Privacyverklaring
Laatst bijgewerkt:
afdinger werkt alleen als jij erop kunt vertrouwen dat je gegevens veilig zijn. Hieronder lees je welke persoonsgegevens wij verwerken, waarom, met wie we ze delen, hoe lang we ze bewaren en welke rechten jij hebt.
1. Wie we zijn en hoe je ons bereikt
Verwerkingsverantwoordelijke is Lost Dutchman Labs B.V. in Amsterdam. Vragen over privacy gaan naar info@afdinger.nl.
- Statutaire naam: Lost Dutchman Labs B.V., handelend onder de naam afdinger
- Adres: Van Baerlestraat 13E, 1071 AM Amsterdam, Nederland
- KvK-nummer: 86265741
- BTW-nummer: NL863914895B01
- E-mail voor privacyzaken: info@afdinger.nl
2. Samenvatting in één oogopslag
De korte versie. Voor de details staan de volledige paragrafen hieronder.
- We verwerken alleen wat nodig is om jouw offerte te checken en namens jou te onderhandelen.
- We delen niets met leveranciers zonder jouw uitdrukkelijke toestemming per offerte.
- GA4 en Meta Pixel zetten we pas in nadat jij cookies hebt geaccepteerd.
- Betalingen lopen via Stripe; volledige kaartgegevens zien wij niet.
- Jij hebt recht op inzage, correctie, verwijdering en meer, mail info@afdinger.nl.
- Op deze verklaring is Nederlands recht en de AVG van toepassing.
3. Definities
- Persoonsgegevens: alle gegevens die direct of indirect tot jou herleidbaar zijn.
- Verwerken: alles wat we met persoonsgegevens doen: verzamelen, opslaan, analyseren, doorgeven, verwijderen.
- AVG: de Algemene verordening gegevensbescherming, EU 2016/679.
- Verwerker / subverwerker: een derde die in onze opdracht persoonsgegevens verwerkt.
- Offerte, Audit, Streefprijs, Onderhandeling, Besparing, Partner: zoals omschreven in onze algemene voorwaarden.
4. Reikwijdte van deze verklaring
Deze verklaring geldt voor de afdinger-app, deze website (afdinger.nl), alle e-mailcommunicatie vanuit @afdinger.nl en de pushnotificaties die wij sturen. Externe sites of diensten waarnaar wij linken hebben hun eigen privacybeleid.
5. Welke persoonsgegevens we verwerken
Een offerte kan persoonsgegevens bevatten (adres, projectomschrijving, soms naam). Wij behandelen die met dezelfde zorg als je accountgegevens.
Door jou aan ons verstrekt
- Accountgegevens: e-mailadres, eventueel naam, en identifier van Apple- of Google-login.
- Offerte-inhoud: het bestand (PDF / foto / e-mail) en de extractie daarvan. Dit kan persoonsgegevens bevatten zoals naam en adres van jou, het adres van het project, en contactgegevens van de leverancier.
- Communicatie met klantenservice: e-mailberichten, in-app berichten en eventuele bijlagen.
Door ons gegenereerd of afgeleid
- Streefprijs, Betrouwbaarheidsscore en markeringen per regel (te hoog, overbodig, etc.).
- Het volledige transcript van de Onderhandeling.
- Geanonimiseerde gebruiksstatistieken die we inzetten om de Dienst te verbeteren.
Automatisch verzameld
- Technische gegevens van je apparaat (type, OS, browserversie, taal), nodig voor weergave en beveiliging.
- IP-adres, alleen voor zover nodig voor de werking en beveiliging van de Dienst.
- Cookies en vergelijkbare technieken: zie Bijlage A.
Door derden aangeleverd
- Antwoorden van leveranciers tijdens een Onderhandeling, ontvangen via Postmark.
- Bevestigingen van Stripe over geslaagde betalingen (zonder volledige kaartgegevens).
