Juridisch document

Privacybeleid

Versie: 1.0Van kracht sinds: 13 mei 2026Verwerkingsverantwoordelijke: ITRION SOFTWARE, S.L.

Vertaling louter ter informatie. De juridisch bindende versie is het Spaanse origineel op /legal/privacidad.html. Bij afwijking prevaleert de Spaanse versie.

1. Privacyfilosofie

ULOX is ontworpen met privacy door ontwerp en standaard. De server van ITRION is technisch blind voor de inhoud van communicatie en door de gebruiker opgeslagen inhoud: hij bezit niet de cryptografische sleutels om die gegevens te ontsleutelen.

Technische consequentie. Als architectonische consequentie van end-to-end-versleuteling en client-side-versleuteling bezit ITRION niet de cryptografische sleutels om gebruikersinhoud te ontsleutelen. Dit is een beperking inherent aan het ontwerp van de dienst conform privacy by design (AVG, Art. 25), geen besluit om legitieme onderzoeken te belemmeren. ITRION werkt volledig samen met bevoegde autoriteiten bij bindende juridische verzoeken.

2. Verwerkingsverantwoordelijke

Verantwoordelijke	ITRION SOFTWARE, S.L.
Belastingnummer	B19913797
Adres	Calle Francisco Silvela, 110, 2e verdieping, 28028 Madrid, Spanje
Algemene e-mail	`privacy@ulox.org`
Web	ulox.org · ulox.app

3. Functionaris voor Gegevensbescherming (FG)

FG-contact	`dpo@ulox.org`

4. Welke gegevens we verwerken

4.1. Accountgegevens

ULOX-ID: alfanumerieke identificatie door de gebruiker gekozen.
Hoofdsleutel (hash): ITRION slaat alleen de cryptografische hash (Argon2id) op.
Cryptografische publieke sleutels gegenereerd op de client.
Afgeleide pseudoniemen: ondoorzichtige identificatiegegevens in elke LOX.

4.2. Technische en gebruiksgegevens

IP-adressen ontvangen bij verbindingen, in technische logs voor korte perioden.
Tijdstempels van laatste activiteit en aanwezigheid.
User-agent-informatie in verbindingslogs.
Pushabonnementen indien geactiveerd.

4.3. Versleutelde gegevens

Versleutelde berichten en bestanden opgeslagen als ondoorzichtige bytes.
Versleutelde metadata van privé-universumelementen.
Versleutelde binaire bestanden in objectopslag.

5. Welke gegevens we NIET verwerken

Echte naam, achternamen, geboortedatum, geslacht, nationaliteit of enige burgerlijke identificatie.
E-mail of telefoonnummer van de gebruiker.
Contactenlijst van het apparaat.
Precieze geolocatie.
Inhoud van berichten, bestanden, foto's, video's, audio, notities of opgeslagen wachtwoorden.
LOX-strings in platte tekst.
Associatie tussen basisaccount en pseudoniemen.

6. Doeleinden en rechtsgrondslagen

Doel	Gegevens	Rechtsgrondslag (AVG)
Levering van de Dienst	ULOX-ID, sleutel-hash, publieke sleutels, pseudoniemen	Uitvoering van het contract (Art. 6.1.b)
Technische beveiliging	IP's, tijdstempels, user agent	Gerechtvaardigd belang (Art. 6.1.f)
Naleving van wettelijke verplichtingen	De minimaal noodzakelijke	Wettelijke verplichting (Art. 6.1.c)
Pushmeldingen	Abonnement-endpoint	Toestemming (Art. 6.1.a)
Verwerking van vragen en ondersteuning	Door gebruiker verstrekte gegevens	Gerechtvaardigd belang / contract

7. Bewaartermijnen

Accountgegevens: zolang het account actief is. Na deregistratie, verwijdering binnen maximaal 30 kalenderdagen.
Versleutelde berichten: tot levering aan de ontvanger.
Beveiligings- en verbindingslogs: tot negentig (90) kalenderdagen.
Gegevens onderworpen aan wettelijke verplichting: de overeenkomstige wettelijke termijn.

8. Ontvangers en verwerkers

ITRION deelt geen persoonsgegevens met derden voor reclame- of commerciële doeleinden. De enige derden met technische toegang zijn verwerkers gebonden door artikel 28 AVG: hostingproviders, DNS/CDN-providers, pushmeldingsproviders en de e-mailprovider (eigen Mailcow in de EU).

9. Internationale gegevensoverdrachten

De hoofdinfrastructuur bevindt zich in de Europese Unie. Bij overdrachten buiten de EER worden de garanties van de AVG (SCC, BCR of adequaatheidsbesluiten) toegepast.

10. Rechten van de betrokkene

Inzage, rectificatie, wissing, bezwaar, beperking, overdraagbaarheid, intrekking van toestemming en niet onderworpen aan geautomatiseerde besluitvorming. Uitoefening via privacy@ulox.org. ITRION antwoordt binnen maximaal één (1) maand.

11. Minderjarigen

De Dienst is niet gericht op minderjarigen onder de in het Beleid voor Minderjarigen vastgestelde minimumleeftijd.

12. Beveiligingsmaatregelen

End-to-end versleuteling (XSalsa20-Poly1305, X25519).
Client-side versleuteling van inhoud in privé-universums.
Sleutel-afleiding met Argon2id (MODERATE: 256 MiB, 3 iteraties).
Uitsluitend HTTPS/TLS.
Versleutelde back-ups.
Toegangscontrole op basis van rollen.

13. Beveiligingsinbreuken

ITRION zal melden aan de toezichthoudende autoriteit binnen 72 uur (Art. 33 AVG) en, indien van toepassing, betrokken gebruikers informeren (Art. 34 AVG).

14. Samenwerking met autoriteiten

ITRION werkt samen met bevoegde autoriteiten via law-enforcement@ulox.org, levert de gegevens waarover het feitelijk beschikt, en biedt redelijke technische ondersteuning. ITRION beschikt niet over de technische capaciteit om versleutelde gebruikersinhoud te ontsleutelen.

15. Regionale bepalingen

15.1. EU/EER

In Nederland is de Autoriteit Persoonsgegevens bevoegd (autoriteitpersoonsgegevens.nl). In Spanje de AEPD (aepd.es).

15.2. Verenigd Koninkrijk

Information Commissioner's Office (ICO) (ico.org.uk). UK GDPR en Data Protection Act 2018.

15.3. VS — Californië (CCPA/CPRA)

Inwoners van Californië hebben analoge rechten. ITRION verkoopt of deelt geen persoonsgegevens volgens de definities van CCPA/CPRA.

15.4. VS — Andere staten

Verzoeken naar privacy@ulox.org.

15.5. Brazilië (LGPD)

Toezichthoudende autoriteit: ANPD.

15.6. Canada (PIPEDA)

Office of the Privacy Commissioner of Canada (OPC).

15.7. Rest van de wereld

De principes en rechten van de AVG worden als minimumstandaard toegepast.

16. Wijzigingen aan dit Beleid

ITRION kan dit Privacybeleid bijwerken om wettelijke, technische of dienstgerelateerde wijzigingen te weerspiegelen.

17. Contact en klachten

Algemene privacy: privacy@ulox.org
FG: dpo@ulox.org
Post: ITRION SOFTWARE, S.L. — „Privacy Department", Calle Francisco Silvela, 110, 2e verdieping, 28028 Madrid, Spanje.