art. 6 AVG)	Bewaartermijn
Levering van de PMS-dienst	Art. 6.1.b - Uitvoering van de overeenkomst	Duur van de overeenkomst + 10 jaar
Facturering en boekhouding	Art. 6.1.c - Wettelijke verplichting	10 jaar (fiscale verplichting)
Klantenservice	Art. 6.1.b - Uitvoering van de overeenkomst	Duur van de overeenkomst + 2 jaar
Beveiliging en fraudepreventie	Art. 6.1.f - Gerechtvaardigd belang	5 jaar
Verbetering van de dienst	Art. 6.1.f - Gerechtvaardigd belang	2 jaar (geaggregeerde anonieme gegevens)
Direct marketing	Art. 6.1.a - Toestemming	Tot intrekking van de toestemming
Verdediging van rechten in rechte	Art. 6.1.f - Gerechtvaardigd belang	10 jaar

4.2 Voor Gasten (op instructie van de Beheerder)

Doel	Rechtsgrond	Bewaartermijn
Gastregistratie en mededeling aan Politie (Questura)	Art. 6.1.c - Wettelijke verplichting (Italiaanse TULPS-wet, art. 109, D.Lgs. 159/2011)	Minimaal 2 jaar
Mededelingen aan ISTAT	Art. 6.1.c - Wettelijke verplichting	Volgens ISTAT-regelgeving
Toeristenbelasting (Paytourist)	Art. 6.1.c - Wettelijke verplichting	Volgens gemeentelijke regelgeving
Beheer van boeking en verblijf	Art. 6.1.b - Uitvoering van de overeenkomst	10 jaar (fiscale doeleinden)
Online check-in en communicatie	Art. 6.1.b - Uitvoering van de overeenkomst	Duur van het verblijf + bewaartermijn accommodatie

📌 Opmerking over toestemming:

Voor veel activiteiten is GEEN toestemming nodig omdat zij gebaseerd zijn op:

✅ Uitvoering van de overeenkomst (u hebt de dienst aangevraagd)
✅ Wettelijke verplichtingen (verplichte mededelingen aan de autoriteiten)
✅ Gerechtvaardigd belang (beveiliging, verbetering van de dienst)

Toestemming is ALLEEN vereist voor marketing en profilering.

5. Wijze van Verwerking

5.1 Beginselen van de Verwerking (art. 5 AVG)

Vezpa verwerkt persoonsgegevens met inachtneming van de volgende beginselen:

✅ Rechtmatigheid, behoorlijkheid, transparantie: wij verwerken gegevens rechtmatig en informeren u duidelijk
✅ Doelbinding: wij gebruiken gegevens alleen voor de aangegeven doeleinden
✅ Minimale gegevensverwerking: wij verzamelen uitsluitend de strikt noodzakelijke gegevens
✅ Juistheid: wij houden gegevens actueel en nauwkeurig
✅ Opslagbeperking: wij bewaren gegevens uitsluitend gedurende de noodzakelijke tijd
✅ Integriteit en vertrouwelijkheid: wij beschermen gegevens met passende beveiligingsmaatregelen
✅ Verantwoordingsplicht (accountability): wij kunnen de naleving van de AVG aantonen

5.2 Verwerkingsmiddelen

De gegevens worden verwerkt met instrumenten:

💻 Informatica: servers, databases, web-/mobiele applicaties
📄 Papier: alleen voor noodzakelijke documenten (contracten, facturen)

5.3 Toegangswijze

De gegevens zijn toegankelijk voor:

👥 Geautoriseerd personeel van Vezpa (met persoonlijke inloggegevens)
🔐 Toegang gebaseerd op het "need to know"-beginsel (minimale rechten)
📝 Toegangslogs worden bijgehouden en gemonitord

6. Beveiligingsmaatregelen (art. 32 AVG)

6.1 Technische Maatregelen

✅ Versleuteling tijdens transport: HTTPS/TLS 1.2+ voor alle verbindingen, HSTS

✅ Versleuteling at-rest: specifieke gevoelige gegevens versleuteld met django-cryptography; volumes en snapshots versleuteld aan infrastructuurzijde (DigitalOcean)

✅ Wachtwoord-hashing: PBKDF2 (standaard Django) met willekeurige salt

✅ Tokens: JWT access token TTL 15 minuten, refresh met rotatie en blacklist, TTL 180 dagen

✅ 2FA TOTP beschikbaar op account (django-otp)

