Kennisgeving: Dit is een hoffelijke vertaling van het Italiaanse origineel. In geval van conflict of dubbelzinnigheid prevaleert de Italiaanse versie.
๐ Samenvatting: Vezpa respecteert uw privacy. Wij verzamelen uitsluitend de gegevens die nodig zijn voor het leveren van de dienst voor hotelbeheer, wij beschermen deze met passende beveiligingsmaatregelen en wij verkopen ze nooit aan derden. Voor de verwerking van
gastgegevens treedt Vezpa op als
Verwerker (art. 28 AVG): de specifieke overeenkomst is de
Verwerkersovereenkomst (DPA).
1. Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke voor de persoonsgegevens is:
Vezpa di Paolo Vezzola
Statutaire zetel: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italie
BTW-nummer: 04449070988
Fiscaal nummer: VZZPLA84C10D284C
E-mail: [email protected]
PEC: [email protected]
2. Toepassingsgebied
Dit Privacybeleid is van toepassing op het Vezpa PMS-platform (web, desktop en mobiel) en op de webpagina's waarop deze verklaring wordt gepubliceerd.
3. Verzamelde persoonsgegevens
3.1 Gegevens van gebruikers van de dienst (beheerders van accommodaties)
Wanneer u zich registreert bij Vezpa als beheerder van een accommodatie, verzamelen wij:
- Identificatiegegevens: voornaam, achternaam, e-mail, telefoonnummer
- Gegevens van de accommodatie: naam, adres, type, BTW-nummer
- Factureringsgegevens: factuuradres, fiscaal nummer/BTW-nummer, unieke code/PEC
- Inloggegevens: e-mail en wachtwoord (versleuteld)
- Betaalgegevens: beheerd via externe PCI-DSS-gecertificeerde dienstverleners (wij slaan kaartgegevens niet rechtstreeks op)
3.2 Gegevens van gasten van de accommodaties
Namens de beheerders van de accommodaties (als Verwerker in de zin van art. 28 AVG, geregeld door de Verwerkersovereenkomst (DPA)) verzamelt het systeem:
- Identificatiegegevens: voornaam, achternaam, geboorteplaats en -datum, nationaliteit, geslacht
- Identiteitsdocumenten: type, nummer, plaats en datum van afgifte, scan of foto van het document. Deze afbeeldingen kunnen worden verwerkt met automatische OCR voor het extraheren van tekstgegevens, zonder opslag van afgeleide biometrische gegevens.
- Contactgegevens: e-mail, telefoonnummer
- Reserveringsgegevens: verblijfsdata, aantal gasten, tarieven, verzorging
- Betaalgegevens: alleen indien de betaling plaatsvindt via de booking engine of Stripe-betaallink van Vezpa; kaartgegevens worden nooit opgeslagen op de Vezpa-servers
โ ๏ธ Identiteitsdocumenten en bijzondere categorieen (art. 9 AVG): identiteitsdocumenten kunnen gegevens bevatten die als "bijzonder" kunnen worden gekwalificeerd (bijv. geboorteplaats waaruit etnische afkomst kan worden afgeleid). Vezpa verwerkt dergelijke gegevens uitsluitend voor zover strikt noodzakelijk voor de wettelijke verplichtingen van de beheerder jegens de overheidsinstanties, voert op deze gegevens geen profilering uit en verstrekt deze niet aan andere partijen dan de autoriteiten en de in ยง7 vermelde sub-verwerkers.
3.3 Navigatiegegevens
- IP-adres
- Type browser en apparaat
- Bezochte pagina's en duur van het bezoek
- Besturingssysteem
- Referrer (herkomst)
3.4 Cookies
Wij gebruiken technische cookies die noodzakelijk zijn voor de werking van de dienst. Raadpleeg voor meer details ons Cookiebeleid.
