Privacyverklaring — Boilerplate
Versie: 2026-06-10 — geldig vanaf 2026-06-10
1. Wie zijn wij?
Boilerplate, gevestigd te Add registered address before launch, ingeschreven bij de KvK onder nummer Add KvK number before launch, is verantwoordelijke voor de verwerking van persoonsgegevens zoals beschreven in deze verklaring.
- Contact: [email protected]
- Functionaris voor Gegevensbescherming (DPO): Not appointed for template — [email protected]
2. Welke gegevens verwerken wij?
| Categorie | Voorbeelden | Doel |
|---|---|---|
| Identificerende gegevens | Naam, e-mailadres, telefoonnummer | Accountbeheer, bestellingen |
| Adresgegevens | Bezorg- en factuuradres | Verzending, facturatie |
| Betalingsgegevens | Tokenized PSP-referentie (we slaan geen kaartnummers op) | Betaalverwerking via Mollie |
| Inloggegevens | Wachtwoord (bcrypt-hash), 2FA-secret | Authenticatie |
| Communicatiegegevens | Berichten via support, marketing-voorkeur | Klantenservice, marketing (met toestemming) |
| Technische gegevens | IP-adres (HMAC), apparaattype, paginabezoeken | Beveiliging, fraudepreventie, anonieme analytics |
3. Op welke grondslag verwerken wij?
| Doel | Grondslag (AVG Art. 6) |
|---|---|
| Uitvoering overeenkomst | 6(1)(b) |
| Wettelijke verplichting (fiscale bewaarplicht 7 jaar) | 6(1)(c) |
| Marketing per e-mail / nieuwsbrief | 6(1)(a) — uitdrukkelijke toestemming, te allen tijde intrekbaar |
| Beveiliging + fraudepreventie | 6(1)(f) — gerechtvaardigd belang |
4. Hoe lang bewaren wij?
| Gegevenscategorie | Bewaartermijn |
|---|---|
| Accountgegevens | Tot accountverwijdering; daarna geanonimiseerd voor fiscale doeleinden |
| Bestelgegevens + facturen | 7 jaar (Art. 52 AWR) |
| Marketing-toestemming | Tot intrekking; consent-log 7 jaar (bewijslast) |
| Applicatie-logs | 30 dagen |
| Backups | 30 dagelijks + 12 maandelijks + 5 jaarlijks (versleuteld) |
Backups bevatten gegevens die in productie geanonimiseerd zijn. Bij de eerstvolgende restore wordt de anonimisatie op de backup herhaald. Zie ADR 0012 in onze technische documentatie.
5. Met wie delen wij?
| Verwerker | Doel | Regio | DPA op file |
|---|---|---|---|
| Hetzner | Hosting | EU (Nürnberg / Falkenstein) | Ja |
| Cloudflare | DNS, CDN, WAF | EU edge voor EU-gebruikers (Data Localisation Suite) | Ja |
| Mollie | Betalingen | NL/EU | Ja |
| MyParcel | Verzending | NL | Ja |
| Resend | Transactionele + marketing e-mail | Resend EU tier | Ja |
| none (Sentry EU / Flare EU) | Foutregistratie | EU | Ja |
Wij verkopen je gegevens niet aan derden. Wij delen alleen wat nodig is voor de in deze verklaring genoemde doelen.
6. Doorgifte buiten de EER
Geen doorgifte buiten de EER — alle standaard verwerkers staan in de EU.
7. Jouw rechten
Je hebt het recht op:
- Inzage (Art. 15): klik "Mijn gegevens downloaden" in je accountinstellingen. Je ontvangt binnen 30 dagen een versleutelde JSON-export.
- Rectificatie (Art. 16): wijzig je gegevens in je accountinstellingen.
- Verwijdering (Art. 17): klik "Account verwijderen". Wij verwijderen je profiel direct; gegevens met fiscale bewaarplicht worden geanonimiseerd na 30 dagen. Zie ook our right-to-be-forgotten runbook.
- Beperking (Art. 18) — stuur ons een verzoek.
- Bezwaar (Art. 21) — stuur ons een verzoek.
- Dataportabiliteit (Art. 20) — gebruik dezelfde JSON-export als bij inzage.
- Intrekken toestemming (Art. 7(3)) — link in elke marketing-mail
- "uitschrijven" in je accountinstellingen.
- Klacht bij toezichthouder — Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ Den Haag.
Wij reageren binnen 30 dagen.
8. Beveiliging
Wij hanteren onder andere:
- TLS 1.3 voor al het verkeer.
- AES-256 versleuteling op gevoelige kolommen.
- HMAC-SHA-256 lookups voor zoekvelden (e-mail, telefoon).
- 2FA verplicht voor alle medewerkers.
- Wekelijkse penetratietests + jaarlijkse audits.
- Vaste rotatie van geheime sleutels (zie onze secrets-rotation runbook).
Bij een inbreuk melden wij dat binnen 72 uur aan de Autoriteit Persoonsgegevens conform Art. 33 AVG, en indien vereist aan betrokkenen conform Art. 34 AVG.
9. Cookies
Zie ons cookiebeleid. Wij plaatsen alleen functionele cookies zonder toestemming; alle andere cookies (analytics, marketing) vragen om uitdrukkelijke toestemming via onze cookie-banner.
10. Wijzigingen
Wij kunnen deze verklaring aanpassen. Bij ingrijpende wijzigingen informeren wij ingelogde gebruikers per e-mail.
11. Contact
Vragen? Stuur een e-mail naar [email protected] of schrijf naar Add registered address before launch.