hieronder is inhoudelijk. -->

Privacy Statement

Last updated: 2026-04-12

This statement describes how Diletti Holding B.V. ("Diletti", "we", "us") processes personal data in connection with this website (www.diletti.nl) and the services we offer. It is written to comply with Regulation (EU) 2016/679 (the General Data Protection Regulation, GDPR) and the Dutch GDPR Implementation Act (UAVG).

1. Who we are

Diletti Holding B.V.
Dorpsstraat 39, 2712 AC Zoetermeer
The Netherlands
KvK: 27168050
VAT: NL806460283B01
Privacy inquiries: diletti@casema.nl

Diletti is the controller within the meaning of Article 4(7) GDPR for all personal data described in this statement.

2. What personal data we collect and why

2.1 Contact form submissions

When you submit the contact form on this website we process the following data:

Name
Email address
Phone number (optional)
The message content you provide
Technical metadata: timestamp and IP address of submission

Purpose: to respond to your inquiry and, if mutually agreed, to prepare a professional engagement.
Legal basis: Article 6(1)(b) GDPR — steps taken at the request of the data subject prior to entering into a contract; and Article 6(1)(f) GDPR — our legitimate interest in responding to qualified business inquiries.
Retention: contact form submissions are retained for 24 months from the date of receipt. If a professional engagement results, the relevant data are transferred to the client file and retained under the retention rule in section 2.3.

2.2 Calendly meeting bookings

Our contact page embeds a scheduling widget provided by Calendly LLC ("Calendly"). The embed is only loaded after you give explicit consent via the cookie banner under the "Marketing" category. When you book a meeting, you enter your name, email address and the proposed meeting time directly on Calendly's infrastructure. Calendly acts as an independent controller for its own platform operations and as our processor for the scheduling data we receive.

Purpose: to schedule an introductory call.
Legal basis: Article 6(1)(a) GDPR — your consent to the Calendly cookies; Article 6(1)(b) GDPR — pre-contractual steps.
Retention: 24 months after the scheduled meeting, unless a subsequent engagement applies a longer rule.

2.3 Client files (advisory engagements)

When we enter into an advisory engagement, we process the personal data strictly necessary to perform the engagement, which may include names, contact details and professional role information of your employees and representatives.

Purpose: contract performance.
Legal basis: Article 6(1)(b) GDPR (contract) and Article 6(1)(c) GDPR (legal obligation under Dutch fiscal and professional-liability rules).
Retention: 7 years from the end of the fiscal year in which the engagement terminated, in line with the retention obligation of Article 52 of the Dutch General State Taxes Act (AWR).

2.4 Website usage data (analytics)

If you accept "Statistics" cookies via the banner, we use Google Analytics 4 via Google Tag Manager to measure aggregated usage (pageviews, scroll depth, form submissions, outbound clicks). We run Analytics in IP-anonymised mode and with Google Consent Mode v2, meaning no measurement occurs until you have consented. No audience identifiers or advertising features are activated.

Purpose: to understand which content is useful and to improve the website.
Legal basis: Article 6(1)(a) GDPR — consent.
Retention: 14 months in GA4, after which data are automatically deleted.

3. Processors and sub-processors

We engage the following parties to process personal data on our behalf. Each is bound by a data processing agreement under Article 28 GDPR.

Supabase, Inc. — backend database for contact form submissions. Data are stored in the eu-central-1 (Frankfurt) region within the European Economic Area.
Calendly LLC — appointment scheduling (loaded only after marketing consent). Calendly is US-based; the transfer is governed by the EU Standard Contractual Clauses.
Google LLC / Google Ireland Ltd. — Google Analytics 4, Google Tag Manager, Google Search Console (loaded only after statistics consent). Transfers to the US are covered by the EU-US Data Privacy Framework.
Vercel Inc. — website hosting infrastructure within the EEA.

4. International transfers

Where personal data are transferred outside the European Economic Area (primarily to Calendly and Google in the United States), Diletti relies on the European Commission's adequacy decision for the EU-US Data Privacy Framework and/or the Standard Contractual Clauses adopted in Commission Implementing Decision (EU) 2021/914, supplemented by supplementary technical and organisational measures where appropriate.