4. Doeleinden van de verwerking en rechtsgrondslag
4.1 Voor beheerders van accommodaties
| Doel |
Rechtsgrondslag |
| Levering van de PMS-dienst |
Uitvoering van de overeenkomst (art. 6.1.b AVG) |
| Facturering en fiscale verplichtingen |
Wettelijke verplichting (art. 6.1.c AVG) |
| Klantenservice |
Uitvoering van de overeenkomst (art. 6.1.b AVG) |
| Veiligheid, fraudepreventie, betrouwbaarheid van de dienst |
Gerechtvaardigd belang (art. 6.1.f AVG) |
| Verzending van marketingcommunicatie |
Toestemming (art. 6.1.a AVG) - alleen indien toegestaan |
4.2 Voor gasten van de accommodaties
Belangrijk: Voor gastgegevens is de Verwerkingsverantwoordelijke de accommodatie. Vezpa treedt op als Verwerker op basis van gedocumenteerde instructies van de beheerder van de accommodatie, overeenkomstig de Verwerkersovereenkomst (DPA).
- Check-in en gastregistratie: wettelijke verplichting (Italiaanse wet TULPS, art. 109, Wetsbesluit 159/2011) voor Italie; equivalente regelgeving voor andere ondersteunde staten
- Verplichte overheidscommunicatie: AlloggiatiWeb (IT-Politie), ISTAT (IT), PayTourist (IT-Gemeenten), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) โ elk alleen geactiveerd indien de accommodatie in de betreffende staat gevestigd is
- Beheer van reservering en verblijf: uitvoering van de overeenkomst (art. 6.1.b)
- Communicatie met OTA's en channel manager: uitvoering van de reserveringsovereenkomst (art. 6.1.b), alleen door de accommodatie geactiveerde kanalen
5. Wijze van verwerking
De persoonsgegevens worden verwerkt met elektronische middelen, volgens logica die strikt verband houdt met de doeleinden en met passende beveiligingsmaatregelen (art. 32 AVG):
- ๐ Versleuteling tijdens transport: alle gegevens worden verzonden via HTTPS/TLS 1.2+
- ๐ Wachtwoorden: opgeslagen met veilige hash-algoritmen (PBKDF2 Django default)
- ๐ Tokens: JWT access 15 minuten, refresh met rotatie en blacklist, 2FA TOTP beschikbaar
- ๐ Toegangscontrole: rolgebaseerde autorisaties (directeur/assistent/huishoudster/observator), principe van minimale privileges
- ๐ Back-ups: regelmatig uitgevoerd door de infrastructuuraanbieder (DigitalOcean), locatie EU (Frankfurt)
- ๐ Hosting: DigitalOcean-servers gevestigd in de Europese Unie (regio FRA1), DigitalOcean Spaces opslag Frankfurt
- ๐ Monitoring: toegangs- en applicatielogs, geautomatiseerde anomaliedetectie, blokkering van bots en scanners
6. Bewaring van gegevens
Persoonsgegevens worden bewaard voor de strikt noodzakelijke periode:
- Gegevens van beheerders (klanten): duur van de overeenkomst + 10 jaar voor fiscale en boekhoudkundige verplichtingen
- Factureringsgegevens: 10 jaar (art. 2220 Italiaans Burgerlijk Wetboek, fiscale verplichting)
- Gastgegevens (door Vezpa verwerkt als Verwerker):
- AlloggiatiWeb-communicatie: de bewaartermijn wordt vastgesteld door de Verwerkingsverantwoordelijke (accommodatie) op basis van de toepasselijke regelgeving
- ISTAT-communicatie: volgens de ISTAT-regelgeving
- Overige reserveringsgegevens: volgens de instructies van de Verwerkingsverantwoordelijke in de DPA (doorgaans 10 jaar voor fiscale doeleinden)
- Bij beeindiging van de overeenkomst met de Verwerkingsverantwoordelijke verwijdert of retourneert Vezpa de gastgegevens binnen 30 dagen, behoudens zelfstandige bewaarplichten (bijv. facturering)
- Toegangs- en applicatielogs: tot 24 maanden voor beveiligings- en verweerdoeleinden in rechte (gerechtvaardigd belang)
- Authenticatietokens en vertrouwde apparaten: 90 dagen na laatste gebruik
- Marketinggegevens (nieuwsbrieven, campagnes): tot intrekking van de toestemming, met tweejaarlijkse herziening
- Supporttickets: duur van de overeenkomst + 2 jaar
7. Communicatie en verspreiding van gegevens
7.1 Ontvangers van de gegevens
Uw gegevens kunnen worden meegedeeld aan de volgende categorieen ontvangers. De altijd actuele lijst met namen van de sub-verwerkers is gepubliceerd op vezpa.it/subprocessors.
