Privacybeleid

1. Verwerkingsverantwoordelijke

Factu wordt geleverd door dk-desire, ingeschreven bij de Kamer van Koophandel onder nummer 87878119, gevestigd aan Dalsteindreef 2019, 1112XC Diemen. Wij zijn de verwerkingsverantwoordelijke in de zin van de AVG voor de gegevens die via Factu worden verwerkt.

Voor privacyvragen: hello@factu.nl.

2. Welke gegevens verzamelen we

• Accountgegevens: e-mailadres, naam, bedrijfsnaam.
• Factureringsgegevens: bedrijfsnaam, BTW-nummer, factuuradres, telefoonnummer. Betaalkaartgegevens worden uitsluitend door Stripe verwerkt en door ons niet opgeslagen.
• Klantgegevens: namen en e-mailadressen van de klanten die jij als boekhouder aan Factu toevoegt, en hun verbonden e-mailaccount.
• E-mailinhoud: inhoud en bijlagen van e-mails die via Factu worden doorgestuurd (factuur-PDF's). Deze worden verwerkt om de dienst te leveren.
• OAuth-tokens: versleutelde toegangs- en vernieuwingstokens voor de e-mailaccounts die klanten verbinden (Microsoft, Google). Deze worden gebruikt om e-mails op te halen namens de klant.
• Technische logs: logs over verwerkte e-mails, foutmeldingen en systeemgebeurtenissen.

3. Doeleinden en rechtsgrond

• Accountbeheer en authenticatie — uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG).
• Facturering en betalingen — uitvoering van de overeenkomst en wettelijke verplichting (art. 6 lid 1 sub b en c AVG).
• Doorsturen en verwerken van facturen — uitvoering van de overeenkomst (sub b).
• Beveiliging en fraudepreventie — gerechtvaardigd belang (art. 6 lid 1 sub f AVG).
• Productverbetering en foutdiagnose — gerechtvaardigd belang (sub f); we analyseren alleen geaggregeerde, niet-identificeerbare data.

4. Bewaartermijnen

• Accountgegevens: zolang je account bestaat, plus 30 dagen na verwijdering (voor technische back-ups).
• Factureringsgegevens en betalingshistorie: 7 jaar, conform de fiscale bewaarplicht (art. 52 AWR).
• Klantgegevens en OAuth-tokens: zolang de boekhouder de klant in Factu heeft; bij verwijdering direct verwijderd.
• Verwerkte e-mailinhoud: 90 dagen na verwerking.
• Technische logs: 90 dagen.

5. Ontvangers en verwerkers

Factu schakelt de volgende partijen in om onze dienst te leveren:

• Supabase — database en authenticatie. Gehost in de EU.
• Vercel — hosting van de webapplicatie. Gevestigd in de VS; doorgifte onder EU Standard Contractual Clauses (SCC's).
• Stripe — betalingsverwerking. Gevestigd in de VS; doorgifte onder SCC's. Stripe is zelfstandig verwerkingsverantwoordelijke voor betaalgegevens.
• Resend — verzending van transactionele e-mails (zoals wachtwoord-reset). Gevestigd in de VS; doorgifte onder SCC's.
• Microsoft (Graph API) — wanneer een klant een Microsoft-account verbindt, halen we via Microsoft Graph e-mails op. Microsoft is zelfstandig verwerkingsverantwoordelijke voor hun platform.
• Google (Gmail API) — wanneer een klant een Google-account verbindt, halen we via Gmail API e-mails op. Google is zelfstandig verwerkingsverantwoordelijke voor hun platform.
• Doorstuuradres — bestemmingsadres voor doorgestuurde facturen, ingevoerd door de boekhouder per klant (bijvoorbeeld een boekhoudprogramma zoals Zenvoices, Moneybird, e-Boekhouden, of een eigen factuurverwerker). De eigenaar van dat adres is verwerkingsverantwoordelijke voor de ontvangen facturen.

We verstrekken geen gegevens aan andere partijen, tenzij dit wettelijk verplicht is.

6. Jouw rechten

Je hebt onder de AVG de volgende rechten:

• Recht op inzage in je gegevens.
• Recht op rectificatie van onjuiste gegevens.
• Recht op verwijdering (“recht op vergetelheid”).
• Recht op beperking van de verwerking.
• Recht op dataportabiliteit.
• Recht van bezwaar tegen verwerking op basis van gerechtvaardigd belang.
• Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

7. Hoe oefen je je rechten uit?

Stuur een e-mail naar hello@factu.nl. We reageren binnen 30 dagen. We kunnen je vragen om je identiteit te bevestigen voordat we een verzoek uitvoeren.

Een deel van je gegevens kun je direct zelf beheren via Instellingen, inclusief het verwijderen van je account.

8. Cookies

Factu gebruikt alleen functionele cookies:

• Authenticatiecookies van Supabase — om je ingelogd te houden. Verloopt bij uitloggen of na inactiviteit.
• Betalingsgerelateerde cookies van Stripe — alleen gezet op Stripe's eigen checkout-pagina, niet op factu.nl.

We gebruiken geen tracking- of analytics-cookies.

9. Beveiliging

We nemen passende technische en organisatorische maatregelen om je gegevens te beschermen, waaronder:

• Versleuteling van gegevens onderweg (TLS) en in rust (database-encryptie door Supabase).
• OAuth-tokens worden versleuteld opgeslagen.
• Toegang tot productiedata is beperkt tot geautoriseerd personeel.
• Row-level security in de database zorgt dat boekhouders alleen hun eigen gegevens kunnen inzien.

10. Wijzigingen

We kunnen dit privacybeleid bijwerken. De datum bovenaan geeft de laatste wijziging aan. Belangrijke wijzigingen communiceren we via e-mail of een melding in de app.

11. Contact

Voor vragen over dit beleid of over de verwerking van jouw gegevens: hello@factu.nl.