Privacyverklaring Rozuro

Laatst bijgewerkt: 19 mei 2026

Atypisch, gevestigd te Europalaan 2b, 3526 KS Utrecht (KvK 08092524), is verantwoordelijk voor de verwerking van persoonsgegevens zoals beschreven in deze Privacyverklaring. Atypisch hecht grote waarde aan de bescherming van persoonsgegevens en houdt zich aan de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG.

1. Wie is verantwoordelijk?

Verwerkingsverantwoordelijke

Atypisch (eenmanszaak) Europalaan 2b, 3526 KS Utrecht KvK: 08092524 BTW: NL001582477B96 E-mail: info@atypisch.nl

Voor vragen over privacy of de uitoefening van rechten kunt u contact opnemen via info@atypisch.nl.

Atypisch is op grond van de AVG niet verplicht een Functionaris voor Gegevensbescherming (FG) aan te stellen.

2. Twee rollen: wanneer Atypisch verantwoordelijke is en wanneer verwerker

Bij het gebruik van Rozuro is het belangrijk onderscheid te maken tussen twee soorten gegevensverwerkingen:

Atypisch als verwerkingsverantwoordelijke — voor gegevens die Atypisch verwerkt om Rozuro aan te bieden aan de Klant. Dit betreft de accountgegevens van de Klant zelf, factuurgegevens van Atypisch aan de Klant, en gegevens over het gebruik van Rozuro. Deze verwerkingen zijn beschreven in deze Privacyverklaring.
Atypisch als verwerker — voor gegevens die de Klant in Rozuro invoert (bijvoorbeeld gegevens van afnemers, relaties, projecten en facturen). Hierop is de Verwerkersovereenkomst van toepassing. De Klant is in dat geval zelf verwerkingsverantwoordelijke.

Deze Privacyverklaring beschrijft alleen de eerste categorie.

3. Welke persoonsgegevens verwerken wij?

3.1 Accountgegevens

Wanneer u een account aanmaakt op Rozuro, verwerken wij:

Naam en achternaam
E-mailadres
(Optioneel) telefoonnummer
Bedrijfsnaam, KvK-nummer, BTW-nummer
Vestigingsadres
Wachtwoord (in versleutelde vorm, beheerd via Simezu)
Gekozen abonnement en abonnementshistorie

3.2 Betaalgegevens

Bij een betaald abonnement verwerken wij:

Naam en factuuradres
E-mailadres voor facturatie
Type betaalmethode (bijv. iDEAL, creditcard, SEPA) — Atypisch ontvangt, verwerkt of bewaart nooit zelf creditcardnummers, IBANs, beveiligingscodes of andere ruwe betaalmiddel-gegevens
Betaalhistorie en facturen (bedragen, data, status, transactiereferenties)

Atypisch is geen betaalinstelling en heeft geen toegang tot uw bankrekening of kaartgegevens. Alle betaalmiddel-gegevens worden rechtstreeks verzameld en verwerkt door Simezu (dat de billingflow namens Atypisch afhandelt) en doorgezet naar een gereguleerde payment provider (Mollie, Stripe of PayPal — zie sectie 5 en de Sub-processor lijst). Simezu en de onderliggende payment providers draaien op infrastructuur die wordt gehost bij Nefos in Nederland; Atypisch ontvangt uitsluitend een betaalstatus, een opaque transactiereferentie en de bovengenoemde gegevens terug.

3.3 Gebruiksgegevens

Tijdens het gebruik van Rozuro verzamelen wij:

IP-adres
Tijdstip en duur van inloggen
Browsergegevens en apparaatinformatie (user-agent)
Pagina’s en functies die u gebruikt
API-aanroepen (voor abonnementen met API-toegang)
Foutmeldingen en logbestanden

3.4 Communicatie

Wanneer u contact opneemt met support:

Inhoud van e-mails of supportverzoeken
Tijdstip en kanaal van het contact

3.5 Klantdata (Rozuro als verwerker)

Gegevens die u zelf in Rozuro invoert (zoals gegevens van uw klanten, leveranciers, facturen, projecten en urenregistraties) worden verwerkt onder de Verwerkersovereenkomst. Atypisch treedt voor deze gegevens op als verwerker en gebruikt deze niet voor eigen doeleinden.

