Strikt noodzakelijke cookies
Deze cookies zijn nodig om het Platform te laten werken. Zonder deze kun je niet inloggen, geen betaling afronden, of geen plek claimen. Ze worden geplaatst zonder voorafgaande toestemming, omdat de wet dat voor functionele cookies toestaat.
- Clerk-sessie (clerk.com), houdt je login-sessie actief. Verloopt na 7 dagen of bij uitloggen.
- __clerk_db_jwt (clerk.com), verifieert je sessie aan de serverkant. Sessie-cookie.
- Stripe-sessie (stripe.com), alleen actief tijdens een checkout. Beschermt tegen fraudepogingen.
Functionele cookies
- theme (samesubs.com), onthoudt je interface-voorkeur (licht/donker, indien geactiveerd). localStorage, vervalt nooit automatisch.
- flash-toast (samesubs.com), kortstondige cookie die success- en foutmeldingen door één pagina-navigatie heen doorgeeft. Vervalt na 60 seconden.
- samesubs_cookie_consent (samesubs.com), jouw cookie-keuze (analytics aan/uit, marketing aan/uit en tijdstip). Cross-domain zodat je keuze op www.samesubs.com ook telt op app.samesubs.com. Vervalt na 1 jaar of bij intrekking.
- samesubs_ref (samesubs.com), referral-code wanneer iemand via een vriend-link binnenkomt. Gebruikt om de referral-bonus toe te kennen na signup. Vervalt na 30 dagen of zodra je een account hebt aangemaakt.
- ss-fb-session (samesubs.com), anti-spam identifier voor de feedback-knoppen onder helpdesk-artikelen (HttpOnly, 1 jaar). Wordt niet gekoppeld aan je account.
- samesubs_attr (samesubs.com), bewaart de herkomst van je eerste bezoek (UTM-parameters en eventuele advertentie-click-IDs) zodat we bij een signup kunnen meten welke campagne je bereikte. We zetten dit cookie 90 dagen, verzenden de inhoud uitsluitend bij signup naar onze eigen servers en niet naar derden tot je marketing-toestemming geeft. Verwijderen kan via je browser-instellingen.
Productanalytics-cookies (alleen na toestemming)
We gebruiken PostHog met EU-hosting (eu.posthog.com) om te begrijpen welke functies gebruikt worden en waar gebruikers vastlopen. Deze cookies plaatsen we alléén als je via de cookie-banner op "Akkoord" klikt. Klik je op "Alleen noodzakelijk", dan laden we PostHog niet en plaatsen we niets uit deze categorie.
- ph_phc_…_posthog(samesubs.com), bevat een geanonimiseerde "distinct ID" waarmee meerdere paginabezoeken aan elkaar gekoppeld kunnen worden. Vervalt na 1 jaar of bij intrekking van toestemming.
- ph_phc_…_window_id (samesubs.com), sessie-window identifier. sessionStorage, vervalt bij sluiten tabblad.
PostHog gebruiken we voor:
- Geaggregeerde paginabezoeken en kliks op knoppen, om te zien welke pagina's gebruikt worden en welke niet.
- Belangrijke gebeurtenissen vanuit onze backend zoals "groep aangemaakt", "factuur ingediend", "betaling gelukt".
- Sessie-replays op een beperkt aantal pagina's (inloggen, registratie, host-onboarding, join-checkout) om drop-offs op te sporen. Tekstinvoer op deze replays is standaard gemaskeerd.
Foutregistratie-cookies (alleen na toestemming)
Naast PostHog gebruiken we Sentry (VS, met SCC's) voor foutregistratie aan de client-kant: als er een fout optreedt, helpt dit ons die te reproduceren en op te lossen. Sentry valt onder dezelfde analytics-toestemming als PostHog. Kies je "Alleen noodzakelijk", dan laden we Sentry niet en plaatsen we niets uit deze categorie. Onze altijd-actieve foutregistratie aan de server-kant (zonder cookies, puur voor crash-oplossing) staat daar los van.
- Sentry zet client-side wat technische opslag (waaronder een sessie-id) en maakt bij een fout een korte replay van de DOM van de laatste seconden, zodat we de fout in context zien. Tekst en invoervelden zijn daarbij standaard gemaskeerd en media worden geblokkeerd, zodat er geen persoonlijke inhoud in terechtkomt.
Marketing-cookies (alleen na toestemming)
We zetten Meta-advertenties + Google Ads-campagnes in om nieuwe gebruikers te bereiken. Om te kunnen meten welke campagnes echt werken (en welke we kunnen stoppen) gebruiken we per provider één pixel/conversie-API. Deze laden alléén wanneer je via de banner expliciet voor marketing-cookies kiest; bij "Alleen noodzakelijk" of een uitgevinkte marketing-toggle plaatsen we niets.
- _fbp (samesubs.com via Meta Pixel), browser-identifier waarmee Meta een conversie kan koppelen aan een advertentie-klik. Vervalt na 90 dagen.
- fbclid / gclid / msclkid (URL-parameters, niet permanent gecookied), worden uitgelezen bij landing en opgeslagen in onze eigen
samesubs_attr-cookie (functioneel, hierboven beschreven) om bij signup naar Meta CAPI / Google Enhanced Conversions verzonden te worden — alleen als je marketing-consent hebt.
Naast het cookie sturen we voor signups + betalingen ook server-side conversie-events met gehashte e-mailadressen (SHA-256) naar Meta Conversions API en Google Ads Enhanced Conversions. Dit gebeurt alleen wanneer je marketing-consent hebt en is bedoeld voor campagne-effectiviteits-meting, niet voor targeting op individuele bezoekers.
