Privacybeleid

Djambar AI FZCO Dubai Silicon Oasis, Dubai, Verenigde Arabische Emiraten E-mail: privacy@myumrah.ai Voor pelgrimsgegevens is het reisbureau van de klant de verwerkingsverantwoordelijke en treedt Djambar AI FZCO op als verwerker.

Agentschapsgegevens: naam, adres, handelsregistratie, e-mail, telefoon, bankgegevens, intracommunautair btw-nummer. Pelgrimsgegevens (verzameld door het agentschap via het platform): • Identiteit: naam, geboortedatum, nationaliteit • Documenten: paspoortnummer, visum (AES-256 versleuteld) • Gezondheid: medische informatie vereist voor de reis (AES-256 versleuteld) • Contact: e-mail, telefoon, noodcontact • Reis: data, pakket, voorkeuren Betalingsgegevens: type bankkaart (Visa, Mastercard, Amex), laatste vier cijfers van de kaart, Stripe-transactie-identificatie. Volledige kaartnummers, beveiligingscodes (CVV/CVC) en vervaldatums worden nooit verzameld, verwerkt of opgeslagen door MyUmrah.ai. Deze gegevens worden uitsluitend verwerkt door Stripe, een PCI DSS Level 1 gecertificeerde provider. Navigatiegegevens: bezochte pagina's, sessieduur (via Umami Analytics, geen cookies, geen persoonsgegevens).

• Beheer van de commerciële relatie met agentschappen • Levering van platformdiensten (pakketbeheer, CRM, berichtenservice) • Naleving van regelgeving (AVG, PDPL) via de vDPO-module • Platformverbetering (geanonimiseerde analyses) • Platformbeveiliging (fraudedetectie, audittrail)

• Uitvoering van het contract (Art. 6.1.b AVG): levering van geabonneerde diensten • Gerechtvaardigd belang (Art. 6.1.f AVG): beveiliging, verbetering van de dienst • Wettelijke verplichting (Art. 6.1.c AVG): fiscale en regelgevende naleving • Uitdrukkelijke toestemming (Art. 9 AVG): gezondheidsgegevens en religieuze overtuigingen

Gegevens zijn uitsluitend toegankelijk voor: • Het betreffende reisbureau (via RLS-isolatie) • Het technische team van Djambar AI FZCO (ondersteuning, onderhoud) • Onze technische subverwerkers: Supabase (hosting), Vercel (CDN), Stripe (betaling), Anthropic (AI) Elke subverwerker is gebonden door een verwerkersovereenkomst conform artikel 28 van de AVG.

Gegevens kunnen worden verwerkt in de volgende landen: • Europese Unie (Supabase EU) • Verenigde Staten (Vercel, Stripe, Anthropic) - Standaard Contractuele Clausules (SCC) van toepassing • Verenigde Arabische Emiraten (hoofdkantoor Djambar AI) Alle overdrachten zijn gedekt door passende waarborgen overeenkomstig Hoofdstuk V van de AVG en de PDPL-vereisten.

• Kritieke gegevens (paspoort, gezondheid): automatische verwijdering 6 maanden na de reis • Gevoelige gegevens (financieel, noodcontacten): maximaal 3 jaar • Standaardgegevens (identiteit, voorkeuren): contractduur + 1 jaar • Facturatiegegevens: 10 jaar (wettelijke verplichting) • Analyses: continu geanonimiseerd, geen persoonsgegevens bewaard

Op grond van de AVG (artikelen 15 tot 22) en de PDPL heeft u de volgende rechten: • Recht op inzage • Recht op rectificatie • Recht op wissing ("recht om vergeten te worden") • Recht op beperking van de verwerking • Recht op gegevensoverdraagbaarheid • Recht van bezwaar Om deze rechten uit te oefenen: privacy@myumrah.ai Antwoordtermijn: maximaal 30 dagen. U kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens (Nederland), de CNIL (Frankrijk), SDAIA (Saudi-Arabië) of elke bevoegde toezichthoudende autoriteit.

MyUmrah.ai gebruikt Umami Analytics, een privacyvriendelijke analyseoplossing die geen cookies plaatst en geen persoonsgegevens verzamelt. Stripe, onze betalingsprovider, kan cookies gebruiken die strikt noodzakelijk zijn voor fraudepreventie en transactiebeveiliging tijdens het betalingsproces. Deze cookies zijn vrijgesteld van de toestemmingsvereiste conform artikel 5(3) van Richtlijn 2002/58/EG (ePrivacy-richtlijn). Afgezien van deze functionele cookies is geen toestemmingsbanner vereist.

Wij implementeren de volgende maatregelen: • AES-256-versleuteling van gevoelige gegevens in rust • TLS 1.3 voor alle communicatie • Row Level Security (RLS) voor gegevensisolatie per agentschap • MFA-authenticatie beschikbaar • Audittrail van alle toegang tot gevoelige gegevens • Regelmatige beveiligingstests • Naleving van het NIST Cybersecurity Framework en CIS Benchmarks Level 1

In overeenstemming met de wet op de bescherming van persoonsgegevens (PDPL): • SDAIA-registratie: vooringevulde documentatie beschikbaar • Dubbele opt-in voor gevoelige gegevens (gezondheid, religie) • Ouderlijke toestemming vereist voor gegevens van minderjarigen • Melding van datalekken binnen 72 uur aan SDAIA • Beperkte bewaartermijn overeenkomstig artikel 18 van de PDPL

Wij behouden ons het recht voor om dit beleid te wijzigen. Elke substantiële wijziging wordt ten minste 30 dagen voor inwerkingtreding per e-mail aan Klanten meegedeeld.

Voor vragen over dit beleid: Djambar AI FZCO E-mail: privacy@myumrah.ai Adres: Dubai Silicon Oasis, Dubai, VAE