Mijn account
Bereken je premie
Bereken je premie
Onze verzekeringen
Jouw activiteiten
Over ons
Mijn account
Bereken je premie

Privacybeleid

Bij ORUS is de bescherming van je persoonsgegevens een prioriteit.

Wanneer je gebruikmaakt van de website www.orus.eu (hierna de “Website”) en onze diensten, kunnen wij persoonsgegevens over jou verzamelen.

Het doel van dit beleid is om je te informeren over de manier waarop wij deze gegevens verwerken, in overeenstemming met de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens, hierna “AVG”).

Wie is de verwerkingsverantwoordelijke?

De verwerkingsverantwoordelijke is ORUS France (hierna “ORUS”), een Société par actions simplifiée, ingeschreven in het Handelsregister van Créteil onder nummer 993 524 784, met statutaire zetel aan 14 Avenue du Général de Gaulle, 94160 Saint-Mandé (hierna “wij”).

In het kader van onze verzekeringsdiensten werken wij samen met de volgende verzekeraar:

  • HISCOX (Hiscox SA - Hiscox France, 38 Avenue de l’Opéra - 75002 Parijs - statutaire zetel: 35F, Avenue John F. Kennedy, L-1855 Luxemburg, Luxemburg, geregistreerd in Luxemburg onder nummer B217018 - R.C.S. Parijs 833 546 989)

Deze verzekeraars kunnen je persoonsgegevens verwerken. In het kader van het afsluiten en uitvoeren van de verzekeringsovereenkomst (totstandkoming, uitvoering, afhandeling van claims, schadebeheer, bestrijding van witwassen en terrorismefinanciering en fraudepreventie), bepalen deze verzekeraars en wij gezamenlijk de doeleinden en middelen van de verwerking. In dat geval treden wij samen met deze verzekeraars op als gezamenlijke verwerkingsverantwoordelijken in de zin van de AVG.

Wij blijven echter je belangrijkste aanspreekpunt voor alle verzoeken met betrekking tot je persoonsgegevens. Hiervoor kun je contact met ons opnemen via: gdpr@orus.eu.

Welke gegevens verzamelen wij?

Een persoonsgegeven is informatie waarmee een individu direct of indirect kan worden geïdentificeerd, bijvoorbeeld door combinatie met andere gegevens.

Wij verzamelen gegevens uit de volgende categorieën:

  • Identificatiegegevens (naam, e-mailadres, postadres, telefoonnummer, identiteitsbewijs)
  • Gegevens voor contractbeheer (klantnummer, openstaande vorderingen, enz.)
  • Verbindingsgegevens (IP-adres, logbestanden)
  • Gegevens over je professionele situatie (bedrijfsnaam, KvK nummer, bedrijfsadres, functie, rechtsvorm)
  • Schadegegevens (datum en tijd van de schade, adres van het incident, details van de gebeurtenis, betrokken derden en alle relevante informatie voor de afhandeling)
  • Financiële gegevens (bankgegevens (IBAN), kaartgegevens)
  • Gegevens voor risicobeoordeling, die we met name verzamelen tijdens het afsluiten van je verzekering (oppervlakte van je pand, waarde van de inhoud, omzet, gebruiksstatus, schadehistorie, type activiteit)
  • Navigatiegegevens (bezochte pagina’s, gebruikte browser, besturingssysteem, user ID, advertentie-ID)

Eventuele optionele gegevens worden als zodanig aangegeven wanneer je je gegevens verstrekt.

Op welke rechtsgronden, voor welke doeleinden en hoe lang bewaren wij je persoonsgegevens?

Doeleinden

Rechtsgrond

Bewaartermijn

Een offerte op maat opstellen op basis van je behoeften

Uitvoering van precontractuele maatregelen op jouw verzoek

Gegevens worden 3 jaar bewaard vanaf de offerteaanvraag

Je gegevens delen met geselecteerde makelaarspartners wanneer wij zelf geen passende verzekering kunnen aanbieden

Toestemming

Gegevens worden 3 jaar bewaard vanaf de offerteaanvraag

Afsluiten, beheren en uitvoeren van de verzekeringsovereenkomst (contractbeheer, uitvoering van de dekking, klachtenafhandeling)

Uitvoering van de overeenkomst

Gegevens worden bewaard gedurende de looptijd van de overeenkomst. Daarna: archivering voor bewijsdoeleinden gedurende 3 jaar. Facturen: 10 jaar. Betaalgegevens: bewaard door de betaalprovider tot beëindiging van het contract. CVV-code wordt niet opgeslagen

Opbouwen van een klanten- en prospectbestand

Gerechtvaardigd belang (ontwikkeling en promotie van onze activiteiten)

Klanten: gedurende de contractduur. potentiële klanten: 3 jaar na laatste contact

Verzenden van nieuwsbrieven, commerciële berichten en aanbiedingen (e-mail/telefoon)

Gerechtvaardigd belang (klantrelatie en informatievoorziening)

