AVG & GDPR Compliance

Laatst bijgewerkt: 2 maart 2026

Casemeister is volledig AVG-compliant

Als aanbieder van software voor advocaten begrijpen wij het belang van gegevensbescherming. Wij hebben uitgebreide maatregelen getroffen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG/GDPR).

1. Wat is de AVG?

De Algemene Verordening Gegevensbescherming (AVG), in het Engels de General Data Protection Regulation (GDPR), is de Europese privacywetgeving die sinds 25 mei 2018 van kracht is. De AVG geeft burgers meer controle over hun persoonsgegevens en stelt strenge eisen aan organisaties die persoonsgegevens verwerken.

2. Onze rol onder de AVG

Onder de AVG kan Casemeister twee rollen vervullen:

2.1 Verwerkingsverantwoordelijke

Voor de gegevens van onze klanten (accounthouders) treden wij op als verwerkingsverantwoordelijke. Dit betreft:

  • Accountgegevens en inloggegevens
  • Facturatiegegevens
  • Communicatie met onze support

2.2 Verwerker

Voor de gegevens die onze klanten invoeren in dossiers (gegevens van hun cliënten) treden wij op als verwerker. De klant (het advocatenkantoor) blijft verwerkingsverantwoordelijke voor deze gegevens.

3. Technische beveiligingsmaatregelen

Wij hebben de volgende technische maatregelen geïmplementeerd:

Encryptie

TLS-encryptie voor dataverkeer en encryptie voor opgeslagen gegevens

2FA & Passkeys

Tweefactorauthenticatie en passkey-ondersteuning voor extra accountbeveiliging

Audit logging

Uitgebreide logging van alle toegang en wijzigingen

Toegangscontrole

Rolgebaseerde toegangscontrole (RBAC) met volledige tenant-isolatie

4. Datalocatie en AI-verwerking

Alle primaire gegevens (database, documenten, back-ups) worden opgeslagen in datacenters binnen de Europese Unie:

Primaire locatie: Frankfurt, Duitsland

Certificering: ISO 27001

Back-up locatie: Nederland

4.1 AI-diensten en pseudonimisatie

Casemeister biedt AI-functionaliteiten zoals documentgeneratie, een digitale assistent en spraakherkenning. Voor bepaalde AI-diensten kan verwerking plaatsvinden buiten de EU.

Om de privacy van betrokkenen te waarborgen, worden documenten voorafgaand aan AI-verwerking door onze interne PII-pipeline geleid (draait op eigen EU-servers). Deze pipeline:

  • Identificeert en maskeert persoonsgegevens (namen, adressen, BSN-nummers, etc.)
  • Vervangt deze door gepseudonimiseerde tokens
  • Herstelt de originele gegevens pas na ontvangst van het resultaat, binnen onze eigen EU-omgeving

Hierdoor verlaten herkenbare persoonsgegevens in beginsel niet de Europese Unie. Waar doorgifte plaatsvindt, is dit beveiligd met Standard Contractual Clauses (SCCs) en aanvullende technische maatregelen.

5. Verwerkersovereenkomst

Conform artikel 28 AVG sluiten wij een verwerkersovereenkomst met onze klanten. Deze overeenkomst regelt:

  • Het onderwerp en de duur van de verwerking
  • De aard en het doel van de verwerking
  • Het soort persoonsgegevens en categorieën betrokkenen
  • De verplichtingen en rechten van de verwerkingsverantwoordelijke
  • Beveiligingsmaatregelen
  • Inschakeling van subverwerkers
  • Bijstand bij rechten van betrokkenen
  • Meldplicht bij datalekken

Een verwerkersovereenkomst is op aanvraag beschikbaar. Neem contact op via privacy@casemeister.nl.

6. Subverwerkers

Wij maken gebruik van zorgvuldig geselecteerde subverwerkers. Met alle partijen zijn verwerkersovereenkomsten gesloten.

Categorie Dienst Locatie
Hosting & infrastructuur Servers, opslag en netwerk EU (Duitsland)
Database Opslag van applicatiegegevens EU
Betalingsverwerking Abonnementen en betalingen EU (Nederland)
E-mailverzending Transactionele e-mails EU
AI-dienstverleners Documentgeneratie, assistent, spraakherkenning EU en VS (met SCCs + pseudonimisatie)
E-mail/agenda-integratie Synchronisatie (indien ingeschakeld) EU en VS (met SCCs)
Documentverwerking Online document bewerking EU

Een gedetailleerde lijst met namen van subverwerkers is op aanvraag beschikbaar. Wijzigingen in subverwerkers worden vooraf gecommuniceerd aan klanten met een verwerkersovereenkomst.

