Privacybeleid
Wie wij zijn
Dopomoga is een praktische gids voor Oekraïners in de Europese Unie. De verwerkingsverantwoordelijke voor uw persoonsgegevens is MaxVera (eenmanszaak, handelend onder de naam Dopomoga), KvK 99672332, Seisplein 9, 4331NP Middelburg, Nederland. Voor alle vragen over dit beleid kunt u schrijven naar support@uadopomoga.eu.
Welke gegevens wij verzamelen
Wij verzamelen het minimum dat nodig is om de dienst te laten werken:
- E-mail — om in te loggen op uw account en voor technische meldingen.
- Wachtwoord — wordt in gehashte vorm opgeslagen (bcryptjs, cost factor 12). Wij kunnen uw wachtwoord niet in leesbare vorm zien.
- Persoonlijke instellingen: gekozen land (bijvoorbeeld NL), conceptdocumenten (huur, werk, KvK), voortgang van ZZP-voorbereiding, activiteitenlogboek (laatste 100 gebeurtenissen).
- Registratiedatum en datum van aanvaarding van de gebruiksvoorwaarden.
- Profiel- en contactgegevens die u opgeeft: voor- en achternaam, telefoonnummer, woonplaats.
- Aanmeldgeschiedenis — voor uw accountbeveiliging registreren wij elke geslaagde aanmelding (tijd, browser/besturingssysteem en een eenrichtings-gesalte hash van uw IP-adres, nooit het ruwe IP). Het zit in uw gegevensexport.
- Zakelijke en boekhoudgegevens, als u de ZZP Pro-tools gebruikt: facturen, uitgaven, offertes, creditnota's, klantcontacten, BTW-bedragen en uw KvK-nummer. Sommige velden die u zelf invult kunnen een BSN bevatten (van uzelf of, waar een belastingformulier dit vereist, van een klant). Definitieve facturen en boekhoudgegevens worden 7 jaar bewaard om te voldoen aan de Nederlandse belastingwetgeving en blijven daarom ook na verwijdering van uw account bestaan; al het overige wordt met uw account gewist.
- Marktplaatsgegevens, als u de marktplaats gebruikt: uw verkopersprofiel, advertenties, boekingen, beoordelingen en de inhoud van berichten die u in de app verstuurt.
- Invoer voor AI-tools: de tekst of afbeeldingen die u indient bij de AI-chat, brievenanalyse, vertaler, bonnenscanner en factuurhulp (zie “AI-chat en gegevensoverdracht”).
Wij gebruiken geen externe analyse- of advertentietrackers en geen cookies van derden (geen Google Analytics, Meta Pixel, Hotjar enz.).
Wij gebruiken wel onze eigen, cookieloze webstatistieken; die gegevens worden uitsluitend in onze EU-database bewaard en nooit gedeeld of verkocht. Wij registreren: paginaweergaven met een dagelijks wisselende bezoekershash (sha-256 van uw IP-adres en browser, met een salt-waarde die elke dag verandert, zodat bezoeken niet over verschillende dagen heen of naar u herleidbaar zijn), het apparaattype en een bij benadering bepaalde landcode die wij via een lokale (offline) opzoektabel uit uw IP-adres afleiden — het IP-adres zelf wordt niet opgeslagen. Daarnaast tellen wij belangrijke gebeurtenissen (registraties, geplaatste advertenties, boekingen, ZZP Pro-betalingen) en bewaren wij genormaliseerde zoekopdrachten waaruit persoonsgegevens zijn verwijderd (een zoekopdracht met een e-mailadres, telefoonnummer of lange reeks cijfers wordt niet bewaard) om hiaten in onze content te ontdekken en aan te vullen. Gegevens over paginaweergaven bewaren wij 180 dagen en zoekopdrachten 90 dagen; daarna worden ze automatisch verwijderd.
