Privacybeleid
Ingangsdatum: 23 april 2026
Dit Privacybeleid beschrijft welke persoonsgegevens Ripazo ("wij", "ons") verzamelt, hoe we ze gebruiken en de rechten die je hebt onder de Algemene Verordening Gegevensbescherming (AVG) en de GDPR.
Ripazo is een privé-dashboard voor families en vrienden die een vakantiehuis samen bezitten of delen. Wij zijn bewust klein, hebben geen adverteerders en trainen geen AI-modellen op jouw inhoud. Dit beleid weerspiegelt die houding.
1. Wie zijn wij
Ripazo wordt geëxploiteerd door LexMulier (eenmanszaak), KvK 92535755, Zeist, Nederland. E-mail: info@ripazo.com.
Wij zijn de verwerkingsverantwoordelijke voor alle persoonsgegevens die via Ripazo worden verwerkt. Dat betekent dat wij beslissen wat wordt verzameld, waarom en hoe lang — en dat wij het aanspreekpunt zijn als er iets misgaat.
Omdat we een eenmanszaak zijn, hebben we geen wettelijk verplichte Functionaris Gegevensbescherming. Voor elke privacyvraag of -verzoek mail je rechtstreeks info@ripazo.com.
2. Welke gegevens we verzamelen en waar ze vandaan komen
We verzamelen alleen gegevens die nodig zijn om de dienst te draaien of die jij expliciet aan ons geeft.
| Categorie | Voorbeelden | Bron |
|---|---|---|
| Accountgegevens | E-mail, naam, gehasht wachtwoord, taalvoorkeur, avatar-URL, slug van je huisje | Jij, bij aanmelden |
| Inhoud | Boekingen, checklists, uitgaven, contactgegevens, foto's, albums, reacties, likes, huisinformatie | Jij, tijdens gebruik |
| Apparaat- + verbindingsdata | IP-adres, browser, besturingssysteem, globaal land | Automatisch via je browser |
| Gebruiksdata | Paginaweergaven, klikacties (geanonimiseerd) | Automatisch, alleen met toestemming voor Analytics |
| Foutdiagnose | Stacktrace, URL, browser | Automatisch, alleen met toestemming voor Foutafhandeling |
| Facturatiegegevens | Factuuradres, laatste 4 cijfers kaart, facturen, fiscale identificatie | Jij, bij abonneren — kaartnummers raken onze servers niet, die blijven bij Stripe |
| Communicatie | E-mails die je ons stuurt, supportgesprekken | Jij, bij contact |
We verzamelen geen bijzondere categorieën gegevens (religie, gezondheid, politieke opvatting, biometrie). Als je zulke gegevens vrijwillig invult in inhoudsvelden, doe je dat op eigen risico.
3. Waarom we gegevens verzamelen en onze rechtsgrond
Voor elk doel baseren we ons op één van de zes rechtsgronden uit AVG artikel 6:
| Doel | Gegevens | Rechtsgrond |
|---|---|---|
| Je account aanmaken en draaien | Accountgegevens, inhoud, apparaat- + verbindingsdata | Art. 6(1)(b) — overeenkomst |
| Transactionele e-mails (uitnodigingen, wachtwoordherstel, verwijderingsbevestiging) | E-mail, naam | Art. 6(1)(b) — overeenkomst |
| Abonnementsfacturatie | Accountgegevens, facturatie | Art. 6(1)(b) — overeenkomst |
| Voldoen aan Nederlands belastingrecht (factuurbewaring) | Facturatie | Art. 6(1)(c) — wettelijke verplichting |
| Analytics om het product te verbeteren | Gebruiksdata | Art. 6(1)(a) — toestemming (schakelbaar) |
| Foutafhandeling om bugs te fixen | Foutdiagnose | Art. 6(1)(a) — toestemming (schakelbaar) |
| Misbruik, fraude en beveiligingsincidenten detecteren | Account- + apparaatdata | Art. 6(1)(f) — gerechtvaardigd belang |
| Reageren op juridische verzoeken, Voorwaarden handhaven | Alle genoemde, voor zover nodig | Art. 6(1)(c), (f) |
Je kunt toestemming voor analytics en foutafhandeling op elk moment intrekken via Cookie-voorkeuren in de footer.
4. Met wie we data delen
We delen data alleen met de subverwerkers op onze Subverwerkers-pagina:
- Supabase (EU) — database, authenticatie, opslag.
- Vercel — hosting + CDN.
- Stripe — abonnementsfacturatie.
- Resend (EU) — transactionele e-mail.
- PostHog (EU) — alleen met toestemming voor Analytics.
- Sentry (EU) — alleen met toestemming voor Foutafhandeling.
Wij verkopen je gegevens niet. We delen ze niet met adverteerders of databrokers. We gebruiken je inhoud niet voor het trainen van AI-modellen.
Data delen om aan een rechterlijk bevel of rechtmatig overheidsverzoek te voldoen, of om onze rechten te beschermen, is juridisch mogelijk. Waar juridisch toegestaan informeren wij je vooraf.
5. Internationale doorgifte
Wij geven de voorkeur aan EU-gehoste leveranciers. Waar we een subverwerker met VS-infrastructuur gebruiken (Vercel, Stripe), is de doorgifte gedekt door het EU-US Data Privacy Framework en Standaardcontractbepalingen in hun DPA. Details per verwerker staan op de Subverwerkers-pagina.