Overheidsinstanties (autonome Verwerkingsverantwoordelijken, wettelijke verplichting)
- Italie: Politie / AlloggiatiWeb, ISTAT, Gemeenten (via PayTourist voor toeristenbelasting), Italiaanse Belastingdienst
- Oostenrijk: Feratel/Meldeamt
- Spanje: SES.HOSPEDAJES (Ministerie van Binnenlandse Zaken)
- Hongarije: NTAK
- Kroatie: eVisitor
- Portugal: SEF
- Tsjechie: UbyPort
- Slovenie: eTurizem / AJPES
Elke overheidsconnector wordt alleen geactiveerd indien de accommodatie in de betreffende staat gevestigd is. De inloggegevens worden door de accommodatie zelf geconfigureerd.
Sub-verwerkers (art. 28.4 AVG)
- Infrastructuur: DigitalOcean LLC (servers Frankfurt, database, Spaces/CDN, Redis) โ VS/EU met DPF en SCC
- Betalingen: Stripe Payments Europe Ltd (EU) / Stripe Inc. (VS) โ PCI-DSS, DPF-gecertificeerd
- Transactionele e-mail en PEC: IONOS SE (DE)
- Mobiele pushmeldingen: Google LLC โ Firebase Cloud Messaging (VS, DPF-gecertificeerd)
- Channel Manager OTA: STAAH Limited (Nieuw-Zeeland) โ land met EU-adequaatheidsbesluit (2012)
- In-app purchase en abonnementen:
- Apple Distribution International Ltd (IE) โ EU-entiteit; eventuele doorgiften naar Apple Inc. (VS) worden beheerst door SCC 2021/914 (Apple neemt niet deel aan het DPF)
- Google Ireland Ltd / Google LLC (VS, actieve DPF-certificering)
- Microsoft Ireland / Microsoft Corp. (VS, actieve DPF-certificering)
- Smart sloten (optioneel, indien geactiveerd): Tuya Smart (CN) โ EU-SCC en aanvullende maatregelen
- Professionele adviseurs: accountant, advocaat, IT-consultants, aangewezen als Verwerkers of autonome Verwerkingsverantwoordelijken naargelang nodig
OTA's (autonome Verwerkingsverantwoordelijken voor de relatie met de reiziger)
- Booking.com, Airbnb, Expedia, VRBO, Agoda en circa 55 andere kanalen aangesloten via STAAH: de reserveringsgegevens worden doorgegeven op basis van het contract tussen de accommodatie en de OTA
7.2 Doorgifte van gegevens buiten de EU
Sommige verwerkingen houden doorgifte van persoonsgegevens buiten de Europese Unie in. In alle gevallen worden waarborgen getroffen overeenkomstig Hoofdstuk V AVG:
- VS โ EU-U.S. Data Privacy Framework (Besluit (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, met actieve certificeringen in het Framework (te verifieren op dataprivacyframework.gov/list)
- VS โ Standaardcontractbepalingen (SCC 2021/914): Apple Inc. โ Apple neemt niet deel aan het DPF; de contractuele relatie voor EU-gebruikers loopt via Apple Distribution International Ltd (Ierland), en eventuele doorgiften naar Apple Inc. (VS) vinden plaats via SCC en interne mechanismen van Apple
- Nieuw-Zeeland โ Adequaatheidsbesluit (Besluit (EU) 2013/65): STAAH Limited
- China (optioneel) โ Standaardcontractbepalingen (SCC) 2021/914 + aanvullende maatregelen: Tuya Smart, alleen voor accommodaties die smart sloten activeren
- Voor elke doorgifte zonder actief DPF of adequaatheidsbesluit hanteert Vezpa EU-SCC 2021/914 en, indien van toepassing, een gedocumenteerde Transfer Impact Assessment (TIA)
7.3 Verspreiding
De persoonsgegevens worden niet verspreid (meegedeeld aan onbepaalde personen) en worden niet verkocht.