Verwerkingsgrondslag
Wij baseren ons op verschillende grondslagen, afhankelijk van het doel: het leveren van uw account en de dienst die u vraagt (ZZP-boekhouding, deelname aan de marktplaats) — uitvoering van een overeenkomst (art. 6(1)(b)); authenticatie, beveiliging en misbruikpreventie, en onze cookieloze statistieken — ons gerechtvaardigd belang (art. 6(1)(f)); het overdragen van gegevens aan AI-tools buiten de EU — uw uitdrukkelijke toestemming (art. 6(1)(a) en 49(1)(a)); en het bewaren van facturen en betaalgegevens gedurende de wettelijke termijn — een wettelijke verplichting onder de Nederlandse belastingwet (art. 6(1)(c)). Door bij registratie akkoord te gaan bevestigt u tevens dat u minstens 16 jaar bent, de leeftijd om geldig toestemming te geven onder de Nederlandse gegevensbeschermingswetgeving.
Uw zakelijke en fiscale gegevens. Voor de boekhoudgegevens die u aanmaakt — facturen, uitgaven, klantgegevens en eventuele fiscale identificatienummers zoals een BSN — bent u de verwerkingsverantwoordelijke en treedt Dopomoga op als uw verwerker die de tools levert. U bent verantwoordelijk voor het invoeren van juiste gegevens en voor het hebben van een rechtsgrond om persoonsgegevens van derden (bijvoorbeeld het BSN van een klant) die u invoert, op te slaan.
Beveiliging. Wij nemen passende technische en organisatorische maatregelen (art. 32 AVG) — wachtwoord-hashing, het verwijderen van persoonsgegevens vóór foutrapportages en hosting in de EU-regio. Toch is geen enkele methode van overdracht of opslag volledig veilig; hoewel wij ons inspannen om uw gegevens te beschermen, kunnen wij geen absolute veiligheid garanderen.
Uw rechten
Op grond van de AVG heeft u recht op:
Opslag en regio
De meeste gegevens (de Neon Postgres-database, autorisatiesessies, logs van serverauthenticatie) worden gehost in de regio eu-central-1 (Frankfurt, EU) en worden niet buiten de EU doorgegeven. Afzonderlijke categorieën gegevens worden met uw toestemming doorgegeven aan verwerkers buiten de EU — zie voor details het onderdeel «AI-chat en gegevensoverdracht» hieronder. Logs van serverauthenticatie worden tot 30 dagen bewaard via pm2-logrotate; e-mailadressen in de logs worden gehasht (sha-256, eerste 16 tekens), volledige adressen en wachtwoorden worden nooit gelogd.
Berichten via het contactformulier: berichten van het contactformulier (de berichttekst, e-mail/telefoon) worden tot 180 dagen bewaard, waarna het record automatisch wordt geanonimiseerd. Het formulier accepteert geen documentuploads. Als u een account heeft, worden deze gegevens ook verwijderd wanneer u uw account verwijdert.
AI-chat en gegevensoverdracht
Voor de AI-chatfunctie gebruikt Dopomoga de externe dienst OpenRouter(OpenRouter Inc., geregistreerd in de VS). Wanneer u een bericht naar de AI-chat stuurt, worden de tekst van uw vraag en de context van de laatste berichten doorgegeven aan OpenRouter om een antwoord te genereren. OpenRouter kan op zijn beurt een of meer modelaanbieders gebruiken (bijvoorbeeld Google, OpenAI) om het verzoek te verwerken.
Dopomoga bewaart de geschiedenis van de AI-chat niet op de server. Er worden alleen anonieme gebruiksteller(s) bewaard (aantal berichten per dag, tijdstip van het laatste verzoek) — dit is nodig voor de technische beperking (100 berichten per UTC-dag, interval van 5 seconden tussen verzoeken).
