Privacyverklaring

shootflow.nl is een webapplicatie voor bedrijfsbeheer, gericht op fotografen en videografen. Het platform biedt functionaliteit voor klantenbeheer, boekingen, facturatie en financieel overzicht.

shootflow.nl is geregistreerd bij de Kamer van Koophandel onder nummer 65656962 en gevestigd op Douwes Dekkerstraat 5, 3362TC Sliedrecht. Voor vragen over deze privacyverklaring kun je contact opnemen via hello@shootflow.nl.

In deze verklaring leggen wij uit welke persoonsgegevens wij verwerken, waarom, op welke grondslag en hoe lang we ze bewaren. Wij handelen conform de Algemene Verordening Gegevensbescherming (AVG / GDPR).

shootflow verwerkt persoonsgegevens in twee verschillende hoedanigheden, afhankelijk van om wiens gegevens het gaat:

• Verwerkingsverantwoordelijke: voor gegevens van onze eigen gebruikers (de fotografen en videografen die een account aanmaken). Wij bepalen zelf het doel en de middelen van deze verwerking.
• Verwerker: voor de gegevens die gebruikers zelf in shootflow invoeren over hun klanten (namen, e-mailadressen, boekinginformatie, enzovoort). De gebruiker is voor die gegevens de verwerkingsverantwoordelijke; wij verwerken deze uitsluitend in opdracht en mogen er geen eigen gebruik van maken. Op verzoek sluiten wij een verwerkersovereenkomst.

De rest van deze verklaring beschrijft onze verwerking als verwerkingsverantwoordelijke, tenzij anders aangegeven.

Wij verwerken uitsluitend de gegevens die noodzakelijk zijn voor het leveren van de dienst. Dat zijn:

Wij verwerken persoonsgegevens op basis van de volgende grondslagen uit artikel 6 AVG:

Wij verwerken geen bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9 AVG.

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor ze zijn verzameld:

• Accountgegevens: zolang je account actief is. Wanneer je je account verwijdert via Instellingen, worden je accountgegevens en de daaraan gekoppelde klant-, boekings-, factuur-, offerte- en kostengegevens direct en definitief verwijderd. Exporteer je boekhouding daarom vóór je je account verwijdert (zie Instellingen: Export).
• Financiële en boekhoudkundige gegevens: voor jou als ondernemer geldt de wettelijke bewaarplicht van 7 jaar voor de Belastingdienst. Deze bewaarplicht vervul je met de geëxporteerde CSV- en XAF-bestanden (zie Algemene Voorwaarden, artikel 6).
• Auditlog: 90 dagen.
• E-maillogs: 12 maanden.

Wij delen persoonsgegevens uitsluitend met derden voor zover dat noodzakelijk is voor de dienstverlening. Wij verkopen geen persoonsgegevens. Onze subverwerkers zijn:

• TransIP B.V. (Wagenweg 39, 2012 NB Haarlem, NL): hosting van de applicatie en de productie-database. Alle live data staat op servers binnen Nederland (EER).
• Mollie B.V. (Amsterdam, NL): betaalverwerking voor abonnementen. Mollie is een gereguleerde betaalinstelling (PSD2) en verwerkt gegevens conform hun eigen privacybeleid. Meer informatie: mollie.com/nl/privacy.
• Resend Inc. (San Francisco, VS): verzending van transactionele e-mails (accountbevestigingen, factuurmeldingen, klant-mails namens onze gebruikers). Resend verwerkt gegevens uitsluitend voor het afleveren van e-mail en heeft geen toegang tot berichtinhoud na aflevering.
• Backblaze, Inc. (San Mateo, VS, EU-region servers): off-site opslag van versleutelde dagelijkse database-backups. De backups worden opgeslagen in de EU-region (Amsterdam) en Backblaze gebruikt server-side encryptie. Backups zijn niet toegankelijk zonder onze toegangs- sleutel.
• Functional Software, Inc. (Sentry) (San Francisco, VS): foutregistratie en error-tracking. Sentry kan onbedoeld beperkte persoonsgegevens ontvangen die in stack-traces of foutcontext voorkomen (zoals een gebruikers-ID of e-mailadres). Wij hebben PII-filters ingesteld waar mogelijk.
• BetterStack OÜ (Tallinn, Estland, EER): uptime-monitoring en heartbeats. BetterStack ontvangt alleen de URL-status van onze health-endpoints, geen persoonsgegevens van gebruikers of hun klanten.
• Google Ireland Ltd. (Google Analytics 4)(Dublin, Ierland): analytics op de marketing-pagina's (niet binnen de afgeschermde app). Doel: gebruiksstatistieken om de website te verbeteren. Zie ook paragraaf 9.

Met alle subverwerkers zijn verwerkersovereenkomsten gesloten conform artikel 28 AVG. Een actuele lijst van subverwerkers is opgenomen in onze verwerkersovereenkomst (DPA). Bij toevoeging van een nieuwe subverwerker informeren wij gebruikers ten minste 30 dagen vooraf en bieden wij gelegenheid tot bezwaar.

