Register van Verwerkingsactiviteiten
Laatst bijgewerkt: 19 februari 2026
Dit register is opgesteld conform artikel 30 van de Algemene Verordening Gegevensbescherming (AVG). Het beschrijft alle verwerkingsactiviteiten die Fleetfusion, h.o.d.n. JustRunBiz uitvoert als verwerkingsverantwoordelijke en als verwerker namens haar klanten.
Verwerkingsverantwoordelijke
Organisatie
Fleetfusion, h.o.d.n. JustRunBiz
KvK-nummer
78068347
Contactpersoon / DPO
Vestigingsland
Nederland
Verwerkingsactiviteiten
1. Accountregistratie & authenticatie
Doel
Aanmaken en beheren van gebruikersaccounts
Rechtsgrondslag
Art. 6(1)(b): Uitvoering overeenkomst
Categorieën gegevens
Naam, e-mail, wachtwoord (gehasht), bedrijfsgegevens
Betrokkenen
Klanten, medewerkers van klanten
Ontvangers
Supabase (hosting/auth)
Doorgifte buiten EER
VS (SCCs)
Bewaartermijn
2 jaar na accountbeëindiging
2. Financiële administratie
Doel
Boekhouding, facturatie, BTW-aangifte
Rechtsgrondslag
Art. 6(1)(b): Overeenkomst, Art. 6(1)(c): Wettelijke verplichting (AWR)
Categorieën gegevens
Factuurgegevens, bedragen, BTW, klant-/leveranciersnamen, adressen, KvK-nummers
Betrokkenen
Klanten, hun klanten en leveranciers
Ontvangers
Supabase (database)
Doorgifte buiten EER
VS (SCCs)
Bewaartermijn
7 jaar (Art. 52 AWR)
3. Bankkoppelingen (Open Banking)
Doel
Automatisch ophalen van banktransacties en saldi
Rechtsgrondslag
Art. 6(1)(a): Toestemming, Art. 6(1)(b): Overeenkomst
Categorieën gegevens
IBAN, rekeningnaam, transacties, saldi
Betrokkenen
Klanten (rekeninghouders)
Ontvangers
Enable Banking OY, Supabase
Doorgifte buiten EER
Finland (EU), VS (SCCs)
Bewaartermijn
7 jaar (Art. 52 AWR)
4. HR / Personeelsadministratie
Doel
Salarisadministratie, verlofregistratie, contractbeheer
Rechtsgrondslag
Art. 6(1)(b): Overeenkomst, Art. 6(1)(c): Wettelijke verplichting
Categorieën gegevens
Naam, BSN (versleuteld), salaris, arbeidsovereenkomst, verlof, contactgegevens
Betrokkenen
Medewerkers van klanten
Ontvangers
Supabase (database)
Doorgifte buiten EER
VS (SCCs)
Bewaartermijn
7 jaar na einde dienstverband (fiscaal)
5. E-commerce integratie (Shopify)
Doel
Synchronisatie van bestellingen en producten
Rechtsgrondslag
Art. 6(1)(b): Overeenkomst
Categorieën gegevens
Bestelnummers, producten, prijzen, klantnamen
Betrokkenen
Klanten, eindklanten van webshops
Ontvangers
Shopify Inc., Supabase
Doorgifte buiten EER
Canada (adequaatheidsbesluit), VS (SCCs)
Bewaartermijn
7 jaar (financieel), tot ontkoppeling (overig)
6. AI-assistent (Atlas)
Doel
Beantwoorden van vragen over administratie via AI
Rechtsgrondslag
Art. 6(1)(a): Toestemming (opt-in)
Categorieën gegevens
AI-vragen, relevante administratiecontext, gespreksgeschiedenis
Betrokkenen
Klanten die Atlas gebruiken
Ontvangers
Anthropic PBC (AI-verwerking)
Doorgifte buiten EER
VS (SCCs, geen modeltraining)
Bewaartermijn
90 dagen
7. CRM / Relatiebeheer
Doel
Beheren van klant- en leveranciersrelaties
Rechtsgrondslag
Art. 6(1)(b): Overeenkomst, Art. 6(1)(f): Gerechtvaardigd belang
Categorieën gegevens
Naam, bedrijf, e-mail, telefoon, adres, communicatiehistorie
Betrokkenen
Contactpersonen van klanten en leveranciers
Ontvangers
Supabase (database)
Doorgifte buiten EER
VS (SCCs)
Bewaartermijn
7 jaar na laatste transactie (fiscaal), 2 jaar (overig)
8. Website analytics & cookies
Doel
Websiteoptimalisatie en gebruiksstatistieken
Rechtsgrondslag
Art. 6(1)(a): Toestemming (niet-essentieel), Art. 6(1)(f): Gerechtvaardigd belang (essentieel)
Categorieën gegevens
IP-adres (geanonimiseerd), paginabezoeken, sessiegegevens
Betrokkenen
Websitebezoekers
Ontvangers
Vercel (hosting/analytics)
Doorgifte buiten EER
VS (SCCs)
Bewaartermijn
13 maanden (analytisch), sessie (functioneel)
9. Support & communicatie
Doel
Afhandelen van klantvragen en technische ondersteuning
Rechtsgrondslag
Art. 6(1)(b): Overeenkomst
Categorieën gegevens
Naam, e-mail, inhoud berichten, screenshots
Betrokkenen
Klanten
Ontvangers
Intern (e-mail)
Doorgifte buiten EER
Geen
Bewaartermijn
3 jaar na afsluiting ticket
10. Auditlogging
Doel
Beveiliging, traceerbaarheid en compliance
Rechtsgrondslag
Art. 6(1)(c): Wettelijke verplichting, Art. 6(1)(f): Gerechtvaardigd belang
Categorieën gegevens
Gebruikers-ID, actie, tijdstip, IP-adres, gewijzigde gegevens
Betrokkenen
Klanten, medewerkers
Ontvangers
Supabase (database)
Doorgifte buiten EER
VS (SCCs)
Bewaartermijn
7 jaar (Art. 52 AWR)
Technische en organisatorische maatregelen (Art. 32 AVG)
JustRunBiz heeft passende technische en organisatorische maatregelen getroffen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico:
- Versleuteling: TLS 1.2+ voor data in transit, AES-256 voor data at rest
- Pseudonimisering: BSN-nummers worden versleuteld opgeslagen
- Toegangsbeveiliging: Row Level Security (RLS) op database-niveau, bcrypt password hashing
- Logging en monitoring: Auditlog van alle significante gebruikersacties
- Backup en herstel: Geautomatiseerde backups met point-in-time recovery
- Incidentrespons: Datalekkenprotocol conform Art. 33-34 AVG
Zie onze Security-pagina voor meer details over onze beveiligingsmaatregelen.