Voor het verzenden van transactionele e-mails (e-mailbevestiging, wachtwoordherstel) gebruikt Dopomoga de dienst Resend (Resend, Inc., geregistreerd in de VS; de verzendserver is gehost in de regio Ierland, eu-west-1). De metadata van het Resend-account (onze instellingen, verzendstatistieken) worden in de VS opgeslagen; de inhoud van de e-mails zelf wordt verzonden vanaf servers in de EU.
Uw rechten: U kunt te allen tijde verwijdering van alle gegevens verzoeken via de functie «Account verwijderen» in het onderdeel Account — dit verwijdert de gebruikstellers van de AI-chat en alle tokens voor e-mailverificatie / wachtwoordherstel die met uw account zijn verbonden.
Betalingen en abonnementen (Stripe)
Voor de verwerking van betalingen voor het ZZP Pro-abonnement gebruikt Dopomoga Stripe (Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Dublin 2, Ierland — de verwerker voor EU-klanten; het moederbedrijf Stripe, Inc. is geregistreerd in de VS). Stripe is een vergunninghoudende betalingsdienstaanbieder. Beschikbare betaalmethoden: betaalkaart en SEPA Direct Debit.
Juridische grondslag: De overdracht van betalingsgegevens aan Stripe is gebaseerd op de uitvoering van een overeenkomst (art. 6(1)(b) AVG) — het ZZP Pro-abonnement dat u afsluit.
Verwerkingsregio en overdracht: Stripe Payments Europe verwerkt gegevens binnen de Europese Economische Ruimte. Bepaalde gegevens kunnen worden verwerkt door het moederbedrijf Stripe, Inc. (VS) op basis van de EU-modelcontractbepalingen (SCC's), die een passend beschermingsniveau bieden.
Welke gegevens worden aan Stripe doorgegeven: Uw naam, e-mailadres, het type betaalmethode en de laatste 4 cijfers van de kaart of het IBAN (voor weergave in uw account), evenals de Stripe-klant- en Stripe-abonnementsidentificaties. Dopomoga bewaart nooit het volledige kaartnummer of het volledige IBAN — deze gegevens worden uitsluitend aan de kant van Stripe in getokeniseerde vorm verwerkt.
Opslag bij ons: Wij bewaren de Stripe-klant- en Stripe-abonnementsidentificaties (voor het beheer van de levenscyclus van het abonnement) — ze worden samen met het account verwijderd (cascade-verwijdering).
Opslag bij Stripe: Stripe bewaart betalingsgegevens overeenkomstig haar eigen privacybeleid en de Nederlandse fiscale vereisten (7 jaar voor boekhoudkundige documenten). Meer informatie: stripe.com/privacy.
Belastingteruggave (aangifte inkomstenbelasting)
De dienst Belastingteruggave kent twee pakketten: «Zelf indienen» (€39/jaar) — wij controleren uw documenten en stellen een persoonlijke stap-voor-stap-instructie op, waarna u de aangifte zelf indient via Mijn Belastingdienst; «Boekhouder dient in» (€89/jaar) — een geregistreerde accountantpartner dient de aangifte voor u in na een telefonische afspraak en een DigiD Machtigen-autorisatie. Voor beide pakketten is Dopomoga de verwerkingsverantwoordelijke — anders dan bij de ZZP-boekhoudtools, waar u de verwerkingsverantwoordelijke bent.
Welke gegevens wij verzamelen (beide pakketten): uw naam, e-mail, telefoonnummer, de belastingjaren, uw gezinssituatie (burgerlijke staat, kinderen, gezamenlijke aangifte met een fiscaal partner), een toelichting op uw situatie en de documenten die u uploadt (met name de jaaropgaaf — let op: dit document bevat zelf uw BSN). Alleen bij «Boekhouder dient in»: uw BSN (persoonsnummer) en IBAN voor de teruggave (de accountant heeft deze nodig om in te dienen en de rekening op te geven) en, bij een gezamenlijke aangifte, de naam en het BSN van uw fiscaal partner. In het pakket «Zelf indienen» vragen wij bewust niet om uw BSN of IBAN (gegevensminimalisatie, art. 5(1)(c) AVG): u dient in via uw eigen DigiD en vult uw IBAN rechtstreeks in de aangifte in.
