Mizan (“wij”) is een AI-boekhoudassistent voor Nederlandse MKB-accountants. Mizan is de verwerkingsverantwoordelijke voor de persoonsgegevens die wij via onze diensten verzamelen en verwerken in de zin van artikel 4 lid 7 AVG.

Voor klantgegevens die een accountant via Mizan verwerkt, treedt Mizan op als verwerker. Voor die verwerking geldt een afzonderlijke verwerkersovereenkomst tussen accountantskantoor en Mizan.

• Contactgegevens (naam, e-mail, functietitel, KvK-nummer)
• Authenticatie-gegevens (Supabase-account-ID, sessietokens, login-events)
• Financiële brondocumenten die je aan Mizan aanlevert (facturen, bonnen, bankafschriften in MT940)
• Gebruiksgegevens: API-aanroepen, agent-acties, audit-trail per boeking
• Technische gegevens: IP-adres, browser-fingerprint, user-agent, client-trace-ID

• Uitvoering van de overeenkomst — de boekhoudagents kunnen hun werk alleen doen met de brondocumenten die je aanlevert (art. 6 lid 1 sub b AVG).
• Wettelijke bewaartermijnen: de Nederlandse fiscale bewaarplicht (7 jaar) vereist dat brondocumenten en boekingen bewaard blijven (art. 6 lid 1 sub c AVG).
• Beveiliging, fraudedetectie en audit-logging — gerechtvaardigd belang (art. 6 lid 1 sub f AVG).
• Dienst-verbetering: geaggregeerde, pseudonieme analyses. We gebruiken klantgegevens niet om taalmodellen te trainen.

Mizan host alle klantdata op Supabase (PostgreSQL) in de EU-regio. Documentopslag verloopt via Supabase Storage, eveneens EU-hosted. Agents kunnen voor LLM-calls in beperkte gevallen via sub-verwerkers buiten de EU werken — in die gevallen passen wij passende waarborgen toe (SCC's, data-processing-agreements).

Brondocumenten en boekingen: 7 jaar (Algemene wet inzake rijksbelastingen, art. 52). Audit-trail-records: 7 jaar. Account- en contactgegevens: zolang je een actief account hebt + 12 maanden daarna, of eerder op verzoek.

• Recht op inzage (art. 15 AVG)
• Recht op rectificatie (art. 16 AVG)
• Recht op verwijdering — voor zover geen wettelijke bewaarplicht geldt (art. 17 AVG)
• Recht op beperking (art. 18 AVG)
• Recht op dataportabiliteit (art. 20 AVG)
• Recht van bezwaar (art. 21 AVG)
• Recht om klacht in te dienen bij de Autoriteit Persoonsgegevens

Verzoeken behandelen we binnen 30 dagen. Mail naar privacy@mizan.agentz0.dev.

TLS voor transport, encryptie-at-rest voor documentopslag, role-based access control in de database (Row-Level Security), en een immutable audit-trail op iedere mutatie. Een Data Protection Impact Assessment (DPIA) is op aanvraag beschikbaar.

Mizan gebruikt alleen strikt-noodzakelijke cookies voor authenticatie en sessie-beheer (Supabase). Geen tracking-cookies, geen advertentie-cookies.

Wij kunnen deze verklaring aanpassen. Materiële wijzigingen communiceren we via e-mail aan je accountbeheerder minimaal 14 dagen voor inwerkingtreding.