4. Doeleinden en grondslagen

#	Doel	Categorieën gegevens	Grondslag (art. 6 AVG)
1	Aanmaken en beheren van uw account	Accountgegevens	Uitvoering overeenkomst (b)
2	Leveren van de Rozuro-dienst	Accountgegevens, gebruiksgegevens	Uitvoering overeenkomst (b)
3	Authenticatie en beveiliging	Accountgegevens, IP-adres, login-logs	Uitvoering overeenkomst (b) en gerechtvaardigd belang (f) — beveiliging
4	Facturatie en incasso	Accountgegevens, betaalgegevens	Uitvoering overeenkomst (b) en wettelijke verplichting (c) — fiscale bewaarplicht
5	Klantondersteuning	Communicatiegegevens, accountgegevens	Uitvoering overeenkomst (b)
6	Verbeteren van de dienst (foutopsporing, performance)	Gebruiksgegevens, foutlogs	Gerechtvaardigd belang (f) — productverbetering
7	Voldoen aan wettelijke verplichtingen (fiscaal, AVG-verzoeken)	Accountgegevens, betaalgegevens, facturen	Wettelijke verplichting (c)
8	Service- en transactie-e-mails (geen marketing)	E-mailadres, accountgegevens	Uitvoering overeenkomst (b)
9	Eventuele marketing (nieuwsbrieven, productupdates)	E-mailadres	Toestemming (a) — opt-in, te allen tijde intrekbaar

5. Met wie delen wij gegevens?

Atypisch deelt persoonsgegevens uitsluitend met onderstaande partijen, voor zover noodzakelijk en op grond van een geldige rechtsgrond. Een actueel overzicht is beschikbaar in onze Sub-processor lijst.

Partij	Rol	Vestiging	Doel
Nefos	Hostingprovider	Eindhoven, Nederland	Hosting en opslag van Rozuro en alle gegevens
Simezu	Authenticatie- en betaalplatform	Eindhoven, Nederland (gehost bij Nefos)	Inlog, accountbeheer en betalingsverwerking
Mollie B.V.	Payment provider (via Simezu)	Amsterdam, Nederland	Verwerking van betalingen
Stripe Payments Europe Ltd.	Payment provider (via Simezu)	Dublin, Ierland	Verwerking van betalingen
PayPal (Europe) S.à r.l. et Cie, S.C.A.	Payment provider (via Simezu)	Luxemburg	Verwerking van betalingen

Alle data wordt opgeslagen op servers van Nefos in Nederland. Er vindt geen structurele doorgifte plaats naar landen buiten de Europese Economische Ruimte (EER). Indien dit in de toekomst wel het geval is, gebeurt dit uitsluitend op basis van passende waarborgen zoals Standard Contractual Clauses (SCC’s).

Met al deze partijen heeft Atypisch een verwerkersovereenkomst gesloten, voor zover zij als verwerker optreden voor Atypisch.

Atypisch verkoopt geen persoonsgegevens aan derden en deelt geen gegevens met derden voor marketingdoeleinden.

Atypisch kan persoonsgegevens delen met bevoegde autoriteiten (zoals de Belastingdienst, politie, FIU-Nederland) indien daartoe een wettelijke verplichting bestaat.

6. Bewaartermijnen

Categorie gegevens	Bewaartermijn
Accountgegevens (actief account)	Voor de duur van het account
Accountgegevens na opzegging	90 dagen in soft-deleted status, daarna geanonimiseerd of verwijderd
Facturen en betaaladministratie	7 jaar (fiscale bewaarplicht, art. 52 AWR)
Logbestanden (security, audit)	12 maanden
Foutmeldingen / error logs	90 dagen
Supportcommunicatie	2 jaar na laatste contact
Marketing (indien toestemming)	Tot intrekking toestemming, daarna verwijderd

Na verloop van de bewaartermijn worden persoonsgegevens veilig verwijderd of geanonimiseerd zodat zij niet meer tot een persoon herleidbaar zijn.