6. Doeleinden en grondslagen
Per doel zie je hier welke gegevens we gebruiken, op welke AVG-grondslag en welke verwerker erbij betrokken is.
| Doel | Gegevens | Grondslag (Art. 6 AVG) | Verwerkers | Bewaartermijn |
|---|---|---|---|---|
| Account beheren | E-mail, naam, login-id | Art. 6(1)(b): uitvoering overeenkomst | Convex; Apple-/Google-login | Actief + 6 maanden |
| Offerte analyseren (Audit) | Offerte-inhoud, afgeleide data | Art. 6(1)(b): uitvoering overeenkomst | Vercel AI, Convex, Google Cloud | 24 maanden na sluiting |
| Onderhandelen per e-mail | Leverancierscontact, transcript | Art. 6(1)(b) + Art. 6(1)(a) consent per offerte | Postmark | 24 maanden na sluiting |
| Slagingsvergoeding innen | Betaal-token, transactiedata | Art. 6(1)(b) + Art. 6(1)(c) fiscaal | Stripe | 7 jaar (fiscaal) |
| Klantenservice | E-mail-correspondentie | Art. 6(1)(f) gerechtvaardigd belang | Postmark, Convex | 24 maanden |
| Productverbetering (geaggregeerd) | Geanonimiseerde gebruiksdata | Art. 6(1)(f) gerechtvaardigd belang | intern | doorlopend |
| Marketing analytics | GA4-cookies, Meta-pixel | Art. 6(1)(a) toestemming | Google, Meta | Zie Bijlage A |
| Partnerdoorverwijzing | Projectspecs (minimaal PII) | Art. 6(1)(a) toestemming | geselecteerde Partners | Tot afronding offerte |
| Pushnotificaties | Device token | Art. 6(1)(a) toestemming | Firebase | Tot opt-out |
7. Bronnen van persoonsgegevens
We ontvangen persoonsgegevens (a) rechtstreeks van jou wanneer je de Dienst gebruikt, (b) automatisch via je apparaat of browser bij gebruik van de Dienst, en (c) van derden zoals leveranciers (in hun reacties tijdens een Onderhandeling) en Stripe (bij een geslaagde betaling).
8. Geautomatiseerde besluitvorming en AI-analyse
Onze AI maakt analyses; jij neemt de beslissingen. We nemen geen geautomatiseerde besluiten die jou rechtens of in aanmerkelijke mate raken.
Wij zetten AI in om jouw Offerte regel voor regel te analyseren en een Streefprijs en Betrouwbaarheidsscore te berekenen. Deze uitkomsten zijn indicatief en bedoeld als hulpmiddel; de uiteindelijke beslissing of je een Offerte accepteert of door ons laat onderhandelen, neem je zelf in de app.
Wij nemen geen geautomatiseerde beslissingen in de zin van artikel 22 AVG die jou rechtsgevolgen opleveren of jou anderszins in aanmerkelijke mate treffen.
9. Het onderhandelingsproces en e-mail namens jou
Een Onderhandeling start uitsluitend nadat jij in de app uitdrukkelijk hebt aangegeven dat afdinger namens jou een e-mail aan de leverancier mag sturen vanuit afdinger@afdinger.nl. Wij houden in de app een volledig en voor jou inzichtelijk transcript bij van alle verstuurde en ontvangen berichten. Je kunt de Onderhandeling op elk moment stopzetten.
We delen alleen de informatie met de leverancier die nodig is om over de Offerte te onderhandelen. Andere persoonsgegevens, zoals je betaalgegevens of het transcript van eerdere onderhandelingen, delen we nooit met leveranciers.
10. Partnernetwerk en doorgifte van offerteaanvragen
Het Partnernetwerk gebruiken we alleen als jij daar uitdrukkelijk om vraagt, bijvoorbeeld omdat de oorspronkelijke leverancier niet wil of kan onderhandelen. Wij delen dan de projectspecificaties die nodig zijn om een gerichte alternatieve offerte te kunnen uitbrengen, en zo min mogelijk persoonsgegevens. Postcode of regio kan worden gedeeld; we proberen volledige adressen pas door te geven nadat jij een Partneraanbieding hebt geaccepteerd.
12. Pushnotificaties en in-app berichten
Wij sturen pushnotificaties via Firebase Cloud Messaging, bijvoorbeeld om je te laten weten dat een leverancier heeft gereageerd. Pushnotificaties krijgen we pas als jij op je apparaat hebt ingestemd. Je kunt deze toestemming op elk moment intrekken via de instellingen van je apparaat.
13. Inloggen via Apple en Google
Als je via Apple of Google inlogt, ontvangen wij van die provider een unieke identifier, je e-mailadres en (afhankelijk van de provider) je naam. We slaan geen wachtwoorden of andere inloggegevens van deze providers op. De voorwaarden en privacyverklaringen van Apple en Google zijn op die inlog van toepassing.