De primaire opslag van persoonsgegevens vindt plaats binnen de Europese Economische Ruimte (EER), specifiek in Nederland (TransIP) voor de live database en applicatieserver, en in de EU-region van Backblaze (Amsterdam) voor versleutelde backups.

Drie subverwerkers zijn gevestigd in de Verenigde Staten: Resend, Sentry (Functional Software) en Google (Google Analytics). De doorgifte naar deze partijen is juridisch gedekt door de Standard Contractual Clauses (SCC) van de Europese Commissie en, waar van toepassing, het EU-US Data Privacy Framework. Wij beperken de gegevens die naar deze partijen worden gestuurd tot het strikt noodzakelijke per dienst (zie de tabel in paragraaf 6).

Wij treffen passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, ongeoorloofde toegang en misbruik. Specifieke maatregelen zijn onder meer:

• Versleutelde opslag van wachtwoorden (bcrypt).
• Versleuteling van gevoelige velden in de database (AES-256-GCM), waaronder betaalsleutels en IBAN-nummers.
• HTTPS (TLS) voor alle communicatie via het platform.
• HTTP-beveiligingsheaders: Content Security Policy, Strict-Transport-Security, X-Frame-Options, enzovoort.
• Optionele tweefactorauthenticatie (TOTP) voor gebruikersaccounts.
• Rate limiting op inlogpogingen en gevoelige acties ter voorkoming van brute-force aanvallen.

Bij een datalek dat waarschijnlijk een risico oplevert voor betrokkenen, zullen wij de Autoriteit Persoonsgegevens melden binnen 72 uur, conform artikel 33 AVG. Betrokkenen worden geïnformeerd als het datalek waarschijnlijk een hoog risico voor hen oplevert.

Binnen de afgeschermde app (na inloggen) gebruiken wij uitsluitend functionele cookies die strikt noodzakelijk zijn voor de werking van het platform: een sessiecookie om je herkenning, een CSRF-token tegen aanvallen en een callback-URL om je na inloggen naar de juiste pagina te brengen. Voor deze cookies is op grond van de Telecommunicatiewet geen afzonderlijke toestemming vereist.

Op onze marketing-pagina's (de openbare delen van shootflow.nl) maken wij gebruik van Google Analytics 4 voor algemene bezoekersstatistieken (paginabezoeken, herkomst, apparaattype). Deze plaatst analytische cookies van Google. Conform de Telecommunicatiewet vragen wij hiervoor toestemming via de cookiemelding. Pas na een actieve klik op “Accepteren” worden deze cookies geplaatst; bij weigering blijven ze achterwege.

De volgende cookies kunnen worden geplaatst:

Je kunt je toestemming voor analytische cookies op elk moment intrekken via de link “Cookie-instellingen” onderaan elke marketing-pagina. Daarmee worden de cookies verwijderd uit jouw browser.

Op grond van de AVG heb je de volgende rechten met betrekking tot je persoonsgegevens:

• Recht op inzage (art. 15 AVG): je kunt opvragen welke persoonsgegevens wij van jou verwerken.
• Recht op rectificatie (art. 16 AVG): je kunt onjuiste of onvolledige gegevens laten corrigeren.
• Recht op gegevenswissing (art. 17 AVG): je kunt verzoeken om verwijdering van je persoonsgegevens, mits geen wettelijke bewaarplicht van toepassing is.
• Recht op beperking van verwerking (art. 18 AVG): in bepaalde gevallen kun je vragen de verwerking tijdelijk te beperken.
• Recht op overdraagbaarheid (art. 20 AVG): je kunt je gegevens in een gestructureerde, gangbare en machineleesbare vorm ontvangen.
• Recht van bezwaar (art. 21 AVG): je kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.

Om een van deze rechten uit te oefenen, kun je contact opnemen via hello@shootflow.nl. Wij reageren binnen vier weken op je verzoek, zoals de AVG voorschrijft.

Je kunt ook direct via de app een aantal acties uitvoeren: je naam en e-mailadres wijzigen via Instellingen → Profiel, en je account inclusief alle gegevens verwijderen via Instellingen → Profiel → Account verwijderen.

Als je van mening bent dat wij je persoonsgegevens niet conform de AVG verwerken, heb je het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP):

autoriteitpersoonsgegevens.nl · Postbus 93374, 2509 AJ Den Haag · tel. 088 – 1805 250

Wij stellen het echter op prijs als je eventuele bezwaren eerst bij ons meldt, zodat wij samen tot een oplossing kunnen komen.

Wij kunnen deze privacyverklaring van tijd tot tijd bijwerken, bijvoorbeeld bij wijzigingen in de dienst of in de toepasselijke wetgeving. Bij ingrijpende wijzigingen ontvang je hierover bericht per e-mail. De datum bovenaan deze pagina geeft aan wanneer de verklaring voor het laatst is gewijzigd.

shootflow.nl
Douwes Dekkerstraat 5, 3362TC Sliedrecht
KvK: 65656962
hello@shootflow.nl