AVG-conformiteitsverklaring

Versie 1.0 – Goedgekeurd op 1 februari 2025

1 Verklaring van verantwoordelijkheid

Vetnio AB bevestigt zijn volledige inzet voor naleving van Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming, ‘AVG’) en alle toepasselijke Zweedse privacywetgeving. De Raad van Bestuur neemt de eindverantwoordelijkheid en kan aantonen dat aan de AVG wordt voldaan voor alle verwerkingen van persoonsgegevens. Vetnio AB verbindt zich in het bijzonder tot:

Het verankeren van de zeven privacyprincipes — rechtmatigheid, behoorlijkheid & transparantie; doelbinding; dataminimalisatie; juistheid; opslagbeperking; integriteit & vertrouwelijkheid; en verantwoordingsplicht — in het ontwerp en de uitvoering van elke verwerking.
Het bijhouden van volledige en nauwkeurige registers van verwerkingsactiviteiten (ROPA) en het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA’s) wanneer verwerking waarschijnlijk een hoog risico inhoudt voor betrokkenen.
Het implementeren van passende technische en organisatorische maatregelen (TOM’s) in verhouding tot de risico’s van elke verwerking.
Ervoor zorgen dat de Functionaris voor Gegevensbescherming (FG/DPO) en aangewezen Privacy Champions over voldoende autonomie, middelen en bevoegdheden beschikken.
Het bieden van regelmatige, rolgebaseerde training zodat alle medewerkers hun privacyverantwoordelijkheden begrijpen.
Het monitoren van naleving via audits, indicatoren en managementreviews, en het tijdig nemen van corrigerende maatregelen indien nodig.

Deze verklaring wordt ten minste jaarlijks herzien, of onmiddellijk na significante organisatorische, technologische of regelgevende wijzigingen.

2 Organisatieprofiel

Rechtspersoon	Vetnio AB
Registratienummer	559494-6807
Geregistreerd adres	Grev Magnigatan 10, 114 55 Stockholm, Zweden
Belangrijkste IT-locaties / Datacenters	Zweden (primair), Duitsland (secundair)
Toezichthoudende autoriteit	Zweedse Autoriteit voor Privacybescherming (Integritetsskyddsmyndigheten – IMY)
Functionaris voor Gegevensbescherming	Max Henry Xie – max@vetnio.com

3 Governance voor gegevensbescherming

3.1 Rollen & verantwoordelijkheden

Raad van Bestuur – Biedt strategisch toezicht en keurt deze verklaring goed.
Chief Technology Officer (CTO) – Verantwoordelijk leidinggevende voor technische compliance; beperkt toegang tot opnames en transcripten tot de CTO en senior technische medewerkers volgens het need-to-know-principe.
Functionaris voor Gegevensbescherming (DPO) – Onafhankelijke functie die aan de Raad rapporteert; adviseert over en monitort AVG-naleving.
Privacy Champions – Lokale aanspreekpunten ingebed in senior technische teams:
- Emil Franzell
- Arvid Norström
- Rakin Ali

Alle medewerkers moeten gebruikmaken van multifactorauthenticatie (MFA) en autorisaties worden verleend volgens het least-privilege-principe.

3.2 Beleid & procedures

4 Verwerkingsbeginselen & rechtsgrondslagen

Vetnio AB verwerkt persoonsgegevens alleen wanneer ten minste één rechtsgrond van artikel 6 AVG van toepassing is (bijv. overeenkomst, toestemming, gerechtvaardigd belang). Bijzondere categorieën gegevens (artikel 9) worden uitsluitend verwerkt met een expliciete uitzondering.

5 Register van verwerkingsactiviteiten (ROPA)

Een volledig ROPA wordt bijgehouden overeenkomstig artikel 30 AVG en is op verzoek beschikbaar voor de toezichthouder. Belangrijke elementen die worden vastgelegd omvatten:

Categorieën betrokkenen & persoonsgegevens.
Doeleinden van de verwerking.
Ontvangers & internationale doorgiften.
Technische en organisatorische waarborgen.

6 Technische & organisatorische maatregelen (TOM’s)

Toegangsbeheer: Rolgebaseerde toegang; MFA voor alle bevoorrechte accounts.
Versleuteling: AES-256 in rust; TLS 1.3 tijdens transport.
Logging & monitoring: Gecentraliseerde, manipulatieresistente logs met SIEM-correlatie.
Veerkracht & back-up: Dagelijkse versleutelde back-ups met driemaandelijkse hersteltests.
Fysieke beveiliging: Datacentercontroles conform ISO 27001.
Leveranciersdue diligence: Risicogebaseerde onboarding en jaarlijkse beoordeling van verwerkers.

7 Beheer van rechten van betrokkenen

Er zijn procedures om alle rechten krachtens de artikelen 12–23 AVG te waarborgen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar en geautomatiseerde besluitvorming). Verzoeken worden geregistreerd en binnen wettelijke termijnen afgehandeld.

8 Doorgiften naar derde landen & subverwerkers

Internationale doorgiften vinden alleen plaats naar rechtsgebieden met een adequaatheidsbesluit of onder passende waarborgen (bijv. standaardcontractbepalingen). Een register van goedgekeurde subverwerkers is gepubliceerd op https://vetnio.com/sub-processors.

9 Kennisgeving van datalekken

Alle incidenten worden binnen 24 uur beoordeeld. Indien een datalek waarschijnlijk een risico inhoudt voor personen, wordt IMY binnen 72 uur geïnformeerd en worden betrokkenen onverwijld op de hoogte gebracht, conform artikelen 33–34 AVG.

10 Opleiding & bewustwording

Al het personeel moet bij indiensttreding en daarna jaarlijks training in AVG en informatiebeveiliging volgen.

11 Evaluatie & continue verbetering

Deze verklaring wordt samen met ondersteunend beleid ten minste jaarlijks herzien en na materiële wijzigingen in wetgeving, verwerkingsactiviteiten of organisatiestructuur.

12 Goedkeuring

Deze AVG-conformiteitsverklaring is op 1 februari 2025 goedgekeurd door de Raad van Bestuur van Vetnio AB.

Ondertekend namens de Raad van Bestuur

Naam	Functie	Handtekening	Datum
Max Henry Xie	Chief Technology Officer	(signed)	01-02-2025