Privacybeleid

De verwerkingsverantwoordelijke is Samesubs B.V., gevestigd in Nederland. Voor vragen over privacy mail je privacy@samesubs.com.

Bij registratie

• E-mailadres en wachtwoord (via onze auth-partner Clerk)
• Voor- en achternaam (optioneel, alleen als je het invult)
• Profielfoto (optioneel)
• Een uniek interne user-id en een referral-token

Bij gebruik van het platform

• Welke groepen je host of joint, met welk abonnementsplan
• Berichten die je in de chat verstuurt
• Notificaties die voor jou aangemaakt zijn
• Tijdstip van laatste activiteit (lastSeenAt)
• Audit-logs van veiligheidsrelevante acties (inlog, account-wijzigingen, credential-updates door host)

Bij betalingen

• Stripe customer-id en account-id. Wij slaan geen creditcard-, IBAN- of betaalpasgegevens op, die blijven bij Stripe.
• Betalingsmetadata: bedrag, datum, status, factuur-id, refund-status.

Bij e-mail

• Welke transactionele e-mails we naar jou hebben gestuurd, met verzendtijdstip en eventuele afleverstatus.

• Het beschikbaar stellen van het Platform: groepen aanmaken, seats claimen, betalingen afhandelen, refunds initiëren.
• Communicatie: notificaties in-app en transactionele e-mails over jouw groepen, betalingen, en account.
• Veiligheid en fraudepreventie: detecteren van misbruik, chat-moderatie, beschermen van credentials.
• Wettelijke verplichtingen: belastingadministratie, bewaarplicht van facturen.
• Productverbetering: geanonimiseerde gebruiksstatistieken om features te prioriteren.

• Uitvoering van de overeenkomst: alles wat nodig is om het Platform aan jou te leveren.
• Wettelijke verplichting: bijvoorbeeld het 7 jaar bewaren van facturen voor de Belastingdienst.
• Gerechtvaardigd belang: productverbetering en fraudepreventie, waarbij we zorgvuldig afwegen of dat zwaarder weegt dan jouw privacybelang.
• Toestemming: alleen voor optionele zaken zoals marketingcommunicatie buiten transactionele mails. Toestemming kun je altijd intrekken via je instellingen.

We werken samen met een aantal verwerkers die onmisbaar zijn voor het laten draaien van Samesubs. Met al deze partijen hebben we een verwerkersovereenkomst.

• Clerk (US, met EU-data residency) — authenticatie en sessiebeheer
• Stripe (Ierland/EU) — betalingen, payouts, facturatie
• Supabase (EU-hosting) — database en bestandsopslag
• Vercel (US, met EU-region) — hosting van het Platform
• Resend (EU) — transactionele e-mailafhandeling
• Inngest (US) — achtergrondtaken en cron-jobs

Voor partijen buiten de EU maken we gebruik van de Europese Standaard Contractuele Clausules (SCCs) als rechtmatig doorgiftemechanisme.

• Account-gegevens: zolang je een actief account hebt, plus 30 dagen na verwijdering om eventuele financiële afhandeling af te ronden.
• Facturen en betalingsdata: 7 jaar (wettelijke bewaarplicht Belastingdienst).
• Chatberichten: zolang de groep actief is. Bij archivering van de groep blijven berichten 90 dagen bewaard, daarna anonimiseren we ze.
• E-mail-logs: 24 maanden voor support- en audit-doeleinden.
• Audit-logs van security-events: 12 maanden.

We nemen passende technische en organisatorische maatregelen om je gegevens te beschermen:

• Versleuteling van credentials in de database (AES-256-GCM met geroteerde keys).
• HTTPS/TLS voor alle verbindingen.
• Strikte toegangscontrole intern, met two-factor authentication voor alle medewerkers met toegang tot productiedata.
• Automatische monitoring van verdacht gedrag en chat-moderatie.
• Periodieke security-reviews en pentests.

Onder de AVG heb je de volgende rechten:

• Inzage: opvragen welke gegevens we van je hebben.
• Rectificatie: corrigeren van onjuiste gegevens.
• Verwijdering: wissen van je account en bijbehorende gegevens (binnen wettelijke bewaartermijnen).
• Beperking: tijdelijk de verwerking laten stoppen.
• Bezwaar: bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
• Dataportabiliteit: een kopie van je gegevens in een gangbaar machineleesbaar formaat ontvangen.
• Toestemming intrekken: waar verwerking op toestemming berust kun je die altijd intrekken.

Een verzoek dien je in via privacy@samesubs.com. We reageren binnen 30 dagen.

Vind je dat we je gegevens niet correct verwerken? Dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl. We waarderen het wel als je het eerst met ons probeert, dat is vaak sneller.

We mogen dit beleid aanpassen wanneer wet- of regelgeving verandert, of wanneer we nieuwe functies toevoegen. Significante wijzigingen melden we per e-mail aan alle gebruikers.