5. Your rights

Under Articles 15-22 GDPR you have the right to:

access the personal data we hold about you;
rectify inaccurate or incomplete data;
request erasure ("right to be forgotten");
restrict processing;
object to processing based on legitimate interests;
data portability in a structured, machine-readable format;
withdraw consent at any time, without affecting the lawfulness of processing before withdrawal.

To exercise any of these rights, email diletti@casema.nl. We will respond within 30 days. We may request identification to prevent wrongful disclosure.

6. Right to lodge a complaint

If you believe we are processing your personal data unlawfully, you have the right to lodge a complaint with the Dutch Data Protection Authority (Autoriteit Persoonsgegevens) via autoriteitpersoonsgegevens.nl. We kindly ask you to contact us first so we can try to resolve the matter directly.

7. Security

We apply appropriate technical and organisational measures to protect personal data against loss, misuse and unauthorised access, including HTTPS/TLS 1.3 in transit, access controls on processor systems, and the principle of least privilege for internal data access.

8. Changes

We may update this statement to reflect changes in our processing activities or legal requirements. Material changes will be highlighted on this page for at least 30 days. The "last updated" date at the top of this page always reflects the current version.

Privacyverklaring

Laatst bijgewerkt: 2026-04-12

Deze verklaring beschrijft hoe Diletti Holding B.V. ("Diletti", "wij", "ons") persoonsgegevens verwerkt in verband met deze website (www.diletti.nl) en de diensten die wij aanbieden. De verklaring is opgesteld conform Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming, AVG) en de Uitvoeringswet AVG.

1. Wie zijn wij

Diletti Holding B.V.
Dorpsstraat 39, 2712 AC Zoetermeer
Nederland
KvK: 27168050
BTW: NL806460283B01
Privacy-vragen: diletti@casema.nl

Diletti is verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG voor alle persoonsgegevens die in deze verklaring worden beschreven.

2. Welke persoonsgegevens wij verwerken en waarom

2.1 Contactformulier

Wanneer u het contactformulier op deze website gebruikt, verwerken wij:

Naam
E-mailadres
Telefoonnummer (optioneel)
De inhoud van uw bericht
Technische metadata: tijdstip en IP-adres van verzending

Doel: reageren op uw vraag en, bij wederzijdse instemming, het voorbereiden van een opdracht.
Grondslag: artikel 6 lid 1 sub b AVG — maatregelen op verzoek van de betrokkene vóór het sluiten van een overeenkomst; en artikel 6 lid 1 sub f AVG — ons gerechtvaardigde belang om inhoudelijk te reageren op zakelijke vragen.
Bewaartermijn: 24 maanden na ontvangst. Indien een opdracht ontstaat, worden de relevante gegevens overgeheveld naar het dossier en vallen onder de regeling in 2.3.

2.2 Afspraken via Calendly

Onze contactpagina bevat een agenda-widget van Calendly LLC ("Calendly"). De widget wordt pas geladen nadat u expliciete toestemming heeft gegeven via de cookiebanner, categorie "Marketing". Bij het boeken van een afspraak voert u naam, e-mailadres en de gewenste tijd direct in op de infrastructuur van Calendly. Calendly is zelfstandig verantwoordelijk voor het platformbeheer en treedt voor ons op als verwerker voor de afspraakgegevens die wij ontvangen.

Doel: het plannen van een kennismakingsgesprek.
Grondslag: artikel 6 lid 1 sub a AVG — uw toestemming; en artikel 6 lid 1 sub b AVG — precontractuele maatregelen.
Bewaartermijn: 24 maanden na het geplande gesprek.

2.3 Klantdossiers (adviesopdrachten)

Bij het aangaan van een adviesopdracht verwerken wij de persoonsgegevens die strikt noodzakelijk zijn voor de uitvoering, zoals namen, contactgegevens en functieaanduidingen van uw medewerkers en vertegenwoordigers.

