Privacybeleid

De verwerkingsverantwoordelijke is Basepay B.V., handelend onder de handelsnaam Samesubs, gevestigd te Amsterdam (Le Mairekade 77, 1013 CB), ingeschreven bij de Kamer van Koophandel onder nummer 42081353. Voor vragen over privacy mail je privacy@samesubs.com.

Bij registratie

• E-mailadres en wachtwoord (via onze auth-partner Clerk)
• Voor- en achternaam (optioneel, alleen als je het invult)
• Profielfoto (optioneel)
• Telefoonnummer (verplicht voorafgaand aan de eerste join of host-actie via SMS-verificatie; dient als anti-fraude-check en account-recovery, niet zichtbaar voor andere Gebruikers)
• Een uniek interne user-id en een referral-token

Bij gebruik van het platform

• Welke groepen je host of joint, met welk abonnementsplan
• Berichten die je in de chat verstuurt
• Notificaties die voor jou aangemaakt zijn
• Tijdstip van laatste activiteit (lastSeenAt)
• Audit-logs van veiligheidsrelevante acties (inlog, account-wijzigingen, credential-updates door host)

Bij betalingen

• Stripe customer-id en account-id. Wij slaan geen creditcard-, IBAN- of betaalpasgegevens op, die blijven bij Stripe.
• Betalingsmetadata: bedrag, datum, status, factuur-id, refund-status.
• Openstaande wallet-bonussen met release-datum (7 dagen voor cost-share fast-fill, 15 dagen voor referrer-bonus, conform artikel 18a Voorwaarden).

Bij DAC7-rapportage (alleen voor power-hosts)

Onder EU-richtlijn 2021/514 (DAC7) zijn we verplicht hosts te rapporteren die in een kalenderjaar 30 of meer transacties of €2.000+ aan uitbetalingen ontvangen. Als je deze drempel nadert vragen wij:

• Fiscaal nummer (TIN voor internationale Hosts of BSN voor Nederlandse Hosts);
• Geboortedatum.

Rechtsgrond: wettelijke verplichting (artikel 6 lid 1 sub c AVG, in samenhang met artikel 10g Algemene wet inzake rijksbelastingen). Doel: uitsluitend jaarlijkse DAC7-rapportage aan de Belastingdienst; niet gebruikt voor enig ander doel. Bewaartermijn: tot rapportage plus 7 jaar fiscale bewaarplicht (artikel 52 lid 4 AWR). Toegang: alleen door geautoriseerd Samesubs-personeel met audit-trail; niet zichtbaar voor andere Gebruikers.

Bij upload van bonnetjes (cost-share groepen)

• Het bestand zelf (PNG, JPG, WebP of PDF, max 5 MB), opgeslagen via Vercel Blob in de EU-region. URLs zijn ongeraadbaar (random suffix) maar publiek bereikbaar via de groep-pagina; alleen actieve Members van dezelfde groep zien de link.
• Een SHA-256 hash van het bestand, gebruikt voor duplicaat-detectie (zelfde bonnetje voor verschillende maanden suggereert mogelijk fraude).
• Metadata: bestandsnaam, MIME-type, upload-datum, categorie-id, toelichting van de Host.

Bewaartermijn: zolang de groep actief is. Bij verwijdering van de groep of categorie wordt het bestand uit Vercel Blob verwijderd.

Bij toestemming-vinkjes (audit-trail)

Bij iedere checkout en bij iedere risicobevestiging op een groep-pagina leggen wij vast welke vinkjes zijn aangevinkt, op welk tijdstip, en vanaf welk IP-adres. Deze consent-logs hebben twee doelen: (i) bewijslast voor Samesubs in geschillen onder artikel 6:230s lid 5 BW (afstand van herroepingsrecht) en (ii) bewijs van gebruikersbevestiging van risico-pills bij STRICTLY GEHANDHAAFDE Providers. Bewaartermijn: zeven (7) jaar conform fiscale en bewijsrechtelijke bewaarplicht. Rechtsgrond: gerechtvaardigd belang gecombineerd met wettelijke verplichting.

