Privacyverklaring Do One
1. Wie is Do One
Do One B.V., gevestigd te Oosterhout (NB), ingeschreven bij de Kamer van Koophandel onder nummer 99903016, is verantwoordelijk voor de verwerking van persoonsgegevens zoals beschreven in deze privacyverklaring.
Contact:
- E-mail: [email protected]
- AVG-verzoeken: [email protected]
- Website: www.doone.nl
2. Welke gegevens verwerken wij
Wij verwerken de volgende categorieen persoonsgegevens:
- Identificatiegegevens: naam, e-mailadres, telefoonnummer.
- Bedrijfsgegevens: KVK-nummer, BTW-nummer, adresgegevens.
- Financiele gegevens: bankrekeningnummers, factuurgegevens, salarisgegevens.
- Bank- en transactiegegevens via PSD2: rekeningnummers, saldi, mutaties, tegenrekeningen en omschrijvingen, uitsluitend wanneer de Klant via het Platform een PSD2-bankkoppeling activeert.
- Personeelsgegevens: BSN, contractinformatie, verlofregistratie, loonstroken.
- Gebruiksgegevens: inlogmomenten, IP-adressen, apparaatinformatie.
- Communicatiegegevens: berichten via het Platform, supportverzoeken.
3. Waarvoor gebruiken wij deze gegevens
Wij verwerken persoonsgegevens voor:
- uitvoering van de overeenkomst met de Gebruiker (administratie, boekhouding, salaris, HR);
- bemiddeling tussen Klant en Expert op de marktplaats;
- betalingsverwerking en uitbetaling;
- automatische verwerking van bankmutaties via PSD2-koppelingen;
- beveiliging, fraudepreventie en naleving van wettelijke verplichtingen;
- productverbetering en analyse op basis van gepseudonimiseerde gegevens;
- communicatie over diensten, onderhoud en wijzigingen van het Platform.
4. Grondslagen
De verwerking berust op een of meer van de volgende grondslagen:
- Uitvoering van de overeenkomst met de Gebruiker;
- Wettelijke verplichting (o.a. fiscale en arbeidsrechtelijke bewaarplicht);
- Gerechtvaardigd belang van Do One (beveiliging, fraudepreventie, productverbetering);
- Uitdrukkelijke toestemming van de betrokkene, in het bijzonder voor bankgegevensverwerking via PSD2. Toestemming is te allen tijde intrekbaar.
5. Bankkoppeling via PSD2 (Ponto)
Wanneer de Klant kiest voor een automatische bankkoppeling, doet Do One dat via Ponto, aangeboden door Ibanity NV als PSD2 account-informatiedienstverlener (AIS).
Wat gebeurt er:
- De Klant start de koppeling via Do One en wordt doorgestuurd naar Ponto en vervolgens naar de eigen bankomgeving.
- De Klant geeft toestemming voor het ophalen van rekening- en transactiegegevens bij de bank.
- Ponto geeft OAuth-tokens terug aan Do One om de geautoriseerde rekening- en transactiegegevens op te halen en te tonen in het Platform.
Wat wordt opgehaald:
- Rekeningnummer (IBAN) en rekeninghouder;
- Saldi;
- Banktransacties (datum, bedrag, tegenrekening, omschrijving, referentie).
Belangrijke waarborgen:
- De geldigheidsduur van de autorisatie is afhankelijk van de bank en PSD2-regels. Indien nodig moet de Klant de koppeling opnieuw autoriseren.
- De Klant kan de koppeling op ieder moment verbreken via
Boekhouding > Bank > Koppeling, waarmee de opgeslagen koppeltokens uit de Do One-omgeving worden verwijderd. De Klant kan daarnaast via de eigen bank of via Ponto de toestemming intrekken. - Do One slaat OAuth access- en refresh-tokens versleuteld op (AES).
- Er worden geen betalingsopdrachten ge-initieerd via deze koppeling. Uitsluitend lees-toegang (AIS).
Bewaartermijn bankgegevens: zolang de bankkoppeling actief is, plus de wettelijke fiscale bewaartermijn van 7 jaar voor zover de gegevens zijn verwerkt in de administratie van de Klant.