✅ Bot blocker en rate limiting: speciale middleware die scanners en bekende aanvalspaden blokkeert

✅ Back-up: database-snapshots beheerd door de infrastructuurprovider, EU-locatie

✅ Role-based access control (RBAC): directeur, assistent, huishoudelijk medewerker, waarnemer

✅ Applicatielogging: tracking van toegang, kritieke acties en anomalieen

✅ Update van afhankelijkheden: monitoring van kwetsbaarheden in Python- en Flutter-pakketten

6.2 Organisatorische Maatregelen

✅ Administratieve toegang beperkt tot de Verwerkingsverantwoordelijke (Vezpa is momenteel een eenmanszaak zonder werknemers); eventuele externe medewerkers worden schriftelijk aangewezen als Verwerkers of Geautoriseerde Personen

✅ Gedocumenteerde incident response-procedure (§9 hieronder)

✅ Privacy by Design and by Default geintegreerd in de ontwikkelingsfasen

✅ Register van verwerkingsactiviteiten (art. 30 AVG) bijgehouden en geactualiseerd

✅ DPA ondertekend met alle belangrijkste sub-verwerkers

✅ Openbare lijst van sub-verwerkers en geactualiseerd op vezpa.it/subprocessors

6.3 Referentienormen

🏆 EU-servers: primaire infrastructuur DigitalOcean regio Frankfurt (FRA1)
🏆 PCI-DSS: betalingen beheerd via Stripe, PCI-DSS Level 1 gecertificeerd (Vezpa slaat geen kaartgegevens op)
🏆 Gecertificeerde subleveranciers: indien van toepassing (ISO 27001, SOC 2, DPF) — zie pagina sub-verwerkers

7. Ontvangers van de Gegevens (art. 13.1.e AVG)

7.1 Categorieen Ontvangers

De gegevens kunnen worden meegedeeld aan de volgende categorieen ontvangers. De namenlijst en altijd actuele lijst is gepubliceerd op vezpa.it/subprocessors.

Categorie	Ontvangers	Rol	Doel
Italiaanse overheidsinstanties	AlloggiatiWeb (Politie/Questura), ISTAT, Italiaanse Gemeenten (PayTourist), Belastingdienst (Agenzia Entrate)	Zelfstandige verwerkingsverantwoordelijken	Wettelijke verplichting
EU-overheidsinstanties	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Zelfstandige verwerkingsverantwoordelijken	Wettelijke verplichting van de Verwerkingsverantwoordelijke (accommodatie)
Hosting / Opslag / CDN	DigitalOcean LLC (servers Frankfurt, Spaces, Redis)	Verwerker	IT-infrastructuur
Betalingen	Stripe Payments Europe Ltd / Stripe Inc.	Verwerker	Verwerking van betalingen
E-mail	IONOS SE (DE)	Verwerker	Verzending van transactionele e-mails en PEC
Mobiele pushmeldingen	Google LLC (Firebase Cloud Messaging)	Verwerker	Verzending van pushmeldingen naar mobiele apparaten
Channel Manager OTA	STAAH Limited (Nieuw-Zeeland)	Verwerker	Synchronisatie van boekingen met OTA's
In-app purchase — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (VS)	Zelfstandige verwerkingsverantwoordelijke (store)	Beheer van App Store-abonnementen. Apple neemt niet deel aan het DPF: doorgiften naar de VS worden beheerst door SCC 2021/914
In-app purchase — Google / Microsoft	Google Ireland Ltd / Google LLC (VS, DPF), Microsoft Ireland / Microsoft Corp. (VS, DPF)	Zelfstandige verwerkingsverantwoordelijken (stores)	Beheer van Play Store / Microsoft Store-abonnementen
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda en ongeveer 55 andere kanalen	Zelfstandige verwerkingsverantwoordelijken	Beheer van boekingen naar de reiziger
Smart sloten (optioneel)	Tuya Smart (CN)	Verwerker	Beheer van domotica-toegang, alleen indien geactiveerd door de accommodatie
Beroepsbeoefenaren	Accountants, advocaten, IT-consultants	Verwerkers / Zelfstandige verwerkingsverantwoordelijken	Gespecialiseerd advies, alleen waar nodig

7.2 Lijst van Sub-verwerkers (art. 28.4 AVG)

De bijgewerkte lijst is gepubliceerd en altijd raadpleegbaar op vezpa.it/subprocessors. Eventuele wijzigingen (nieuwe sub-verwerkers, vervangingen) worden aan de Verwerkingsverantwoordelijken (accommodaties) meegedeeld met een vooraankondiging van minstens 30 dagen om bezwaar toe te laten (art. 28.2 AVG).

