Privacybeleid

Account- en Contactgegevens

• Email, naam, telefoon: Voor accountcreatie, authenticatie en servicecommunicatie
• Betalingsinformatie: Veilig verwerkt door Stripe (onze betalingsverwerker); we slaan geen volledige kaartgegevens op
• Organisatiegegevens: Bedrijfsnaam, adres, BTW/fiscale nummers voor factuurgenerate en naleving

Factuur- en Bedrijfsgegevens

• Facturen, offertes, uitgaven: Alle gegevens die u aanmaakt, inclusief regelitems, bedragen, klantinformatie
• Bijlagen: Bestanden die u uploadt (bonnen, contracten, ondersteunende documenten)
• E-facturatie metadata: Leveringsstatus, tijdstempels, netwerkroutinginformatie

Gebruiks- en Technische Gegevens

• Logs: IP-adressen, browsertype, toegangstijden, functiegebruik
• Prestatiegegevens: Foutmeldingen, diagnostiek, API-gebruiksstatistieken
• Beveiligingsgebeurtenissen: Inlogpogingen, authenticatiegebeurtenissen, permissiewijzigingen

Rechtsgrondslag (AVG):

• Contract: Verwerking noodzakelijk om de facturatieservice te leveren waarvoor u zich heeft aangemeld
• Wettelijke verplichting: Naleving van belasting-, facturatie- en registratiewetten
• Gerechtvaardigde belangen: Serviceverbetering, beveiligingsbewaking, fraudepreventie (afgewogen tegen uw rechten)
• Toestemming: Optionele functies en communicatie waarvoor u expliciet kiest

Encryptie en Beveiliging

• TLS 1.3: Alle gegevens tijdens overdracht worden versleuteld met de nieuwste TLS-standaarden
• AES-256: Alle opgeslagen gegevens worden versleuteld met bank-grade AES-256 encryptie server-side
• Zero-Knowledge Encryptie: Geavanceerde client-side encryptie (waar EncryptInvoice uw gegevens niet kan ontsleutelen) is gepland als een optionele premium functie voor klanten die maximale privacy vereisen
• Twee-Factor Authenticatie: App-gebaseerde (TOTP) en email-gebaseerde 2FA opties
• Rolgebaseerde Toegangscontrole: Gedetailleerde permissies per gebruiker en organisatie
• Auditlogs: Volledige activiteitentracering voor naleving en beveiligingsbewaking

Hosting en Infrastructuur

• EU-gebaseerde hosting: Alle gegevens worden opgeslagen in datacenters van de Europese Unie met strikte toegangscontroles
• Geautomatiseerde back-ups: Dagelijkse versleutelde back-ups met 30-daagse bewaring (Gratis/Pro) of 90-daagse+ bewaring (Business/Enterprise)
• Regelmatige beveiligingsaudits: Penetratietests door derden en kwetsbaarheidsbeoordelingen
• SOC 2 Type II: Certificering in uitvoering (verwacht Q3 2026)

Multi-Organisatie Isolatie

Elke databasequery is beperkt tot uw organisatie. Gebruikers in één organisatie hebben geen toegang tot gegevens van een andere organisatie, zelfs als ze hetzelfde emaildomein delen.

We verkopen uw gegevens NIET. We delen alleen gegevens met vertrouwde serviceproviders die noodzakelijk zijn om onze service te leveren:

Essentiële Serviceproviders

• Storecove (E-Facturatienetwerken): Wanneer u e-facturen verzendt of ontvangt via PEPPOL, Singapore InvoiceNow, France Chorus Pro of andere netwerken, worden uw factuurgegevens verzonden via de infrastructuur van Storecove. Storecove fungeert als onze e-facturatienetwerktoegangsprovider. Lees hun privacybeleid op storecove.com/privacy
• Stripe (Betalingsverwerking): Betalingsinformatie (kaarten, bankgegevens) wordt verwerkt door Stripe. We ontvangen alleen getokeniseerde referenties; we slaan geen volledige kaartnummers op. Lees het privacybeleid van Stripe op stripe.com/privacy
• Cloud Infrastructuur: Versleutelde hosting en opslag met EU-gebaseerde providers, onder strikte gegevensverwerkingsovereenkomsten (DPA's) en AVG-conforme Standaard Contractuele Clausules (SCC's)
• Emailservice: Transactionele emails (ontvangstbewijzen, meldingen, wachtwoordresets) worden verzonden via email-infrastructuurproviders onder DPA's

Juridische Openbaarmakingen

We kunnen gegevens openbaar maken wanneer dit wettelijk vereist is (gerechtelijk bevel, dagvaarding, belastingauthoriteitverzoek) met passende juridische autorisatie. We zullen u op de hoogte stellen tenzij dit bij wet verboden is.