Bij signup (anti-fraude)

Bij het aanmaken van een account leggen wij het IP-adres vast waarmee je je registreerde. Dit gebruiken wij uitsluitend voor anti-fraude (sybil-detectie, herroep-cluster-onderzoek bij meerdere accounts vanuit hetzelfde adres). Rechtsgrond: gerechtvaardigd belang (artikel 6 lid 1 sub f AVG) om misbruik van het herroepingsrecht en het partner-bonus-programma te voorkomen. Bewaartermijn: maximaal 6 maanden, daarna wordt het IP-veld automatisch genullt.

Bij e-mail

• Welke transactionele e-mails we naar jou hebben gestuurd, met verzendtijdstip en eventuele afleverstatus.

Bij productanalytics (alleen na toestemming)

Als je via de cookie-banner akkoord gaat, gebruiken we PostHog (EU-hosting, zie subverwerkers) om te begrijpen welke functies gebruikt worden en waar mensen vastlopen. Dit gaat over productverbetering, niet over advertenties of profielen voor derden. Het gaat om:

• Bezochte pagina's binnen het Platform en gebeurtenissen zoals "groep aangemaakt", "factuur ingediend", "betaling gelukt", "bonnetje geüpload", "spaardoel ingesteld", "categorie opt-out".
• Geanonimiseerde sessie-replays op een beperkt aantal pagina's (in- en uitloggen, registratie, host-onboarding, join-checkout) waar we drop-offs willen begrijpen. Op deze replays maskeren we tekstinvoer standaard.
• Technische metadata: browser, besturingssysteem, schermresolutie, geanonimiseerd IP-adres voor land/stad-aggregatie.

Geef je geen toestemming, dan plaatsen we de PostHog-script niet en versturen we geen analytics-events. Niets aan het Platform werkt minder.

Bij marketing-attribution (alleen na toestemming)

Wanneer je via een advertentie of een referral binnenkomt, leggen we de herkomst-parameters van die landing vast: UTM-tags (utmSource, utmMedium, utmCampaign, utmContent, utmTerm), click-IDs (gclid voor Google Ads, fbclid voor Meta), landingsURL en signup-kanaal. Wanneer je een account aanmaakt of een betaling voltooit en je hebt marketing-consent gegeven via de cookie-banner, versturen we deze data inclusief jouw gehashte e-mailadres (SHA-256) server-side naar:

• Meta Conversions API (Meta Platforms Ireland Limited), voor het meten van Lead- en Purchase-conversies op campagnes via Meta-advertenties.
• Google Ads Enhanced Conversions (Google Ireland Limited), voor het meten van conversies op campagnes via Google-advertenties.

Doel: meten welke advertentie-campagnes leiden tot signups en betaalde joins zodat we onze marketing-budget kunnen sturen. Rechtsgrond: toestemming (artikel 6 lid 1 sub a AVG). Zonder marketing-consent versturen we niets en plaatsen we de Meta Pixel niet. De gehashte e-mailadressen worden niet teruggekoppeld op individuele advertenties; ze dienen alleen voor geaggregeerde conversie-meting.

Bij push-notificaties (alleen na opt-in)

Als je expliciet kiest voor push-notificaties (via de browser-prompt), bewaren wij het webpush-endpoint (een unieke URL die je browser-vendor uitgeeft) en de encryptie-sleutels die nodig zijn om versleutelde notificaties te kunnen sturen. We koppelen dit aan je User-ID om gerichte meldingen te kunnen sturen (bijvoorbeeld "plek vrij in deze groep"). Bewaartermijn: zolang het endpoint actief is; bij browser-uninstall of opzeggen van de subscriptie verwijderen we de record.

Bij support-conversaties

Wanneer je per e-mail contact opneemt of via de Sam-chat escaleert naar support, bewaren we de e-mailadressen, afzendernaam, de berichten zelf en de service-provider message-IDs (Resend) van zowel inkomende als uitgaande mail. Dit gebruiken we voor klantcontact-historie en klacht-afhandeling. Bewaartermijn: 5 jaar (afstemming met fiscale en juridische bewaarplicht voor zakelijke correspondentie).

