Wat we weten over je.

1. Wie is verwerkingsverantwoordelijke?

Total Energy Projects BV — hoofdzetel Wortegem-Petegem (België), werkhuis Herentals, NL-vestiging Eersel. BTW BE0XXX.XXX.XXX. Volledig contact onderaan deze pagina.

Vragen over deze verklaring of over je gegevens? Mail privacy@totalenergyprojects.be. We antwoorden binnen 5 werkdagen.

2. Welke data verzamelen we?

We verzamelen alleen data die we echt nodig hebben. Geen datapunten "voor later". Concreet gaat het om:

• Offerteformulier: voornaam, achternaam, e-mail, telefoon, postcode, land, product-interesse, type woning, huidige energiesituatie, (optioneel) jaarverbruik in kWh, (optioneel) bericht.

• Marketing-attributie (automatisch via je browser): utm_source, utm_medium, utm_campaign, utm_term, utm_content, gclid, fbclid, msclkid, ttclid, landingspagina-URL, referrer, user-agent, viewport-afmetingen, browsertaal.

• Technische cookies: sessionStorage voor UTM-persistence over meerdere pagina's, httpOnly cookie "tep_admin" voor het intern admin-paneel.

• Server-logs: IP-adres + tijdstip van requests, bewaard door onze hosting-provider. Alleen voor beveiliging en foutopsporing.

3. Waarvoor gebruiken we deze data?

• Je offerteaanvraag opvolgen, contact opnemen en een voorstel op maat maken.

• Berekenen welk marketing-kanaal werkt zodat we budget goed alloceren (aggregaat, geen individueel profiel).

• Wettelijke en fiscale verplichtingen (facturen, garantie-administratie, boekhouding).

• Klantendossiers opvolgen als je TEP-klant wordt (installatieplanning, onderhoud, service-geschiedenis).

4. Op welke rechtsgrond?

• Toestemming (art. 6.1.a AVG): je zet expliciet een vinkje "Akkoord privacybeleid" op het offerteformulier. Zonder dat verwerken we niets.

• Gerechtvaardigd belang (art. 6.1.f AVG): aggregaat-statistieken over marketing-kanaal-performance, fraud prevention op server-logs.

• Contractuele uitvoering (art. 6.1.b AVG): zodra je klant wordt, is dossier-beheer nodig om het contract uit te voeren.

• Wettelijke verplichting (art. 6.1.c AVG): fiscale bewaarplicht van facturen (7 jaar in BE, 7 jaar in NL).

5. Hoe lang bewaren we?

• Offerte-leads die géén klant worden: maximaal 3 jaar na laatste contactmoment, daarna automatisch verwijderd.

• Nieuwsbrief-inschrijvingen: tot je uitschrijft (één klik in elke mail).

• Klantendossiers: 10 jaar na einde contract, overeenkomstig BE/NL fiscale bewaarplicht en garantie-looptijd van onze installaties.

• Technische server-logs: maximaal 90 dagen, tenzij er een beveiligingsincident is.

• Intern admin-auth cookie: 8 uur, daarna opnieuw inloggen verplicht.

6. Delen we met derden?

Nooit voor commerciële doeleinden. We verkopen geen data. Beperkt delen gebeurt met:

• Eigen TEP-team en installateurs (alle medewerkers zijn gebonden aan een confidentialiteitsclausule). Géén onderaannemers buiten TEP.

• Hosting-provider (EU, datacentrum in Frankfurt/Amsterdam — geen Amerikaanse clouds): database + applicatieservers.

• Google Ads & Meta: alleen pixel-events ("lead gesubmit") voor conversie-attributie. Géén persoonsgegevens worden doorgestuurd.

• Boekhouder + auditor (alleen bij klantendossiers, onder beroepsgeheim).

• Gerechtelijke of fiscale overheden bij een wettelijk bevel.

7. Cookies & tracking

Deze website gebruikt minimaal drie soorten opslag op je toestel:

• Functioneel noodzakelijk — cookie "tep_attr" (90 dagen rolling). Bevat je campagne-parameters (utm_source, utm_medium, utm_campaign, utm_term, utm_content, gclid, fbclid, msclkid, ttclid), de landingspagina en de verwijzende URL. Elke keer je via een nieuwe campagne terugkomt, voegen we de nieuwe touch toe aan een historiek (max 20 entries, FIFO). Bij een offerte versturen we die historiek mee naar onze backend zodat we per lead kunnen zien welke campagnes bijdroegen. De cookie bevat geen persoonsgegevens — geen naam, geen e-mail, geen IP.

• Functioneel — cookie "tep_consent": onthoudt je keuze in de cookie-banner (12 maanden).

• Noodzakelijk — cookie "tep_admin": alleen gezet als je inlogt op /admin. JWT-token, httpOnly, Secure in productie, 8u geldig. Niet zichtbaar voor JavaScript.

• Geen Google Analytics, geen Meta Pixel, geen Hotjar, geen heatmaps. Analytics-events die we naar Google Ads / Meta sturen gebeuren alleen via Measurement Protocol (server-to-server) met gehashte waardes.

8. Je rechten

Onder de AVG / GDPR heb je deze rechten. Eén mail naar privacy@totalenergyprojects.be is genoeg:

• Recht op inzage: je krijgt een kopie van alle data die we over je hebben.

• Recht op rectificatie: foute of verouderde info aanpassen.

• Recht op wissen ("right to be forgotten"): volledige verwijdering, voor zover we niet wettelijk verplicht zijn te bewaren (fiscaal dossier).

• Recht op beperking: stop met bepaalde verwerkingen zonder alles te wissen.

• Recht op bezwaar tegen verwerking op basis van gerechtvaardigd belang.

• Recht op overdraagbaarheid: je data in JSON- of CSV-formaat naar jou of naar een andere leverancier.

• Recht om je toestemming te allen tijde in te trekken (zonder dat dit eerdere verwerking onrechtmatig maakt).

• Recht om een klacht in te dienen bij de Gegevensbeschermingsautoriteit (GBA / APD) via gegevensbeschermingsautoriteit.be.

9. Beveiliging

Alle data loopt over HTTPS (TLS 1.2+). De database staat in een privaat Docker-netwerk, niet rechtstreeks bereikbaar vanaf internet. Wachtwoorden zijn bcrypt-gehashed. Toegang tot het admin-paneel vereist 2-factor (in roadmap voor Q4 2026) en is beperkt tot geautoriseerde medewerkers.

Bij een datalek dat een risico voor je rechten oplevert, melden we dat binnen 72 uur aan de GBA en rechtstreeks aan jou indien wettelijk vereist.

10. Wijzigingen aan dit beleid

Wij updaten dit beleid als onze verwerking verandert. Laatste significante update staat bovenaan. Grote wijzigingen laten we weten via e-mail (aan klanten) of via een banner bij je volgend bezoek.