Juridische grondslag: de verwerking is gebaseerd op de uitvoering van de dienstenovereenkomst (art. 6(1)(b) AVG). De verwerking van het BSN (pakket «Boekhouder dient in») is gebaseerd op een wettelijke verplichting onder de Nederlandse belastingwet, die vereist dat het BSN op een belastingaangifte wordt vermeld (art. 6(1)(c) AVG).
Ontvangers: in het pakket «Zelf indienen» worden uw documenten alleen ingezien door de Dopomoga-operator die ze controleert en uw instructie opstelt — buiten Dopomoga worden ze met niemand gedeeld. In het pakket «Boekhouder dient in» worden uw gegevens gedeeld met een geregistreerde accountantpartner (met een Beconnummer) die de aangifte indient bij de Belastingdienst, die een eventuele teruggave uitbetaalt; de machtiging verloopt via het overheidssysteem DigiD Machtigen — uw DigiD-inloggegevens zien of bewaren wij nooit. De servicekosten (€39 of €89 per jaar, plus de toeslag voor een fiscaal partner) worden verwerkt via Stripe (zie het onderdeel «Betalingen en abonnementen» hierboven).
Beveiliging: uw BSN, IBAN, het BSN van uw fiscaal partner en uw toelichting worden opgeslagen met versleuteling op veldniveau (field-level encryption); geüploade documenten staan op een privélocatie op de server en zijn nooit via een publieke URL bereikbaar.
Bewaring: geüploade documenten en de gevoelige velden worden automatisch verwijderd binnen enkele maanden na afronding of annulering van uw verzoek; niet-afgeronde, onbetaalde verzoeken worden eveneens automatisch opgeschoond. Het betaalrecord wordt bewaard gedurende de wettelijke fiscale termijn onder Nederlands recht.
Uw rechten: net als voor de rest van uw gegevens kunt u toegang of verwijdering verzoeken (Account → Gegevens exporteren / Account verwijderen, art. 20 en 17 AVG) of ons schrijven op support@uadopomoga.eu.
Verificatie van bedrijfsregistratie (KvK Handelsregister)
Voor de verificatie van marktplaatsverkopers die als rechtspersoon of ZZP'er in Nederland geregistreerd zijn, raadpleegt Dopomoga het officiële register KvK Handelsregister (Kamer van Koophandel, Den Haag, Nederland). Het verzoek vindt uitsluitend op uw uitdrukkelijke initiatief plaats — wanneer u op «Verifiëren via KvK API» in de instellingen van het verkopersprofiel klikt.
Verwerkingsregio: KvK is een Nederlands overheidsregister, geregistreerd en fysiek gevestigd binnen de Europese Unie. Overdracht van gegevens naar landen buiten de EU vindt niet plaats, daarom is afzonderlijke toestemming op grond van art. 49 AVG niet nodig.
Juridische grondslag: De overdracht van gegevens aan KvK is gebaseerd op contractuele noodzaak (art. 6(1)(b) AVG) — zonder verificatie van de status van uw bedrijf in het Handelsregister kunnen wij u geen «Geverifieerd bedrijf»-badge op de marktplaats geven.
Welke gegevens worden aan KvK doorgegeven: Alleen uw 8-cijferige KvK-nummer. Geen andere informatie (e-mail, naam, IP-adres) wordt doorgegeven. KvK geeft als antwoord de openbaar beschikbare gegevens van uw bedrijfsregistratie terug: handelsnaam, juridische naam, het adres van de vestiging en de registratiestatus (actief / inactief / uitgeschreven).
