Diensten Oplossingen Support Werken bij Contact
Juridisch

Privacybeleid

deXes hecht veel waarde aan de bescherming van je persoonsdata. Dit beleid legt uit wat we verzamelen, waarom, en welke rechten je hebt.

Laatst bijgewerkt: april 2026

1. Wie zijn wij?

deXes is een data intermediair en marktplaatsoperator gevestigd in Utrecht, dat veilige en soevereine datauitwisseling tussen organisaties mogelijk maakt met behulp van open EU-dataspace-standaarden. deXes staat erkend als data intermediair onder de EU Data Governance Act en is ISO 27001:2022 gecertificeerd.

Verwerkingsverantwoordelijke:
deXes B.V. — de Blend Offices, Vleutensevaart 100, 3532 AD Utrecht
+31 (0)30 2272 652 · [email protected]

2. Welke data verzamelen we?

We verzamelen persoonsdata in twee contexten: via deze website en via de operationele systemen die deXes voor zijn klanten beheert.

Website

  • Contactformulier — naam, e-mailadres, organisatie (optioneel) en je bericht.
  • Sollicitaties — naam, e-mailadres, cv en motivatiebrief.
  • Supporttickets — naam, e-mailadres en beschrijving van je probleem.
  • Website-analyses — geanonimiseerde gebruiksdata (bezochte pagina's, browsertype, sessieduur) verzameld via privacyvriendelijke analytics. Er worden geen persoonlijke identificeerders opgeslagen.

Operationele systemen

deXes exploiteert een aantal dataservices namens zijn klanten, waaronder het DMI-ecosysteem, de Dexes-marktplaats, OpenGDC en het Open Building Passport. In de context van deze systemen kunnen de volgende data worden verwerkt voor het doel van toegangsbeheer en identiteitsverificatie:

  • Gebruikersnamen en wachtwoorden — gebruikt voor authenticatie bij het relevante platform. Wachtwoorden worden in gehashte vorm opgeslagen en zijn nooit leesbaar in platte tekst.
  • Organisatienamen — gebruikt om de deelnemende organisatie in de dataspace te identificeren en toegangsrechten te verifiëren.

Belangrijk: deXes verwerkt slechts de metadata die nodig zijn om datauitwisseling te faciliteren — zoals identiteitscredentials en toegangsrechten. deXes heeft geen toegang tot, slaat niet op, en verwerkt niet de werkelijke data die klanten via deze systemen met elkaar delen. Dit is een kernprincipe van de rol van deXes als neutraal data intermediair en een fundamentele vereiste voor naleving van de EU Data Governance Act.

Verwerking in deze systemen vindt plaats op contractbasis met de betreffende klantorganisatie, die als verwerkingsverantwoordelijke optreedt. deXes treedt in die context op als verwerker en verwerkt persoonsdata uitsluitend op gedocumenteerde instructies van de verwerkingsverantwoordelijke.

3. Waarom gebruiken we je data?

Elke categorie data heeft een specifiek doel en juridische grondslag onder de AVG:

Reageren op contactverzoeken
Juridische grondslag: gerechtvaardigd belang (art. 6(1)(f) AVG). Bewaartermijn: tot 1 jaar na laatste contact.
Sollicitaties verwerken
Juridische grondslag: precontractuele stappen (art. 6(1)(b) AVG). Bewaartermijn: tot 4 weken nadat de vacature is ingevuld, of tot 1 jaar met je toestemming.
Supportverzoeken afhandelen
Juridische grondslag: contractuitvoering of gerechtvaardigd belang (art. 6(1)(b)/(f) AVG). Bewaartermijn: tot 2 jaar.
Website-analyses
Juridische grondslag: toestemming (art. 6(1)(a) AVG), verkregen via cookiebanner. Bewaartermijn: alleen geaggregeerde, geanonimiseerde data — er geldt geen bewaartermijn voor persoonsdata.
Toegangsbeheer in operationele systemen
deXes verwerkt gebruikersnamen, gehashte wachtwoorden en organisatienamen uitsluitend om gebruikers te authenticeren en toegangsrechten te beheren binnen zijn operationele platforms (DMI-ecosysteem, Dexes-marktplaats, OpenGDC, Open Building Passport). deXes verwerkt niet de werkelijke data die tussen deelnemers worden uitgewisseld — slechts de metadata die nodig zijn om die uitwisseling onder controle en te faciliteren. Juridische grondslag: contractuitvoering (art. 6(1)(b) AVG) voor directe gebruikers; gerechtvaardigd belang (art. 6(1)(f) AVG) voor organisatie-identificeerders. Bewaartermijn: voor de duur van het actieve account, plus tot 12 maanden na accountsluiting. Uitzondering: toegangslogs en transactiemetadata kunnen langer worden bewaard indien dit vereist is voor audit-, geschillenbeslechting- of trusthandhavingsverplichtingen onder de EU Data Governance Act of toepasselijke contractafspraken.

4. Delen met derden

We verkopen of verhandelen je persoonsdata niet. We kunnen data delen met de volgende categorieën van verwerkersdie strikt op onze instructies handelen:

  • Hosting- en cloudinformatiestructuurproviders (gebaseerd in de EU)
  • E-mailbezorgserviceproviders
  • Supportticketplatform
  • Governance- en auditpartijen — zoals accreditatiebodies, toezichthouders of trustframework-auditors — waar bekendmaking vereist is om naleving van de EU Data Governance Act of andere toepasselijke regelgeving aan te tonen.

Alle verwerkersZijn gebonden aan AVG-conforme dataverwerkingsovereenkomsten. We brengen persoonsdata niet buiten de Europese Economische Ruimte over.

5. Cookies

Deze website gebruikt functionele cookies (vereist voor werking van de site) en, met je toestemming, analytische cookies om te begrijpen hoe bezoekers de site gebruiken. Er worden geen advertentie- of trackingcookies geplaatst. Zie ons Cookiebeleid voor volledige details.

6. Je rechten (AVG)

Onder de AVG heb je het recht op:

  • Recht op inzage — verzoek een kopie van de data die we over je hebben.
  • Recht op rectificatie — vraag ons om onnauwkeurige data te corrigeren.
  • Recht op verwijdering — verzoek om verwijdering van je data waar geen juridische grondslag van toepassing is.
  • Recht op beperking — vraag ons om je data op een beperktere manier te gebruiken.
  • Recht op dataportabiliteit — ontvang je data in een gestructureerd, machineleesbaar formaat.
  • Recht op bezwaar — maak bezwaar tegen verwerking op basis van gerechtvaardigd belang.
  • Toestemming intrekken — op elk moment, voor verwerking op basis van toestemming.

Om een van deze rechten uit te oefenen, stuur een e-mail naar [email protected]. We reageren binnen 30 dagen. Je hebt ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (Autoriteit Persoonsgegevens).

7. Veiligheid

deXes is ISO 27001:2022 gecertificeerd. We passen passende technische en organisatorische maatregelen toe om je persoonsdata tegen onbevoegde toegang, verlies of bekendmaking te beschermen — inclusief encryptie tijdens verzending, toegangscontroles en regelmatige veiligheidscontroles.

8. Wijzigingen in dit beleid

We kunnen dit beleid van tijd tot tijd aanpassen. Wezenlijke wijzigingen zullen op deze pagina met een bijgewerkte datum worden gecommuniceerd. We raden je aan om deze pagina regelmatig door te nemen.

Vragen? Neem contact op ← Terug naar startpagina