appjeboekhouding

Privacyverklaring

Versie 2.1 - laatst bijgewerkt: 24 juni 2026

appjeboekhouding ("wij", "ons") is een dienst voor ZZP'ers en vakmensen om hun zakelijke administratie te beheren. Privacy is voor ons een ontwerpprincipe, niet een formaliteit. Hieronder staat exact welke gegevens we verwerken, waarom, hoelang, en welke rechten je hebt.

1. Wie zijn wij?

Verwerkingsverantwoordelijke: Trapled (KvK 70406685). Dezelfde dienst wordt aangeboden via spreekfactuur.nl en appjeboekhouding.nl - het gaat om dezelfde gegevens, verwerking en verantwoordelijke. Contact: info@spreekfactuur.nl. Voor klachten of vragen kun je ons rechtstreeks bereiken, of contact opnemen met de Autoriteit Persoonsgegevens.

2. Welke gegevens verwerken wij?

  • Accountgegevens: naam, e-mail, telefoon, taal, profielfoto/logo, voorkeuren.
  • Bedrijfsgegevens: bedrijfsnaam, KvK-nummer, BTW-nummer, IBAN, adres, vestigingsplaats, uurtarief, branche, services.
  • Klant- en transactiegegevens: klantnamen, adressen, e-mails, telefoonnummers, factuurregels, uren, ritten, uitgaven, afspraken, aanvragen, offertes, herinneringen.
  • Spraakopnames: tijdelijke audio voor transcriptie. Audio wordt na transcriptie direct verwijderd; alleen de tekst-transcriptie wordt opgeslagen indien je een actie bevestigt.
  • Foto's: bonnen, werkfoto's, factuurbijlagen - bewaard zolang het bijbehorende document bestaat.
  • Locatiegegevens: rit-adressen en eventuele coördinaten voor afstandsberekening (alleen als jij deze opgeeft of toestemming geeft).
  • Gebruiksgegevens: voice-logs (welke intenties), feature-gebruik, foutmeldingen - voor productverbetering.
  • Betaalgegevens: abonnementsstatus via Stripe (wij zien geen betaalgegevens van je klanten).
  • WhatsApp-gegevens (alleen als je de WhatsApp-assistent gebruikt): je WhatsApp-telefoonnummer (gekoppeld aan je account), de berichten, bonfoto's en doorgestuurde contacten die je naar de assistent stuurt, en de antwoorden die wij terugsturen. Dit verloopt via de WhatsApp Business Cloud API van Meta.

3. Waarvoor en op welke grondslag?

DoelGegevensGrondslag
Uitvoering dienstAccount, bedrijf, klant, transactiesUitvoering overeenkomst
Facturen + 7 jaar bewaarplichtFactuur-/financiële dataWettelijke verplichting
ProductverbeteringGebruiksgegevens (pseudoniem)Gerechtvaardigd belang
BetalingenStripe customer-idUitvoering overeenkomst
Communicatie + supportE-mail + berichtToestemming / gerechtvaardigd belang

4. Met wie delen wij gegevens?

We delen alleen met subverwerkers die noodzakelijk zijn voor de dienst, allemaal onder verwerkersovereenkomst:

  • Supabase (database, auth, opslag) - EU-regio
  • Vercel (hosting) - EU + VS-edge, DPA actief
  • Anthropic Claude via AWS Bedrock (AI-spraakinterpretatie) - EU-regio (Frankfurt), AWS GDPR-DPA
  • Deepgram (spraak-naar-tekst & tekst-naar-spraak) - EU-endpoint (EU-dataresidentie); aanvullend EU-VS Data Privacy Framework / SCC's
  • Stripe (betalingen) - DPA + EU-VS DPF
  • Mollie (iDEAL betalingen) - NL, DPA actief
  • Resend / Postmark (e-mailverzending) - EU
  • Meta Platforms Ireland (WhatsApp Business Cloud API, alleen bij gebruik van de WhatsApp-assistent) - berichtenverkeer; EU-entiteit met mogelijke doorgifte naar de VS onder EU-VS DPF / SCC's

Wij delen geen gegevens met adverteerders of dataverkopers, ooit.

Doorgestuurde contacten van jouw klanten. Stuur je via WhatsApp een contact van je klant door, dan leggen wij die klant voor jou vast in je administratie. Jij bent in dat geval verantwoordelijk voor een geldige grondslag om die gegevens met ons te delen; wij verwerken ze uitsluitend om de dienst voor jou uit te voeren (als verwerker namens jou). Laat je de assistent namens jou een bericht aan je klant sturen, dan ben jij verantwoordelijk voor de toestemming/grondslag daarvoor en het naleven van de WhatsApp Business-voorwaarden van Meta.