6. Met wie delen wij gegevens
Do One deelt persoonsgegevens alleen met derden wanneer dat noodzakelijk is voor de hierboven genoemde doelen, of wanneer de wet dit verplicht. Categorieen ontvangers:
- Hostingproviders binnen de EU/EER (dataopslag en serverbeheer);
- Betaaldienstverleners: Stripe Payments Europe Ltd. (Ierland) voor betalingsverwerking en marktplaats-uitbetalingen;
- PSD2-dienstverleners: Ibanity NV / Ponto (Belgie) voor bankkoppelingen;
- E-maildienstverleners voor verzending van systeemberichten;
- Overheidsinstanties indien wettelijk verplicht (Belastingdienst, UWV, Autoriteit Persoonsgegevens, justitie).
Een actueel subverwerkersoverzicht is op verzoek beschikbaar via [email protected].
7. Doorgifte buiten de EER
Do One verwerkt persoonsgegevens in beginsel binnen de EER. Indien doorgifte naar derde landen noodzakelijk is, sluit Do One Standard Contractual Clauses (SCC) af of hanteert een andere waarborg uit hoofdstuk V AVG.
8. Bewaartermijnen
- Accountgegevens: tot en met het einde van de overeenkomst, plus wettelijke bewaartermijn.
- Fiscale en financiele gegevens: 7 jaar conform artikel 52 AWR.
- Bankkoppeling (consent): gedurende de levensduur van de consent (max. 90 dagen) of tot handmatige intrekking door de Klant.
- Bankmutatie-gegevens in de Do One-administratie: 7 jaar (fiscaal).
- Supportberichten: 3 jaar na sluiting van het ticket.
- Gebruiksgegevens (logs): maximaal 12 maanden.
9. Rechten van betrokkenen
Betrokkenen hebben het recht om:
- inzage te vragen in hun persoonsgegevens;
- onjuiste gegevens te laten corrigeren;
- gegevens te laten verwijderen, voor zover wettelijk toegestaan;
- de verwerking te laten beperken;
- bezwaar te maken tegen verwerking op basis van gerechtvaardigd belang;
- gegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen (dataportabiliteit);
- verleende toestemming (bv. PSD2-consent) te allen tijde in te trekken;
- een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Verzoeken kunnen worden ingediend via [email protected]. Do One reageert binnen 30 dagen.
10. Beveiliging
Do One treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen, waaronder:
- versleuteling in transit (TLS) en bij opslag van gevoelige velden (AES) waaronder OAuth access- en refresh-tokens voor bankkoppelingen;
- toegangsbeheer op basis van rollen en rechten;
- periodieke back-ups en herstelprocedures;
- logging en monitoring van toegang tot gevoelige gegevens;
- periodieke evaluatie van beveiligingsmaatregelen.
11. Datalekken
Bij een datalek stelt Do One de verwerkingsverantwoordelijke Klant zonder onredelijke vertraging, en uiterlijk binnen 48 uur na ontdekking, op de hoogte. Waar nodig wordt een melding gedaan bij de Autoriteit Persoonsgegevens en worden betrokkenen geinformeerd.
12. Cookies
Het Platform plaatst uitsluitend functionele en analytische cookies die strikt noodzakelijk zijn voor de werking en verbetering van het Platform. Voor eventuele tracking- of marketingcookies wordt vooraf toestemming gevraagd via een cookiebanner.
13. Wijzigingen
Do One kan deze privacyverklaring wijzigen. De actuele versie is altijd beschikbaar via /support/privacyverklaring. Bij wezenlijke wijzigingen worden Gebruikers ten minste 30 dagen van tevoren geinformeerd.
Versie: 1.0
Laatste wijziging: 16 april 2026
Do One B.V.
KvK-nummer: 99903016
Vestigingsplaats: Oosterhout (NB)
Contactgegevens Do One:
- E-mail: [email protected]
- Website: www.doone.nl
- AVG-verzoeken: [email protected]

