Terug naar home

Laatst bijgewerkt op 19 mei 2026

Privacybeleid

Dit privacybeleid legt uit welke persoonsgegevens Syndico verwerkt, op welke rechtsgrond, met welke ontvangers we die delen, hoe lang we ze bewaren en welke rechten u heeft onder de Algemene Verordening Gegevensbescherming (AVG/GDPR). De tekst is geschreven in klare taal, maar blijft een juridisch bindend document.

1. Wie is de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke voor de persoonsgegevens die via het Syndico-platform worden verzameld over betrokkenen zoals bezoekers, trial-gebruikers en beheerders die een account aanmaken, is:

Syndico, ingeschreven in de Kruispuntbank van Ondernemingen onder nummer 0725.451.617, met maatschappelijke zetel te Vlaamsekaai 92 bus 3, 2000 Antwerpen, België.

Contact voor privacyvragen, verzoeken van betrokkenen en klachten: info@syndico.be.

Voor persoonsgegevens die u of uw mede-eigenaars in het platform invoeren in het kader van VME-beheer, treedt uw VME op als verwerkingsverantwoordelijke en treedt Syndico op als verwerker. De afspraken daarover staan in onze Verwerkersovereenkomst.

2. Welke persoonsgegevens we verwerken

Wij verwerken de volgende categorieën van persoonsgegevens:

  • Identificatie- en contactgegevens: naam, e-mailadres, telefoonnummer (optioneel), wachtwoord (alleen in gehashte vorm via bcrypt)
  • VME- en vastgoedgegevens: naam en adres van de VME, appartementsnummers, quotiteiten, rol van de eigenaar
  • Financiële gegevens: bankrekeningnummer (IBAN) van de VME, factuurgegevens, betaalstatus, Stripe-klant- en abonnements-ID's
  • Documenten en inhoud: documenten die u uploadt (reglement van interne orde, notulen, verzekeringspolissen, facturen), agenda- en vergadergegevens, berichten en taken
  • Technische en gebruiksgegevens: IP-adres, sessie-identificator, loginmomenten, foutlogs, User-Agent, gegevens over aanvragen aan het platform
  • Rate-limit- en beveiligingsgegevens: IP-adres en user-ID gekoppeld aan een telling van pogingen (in Redis-geheugen)
  • Cookie- en sessiegegevens: alleen strikt noodzakelijke sessie- en beveiligingscookies (zie sectie 8)

3. Doeleinden en rechtsgrond (AVG art. 6)

Wij verwerken persoonsgegevens alleen voor welomschreven doeleinden en op een geldige rechtsgrond. Per doeleinde geldt de volgende rechtsgrond:

  • Uitvoering van de overeenkomst met u of uw VME (art. 6.1.b): accountbeheer, toegang tot het platform, VME-beheer, factuurbeheer, e-mailnotificaties over het gebruik van de dienst
  • Wettelijke verplichting (art. 6.1.c): bewaren van boekhoudkundige gegevens gedurende 7 jaar (art. III.86 WVV), fiscale verplichtingen, reageren op rechtmatige verzoeken van overheden
  • Gerechtvaardigd belang (art. 6.1.f): beveiliging van het platform, fraudepreventie, detecteren en blokkeren van misbruik (bv. rate limiting), productverbetering op geaggregeerd niveau, directe communicatie met bestaande klanten over de dienst
  • Toestemming (art. 6.1.a): verzenden van nurturing-e-mails tijdens de proefperiode wanneer u zich daarvoor heeft geregistreerd, en eventuele toekomstige marketingcommunicatie

4. Met wie we gegevens delen (ontvangers en subverwerkers)

Wij verkopen uw persoonsgegevens niet. Om de dienst te leveren doen wij een beroep op de volgende subverwerkers. Alle subverwerkers zijn contractueel gebonden aan een verwerkersovereenkomst die minstens aan art. 28 AVG voldoet.

  • Microsoft Azure — hosting van de applicatie, Blob Storage voor documenten en Application Insights voor telemetrie. Verwerking binnen de Europese Economische Ruimte (EER), regio West-Europa.
  • Resend (Resend, Inc., Verenigde Staten) — verzending van transactionele e-mails (accountverificatie, wachtwoordreset, notificaties, nurturing). Doorgifte naar de VS op basis van Standaardcontractbepalingen van de Europese Commissie (SCC's) en aanvullende waarborgen.
  • Stripe Payments Europe, Ltd. (Ierland), met mogelijke doorgifte naar Stripe, Inc. (VS) — verwerking van abonnementsbetalingen en kaartgegevens. Kaartgegevens worden rechtstreeks door Stripe verwerkt; wij ontvangen alleen tokens en betaalstatus. Doorgifte naar de VS op basis van SCC's.
  • Upstash, Inc. (met regio-optie binnen de EER) — rate-limiting via Redis. Verwerkt alleen IP-adres en user-ID met een korte bewaartermijn (sliding window van maximaal 1 uur).

5. Doorgifte buiten de EER

Wij geven persoonsgegevens alleen door buiten de Europese Economische Ruimte wanneer daarvoor een geldige rechtsgrond bestaat. Dat betekent in de praktijk: een adequaatheidsbesluit, Standaardcontractbepalingen van de Europese Commissie (SCC's) in combinatie met aanvullende technische en organisatorische maatregelen (bv. encryptie in transit en at rest, beperkte toegang), of een andere door de AVG toegelaten waarborg.

De concrete doorgiften die vandaag plaatsvinden, zijn opgesomd in sectie 4.

6. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan nodig is voor het doel waarvoor ze werden verzameld.

  • Accountgegevens en inhoud van uw VME: zolang uw account actief is. Na verwijdering van uw account anonimiseren wij de persoonsgegevens onmiddellijk (naam, e-mail, gekoppelde user_id) en verwijderen wij documenten binnen een redelijke termijn (best effort).
  • Boekhoudkundige en factuurgegevens: 7 jaar na het einde van het boekjaar, in overeenstemming met art. III.86 van het Wetboek van Vennootschappen en Verenigingen.
  • Auditlogs en beveiligingslogs: tot 24 maanden, daarna geanonimiseerd of verwijderd.
  • Rate-limit-tellingen (Upstash): maximaal 1 uur (sliding window).
  • Technische foutlogs (Application Insights): bewaartermijn volgens Azure-standaard (90 dagen) tenzij langer nodig voor incidentonderzoek.
  • E-maillogs bij Resend: volgens Resend-bewaartermijnen (doorgaans 30 dagen).
  • Back-ups: roulatie binnen maximaal 30 dagen; na die termijn wordt de back-up overschreven.

7. Uw rechten als betrokkene

U heeft onder de AVG de volgende rechten:

  • Recht op inzage (art. 15) — weten welke gegevens wij over u verwerken
  • Recht op rectificatie (art. 16) — onjuiste gegevens laten verbeteren
  • Recht op wissing (art. 17) — "recht om vergeten te worden" binnen de grenzen van de wet
  • Recht op beperking (art. 18) — tijdelijke opschorting van verwerking
  • Recht op overdraagbaarheid (art. 20) — uw gegevens in een gestructureerd formaat ontvangen
  • Recht van bezwaar (art. 21) — bezwaar tegen verwerking op basis van gerechtvaardigd belang
  • Recht om toestemming in te trekken (art. 7.3) — waar verwerking op toestemming berust

8. Hoe u uw rechten uitoefent

U kunt uw rechten uitoefenen door een e-mail te sturen naar info@syndico.be vanuit het e-mailadres dat bij uw account is geregistreerd. Wij reageren binnen 30 dagen.

Om uw verzoek te behandelen kunnen wij u vragen om uw identiteit te bevestigen. Dit is een wettelijk voorziene waarborg (art. 12.6 AVG) en dient om uw gegevens te beschermen tegen ongeoorloofde verzoeken.

Voor rechtstreekse verwijdering van uw account kunt u ook de functie "Account verwijderen" in het platform gebruiken. Bij verwijdering worden uw persoonsgegevens onmiddellijk geanonimiseerd. Documenten die u heeft geüpload worden op best-effort basis uit onze opslag verwijderd.

9. Cookies en vergelijkbare technieken

Syndico gebruikt uitsluitend strikt noodzakelijke cookies voor de werking van de dienst. Deze cookies zijn vrijgesteld van toestemming onder de e-Privacy-richtlijn en de Belgische omzetting (art. 129 Wet Elektronische Communicatie).

  • Sessiecookie: houdt uw login-sessie bij via een JWT. Wordt verwijderd wanneer u uitlogt of na verloop van de sessieduur.
  • Beveiligingscookies: bescherming tegen CSRF en session hijacking.

10. Geautomatiseerde besluitvorming

Syndico neemt geen besluiten uitsluitend op basis van geautomatiseerde verwerking (art. 22 AVG) die rechtsgevolgen voor u hebben of u in aanmerkelijke mate treffen.

11. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen, waaronder:

  • Versleutelde verbindingen (TLS) tussen uw apparaat en het platform
  • Wachtwoorden worden opgeslagen als bcrypt-hash, niet in leesbare vorm
  • JWT-sessies met roteerbare sessieversie (onmiddellijke invalidatie bij verdachte activiteit)
  • Rate limiting op gevoelige endpoints (login, registratie, wachtwoordreset, accountverwijdering)
  • Beperkte toegang voor personeel op basis van het "need-to-know"-principe
  • Monitoring en logging voor detectie van verdachte patronen
  • Regelmatige back-ups van de database met rotatie binnen maximaal 30 dagen

12. Datalekken

Bij een inbreuk in verband met persoonsgegevens die waarschijnlijk een hoog risico voor uw rechten en vrijheden oplevert, brengen wij de Gegevensbeschermingsautoriteit binnen 72 uur op de hoogte (art. 33 AVG) en u zonder onnodige vertraging (art. 34 AVG).

13. Klachtrecht

Indien u meent dat wij uw persoonsgegevens niet correct verwerken, verzoeken wij u eerst contact met ons op te nemen zodat wij uw bezorgdheid kunnen oplossen.

U heeft ook steeds het recht om een klacht in te dienen bij de Belgische Gegevensbeschermingsautoriteit (GBA):

Gegevensbeschermingsautoriteit, Drukpersstraat 35, 1000 Brussel. Telefoon: +32 2 274 48 00. E-mail: contact@apd-gba.be. Website: www.gegevensbeschermingsautoriteit.be.

14. Wijzigingen aan dit beleid

Wij kunnen dit privacybeleid aanpassen wanneer de wet, onze dienst of onze subverwerkers wijzigen. Bij inhoudelijke wijzigingen brengen wij actieve gebruikers op de hoogte via e-mail of een bericht in het platform, minstens 14 dagen voor de wijziging ingaat.

Deze versie is geldig vanaf 19 mei 2026. Eerdere versies zijn op aanvraag beschikbaar via info@syndico.be.