Bij trust-score en moderatie

We berekenen twee trust-scores: een publieke host-Trust-Score (0-100, voor leden zichtbaar bij elke Groep) en een interne member-trust-score (alleen voor admins zichtbaar). Beide worden gebruikt om je toegang tot bepaalde functies (zoals het publiek aanbieden van een Groep, snellere uitbetalingen, deelname aan bonus-campagnes) en om patroon-onderzoek (cried-wolf-detectie, refund-frequency-drempels) te ondersteunen.

De host-Trust-Score wordt berekend op basis van:

• Stripe-KYC-status (gestructureerd identity-verification-veld);
• Aantal geverifieerde Groepen en aantal actieve Groepen;
• Reviews van Members met progressief gewicht (1 review = 50%, 2 = 75%, 3+ = 100% gewicht);
• Tenure (volle maanden actief sinds eerste niet-draft groep, gecapped op 6);
• Refund-historie in de laatste 90 dagen (host-fault refunds volledig, member-instant-refunds met 50% gewicht);
• Actieve hostCooldown of ban-status (penalty).

De member-trust-score gebruikt vergelijkbare signalen (refund-historie, contact-share-strikes, IP-correlation met eerdere geblokkeerde accounts) maar dan voor moderatie- beslissingen. Geautomatiseerde besluitvorming in de zin van artikel 22 AVG passen we hier niet toe; bij elke sanctie (cooldown, blokkade, account-suspensie) is er ofwel een vooraf gepubliceerde drempel ofwel een handmatige admin- review. Je hebt recht op uitleg en bezwaar volgens artikel 18 van onze algemene voorwaarden.

Bij DSA-meldingen

Als je via /meld-inhoud een Digital Services Act-notice indient, bewaren we je naam, e-mailadres, IP-adres en de inhoud van de melding. Dit is wettelijk vereist (DSA artikel 16 en 17) voor afhandeling en transparantie-rapportage. Bewaartermijn: 7 jaar (in lijn met de DSA-bewaarplicht voor beslissingen).

Bij Audit-AI catalog-checks

Een dagelijkse interne audit-AI controleert de catalogus-data (services, plannen, prijzen) op consistentie met provider-informatie. Deze AI verwerkt uitsluitend catalog-data — geen persoonsgegevens. We bewaren de AI-responses (inclusief reasoning) voor audit-trail, maar deze bevatten geen user-input. Geen automatische besluitvorming over gebruikers.

• Het beschikbaar stellen van het Platform: groepen aanmaken, plekken claimen, betalingen afhandelen, refunds initiëren.
• Communicatie: notificaties in-app en transactionele e-mails over jouw groepen, betalingen, en account.
• Veiligheid en fraudepreventie: detecteren van misbruik, chat-moderatie, beschermen van credentials.
• Wettelijke verplichtingen: belastingadministratie, bewaarplicht van facturen.
• Productverbetering: als je daar toestemming voor geeft, gebruiken we geaggregeerde statistieken (PostHog, EU-hosting) om features te prioriteren en drop-offs op te sporen. Geen toestemming = geen analytics.

• Uitvoering van de overeenkomst: alles wat nodig is om het Platform aan jou te leveren.
• Wettelijke verplichting: bijvoorbeeld het 7 jaar bewaren van facturen voor de Belastingdienst.
• Gerechtvaardigd belang: productverbetering en fraudepreventie, waarbij we zorgvuldig afwegen of dat zwaarder weegt dan jouw privacybelang.
• Toestemming: alleen voor optionele zaken zoals marketingcommunicatie buiten transactionele mails. Toestemming kun je altijd intrekken via je instellingen.

We werken samen met een aantal verwerkers die onmisbaar zijn voor het laten draaien van Samesubs. Met al deze partijen hebben we een verwerkersovereenkomst.