14. Betalingen via Stripe
Wij verwerken betalingen via Stripe Payments Europe Ltd. Wij ontvangen alleen de gegevens die nodig zijn om de transactie te verwerken en te boekhouden: het transactiebedrag, de status, een Stripe-token en (bij iDEAL/SEPA) de bankgegevens die de Gebruiker invoert bij Stripe. Wij ontvangen geen volledige kaartnummers, CVC's of inloggegevens van je bank. Stripe handelt onder eigen voorwaarden als zelfstandig verwerkingsverantwoordelijke voor onder andere fraudepreventie en anti-witwasverplichtingen.
15. Hosting en infrastructuur
Onze backend en AI-inferentie draaien op infrastructuur van Google Cloud. Wij zetten waar mogelijk in op EU-regio's voor opslag en verwerking.
16. Subverwerkers: volledige lijst
Met deze partijen werken wij samen om de Dienst te kunnen leveren. Met al deze partijen sluiten wij een verwerkersovereenkomst en, waar nodig, EU-Standaardcontractbepalingen.
| Subverwerker | Doel | Land / regio | Doorgiftemechanisme |
|---|---|---|---|
| Convex (Convex, Inc.) | Realtime database en applicatieserver | EU / VS | SCC + aanvullende maatregelen |
| Vercel AI (Vercel, Inc.) | AI-orchestration voor offerte-analyse | EU / VS | SCC + aanvullende maatregelen |
| Stripe Payments Europe Ltd | Betalingsverwerking (success fee) | EU (Ierland) / VS | SCC + adequaatheidsbesluit waar van toepassing |
| Postmark (ActiveCampaign) | Transactionele e-mail (Onderhandeling) | VS | SCC + aanvullende maatregelen |
| Firebase (Google LLC) | Pushnotificaties, mobiele backend | EU / VS | SCC + adequaatheidsbesluit (Data Privacy Framework) |
| Google Analytics 4 (Google LLC) | Anoniem websitegebruik (alleen na consent) | EU / VS | SCC + Data Privacy Framework |
| Meta Pixel (Meta Platforms Ireland Ltd) | Advertentie-attributie (alleen na consent) | EU / VS | SCC + Data Privacy Framework |
| Google Cloud (Google Ireland Ltd) | Hosting / compute / opslag | EU | Standaardvoorwaarden Google Cloud |
| Apple Inc. | Sign-in with Apple | EU / VS | SCC + Data Privacy Framework |
| Google LLC | Sign-in with Google | EU / VS | SCC + Data Privacy Framework |
| Google LLC | Google Maps-iframe in footer (kantoor) | EU / VS | SCC + Data Privacy Framework |
17. Doorgifte buiten de EER
Sommige van onze subverwerkers zijn gevestigd in de Verenigde Staten of dragen daar gegevens over (waaronder Stripe, Postmark, Vercel AI, Firebase, Google Analytics, Meta). Voor deze doorgiftes baseren wij ons op (a) het EU-VS Data Privacy Framework voor partijen die daaronder zijn gecertificeerd, en/of (b) de modelcontracten van de Europese Commissie (Standard Contractual Clauses) aangevuld met passende technische en organisatorische maatregelen.
18. Beveiligingsmaatregelen
Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen, waaronder:
- Versleutelde verbindingen (TLS 1.2+) tussen jouw apparaat en onze diensten.
- Versleuteling van gegevens in rust waar onze leveranciers dat aanbieden.
- Multi-factor-authenticatie voor interne toegang.
- Principe van minimale toegang (least privilege) voor medewerkers en systemen.
- Logging van toegangs- en wijzigingsacties op productieomgeving.
- Regelmatige beoordeling van toegangsrechten en afspraken met subverwerkers.
Geen enkel systeem is 100% veilig. Mocht er onverhoopt sprake zijn van een datalek dat een risico oplevert voor jouw rechten en vrijheden, dan melden wij dit onverwijld bij de Autoriteit Persoonsgegevens en, waar vereist, bij jou.