3 jaar na laatste contact

Beantwoorden van informatieverzoeken

Gerechtvaardigd belang

Bewaard zolang nodig voor afhandeling, daarna worden verzoeken verwijderd

Bestrijding van witwassen en terrorismefinanciering

Wettelijke verplichting

5 jaar na einde van de relatie

Fraudepreventie en -detectie (incl. internationale sancties)

Gerechtvaardigd belang

Niet-relevante alerts: direct verwijderd (max. 6 maanden). Relevante alerts: 5 jaar na afsluiting van het dossier

Website-analyse en statistieken

Toestemming

25 maanden

Gepersonaliseerde advertenties

Toestemming

12 maanden

Statistische en actuariële analyses

Wettelijke verplichting

10 jaar

Afhandeling van verzoeken rond privacyrechten

Gerechtvaardigd belang

Identiteitsbewijs: alleen tijdens verificatie, daarna verwijderd. Bezwaar tegen marketing: 3 jaar

Verzamelen van telefoonnummers en opnemen van gesprekken

Kwaliteitscontrole en fraudepreventie

2 jaar na opname

Wie heeft toegang tot je gegevens?

De volgende partijen hebben toegang tot je persoonsgegevens:

  • Het personeel van onze organisatie;
  • Onze verwerkers: hostingprovider, CRM- en chattools, e-mailingtools, tools voor elektronische handtekeningen, betaalproviders, analysetools, klanttevredenheidstools (Trustpilot), schadebeheerders en assistentiepartners;
  • Onze verzekeraars:
  • Indien van toepassing: publieke en private instanties, uitsluitend om te voldoen aan onze wettelijke verplichtingen.

Worden je gegevens buiten de Europese Unie doorgegeven?

Je gegevens worden gedurende de verwerking opgeslagen op de servers van HEROKU, die zich binnen de Europese Unie bevinden.

In het kader van de tools die wij gebruiken (zie het artikel over ontvangers met betrekking tot onze verwerkers), kunnen je gegevens echter worden doorgegeven buiten de Europese Unie. Deze doorgiften worden beveiligd met de volgende maatregelen:

  • De gegevens worden doorgegeven naar een land waarvoor de Europese Commissie een adequaatheidsbesluit heeft genomen (artikel 45 AVG). In dat geval wordt het beschermingsniveau als passend en gelijkwaardig aan de AVG beschouwd;
  • Of de gegevens worden doorgegeven naar een land zonder adequaatheidsbesluit. In dat geval worden passende waarborgen toegepast zoals bedoeld in artikel 46 AVG, afhankelijk van de dienstverlener, zoals standaardcontractbepalingen goedgekeurd door de Europese Commissie, bindende bedrijfsvoorschriften of een erkend certificeringsmechanisme;
  • Of de gegevens worden doorgegeven op basis van een van de maatregelen zoals beschreven in hoofdstuk V van de AVG.

Wat zijn je rechten met betrekking tot je gegevens?

Je beschikt over de volgende rechten met betrekking tot je persoonsgegevens:

  • Recht op informatie: dit is de reden waarom wij dit privacybeleid hebben opgesteld. Dit recht is vastgelegd in de artikelen 13 en 14 van de AVG.
  • Recht op inzage: je hebt het recht om op elk moment inzage te krijgen in al je persoonsgegevens, conform artikel 15 van de AVG.
  • Recht op rectificatie: je hebt het recht om onjuiste, onvolledige of verouderde persoonsgegevens te laten corrigeren, overeenkomstig artikel 16 van de AVG.
  • Recht op beperking van de verwerking: je hebt in bepaalde gevallen het recht om de verwerking van je persoonsgegevens te beperken, zoals bepaald in artikel 18 van de AVG.
  • Recht op gegevenswissing: je hebt het recht om te verzoeken dat je persoonsgegevens worden verwijderd en om verdere verwerking te beperken, in overeenstemming met artikel 17 van de AVG.
  • Recht om een klacht in te dienen bij een bevoegde toezichthouder (De Autoriteit Persoonsgegevens) als je van mening bent dat de verwerking van je persoonsgegevens in strijd is met de toepasselijke wetgeving (artikel 77 AVG).
  • Recht om niet te worden onderworpen aan volledig geautomatiseerde besluitvorming die rechtsgevolgen heeft of je aanzienlijk beïnvloedt: je hebt het recht om menselijke tussenkomst te vragen zodat je situatie opnieuw wordt beoordeeld.
  • Recht om instructies te geven over het bewaren, verwijderen en delen van je persoonsgegevens na je overlijden, in overeenstemming met artikel 40-1 van de Franse wet inzake gegevensbescherming.
  • Recht om je toestemming in te trekken: voor verwerkingen die gebaseerd zijn op toestemming, kun je deze op elk moment intrekken (artikel 7 AVG). Dit heeft geen invloed op de rechtmatigheid van de verwerking vóór de intrekking.
  • Recht op overdraagbaarheid van gegevens: onder bepaalde voorwaarden (artikel 20 AVG) heb je het recht om je persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen en deze over te dragen aan een andere partij.
  • Recht van bezwaar: op grond van artikel 21 AVG heb je het recht om bezwaar te maken tegen de verwerking van je persoonsgegevens. Let op: wij kunnen de verwerking voortzetten als daar gerechtvaardigde redenen voor zijn of voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