• Clerk (US, met EU-data residency), authenticatie en sessiebeheer
• Stripe (Ierland/EU), betalingen, payouts, facturatie
• Supabase (EU-hosting), database (Postgres). User-uploads worden niet hier maar in Vercel Blob bewaard (zie hieronder)
• Vercel (US, met EU-region), hosting van het Platform en Vercel Blob storage voor user-uploads (bonnetjes en host-verificatiebestanden, EU-region)
• Resend (EU), transactionele e-mailafhandeling
• Twilio (US, met SCC's), versturen van sms-verificatiecodes en nummer-validatie (Lookup) bij het verifiëren van je telefoonnummer. Verwerkt je telefoonnummer.
• Inngest (US, met SCC's), achtergrondtaken en cron-jobs (e-mail-fan-out, retentie, analytics-digests). Verwerkt user-id en event-payloads.
• PostHog (EU-hosting, eu.posthog.com), productanalytics én error tracking. Analytics wordt alleen geladen als je daar via de cookie-banner toestemming voor geeft; error tracking aan de server-kant draait altijd om crashes te kunnen oplossen. Verzamelt geanonimiseerde gebeurtenissen (paginabezoeken, klikken op knoppen, succesvolle betalingen) en, op een beperkt aantal pagina's, sessie-replays met gemaskeerde tekstinvoer.
• Sentry (US, met SCC's), reserve error tracking. Verwerkt stack-traces, browser-versie en het interne user-id wanneer een fout optreedt, zodat we problemen kunnen reproduceren.
• Telegram (gevestigd op de Britse Maagdeneilanden, servers wereldwijd; doorgifte op basis van SCCs van 4 juni 2021 en aanvullende technische maatregelen zoals data-minimalisatie), bot-API voor operationele meldingen aan onze admin (nieuwe signups, betalingen, errors). Verwerkt uitsluitend minimale event-metadata (bedragen, geanonimiseerde voornamen, factuurnummers); geen chatberichten van Gebruikers, geen e-mailadressen, geen IP-adressen, geen volledige namen. Voor BVI hebben wij een Transfer Impact Assessment (TIA) uitgevoerd; vanwege het ontbreken van een adequaatheidsbesluit voor BVI is data-minimalisatie de primaire technische waarborg. We onderzoeken een EU-gebaseerd alternatief (zoals Slack of Sentry's notify-flow) op middellange termijn.
• OpenRouter / Anthropic (US, met SCC's), verwerkt de tekst die je intypt in de AI-helpdesk-chatbot om een antwoord te genereren. We sturen alleen je vraag, niet je account-gegevens of identificeerbare info. Conform het beleid van Anthropic, en het beleid van eventuele alternatieve onderliggende modellen die wij selecteren, wordt jouw input niet gebruikt voor model-training. De chatbot is alleen geactiveerd als je 'm zelf opent op een marketing-pagina, geen automatische data-stroom.
• Meta Platforms Ireland Limited (Ierland/EU), verwerkt advertentie-conversie-events via Meta Pixel (browser) en Conversions API (server) wanneer je marketing-toestemming hebt gegeven. Wij sturen gehashte e-mailadressen (SHA-256), advertentie-click-IDs en conversie-types (Lead, Purchase) zonder ruwe persoonsgegevens. Meta Ireland is verwerker; doorgifte naar Meta US gebeurt op basis van SCCs en Meta's Data Privacy Framework-deelname.
• Google Ireland Limited (Ierland/EU), verwerkt advertentie-conversie-events via Google Ads Enhanced Conversions wanneer je marketing-toestemming hebt gegeven. Wij sturen gehashte e-mailadressen (SHA-256) en conversie-types voor het meten van campagne-effectiviteit; geen targeting op individuele bezoekers.

Voor partijen buiten de EU maken we gebruik van de Europese Standaard Contractuele Clausules (SCCs) als rechtmatig doorgiftemechanisme. Voor Vercel en Clerk maken we waar mogelijk gebruik van EU-region/EU-data-residency-instellingen. Een kopie van de toegepaste waarborgen is op verzoek beschikbaar via privacy@samesubs.com.