7.3 Doorgiften buiten de EU

Rechtsgrond van de doorgiften (Hoofdstuk V AVG):

VS — EU-U.S. Data Privacy Framework (Besluit (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — met actieve DPF-certificeringen (te verifieren op dataprivacyframework.gov/list)
VS — Standaardcontractbepalingen (SCC 2021/914): Apple Inc. neemt niet deel aan het DPF; de contractuele relatie voor EU-gebruikers loopt via Apple Distribution International Ltd (Ierland) en eventuele doorgiften binnen het Apple-concern naar de VS worden beheerst door SCC en interne adequaatheidsmechanismen
Nieuw-Zeeland — Adequaatheidsbesluit (Besluit (EU) 2013/65): STAAH Limited
China (optioneel): Tuya Smart — Standaardcontractbepalingen (SCC) 2021/914 + aanvullende maatregelen (minimalisatie en pseudonimisatie). Doorgifte alleen uitgevoerd voor accommodaties die smart sloten activeren.

Voor elke sub-verwerker buiten de EU is het toepasselijke doorgiftemechanisme gedocumenteerd. De SCC's en eventuele Transfer Impact Assessments zijn op verzoek beschikbaar voor de Verwerkingsverantwoordelijke.

8. Rechten van de Betrokkene (art. 15-22 AVG)

8.1 Uitoefenbare Rechten

Recht	Art. AVG	Beschrijving
Inzage	Art. 15	Bevestiging van het bestaan van uw gegevens verkrijgen en daar een kopie van ontvangen
Rectificatie	Art. 16	Onjuiste gegevens corrigeren of aanvullen
Wissing ("vergetelheid")	Art. 17	Wissing van de gegevens verkrijgen (met uitzonderingen voor wettelijke verplichtingen)
Beperking	Art. 18	De verwerking onder bepaalde omstandigheden beperken
Overdraagbaarheid	Art. 20	Gegevens ontvangen in een gestructureerd formaat (CSV, JSON) en overdragen aan een andere verwerkingsverantwoordelijke
Bezwaar	Art. 21	Bezwaar maken tegen verwerking op basis van gerechtvaardigd belang
Intrekking toestemming	Art. 7.3	Toestemming voor marketing op elk moment intrekken
Klacht	Art. 77	Klacht indienen bij de toezichthoudende autoriteit
Geen geautomatiseerde profilering	Art. 22	Niet onderworpen worden aan beslissingen die uitsluitend op geautomatiseerde verwerking zijn gebaseerd

8.2 Hoe u uw Rechten Uitoefent

U kunt uw rechten uitoefenen via:

📧 E-mail: [email protected]
📧 PEC: [email protected]
📮 Aangetekende post: Vezpa di Paolo Vezzola, Desenzano del Garda, via San Zeno 67
💻 Persoonlijk account: sectie "Privacy en Gegevens" in het dashboard (voor bepaalde rechten)

8.3 Reactietijden

Vezpa reageert op verzoeken binnen 30 dagen na ontvangst (verlengbaar met nog eens 60 dagen in complexe gevallen, met gemotiveerde mededeling).

8.4 Beperkingen van de Rechten

Bepaalde rechten (wissing, beperking) zijn mogelijk niet uitoefenbaar wanneer:

⚖️ Wettelijke verplichtingen ons verplichten de gegevens te bewaren
⚖️ De gegevens nodig zijn om rechten in rechte te verdedigen
⚖️ Een algemeen belang prevaleert

9. Datalekken en Meldingen (art. 33-34 AVG)

9.1 Procedure in geval van Datalek

In geval van een datalek (inbreuk op persoonsgegevens) zal Vezpa:

📊 Het incident beoordelen binnen 24 uur na ontdekking
📢 De toezichthoudende autoriteit (Garante) op de hoogte stellen binnen 72 uur (als er een risico is voor de rechten van de betrokkenen)
📧 De betrokkenen informeren zonder onnodige vertraging (als er een hoog risico is)
📝 Het incident documenteren in het register van inbreuken
🔧 Corrigerende maatregelen nemen om toekomstige inbreuken te voorkomen

9.2 Transparantie

In geval van een datalek dat u betreft, ontvangt u een mededeling met:

Aard van de inbreuk
Betrokken gegevens
Mogelijke gevolgen
Genomen en aanbevolen maatregelen
Contactgegevens van het Privacy Office

10. Data Protection Impact Assessment (DPIA)

Vezpa heeft de Gegevensbeschermingseffectbeoordeling (DPIA) opgestart krachtens art. 35 AVG, gelet op de systematische verwerking van identiteitsdocumenten van betrokkenen uit meerdere EU-lidstaten en de doorgiften naar sub-verwerkers buiten de EU.