Je kunt deze rechten uitoefenen door contact met ons op te nemen via de onderstaande gegevens. Als je verzoek betrekking heeft op een verwerking waarbij wij optreden als gezamenlijke verwerkingsverantwoordelijke, wordt je verzoek gedeeld en gezamenlijk behandeld met onze verzekeraar.

In alle gevallen kunnen wij je vragen om aanvullende informatie of documenten te verstrekken om je identiteit te verifiëren.

Welke maatregelen nemen wij bij een datalek?

Beveiliging en datalekken

Bij ORUS nemen wij de beveiliging van je persoonsgegevens zeer serieus. In overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) hebben wij maatregelen geïmplementeerd die aansluiten bij de processen in ons Security Assurance Plan (PAS) en ons Business Continuity Plan (PCA).

Melden van incidenten aan verzekeraars

In geval van een incident of datalek dat direct of indirect impact kan hebben op verzekerden in het kader van de uitvoering van verzekeringsovereenkomsten, past ORUS de volgende procedure toe:

  • Detectie en kwalificatie van het incident (binnen 24 uur);
  • Onmiddellijke melding van het incident aan de Chief Insurance Officer en de Legal & Compliance Officer van ORUS, die de impact op persoonsgegevens beoordelen;
  • Informeren van de betrokken verzekeringspartners (zoals Hiscox) binnen maximaal 72 uur na identificatie, volgens de contractueel vastgelegde meldprocedures;
  • Verstrekken van een incidentrapport met daarin:
    • een beschrijving van de aard van de inbreuk,
    • de categorie en omvang van de betrokken gegevens,
    • de genomen corrigerende maatregelen,
    • een beoordeling van de resterende risico’s voor verzekerden;
  • Nazorg: een eindrapport wordt gedeeld met de betrokken verzekeraar zodra het incident is afgesloten.

Beheer van verwerkers (externe dienstverleners) en gegevensdeling

In het kader van onze dienstverlening werkt ORUS samen met verschillende verwerkers (ook wel ‘dienstverleners’) van data. Wij zorgen ervoor dat elke verwerker voldoet aan de volgende verplichtingen:

  • Ondertekening van een verwerkersovereenkomst die voldoet aan de AVG en waarin de verantwoordelijkheden rondom gegevensbescherming duidelijk zijn vastgelegd.

Naleving van het regelgevend kader voor gegevensoverdracht buiten de EU:

  • ORUS waarborgt dat internationale gegevensoverdrachten voldoen aan de door de Europese Commissie goedgekeurde contractbepalingen.
  • Een gedetailleerde lijst van verwerkers en de getroffen waarborgen is op verzoek beschikbaar.
  • Regelmatige audits en monitoring van verwerkers om voortdurende naleving te garanderen.

Technische beveiliging van persoonsgegevens

ORUS hanteert strikte beveiligingsmaatregelen gebaseerd op de normen uit het Security Assurance Plan (PAS) en het Business Continuity Plan (PCA).

Infrastructuur en versleuteling:

  • Beveiligde hosting via Google Cloud en Heroku, met versleutelde verbindingen en versleuteling van gegevens in rust.
  • Automatische back-ups en regelmatige hersteltests.

Toegangscontrole en autorisatiebeheer:

  • Toegangsbeheer volgens het principe van minimale rechten.
  • Tweefactorauthenticatie (2FA) voor kritieke systemen.

Monitoring en incidentbeheer:

  • 24/7 monitoring met meldingen bij verdachte activiteiten.
  • Jaarlijkse penetratietests en beveiligingsaudits.
  • Disaster Recovery Plan (DRP) bij ernstige incidenten, met herstel binnen 24 uur.

Point de contact en matière de données personnelles

Email de contact : gdpr@orus.eu.

Adresse de contact : Orus, 14 avenue du Général de Gaulle, 94160 Saint-Mandé.

Wijzigingen

Wij kunnen dit beleid op elk moment wijzigen, bijvoorbeeld om te voldoen aan wijzigingen in wet- en regelgeving, rechtspraak, redactionele of technische ontwikkelingen. Deze wijzigingen zijn van toepassing vanaf de ingangsdatum van de bijgewerkte versie. We raden je daarom aan om regelmatig de meest recente versie van dit beleid te raadplegen. Uiteraard informeren wij je bij belangrijke wijzigingen in dit privacybeleid.

Ingangsdatum: 6 maart 2026

Amin TOUSSI – Chief Insurance Officer