Data Protection Policy (GDPR)

Last updated: April 2026

1. Data Controller

APP3 BV acts as the data controller for personal data processed through Billit Connect.

Contact: privacy@app3.be

2. Data Processing Overview

Data Category	Purpose	Legal Basis	Retention
Shopify order data (name, email, address, amounts)	Invoice creation in Billit	Contract performance	Duration of installation + 30 days
VAT numbers	B2B classification & reverse charge	Contract performance	Duration of installation + 30 days
Admin credentials (email, hashed password)	Platform access control	Contract performance	Until account deletion
Session tokens	Authentication	Contract performance	7 days (auto-pruned)
IP addresses, browser info	Security & error logging	Legitimate interest	90 days
Language preference cookie	User experience	Consent	1 year

3. Sub-Processors

Sub-Processor	Purpose	Location
Billit (Silverfin NV)	Invoice creation & e-invoicing	Belgium (EU)
Shopify Inc.	E-commerce platform (data source)	Canada / EU
Server hosting provider	Application & database hosting	EU

4. Data Subject Rights

Under the GDPR (and the Belgian equivalent, the Data Protection Act), you have the following rights:

• Right of access (Art. 15): Request a copy of your personal data.
• Right to rectification (Art. 16): Correct inaccurate or incomplete data.
• Right to erasure (Art. 17): Request deletion of your data ("right to be forgotten").
• Right to restriction (Art. 18): Restrict processing in specific circumstances.
• Right to data portability (Art. 20): Receive your data in a structured, machine-readable format.
• Right to object (Art. 21): Object to processing based on legitimate interest.

To exercise any right, email privacy@app3.be. We will respond within 30 days.

5. Data Breach Procedure

In the event of a personal data breach, we will:

• Notify the Belgian Data Protection Authority (GBA) within 72 hours if the breach poses a risk to data subjects.
• Notify affected data subjects without undue delay if the breach poses a high risk.
• Document all breaches in an internal breach register, regardless of severity.

6. International Transfers

Your data is primarily processed within the EU/EEA. When Shopify processes data in Canada, this is covered by the EU adequacy decision for Canada. We do not transfer data to countries without adequate protection unless appropriate safeguards (such as Standard Contractual Clauses) are in place.

7. Security Measures

• All data in transit is encrypted via TLS 1.2+.
• Passwords are hashed with bcrypt (12 rounds).
• Shopify webhook payloads are verified via HMAC-SHA256.
• Database access is restricted to the application process only.
• Admin sessions are time-limited (7 days) and server-side validated.

8. Data Protection Officer

For data protection inquiries, contact:
APP3 BV — Data Protection
Email: privacy@app3.be

9. Supervisory Authority

You have the right to lodge a complaint with the Belgian Data Protection Authority:
Gegevensbeschermingsautoriteit (GBA)
Drukpersstraat 35, 1000 Brussels
www.gegevensbeschermingsautoriteit.be

Gegevensbeschermingsbeleid (AVG)

Laatst bijgewerkt: april 2026

1. Verwerkingsverantwoordelijke

APP3 BV treedt op als verwerkingsverantwoordelijke voor persoonsgegevens die via Billit Connect worden verwerkt.

Contact: privacy@app3.be

2. Overzicht gegevensverwerking

Gegevenscategorie	Doel	Rechtsgrondslag	Bewaartermijn
Shopify bestelgegevens (naam, e-mail, adres, bedragen)	Facturatie in Billit	Uitvoering overeenkomst	Duur installatie + 30 dagen
BTW-nummers	B2B-classificatie & intracommunautaire levering	Uitvoering overeenkomst	Duur installatie + 30 dagen
Beheerdergegevens (e-mail, gehasht wachtwoord)	Toegangsbeheer platform	Uitvoering overeenkomst	Tot verwijdering account
Sessietokens	Authenticatie	Uitvoering overeenkomst	7 dagen (automatisch opgeruimd)
IP-adressen, browserinfo	Beveiliging & foutlogging	Gerechtvaardigd belang	90 dagen
Taalvoorkeurcookie	Gebruikerservaring	Toestemming	1 jaar

3. Subverwerkers

Subverwerker	Doel	Locatie
Billit (Silverfin NV)	Facturatie & e-facturatie	België (EU)
Shopify Inc.	E-commerceplatform (gegevensbron)	Canada / EU
Hostingprovider	Applicatie- & databasehosting	EU

4. Rechten van betrokkenen

Onder de AVG (en de Belgische Gegevensbeschermingswet) heeft u de volgende rechten:

• Recht op inzage (Art. 15): Een kopie van uw persoonsgegevens opvragen.
• Recht op rectificatie (Art. 16): Onjuiste of onvolledige gegevens corrigeren.
• Recht op wissing (Art. 17): Verwijdering van uw gegevens verzoeken ("recht om vergeten te worden").
• Recht op beperking (Art. 18): Verwerking beperken in specifieke omstandigheden.
• Recht op overdraagbaarheid (Art. 20): Uw gegevens ontvangen in een gestructureerd, machineleesbaar formaat.
• Recht van bezwaar (Art. 21): Bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.

Om een recht uit te oefenen, mail naar privacy@app3.be. Wij antwoorden binnen 30 dagen.

5. Procedure bij datalekken

Bij een inbreuk op persoonsgegevens zullen wij:

• De Gegevensbeschermingsautoriteit (GBA) binnen 72 uur op de hoogte stellen als het lek een risico vormt voor betrokkenen.
• Getroffen betrokkenen onverwijld informeren als het lek een hoog risico inhoudt.
• Alle inbreuken documenteren in een intern lekregister, ongeacht de ernst.

6. Internationale doorgifte

Uw gegevens worden hoofdzakelijk verwerkt binnen de EU/EER. Wanneer Shopify gegevens verwerkt in Canada, valt dit onder het EU-adequaatheidsbesluit voor Canada. Wij geven geen gegevens door aan landen zonder passende bescherming, tenzij passende waarborgen (zoals Standaard Contractuele Clausules) van kracht zijn.

7. Beveiligingsmaatregelen

• Alle gegevens in transit zijn versleuteld via TLS 1.2+.
• Wachtwoorden worden gehasht met bcrypt (12 rondes).
• Shopify webhook-payloads worden geverifieerd via HMAC-SHA256.
• Databasetoegang is beperkt tot het applicatieproces.
• Beheerdersessies zijn tijdgebonden (7 dagen) en server-side gevalideerd.

8. Functionaris voor gegevensbescherming

Voor vragen over gegevensbescherming, contacteer:
APP3 BV — Gegevensbescherming
E-mail: privacy@app3.be

9. Toezichthoudende autoriteit

U heeft het recht een klacht in te dienen bij de Belgische Gegevensbeschermingsautoriteit:
Gegevensbeschermingsautoriteit (GBA)
Drukpersstraat 35, 1000 Brussel
www.gegevensbeschermingsautoriteit.be