Toepassingsgebied van de DPIA:

Verwerking van persoonsgegevens en identiteitsdocumenten van gasten via meerdere overheidsconnectors
Stromen naar OTA-channel managers en doorgiften buiten de EU
Automatische OCR op documentafbeeldingen
Integratie met biometrische authenticatiediensten aan de apparaatzijde

De DPIA en eventuele aanvullende beperkende maatregelen worden regelmatig bijgewerkt. In geval van hoog restrisico zal Vezpa overgaan tot voorafgaande raadpleging van de Italiaanse toezichthoudende autoriteit (Garante) krachtens art. 36 AVG. De Verwerkingsverantwoordelijke (accommodatie) kan een samenvatting van de DPIA aanvragen door te schrijven naar [email protected].

11. Verwerker (art. 28 AVG)

11.1 Overeenkomsten met Klanten (voor gastgegevens)

Wanneer de beheerder van de accommodatie Vezpa gebruikt om gastgegevens te verwerken:

De beheerder is de Verwerkingsverantwoordelijke
Vezpa is de Verwerker
Er wordt een Verwerkersovereenkomst (DPA) gesloten krachtens art. 28 AVG

11.2 Inhoud van de DPA

De Verwerkersovereenkomst bevat, krachtens art. 28.3 AVG:

📋 Onderwerp en duur van de verwerking
📋 Aard en doeleinden van de verwerking
📋 Soort persoonsgegevens en categorieen van betrokkenen
📋 Verplichtingen en rechten van de Verwerkingsverantwoordelijke
📋 Gedocumenteerde instructies voor de verwerking
📋 Geimplementeerde beveiligingsmaatregelen
📋 Geautoriseerde sub-verwerkers met vooraankondiging van vervanging
📋 Bijstand aan de Verwerkingsverantwoordelijke bij rechten van betrokkenen, DPIA en datalekken
📋 Verplichtingen tot wissing of teruggave aan het einde

De DPA maakt integraal deel uit van de Servicevoorwaarden en wordt aanvaard bij de registratie van de accommodatie.

12. Privacy by Design en by Default (art. 25 AVG)

12.1 Privacy by Design

Vezpa integreert de gegevensbescherming vanaf het ontwerp:

🔒 Native versleuteling in alle communicatie
🔒 Pseudonimisering waar mogelijk
🔒 Minimalisatie van de verzamelde gegevens
🔒 Gedetailleerde toegangscontroles
🔒 Volledige audit trail van alle handelingen

12.2 Privacy by Default

De standaardinstellingen maximaliseren de privacy:

✅ Alleen de strikt noodzakelijke gegevens zijn verplicht
✅ Automatische bewaring voor de minimale wettelijke termijn
✅ Marketing opt-in (geen opt-out)
✅ Gegevenszichtbaarheid beperkt tot het noodzakelijke minimum

13. Register van Verwerkingsactiviteiten (art. 30 AVG)

Vezpa houdt een volledig register van alle verwerkingsactiviteiten bij, met:

Naam en contactgegevens van de verwerkingsverantwoordelijke en FG
Doeleinden van de verwerking
Beschrijving van de categorieen van betrokkenen en gegevens
Categorieen van ontvangers
Doorgiften naar derde landen
Voorziene bewaartermijnen
Beschrijving van de beveiligingsmaatregelen

Het register is op verzoek van de toezichthoudende autoriteit beschikbaar.

14. Wijzigingen van de Informatie

Deze informatie kan worden gewijzigd vanwege:

Wetswijzigingen
Nieuwe functies van de dienst
Organisatorische veranderingen

Wezenlijke wijzigingen worden via e-mail meegedeeld met een vooraankondiging van minstens 30 dagen.

De datum van laatste bijwerking wordt altijd bovenaan het document vermeld.