• Account-gegevens (naam, e-mail, profielfoto, telefoonnummer): direct anoniem gemaakt zodra je je account verwijdert. Het interne account-record blijft in geanonimiseerde vorm bestaan zolang er gekoppelde facturen of financiële data zijn (zie hieronder), zodat wij aan onze fiscale bewaarplicht kunnen voldoen.
• Facturen, betalingsdata en bijbehorende transactieadministratie: 7 jaar na de transactie-datum (wettelijke bewaarplicht artikel 52 Wet OB en artikel 2:10 BW). Dit is een wettelijke verplichting waarvan we niet kunnen afwijken op basis van een individueel verwijderingsverzoek.
• Chatberichten: zolang de groep actief is. Bij archivering van de groep blijven berichten 90 dagen bewaard, daarna anonimiseren we ze.
• E-mail-delivery-logs (Resend metadata — wanneer verzonden, of afgeleverd, of gebounced): 6 maanden voor audit-doeleinden, conform AP-richtlijn voor verwerking van verzonden communicatie.
• Support-conversaties (inkomende en uitgaande e-mails met support, inclusief inhoud en afzendergegevens): 5 jaar conform fiscale en juridische bewaarplicht voor zakelijke correspondentie.
• Audit-logs van security-events: 12 maanden.
• Productanalytics-events (PostHog): 12 maanden, daarna automatisch verwijderd. Sessie-replays maximaal 30 dagen.

We nemen passende technische en organisatorische maatregelen om je gegevens te beschermen:

• Versleuteling van host-credentials op kolomniveau in de database (AES-256-GCM met versie-gestuurde keys, zodat rotatie mogelijk is zonder verlies).
• HTTPS/TLS voor alle verbindingen, met HSTS.
• Strikte toegangscontrole intern. Two-factor authentication is verplicht voor iedereen met toegang tot productiedata.
• Geautomatiseerde monitoring van error-events en verdacht gedrag, plus geautomatiseerde chat-moderatie.
• Reguliere security-reviews op de codebase (afhankelijkheids- audits, code-review op security-hot-spots). Pentests worden uitgevoerd voor relevante release-momenten.

Privacy by default: alleen voornaam zichtbaar

Tegenover andere Gebruikers tonen wij standaard alleen je voornaam (de eerste term uit je opgegeven naam). Je achternaam, e-mailadres, telefoonnummer en andere identificerende gegevens zijn alleen zichtbaar in jouw eigen Account-context (instellingen, dashboard, header-avatar) en worden nooit aan andere Gebruikers getoond. Dit principe geldt op de groep-pagina, in chats, in reviews, op het publieke host-profiel en in alle e-mailcommunicatie tussen Gebruikers. Avatar-initialen worden afgeleid van uitsluitend de voornaam.

Wij versturen op dit moment geen marketing- of nieuwsbrief-mails. Alle e-mails die je van ons ontvangt zijn transactioneel: bevestigingen, betaalmeldingen, beveiligings- en account-updates. Als wij in de toekomst wel marketing-e-mails willen versturen, gebeurt dat uitsluitend op basis van expliciete opt-in en met een duidelijke afmeldlink in elke e-mail.

Onder de AVG heb je de volgende rechten:

• Inzage: opvragen welke gegevens we van je hebben.
• Rectificatie: corrigeren van onjuiste gegevens.
• Verwijdering: wissen van je account en bijbehorende gegevens (binnen wettelijke bewaartermijnen).
• Beperking: tijdelijk de verwerking laten stoppen.
• Bezwaar: bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
• Dataportabiliteit: een kopie van je gegevens in een gangbaar machineleesbaar formaat ontvangen.
• Toestemming intrekken: waar verwerking op toestemming berust kun je die altijd intrekken.

Een verzoek dien je in via privacy@samesubs.com. We reageren binnen 30 dagen.

Vind je dat we je gegevens niet correct verwerken? Dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl. We waarderen het wel als je het eerst met ons probeert, dat is vaak sneller.

We mogen dit beleid aanpassen wanneer wet- of regelgeving verandert, of wanneer we nieuwe functies toevoegen. Significante wijzigingen melden we per e-mail aan alle gebruikers.