7. Beveiliging

Atypisch neemt passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, ongeoorloofde toegang of misbruik. Deze maatregelen omvatten onder meer:

TLS-versleuteling van alle dataverkeer tussen gebruiker en Rozuro;
HSTS, CSP en X-Frame-Options security headers;
Versleuteling van wachtwoorden (beheerd door Simezu);
Rate limiting op authenticatie-endpoints om brute-force-aanvallen tegen te gaan;
Strikte toegangscontroles op API-niveau (per-organisatie isolatie) ter voorkoming van cross-tenant datatoegang;
Auditlogging van security-relevante gebeurtenissen;
Regelmatige security-audits;
Onveranderlijke status (immutability) van verzonden en betaalde facturen;
Geanonimiseerde back-ups, opgeslagen bij Nefos in Nederland.

Ondanks deze maatregelen kan geen enkel systeem 100% veilig zijn. Indien u een kwetsbaarheid ontdekt, vragen wij u dit te melden via info@atypisch.nl (responsible disclosure).

8. Uw rechten

Op grond van de AVG heeft u de volgende rechten:

Inzage (art. 15 AVG) — u kunt opvragen welke persoonsgegevens wij van u verwerken.
Rectificatie (art. 16 AVG) — u kunt onjuiste gegevens laten corrigeren.
Verwijdering / “recht om vergeten te worden” (art. 17 AVG) — u kunt verzoeken om verwijdering van uw gegevens, voor zover er geen wettelijke verplichting tot bewaring geldt.
Beperking van de verwerking (art. 18 AVG) — u kunt verzoeken om beperking onder bepaalde omstandigheden.
Dataportabiliteit (art. 20 AVG) — u kunt uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat ontvangen.
Bezwaar (art. 21 AVG) — u kunt bezwaar maken tegen verwerkingen op grond van gerechtvaardigd belang.
Intrekking van toestemming — voor verwerkingen op basis van toestemming kunt u uw toestemming te allen tijde intrekken zonder dat dit afbreuk doet aan eerdere verwerkingen.

U kunt deze rechten uitoefenen via info@atypisch.nl. Wij reageren binnen één maand. Om misbruik te voorkomen kunnen wij u vragen uw identiteit aan te tonen.

Klacht indienen: u heeft het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) via autoriteitpersoonsgegevens.nl.

9. Datalekken

Indien zich een datalek voordoet dat een risico vormt voor de rechten en vrijheden van betrokkenen, melden wij dit binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens en, indien er een hoog risico is, ook bij de betrokkenen zelf.

10. Cookies

Voor informatie over het gebruik van cookies op Rozuro verwijzen wij naar onze Cookieverklaring.

11. Geautomatiseerde besluitvorming

Atypisch maakt geen gebruik van volledig geautomatiseerde besluitvorming of profilering met rechtsgevolgen of vergelijkbaar significant effect voor de betrokkene, in de zin van artikel 22 AVG.

12. Wijzigingen

Atypisch kan deze Privacyverklaring wijzigen. Wezenlijke wijzigingen worden ten minste 30 dagen voor inwerkingtreding aan u gecommuniceerd via e-mail of via een melding in Rozuro. De meest actuele versie is steeds te raadplegen op rozuro.com/legal/privacy.

13. Contact

Voor vragen of verzoeken met betrekking tot deze Privacyverklaring:

Atypisch Europalaan 2b, 3526 KS Utrecht E-mail: info@atypisch.nl

De Nederlandse versie van deze Privacyverklaring is leidend. Bij verschil met de Engelse versie prevaleert de Nederlandse versie.