Google-gebruikersgegevens (Google API Services)

Als je je Google-account koppelt, vragen we alleen toegang tot wat de gekozen functie nodig heeft:

  • Google Contacten (alleen-lezen): om je bestaande contacten als klanten te importeren, zodat je ze niet hoeft over te typen. We lezen je contacten alleen wanneer jij op "Importeren" klikt.
  • Google Agenda (afspraken lezen en schrijven): om je afspraken in je dagoverzicht te tonen en klus-afspraken twee kanten op te synchroniseren.

We gebruiken deze Google-gegevens uitsluitend om die functies te leveren, verkopen ze nooit, gebruiken ze niet voor advertenties of profilering, laten geen mensen ze lezen (behalve met jouw toestemming of waar wettelijk vereist), en delen ze niet met derden buiten het leveren van de dienst. Je kunt de koppeling op elk moment intrekken.

appjeboekhouding's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

5. Hoelang bewaren wij gegevens?

  • Facturen + bijbehorende klantdata: 7 jaar (fiscale bewaarplicht).
  • Niet-financiële klantdata: tot account-verwijdering, of langer indien gekoppeld aan facturen.
  • Spraakopnames (audio): direct verwijderd na transcriptie (binnen seconden).
  • Voice-logs (tekst-transcripties): 90 dagen, daarna geanonimiseerd voor productanalyse.
  • Server-logs en gebruikslogs: 90 dagen.
  • Verwijderingsverzoek: 30 dagen grace period waarna persoonsgegevens worden geanonimiseerd; financiële records blijven bewaard zoals wettelijk verplicht (gepseudonimiseerd).

6. Beveiliging

  • HTTPS verplicht (HSTS) op alle endpoints.
  • Row-level security in de database - elke gebruiker ziet alleen eigen data.
  • Wachtwoorden via Supabase Auth (bcrypt) of Google OAuth - wij slaan nooit wachtwoorden in leesbare vorm op.
  • Toegang voor medewerkers alleen op need-to-know, gelogd via audit log.
  • Periodieke security-audits en penetration tests.

Meer over onze maatregelen en hoe je een kwetsbaarheid meldt: Beveiliging & Trust.

7. Jouw rechten

Je hebt onder de AVG het recht op:

  • Inzage: vraag een kopie van alle data op via Instellingen → Mijn data.
  • Rectificatie: pas onjuiste gegevens aan in je profiel.
  • Vergetelheid: account verwijderen - financiële data wordt gepseudonimiseerd, alle persoonsgegevens verwijderd.
  • Beperking: pauzeer verwerking door account te bevriezen.
  • Dataportabiliteit: download je data in JSON-formaat.
  • Bezwaar: maak bezwaar tegen verwerking op basis van gerechtvaardigd belang.
  • Klacht bij toezichthouder: autoriteitpersoonsgegevens.nl.

Mail info@spreekfactuur.nl voor verzoeken die niet via de app kunnen. We reageren binnen 30 dagen.

8. Cookies en tracking

We gebruiken alleen functionele cookies die strikt noodzakelijk zijn voor inloggen en sessiebeheer. Geen advertentiecookies, geen tracking-pixels van derden, geen profilering. Daarom hoeven we ook geen cookiebanner te tonen. Vercel verzamelt anonieme pageview-statistieken zonder cookies of persoonsgegevens.

9. Doorgifte buiten EER

De AI-spraakinterpretatie (Claude) draait in de EU via AWS Bedrock (Frankfurt) en spraak ↔ tekst verloopt via het EU-endpoint van Deepgram (EU-dataresidentie). Deepgram en Stripe zijn van oorsprong Amerikaanse leveranciers; voor zover er toch verwerking buiten de EU plaatsvindt, is doorgifte gebaseerd op het EU-VS Data Privacy Framework en aanvullende contractuele waarborgen (SCC's). Audio wordt versleuteld verstuurd en niet gebruikt om modellen te trainen. Gebruik je de WhatsApp-assistent, dan loopt het berichtenverkeer via Meta (WhatsApp Business Cloud API); ook hiervoor geldt doorgifte onder het EU-VS Data Privacy Framework en/of SCC's.

10. Datalek

Mocht er onverhoopt een datalek zijn, dan melden we dat binnen 72 uur bij de Autoriteit Persoonsgegevens en, als jouw data betrokken is met hoog risico, ook bij jou. Onze datalek-procedure is intern gedocumenteerd.

11. Wijzigingen

Wij kunnen deze privacyverklaring aanpassen. Materiële wijzigingen melden we vooraf per e-mail. De laatste versie staat altijd op deze pagina.

Verantwoordelijke: appjeboekhouding · info@spreekfactuur.nl · Algemene voorwaarden