7. Rechten van betrokkenen

De AVG geeft betrokkenen (personen wiens gegevens worden verwerkt) verschillende rechten. Wij ondersteunen u bij het faciliteren van deze rechten:

7.1 Functionaliteit in de applicatie

  • Recht op inzage: Exportfunctie voor dossiergegevens en persoonsgegevens (GDPR-export)
  • Recht op rectificatie: Gegevens kunnen direct worden aangepast
  • Recht op verwijdering: Verwijderfunctie voor dossiers en contacten
  • Recht op dataportabiliteit: Export in gangbare formaten (JSON, CSV)

7.2 Ondersteuning bij verzoeken

Ontvangt u een AVG-verzoek van een betrokkene? Wij helpen u binnen 48 uur met:

  • Identificatie van relevante gegevens
  • Export van gegevens
  • Verwijdering van gegevens

8. Datalekken

Wij hebben een procedure voor het omgaan met datalekken:

  1. Detectie: Monitoring en alerting voor verdachte activiteiten
  2. Melding: Bij een datalek melden wij dit binnen 24 uur aan getroffen klanten
  3. Documentatie: Alle incidenten worden gedocumenteerd
  4. Ondersteuning: Wij ondersteunen bij eventuele melding aan de Autoriteit Persoonsgegevens

De meldplicht aan de Autoriteit Persoonsgegevens (binnen 72 uur) rust op de verwerkingsverantwoordelijke (uw kantoor). Wij voorzien u van alle benodigde informatie.

9. Data Protection Impact Assessment (DPIA)

Voor verwerkingen met een hoog risico kan een DPIA vereist zijn. Wij kunnen ondersteuning bieden bij:

  • Identificatie van verwerkingen die een DPIA vereisen
  • Technische informatie over onze beveiligingsmaatregelen
  • Risicobeoordeling van de verwerking via Casemeister

10. Bewaartermijnen

Wij hanteren de volgende standaard bewaartermijnen:

Gegevenstype Bewaartermijn Toelichting
Dossiergegevens Tot verwijdering door klant Klant bepaalt bewaartermijn
Accountgegevens 2 jaar na beëindiging Voor eventuele vragen/claims
Facturatiegegevens 7 jaar Wettelijke bewaarplicht
Logbestanden 12 maanden Security & troubleshooting
Back-ups 30 dagen rollend Disaster recovery

11. Privacy officer

Voor vragen over gegevensbescherming kunt u contact opnemen:

E-mail: privacy@casemeister.nl

Reactietijd: Binnen 5 werkdagen

12. Compliance documentatie

De volgende documentatie is op aanvraag beschikbaar voor klanten:

  • Verwerkersovereenkomst (DPA)
  • Technische en organisatorische maatregelen (TOM)
  • Gedetailleerde lijst van subverwerkers
  • Certificaten van datacenters

Neem contact op via privacy@casemeister.nl om deze documenten aan te vragen.

13. Veelgestelde vragen

Moet ik als advocatenkantoor een verwerkersovereenkomst sluiten met Casemeister?

Ja, als u persoonsgegevens van cliënten verwerkt via Casemeister, bent u verplicht een verwerkersovereenkomst te sluiten. Wij stellen deze kosteloos beschikbaar.

Waar worden mijn gegevens opgeslagen?

Alle primaire gegevens (database, documenten, back-ups) worden opgeslagen in datacenters binnen de EU (Duitsland en Nederland). Voor AI-functies kan verwerking van gemaskeerde data plaatsvinden buiten de EU, beveiligd met SCCs en pseudonimisatie.

Worden mijn dossiergegevens gebruikt om AI-modellen te trainen?

Nee. Uw gegevens worden uitsluitend verwerkt voor het leveren van de dienst en worden niet gebruikt voor het trainen van AI-modellen.

Hoe ga ik om met een inzageverzoek van een cliënt?

U kunt via de exportfunctie in Casemeister alle gegevens van een specifieke cliënt exporteren. Bij vragen helpen wij u graag.

Wat gebeurt er met mijn gegevens als ik mijn account opzeg?

Na opzegging heeft u 30 dagen om uw gegevens te exporteren. Daarna worden alle gegevens definitief verwijderd, met uitzondering van facturatiegegevens (7 jaar bewaarplicht).

14. Updates

Deze pagina wordt bijgewerkt wanneer er wijzigingen zijn in onze AVG-compliance of beveiligingsmaatregelen. Belangrijke wijzigingen worden gecommuniceerd via e-mail aan alle klanten.

Vragen over AVG-compliance?

Ons team staat klaar om uw vragen te beantwoorden en u te voorzien van de benodigde documentatie.

Neem contact op