Doel: uitvoering van de overeenkomst.
Grondslag: artikel 6 lid 1 sub b AVG (overeenkomst) en artikel 6 lid 1 sub c AVG (wettelijke verplichting onder onder meer artikel 52 AWR en beroepsaansprakelijkheidsregels).
Bewaartermijn: 7 jaar na afloop van het boekjaar waarin de opdracht is beëindigd, conform artikel 52 AWR.

2.4 Websitegebruik (analytics)

Als u "Statistieken"-cookies accepteert via de banner, gebruiken wij Google Analytics 4 via Google Tag Manager om geaggregeerd gebruik te meten (pageviews, scroll-diepte, form-submissions, outbound-clicks). Wij draaien Analytics in IP-geanonimiseerde modus met Google Consent Mode v2 — er wordt niets gemeten tot u toestemming heeft gegeven. Advertentiefuncties en audience-identifiers staan uit.

Doel: begrijpen welke content waarde toevoegt en de website verbeteren.
Grondslag: artikel 6 lid 1 sub a AVG — toestemming.
Bewaartermijn: 14 maanden in GA4, daarna automatische verwijdering.

3. Verwerkers en subverwerkers

Wij schakelen onderstaande partijen in om in opdracht van ons persoonsgegevens te verwerken. Met elk hiervan is een verwerkersovereenkomst gesloten conform artikel 28 AVG.

Supabase, Inc. — backend-database voor het contactformulier. Opslag in de regio eu-central-1 (Frankfurt) binnen de Europese Economische Ruimte.
Calendly LLC — agenda-widget (alleen geladen na toestemming marketing). Calendly is gevestigd in de VS; de doorgifte vindt plaats onder de EU Standard Contractual Clauses.
Google LLC / Google Ireland Ltd. — Google Analytics 4, Google Tag Manager, Google Search Console (alleen geladen na toestemming statistieken). Doorgiften naar de VS vallen onder het EU-VS Data Privacy Framework.
Vercel Inc. — hostinginfrastructuur binnen de EER.

4. Internationale doorgiften

Voor zover persoonsgegevens buiten de Europese Economische Ruimte worden doorgegeven (met name naar Calendly en Google in de Verenigde Staten), baseert Diletti zich op het adequaatheidsbesluit van de Europese Commissie voor het EU-VS Data Privacy Framework en/of de Standard Contractual Clauses uit Uitvoeringsbesluit (EU) 2021/914, aangevuld met passende technische en organisatorische maatregelen.

5. Uw rechten

Op grond van de artikelen 15 tot en met 22 AVG heeft u het recht om:

inzage te krijgen in uw persoonsgegevens;
onjuiste of onvolledige gegevens te laten corrigeren;
gegevens te laten verwijderen ("recht op vergetelheid");
de verwerking te beperken;
bezwaar te maken tegen verwerking op grond van gerechtvaardigd belang;
gegevens over te dragen in een gestructureerd, machineleesbaar formaat;
een gegeven toestemming op elk moment in te trekken, zonder dat dit de rechtmatigheid van verwerking vóór de intrekking aantast.

Om een van deze rechten uit te oefenen, mail naar diletti@casema.nl. Wij reageren binnen 30 dagen. Wij kunnen om identificatie vragen om onrechtmatige verstrekking te voorkomen.

6. Klacht indienen

Als u van mening bent dat wij uw persoonsgegevens onrechtmatig verwerken, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl. Wij vragen u om ons eerst te benaderen zodat wij kunnen proberen de situatie direct op te lossen.

7. Beveiliging

Wij nemen passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens tegen verlies, misbruik en onbevoegde toegang, waaronder HTTPS/TLS 1.3 tijdens transport, toegangscontroles op systemen van verwerkers en het principe van minimale autorisatie voor interne toegang.

8. Wijzigingen

Wij kunnen deze verklaring wijzigen als gevolg van veranderingen in onze verwerkingsactiviteiten of wetgeving. Materiële wijzigingen worden ten minste 30 dagen op deze pagina gemarkeerd. De datum "laatst bijgewerkt" bovenaan deze pagina geeft altijd de geldende versie aan.