19. Bewaartermijnen
| Categorie | Bewaartermijn | Reden |
|---|---|---|
| Accountgegevens | Zolang je account actief is + 6 maanden | Identificatie en heropening |
| Offerte-inhoud en Audit | 24 maanden na sluiting Onderhandeling | Klantenservice, modelverbetering, geschillen |
| Onderhandelingstranscript | 24 maanden na sluiting Onderhandeling | Bewijs en klantenservice |
| Betaalrecords / facturen | 7 jaar | Fiscale bewaarplicht (Algemene wet inzake rijksbelastingen) |
| Klantenservice-correspondentie | 24 maanden | Klachtafhandeling en geschillen |
| Analytics (GA4) | 14 maanden (GA4-default) | Aggregaat-analyse |
| Marketing-pixel (Meta) | Per Meta-default | Conversie-attributie |
| Logs (technisch/security) | Tot 12 maanden | Beveiliging en troubleshooting |
Na afloop van een bewaartermijn worden persoonsgegevens verwijderd of geanonimiseerd, tenzij wij wettelijk verplicht zijn ze langer te bewaren.
20. Jouw rechten onder de AVG
Onder de AVG heb je een set rechten over je persoonsgegevens. Wij honoreren elk verzoek binnen één maand, met de wettelijke mogelijkheid tot verlenging als het complex is.
- Recht op inzage (art. 15 AVG): een overzicht van de persoonsgegevens die wij van jou verwerken.
- Recht op rectificatie (art. 16): correctie van onjuiste of onvolledige gegevens.
- Recht op verwijdering (art. 17): wissen van je gegevens, voor zover wettelijke bewaarplichten dat toelaten.
- Recht op beperking (art. 18): tijdelijk "bevriezen" van een verwerking.
- Recht op overdraagbaarheid (art. 20): de door jou aan ons verstrekte gegevens in een gestructureerd formaat.
- Recht van bezwaar (art. 21): tegen verwerking op basis van gerechtvaardigd belang.
- Recht om toestemming in te trekken (art. 7 lid 3): voor verwerkingen die op je toestemming berusten, zonder dat dit afbreuk doet aan de rechtmatigheid van eerdere verwerking.
21. Hoe je je rechten uitoefent
Een verzoek kun je per e-mail sturen naar info@afdinger.nl. We reageren in beginsel binnen één maand na ontvangst. Bij complexe of veelvuldige verzoeken kan deze termijn met maximaal twee maanden worden verlengd; je krijgt daarover bericht.
Om misbruik te voorkomen kunnen we je vragen je identiteit aanvullend te verifiëren, bijvoorbeeld door het verzoek te bevestigen vanaf het e-mailadres dat aan je account is gekoppeld. We vragen geen kopie van een paspoort.
22. Klacht indienen bij de Autoriteit Persoonsgegevens
Vind je dat wij niet goed met je gegevens omgaan? Dan kun je een klacht indienen bij de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (https://autoriteitpersoonsgegevens.nl), postbus 93374, 2509 AJ Den Haag. We stellen het op prijs als je het eerst met ons probeert op te lossen via info@afdinger.nl.
23. Minderjarigen
De Dienst is bedoeld voor personen van 18 jaar of ouder. We verwerken niet bewust persoonsgegevens van minderjarigen. Vermoed je dat een minderjarige onbedoeld gegevens met ons heeft gedeeld? Neem dan contact met ons op via info@afdinger.nl; wij verwijderen die gegevens zo snel mogelijk.
24. Wijzigingen in deze verklaring
Wij kunnen deze privacyverklaring aanpassen om wijzigingen in de Dienst of wet- en regelgeving te weerspiegelen. Bij wezenlijke wijzigingen informeren wij je minimaal 30 dagen vooraf via een in-app bericht en/of een e-mail. De "Laatst bijgewerkt"-datum bovenaan toont altijd wanneer er voor het laatst iets is veranderd.
25. Contact en functionaris voor gegevensbescherming
Voor alle privacyvragen kun je terecht bij info@afdinger.nl. Wij zijn op basis van de criteria van artikel 37 AVG op dit moment niet verplicht een Functionaris voor Gegevensbescherming (FG/DPO) aan te stellen; info@afdinger.nl fungeert als ons centrale privacycontactpunt.
Bijlage B: Verzoek inzage of verwijdering
Wil je gebruikmaken van je AVG-rechten? Stuur ons een e-mail met de onderstaande gegevens; we reageren binnen één maand.
- Je naam zoals bekend in het account
- Het e-mailadres waarmee je bij afdinger bent geregistreerd
- Het soort verzoek (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar, intrekking toestemming)
- Eventuele toelichting (bijvoorbeeld op welke gegevens of welke verwerking je verzoek betrekking heeft)
Stuur je verzoek naar info@afdinger.nl. We bevestigen de ontvangst binnen drie werkdagen.
Vragen? Mail info@afdinger.nl.