8. Rechten van de betrokkene
Overeenkomstig de artikelen 15-22 AVG heeft u het recht op:
- ๐ง Inzage (art. 15): bevestiging te verkrijgen van het bestaan van uw gegevens en daarvan een kopie te ontvangen
- โ๏ธ Rectificatie (art. 16): onjuiste of onvolledige gegevens corrigeren
- ๐๏ธ Wissing (art. 17): wissing van de gegevens verkrijgen (recht op vergetelheid) indien aan de voorwaarden is voldaan
- โธ๏ธ Beperking (art. 18): de verwerking onder bepaalde voorwaarden beperken
- ๐ค Overdraagbaarheid (art. 20): de gegevens in gestructureerd formaat ontvangen en aan een andere verwerkingsverantwoordelijke overdragen
- ๐ซ Bezwaar (art. 21): om legitieme redenen bezwaar maken tegen de verwerking
- โ Intrekking toestemming: op elk moment de toestemming voor marketing intrekken
โ ๏ธ Belangrijke opmerking: Voor gastgegevens moeten deze rechten worden uitgeoefend bij de accommodatie (die de Verwerkingsverantwoordelijke is), niet rechtstreeks bij Vezpa. Vezpa, als Verwerker, assisteert de Verwerkingsverantwoordelijke bij de afhandeling van verzoeken overeenkomstig art. 28.3.e AVG.
Marketing en nieuwsbrieven
Inschrijving op commerciele communicatie vereist uitdrukkelijke toestemming met double opt-in (bevestiging via e-maillink). Elke communicatie bevat een directe uitschrijflink. Voor bestaande klanten kan Vezpa communicatie verzenden over soortgelijke producten en diensten overeenkomstig art. 130.4 Italiaans Wetsbesluit 196/2003 ("soft opt-in"), met altijd actieve mogelijkheid tot bezwaar.
Hoe de rechten uit te oefenen
U kunt uw rechten uitoefenen door te schrijven naar:
Wij antwoorden binnen 30 dagen na het verzoek.
Recht om een klacht in te dienen
Indien u van mening bent dat de verwerking van uw gegevens in strijd is met de AVG, heeft u het recht een klacht in te dienen bij de toezichthoudende autoriteit:
Italiaanse toezichthoudende autoriteit (Garante per la Protezione dei Dati Personali)
Piazza Venezia, 11 - 00187 Rome
E-mail: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it
Gebruikers in Nederland kunnen ook terecht bij de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl).
9. Minderjarigen
De Vezpa PMS-dienst is uitsluitend bestemd voor personen ouder dan 18 jaar. Wij verzamelen niet bewust gegevens van minderjarigen. Als een ouder of voogd van mening is dat een minderjarige persoonsgegevens heeft verstrekt, kan hij contact met ons opnemen voor onmiddellijke verwijdering.
10. Wijzigingen van het Privacybeleid
Dit Privacybeleid kan in de loop van de tijd worden gewijzigd. Elke ingrijpende wijziging wordt met passende kennisgeving gecommuniceerd via:
- Publicatie van de nieuwe versie op de website
- E-mailmelding aan geregistreerde gebruikers
- Informatiebanner in het afgeschermde gedeelte
De datum van laatste wijziging staat altijd bovenaan het document vermeld.
ยฉ 2022-2026 Vezpa - Alle rechten voorbehouden |
Privacybeleid |
Servicevoorwaarden |
Cookiebeleid |
AVG |
DPA |
Sub-verwerkers