6. Hoe lang we data bewaren
| Categorie | Bewaartermijn | Reden |
|---|---|---|
| Account + inhoud | Zolang je abonnement actief is, plus 30 dagen na verwijderingsverzoek | Overeenkomst + 30-dagen wachttijd waarbinnen je kunt annuleren |
| Facturen | 7 jaar na factuurdatum | Wet op de Omzetbelasting |
| PostHog-events | 12 maanden vanaf event | Productanalyse; seizoensvergelijking |
| Sentry-events | 90 dagen vanaf event | Voldoende voor debug; beperkt opslaan |
| E-mail-logs (Resend) | 30 dagen | Alleen voor deliverability-troubleshooting |
| Misbruik-/beveiligingslogs | 90 dagen (rolling) | Incident response |
| Verwijderde accounts — factuurstubs | 7 jaar | Zoals boven; naam en e-mail worden ontdaan en vervangen door een hash bij verwijdering |
Na de bewaartermijn verwijderen of anonimiseren we. Geanonimiseerde data (zonder enige identifier waarmee we die aan jou zouden kunnen koppelen) zijn geen persoonsgegevens onder de AVG en kunnen langer worden bewaard voor productmetrics op aggregaatniveau.
7. Jouw rechten onder de AVG
Onder de AVG heb je de volgende rechten:
- Inzage (art. 15) — een kopie van je persoonsgegevens opvragen.
- Rectificatie (art. 16) — onjuiste gegevens corrigeren. Het meeste kun je zelf in Instellingen doen.
- Vergetelheid / verwijdering (art. 17) — je account verwijderen. Self-service via Instellingen → Account; data weg binnen 30 dagen, behalve gegevens die wij wettelijk moeten bewaren.
- Beperking (art. 18) — verwerking pauzeren terwijl een klacht loopt.
- Overdraagbaarheid (art. 20) — je gegevens ontvangen in machineleesbaar formaat (JSON). Zolang self-service-export in ontwikkeling is, mail info@ripazo.com; wij leveren binnen 30 dagen.
- Bezwaar (art. 21) — tegen verwerking op basis van gerechtvaardigd belang, of tegen direct marketing (wij doen dat nu niet).
- Toestemming intrekken — voor analytics + foutafhandeling via Cookie-voorkeuren; direct van kracht.
- Niet onderworpen aan geautomatiseerde besluitvorming (art. 22) — wij nemen geen geautomatiseerde besluiten met rechtsgevolg. Voor volledigheid hier genoemd.
- Klacht indienen (art. 77) — bij de Nederlandse toezichthouder hieronder.
Hoe oefen je een recht uit
- Mail info@ripazo.com met het recht dat je wil uitoefenen.
- Wij kunnen je vragen je identiteit te bevestigen (meestal via e-mail vanaf het adres op je account). We vragen niet meer dan nodig — geen paspoortscans.
- Wij reageren binnen 30 dagen. Bij complexe of meerdere verzoeken kunnen we verlengen met twee maanden en melden wij dat binnen de eerste maand.
- Onze reactie is gratis. Bij herhaalde, kennelijk ongegronde of buitensporige verzoeken mogen wij een redelijke vergoeding rekenen of weigeren — art. 12(5) AVG.
Klachten
Denk je dat wij je data onjuist behandelen? Praat eerst met ons — info@ripazo.com. Je hebt ook het recht om rechtstreeks een klacht in te dienen bij de Nederlandse toezichthouder:
Autoriteit Persoonsgegevens Hoge Nieuwstraat 8, 2514 EL Den Haag autoriteitpersoonsgegevens.nl
8. Account verwijderen
Via Instellingen → Account kun je verwijdering aanvragen. We sturen een bevestigingslink naar je e-mail die 7 dagen geldig is. Na bevestiging gaat je account in een wachttijd van 30 dagen, waarin je de verwijdering kunt annuleren door opnieuw in te loggen en op "Verwijdering annuleren" te klikken. Na 30 dagen worden je account en alle bijbehorende inhoud definitief verwijderd. Facturen die wij wettelijk moeten bewaren blijven, maar worden ontdaan van naam en e-mail.
9. Cookies
Zie ons Cookiebeleid.
10. Kinderen
Ripazo is bedoeld voor volwassenen die een gedeeld vakantiehuis coördineren. Wij verzamelen niet bewust persoonsgegevens van kinderen onder de 16. Ben je ouder of voogd en denk je dat een kind een account heeft aangemaakt, mail ons en wij verwijderen het.
11. Beveiliging
Data in transport is versleuteld met TLS 1.2 of hoger. Data in rust bij Supabase is versleuteld met AES-256. Toegang tot onze beheerinterfaces vereist two-factor authenticatie. Wij roteren service-credentials elke 24 uur. Wij draaien automatische dependency-scans bij elke deploy.
Geen online dienst is 100% veilig; als wij ooit een incident vaststellen dat jouw data raakt, informeren wij jou en de toezichthouder binnen de AVG-termijnen (72 uur, art. 33/34).
12. Geautomatiseerde besluitvorming + profilering
Wij voeren geen volledig geautomatiseerde besluitvorming uit die rechtsgevolg of vergelijkbaar significant effect voor jou heeft. Anti-misbruik-heuristieken (zoals rate limits) zijn technisch en niet-discriminerend.
13. Wijzigingen
Wij reviewen dit beleid periodiek en passen het aan wanneer onze praktijk verandert. Bij materiële wijzigingen (nieuwe datacategorie, nieuwe subverwerker, nieuwe rechtsgrond) informeren wij je per e-mail minimaal 14 dagen vooraf en resetten we je toestemmingskeuzes voor de geraakte cookie-categorieën. De ingangsdatum bovenaan toont de huidige versie. Eerdere versies zijn op verzoek beschikbaar.
14. Contact
info@ripazo.com — voor elke vraag, verzoek of klacht over hoe wij met je data omgaan.
LexMulier Zeist, Nederland