Opslag bij ons: Het antwoord van KvK wordt op de server gecachet gedurende 30 dagen (vermindert het aantal verzoeken aan de API), waarna het automatisch opnieuw wordt opgevraagd. Uw KvK-nummer in het verkopersprofiel wordt bewaard zolang uw account actief blijft; het wordt samen met het account verwijderd (cascade-verwijdering op grond van art. 17 AVG). Eens per maand controleren wij of de status van uw KvK-registratie niet is gewijzigd — zo ja, dan verwijderen wij automatisch de «Geverifieerd bedrijf»-badge en sturen wij u een melding.
Opslag bij KvK: KvK bewaart als Nederlands overheidsregister de gegevens van uw bedrijfsregistratie overeenkomstig de Wet op het Handelsregister (Handelsregisterwet 2007). Meer informatie: kvk.nl/privacy.
Foutmonitoring (Sentry)
Voor het opsporen van technische fouten gebruikt Dopomoga de dienst Sentry (Functional Software, Inc., d/b/a Sentry; moederbedrijf Sentry GmbH — Berlin, Duitsland, EU). De gegevens worden verzonden naar de Sentry-instance in de regio Frankfurt, EU (DSN host *.ingest.de.sentry.io). Buiten de EU wordt geen telemetrie doorgegeven.
Verwerkingsregio: Sentry EU (Frankfurt). Overdracht van gegevens naar landen buiten de EU vindt niet plaats, daarom is afzonderlijke toestemming op grond van art. 49 AVG niet nodig.
Juridische grondslag: De overdracht van fouttelemetrie aan Sentry is gebaseerd op ons gerechtvaardigd belang om de beveiliging en betrouwbaarheid van de dienst te waarborgen (art. 6(1)(f) AVG); de relatie met Sentry als subverwerker wordt geregeld door art. 28 AVG.
Welke gegevens worden aan Sentry doorgegeven: De technische stack van de fout (trace, bestanden, coderegels), het type browser / besturingssysteem, het URL-pad (aan de clientzijde worden query-parameters verwijderd). E-mail, telefoonnummer, BSN, KvK-nummer en IP-adres worden gehasht (sha-256, eerste 16 tekens voor e-mail, eerste 8 voor de rest) VÓÓR de overdracht aan Sentry met behulp van de server-side PII-scrubber — in Sentry zelf worden alleen sentinels van de vorm [email:<hash>], [phone:<hash>] enz. bewaard.
Opslag bij ons: Lokaal worden geen Sentry-gebeurtenissen bewaard — de telemetrie wordt rechtstreeks naar de Sentry EU-instance doorgegeven via een netwerkverzoek op het moment dat de fout optreedt. Op de server van Dopomoga bewaren wij alleen het autorisatielogboek (authLog, gescheiden van Sentry, met een eigen rotatieregel van 30 dagen × 10 MB).
Opslag bij Sentry: Sentry bewaart fouttelemetrie 90 dagen (de standaard free-tier-periode), waarna het deze automatisch verwijdert. Meer informatie: sentry.io/privacy.
Uw rechten: U kunt te allen tijde verwijdering van uw account verzoeken via de functie «Account verwijderen» — na de verwijdering is het fysiek onmogelijk om nieuwe Sentry-gebeurtenissen te creëren die met uw account geassocieerd zouden kunnen worden (het account ontbreekt); eerder verzonden gebeurtenissen worden automatisch na 90 dagen verwijderd volgens het beleid van Sentry.
Wat wij NIET doen
- Wij tonen geen advertenties.
- Wij gebruiken geen externe trackers (Google Analytics, Meta Pixel, Hotjar enz.).
- Wij geven geen gegevens aan derden door zonder uw toestemming (uitzonderingen zijn beschreven in het onderdeel «AI-chat en gegevensoverdracht» hierboven).
- Wij verkopen uw gegevens niet.
Contact
Voor verzoeken over persoonsgegevens: support@uadopomoga.eu.
Wijzigingen in het beleid
Als wij dit beleid bijwerken, ziet u bij de volgende keer inloggen een melding met het verzoek om aanvaarding van de nieuwe versie te bevestigen.