SpreekBoek

Privacyverklaring

Versie 2.0 — laatst bijgewerkt: 21 mei 2026

SpreekBoek ("wij", "ons") is een dienst voor ZZP'ers en vakmensen om hun zakelijke administratie te beheren. Privacy is voor ons een ontwerpprincipe, niet een formaliteit. Hieronder staat exact welke gegevens we verwerken, waarom, hoelang, en welke rechten je hebt.

1. Wie zijn wij?

Verwerkingsverantwoordelijke: SpreekBoek (handelsnaam). Contact: info@spreekboek.nl. Voor klachten of vragen kun je ons rechtstreeks bereiken, of contact opnemen met de Autoriteit Persoonsgegevens.

2. Welke gegevens verwerken wij?

  • Accountgegevens: naam, e-mail, telefoon, taal, profielfoto/logo, voorkeuren.
  • Bedrijfsgegevens: bedrijfsnaam, KvK-nummer, BTW-nummer, IBAN, adres, vestigingsplaats, uurtarief, branche, services.
  • Klant- en transactiegegevens: klantnamen, adressen, e-mails, telefoonnummers, factuurregels, uren, ritten, uitgaven, afspraken, aanvragen, offertes, herinneringen.
  • Spraakopnames: tijdelijke audio voor transcriptie. Audio wordt na transcriptie direct verwijderd; alleen de tekst-transcriptie wordt opgeslagen indien je een actie bevestigt.
  • Foto's: bonnen, werkfoto's, factuurbijlagen — bewaard zolang het bijbehorende document bestaat.
  • Locatiegegevens: rit-adressen en eventuele coördinaten voor afstandsberekening (alleen als jij deze opgeeft of toestemming geeft).
  • Gebruiksgegevens: voice-logs (welke intenties), feature-gebruik, foutmeldingen — voor productverbetering.
  • Betaalgegevens: abonnementsstatus via Stripe (wij zien geen creditcard-nummers).

3. Waarvoor en op welke grondslag?

DoelGegevensGrondslag
Uitvoering dienstAccount, bedrijf, klant, transactiesUitvoering overeenkomst
Facturen + 7 jaar bewaarplichtFactuur-/financiële dataWettelijke verplichting
ProductverbeteringGebruiksgegevens (pseudoniem)Gerechtvaardigd belang
BetalingenStripe customer-idUitvoering overeenkomst
Communicatie + supportE-mail + berichtToestemming / gerechtvaardigd belang

4. Met wie delen wij gegevens?

We delen alleen met subverwerkers die noodzakelijk zijn voor de dienst, allemaal onder verwerkersovereenkomst:

  • Supabase (database, auth, opslag) — EU-regio
  • Vercel (hosting) — EU + VS-edge, DPA actief
  • Anthropic Claude via AWS Bedrock (AI-spraakinterpretatie) — EU-regio (Frankfurt), AWS GDPR-DPA
  • Deepgram (spraak-naar-tekst & tekst-naar-spraak) — EU-endpoint (EU-dataresidentie); aanvullend EU-VS Data Privacy Framework / SCC's
  • Stripe (betalingen) — DPA + EU-VS DPF
  • Mollie (iDEAL betalingen) — NL, DPA actief
  • Resend / Postmark (e-mailverzending) — EU

Wij delen geen gegevens met adverteerders of dataverkopers, ooit.

5. Hoelang bewaren wij gegevens?

  • Facturen + bijbehorende klantdata: 7 jaar (fiscale bewaarplicht).
  • Niet-financiële klantdata: tot account-verwijdering, of langer indien gekoppeld aan facturen.
  • Spraakopnames (audio): direct verwijderd na transcriptie (binnen seconden).
  • Voice-logs (tekst-transcripties): 90 dagen, daarna geanonimiseerd voor productanalyse.
  • Server-logs en gebruikslogs: 90 dagen.
  • Verwijderingsverzoek: 30 dagen grace period waarna persoonsgegevens worden geanonimiseerd; financiële records blijven bewaard zoals wettelijk verplicht (gepseudonimiseerd).

6. Beveiliging

  • HTTPS verplicht (HSTS) op alle endpoints.
  • Row-level security in de database — elke gebruiker ziet alleen eigen data.
  • Wachtwoorden via Supabase Auth (bcrypt) of magic links — wij slaan nooit wachtwoorden op.
  • Toegang voor medewerkers alleen op need-to-know, gelogd via audit log.
  • Periodieke security-audits en penetration tests.

Meer over onze maatregelen en hoe je een kwetsbaarheid meldt: Beveiliging & Trust.

7. Jouw rechten

Je hebt onder de AVG het recht op:

  • Inzage: vraag een kopie van alle data op via Instellingen → Mijn data.
  • Rectificatie: pas onjuiste gegevens aan in je profiel.
  • Vergetelheid: account verwijderen — financiële data wordt gepseudonimiseerd, alle persoonsgegevens verwijderd.
  • Beperking: pauzeer verwerking door account te bevriezen.
  • Dataportabiliteit: download je data in JSON-formaat.
  • Bezwaar: maak bezwaar tegen verwerking op basis van gerechtvaardigd belang.
  • Klacht bij toezichthouder: autoriteitpersoonsgegevens.nl.

Mail info@spreekboek.nl voor verzoeken die niet via de app kunnen. We reageren binnen 30 dagen.

8. Cookies en tracking

We gebruiken alleen functionele cookies die strikt noodzakelijk zijn voor inloggen en sessiebeheer. Geen advertentiecookies, geen tracking-pixels van derden, geen profilering. Daarom hoeven we ook geen cookiebanner te tonen. Vercel verzamelt anonieme pageview-statistieken zonder cookies of persoonsgegevens.

9. Doorgifte buiten EER

De AI-spraakinterpretatie (Claude) draait in de EU via AWS Bedrock (Frankfurt) en spraak ↔ tekst verloopt via het EU-endpoint van Deepgram (EU-dataresidentie). Deepgram en Stripe zijn van oorsprong Amerikaanse leveranciers; voor zover er toch verwerking buiten de EU plaatsvindt, is doorgifte gebaseerd op het EU-VS Data Privacy Framework en aanvullende contractuele waarborgen (SCC's). Audio wordt versleuteld verstuurd en niet gebruikt om modellen te trainen.

10. Datalek

Mocht er onverhoopt een datalek zijn, dan melden we dat binnen 72 uur bij de Autoriteit Persoonsgegevens en, als jouw data betrokken is met hoog risico, ook bij jou. Onze datalek-procedure is intern gedocumenteerd.

11. Wijzigingen

Wij kunnen deze privacyverklaring aanpassen. Materiële wijzigingen melden we vooraf per e-mail. De laatste versie staat altijd op deze pagina.

Verantwoordelijke: SpreekBoek · info@spreekboek.nl · Algemene voorwaarden