Internationale Overdrachten

Gegevens worden standaard gehost in EU-datacenters. Als gegevens buiten de Europese Economische Ruimte worden overgedragen (bijv. naar subverwerkers of ondersteuningsdiensten), gebruiken we door de AVG goedgekeurde waarborgen: Standaard Contractuele Clausules (SCC's), adequaatheidsbeschikkingen of gelijkwaardige bescherming. Toegang is beperkt tot wat strikt noodzakelijk is.

Bewaring per Plan

• Gratis & Pro Plannen: Alleen operationele opslag. Geen langdurige archiefgarantie. Bij accountannulering of downgrade heeft u een respijttermijn van 30 dagen om uw gegevens te exporteren. Na 30 dagen kunnen gegevens permanent worden verwijderd.
• Business & Enterprise Plannen: Omvatten Archive-Vault met gegarandeerde 10-jarige bewaring, fraudebestendige opslag en audit-klare exports. Bij annulering heeft u een exportvenster van 90 dagen. Verlengde archivering beschikbaar op verzoek.
• Juridische Bewaring: Als u onderworpen bent aan wettelijke bewaarvereisten (bijv. 7-10 jaar voor facturen), blijft u verantwoordelijk voor naleving op Gratis/Pro plannen. Archive-Vault (Business/Enterprise) biedt compliance-grade archivering.

Uw Rechten (AVG)

U heeft het recht om:

• Toegang: Een kopie van alle persoonlijke gegevens die we over u hebben op te vragen
• Rectificatie: Onjuiste of onvolledige gegevens te corrigeren
• Wissing: Verwijdering van uw gegevens te vragen (onder voorbehoud van wettelijke bewaarverplichstingen)
• Overdraagbaarheid: Uw gegevens te exporteren in standaardformaten (JSON, CSV, PDF, UBL XML)
• Beperking: Te beperken hoe we uw gegevens verwerken in bepaalde omstandigheden
• Bezwaar: Bezwaar te maken tegen verwerking op basis van gerechtvaardigde belangen
• Intrekking Toestemming: Toestemming voor optionele functies op elk moment in te trekken
• Klacht Indienen: Een klacht in te dienen bij uw lokale autoriteit voor gegevensbescherming

Om uw rechten uit te oefenen: Email privacy@encryptinvoice.com of dpo@encryptinvoice.com. We zullen binnen 30 dagen reageren en kunnen uw identiteit verifiëren voor beveiliging.

Melding van Inbreuken

Als er een datalek optreedt dat uw persoonlijke gegevens beïnvloedt, zullen we u zonder onredelijke vertraging op de hoogte stellen en, waar wettelijk vereist, binnen 72 uur na kennisneming. We zullen de aard van de inbreuk, waarschijnlijke gevolgen en genomen mitigatiestappe uitleggen.

Alleen Essentiële Cookies

We gebruiken essentiële cookies voor:

• Authenticatie en sessiebeheer
• Beveiliging en fraudepreventie (CSRF-tokens)
• Onthouden van uw voorkeuren (taal, donkere modus, tijdzone)

We gebruiken GEEN: Advertentiecookies, trackingpixels of analyses van derden op dit moment. Als we in de toekomst niet-essentiële cookies introduceren, zullen we een toestemmingsbanner bieden en dit beleid bijwerken.

Marketingcommunicatie

We kunnen u productupdates, functieaankondigingen en educatieve inhoud sturen als u zich aanmeldt. U kunt zich op elk moment afmelden via de link in elke email of door contact op te nemen met support.

Privacy van Kinderen

EncryptInvoice is een zakelijke tool niet bedoeld voor gebruikers jonger dan 18 jaar. We verzamelen niet bewust gegevens van kinderen.

Wijzigingen in Dit Beleid

We kunnen dit Privacybeleid bijwerken om veranderingen in onze praktijken of wettelijke vereisten weer te geven. Significante wijzigingen worden gecommuniceerd via email en prominent weergegeven op ons platform. Voortgezet gebruik na wijzigingen vormt acceptatie.

Contact en Gegevensbeheerder

Gegevensbeheerder: EncryptInvoice SAS

Functionaris voor Gegevensbescherming: dpo@encryptinvoice.com

Privacyvragen: privacy@encryptinvoice.com

Algemene Ondersteuning: support@encryptinvoice.com

EU-Vertegenwoordiger: [Indien vereist aan te wijzen]
Toezichthoudende Autoriteit: U kunt klachten indienen bij uw lokale autoriteit voor gegevensbescherming of de autoriteit in onze jurisdictie.