Privacybeleid

Laatst bijgewerkt: april 2026

1. Verwerkingsverantwoordelijke

Attentico is verantwoordelijk voor de verwerking van persoonsgegevens zoals beschreven in dit beleid. Contactadres: privacy@attentico.nl.

2. Welke gegevens we verwerken

We verwerken uitsluitend gegevens die nodig zijn voor de dienstverlening:

  • Accountgegevens: naam, e-mailadres, wachtwoord (versleuteld via Supabase Auth)
  • Contactgegevens: namen, verjaardagen, bijzondere momenten, persoonlijke voorkeuren en eventuele verlanglijstjes van de mensen voor wie je cadeaus verstuurt
  • Bestelgegevens: bezorgadressen en cadeaugeschiedenis
  • Betalingsgegevens: verwerkt via Stripe — we slaan geen volledige kaartgegevens op
  • Communicatielogs: door AI gegenereerde kaartberichten en cadeausuggesties
  • Google Contacten (optioneel): als je kiest voor de Google-import, vraagt Attentico alleen-lezen toegang tot je Google Contacten. We importeren naam, e-mailadres, telefoonnummer en verjaardag. We slaan je Google-accountgegevens niet op en delen ze niet met derden.
  • Sessiedata: authenticatiecookies (functioneel, geen tracking)

3. Google Contacten — gebruik van API-gegevens

Attentico gebruikt de Google People API uitsluitend om je contacten te importeren in de Attentico-app. We vragen de scope contacts.readonly. Dit betekent dat we je contacten alleen kunnen lezen, niet aanpassen of verwijderen.

  • Geïmporteerde gegevens worden uitsluitend gebruikt om contacten aan te maken in jouw Attentico-account.
  • We bewaren geen Google OAuth-tokens na de import.
  • Je Google-gegevens worden nooit gebruikt voor advertenties, profilering of doorverkoop.
  • Google-gegevens worden niet doorgestuurd naar AI-modellen, analysetools of andere interne systemen.
  • Geen enkele medewerker of derde partij heeft inzage in je Google-gegevens, tenzij je hier expliciet toestemming voor geeft, het noodzakelijk is voor beveiligingsonderzoek, of wettelijk vereist is.
  • Je kunt geïmporteerde contacten op elk moment verwijderen via Attentico Instellingen → Gegevens.
  • Je kunt Attentico's toegang intrekken via je Google-accountinstellingen: myaccount.google.com/permissions.

Het gebruik en de overdracht van gegevens die zijn verkregen via Google API's aan andere apps voldoet aan het Google API Services User Data Policy, inclusief de Limited Use-vereisten.

4. Gegevensbescherming & beveiliging

Attentico neemt de bescherming van je persoonsgegevens serieus. We hebben de volgende technische en organisatorische maatregelen getroffen om je gegevens te beveiligen:

  • Versleuteling in transit: Alle communicatie tussen jouw browser en onze servers verloopt via HTTPS/TLS 1.3. We handhaven HTTP Strict Transport Security (HSTS).
  • Versleuteling in rust: Alle gegevens in onze database (Supabase/PostgreSQL) worden versleuteld opgeslagen (AES-256). Wachtwoorden worden gehasht met bcrypt.
  • Toegangscontrole: We hanteren Row Level Security (RLS) op alle databasetabellen, zodat gebruikers alleen hun eigen gegevens kunnen benaderen. API-routes zijn beveiligd met authenticatietokens.
  • Minimale gegevenstoegang: Diensten van derden ontvangen alleen de minimaal noodzakelijke gegevens. Google API-gegevens worden niet gedeeld met andere verwerkers of gebruikt voor andere doeleinden dan de contacten-import.
  • Beveiligingsheaders: We implementeren Content Security Policy (CSP), X-Frame-Options, X-Content-Type-Options en Referrer-Policy headers om aanvallen te voorkomen.
  • Rate limiting: API-endpoints zijn beveiligd met rate limiting om misbruik te voorkomen.
  • Geen AI-training: Je gegevens worden nooit gebruikt voor het trainen van AI-modellen. AI-verwerking (Anthropic Claude) vindt plaats via API-aanroepen die niet worden opgeslagen door de aanbieder voor trainingsdoeleinden.
  • Incidentrespons: In geval van een datalek stellen we de Autoriteit Persoonsgegevens en betrokken gebruikers binnen 72 uur op de hoogte, conform AVG art. 33 en 34.

5. Rechtsgrondslagen (AVG art. 6)

  • Uitvoering van een overeenkomst (art. 6 lid 1 sub b): Accountgegevens, contactgegevens, bezorgadressen en betalingen — noodzakelijk om de dienst te leveren.
  • Toestemming (art. 6 lid 1 sub a): Google Contacten-import en optionele marketingcommunicatie — je kunt deze toestemming altijd intrekken.
  • Gerechtvaardigd belang (art. 6 lid 1 sub f): Fraudepreventie, beveiliging en serviceverbetering.

6. Verwerkers & derden

We maken gebruik van de volgende verwerkers. Met alle verwerkers is een verwerkersovereenkomst gesloten.

VerwerkerDoelLocatie
SupabaseDatabase & authenticatieEU (Frankfurt)
StripeBetalingsverwerkingEU / VS*
Anthropic (Claude)AI cadeausuggesties & kaartberichtenVS*
BrevoTransactionele e-mailEU (Parijs)
Google LLCContacten-import (alleen-lezen, optioneel)VS*
VercelHosting & edge functionsEU / VS*
PartnerwebshopsCadeaubestellingNL
Greetz.nlKaarten (fysiek & digitaal)NL

* Doorgifte naar de VS vindt plaats op basis van de EU Standard Contractual Clauses (SCC's) zoals vastgesteld door de Europese Commissie.

7. Bewaartermijnen

  • Accountgegevens: bewaard zolang je account actief is. Na verwijdering worden gegevens binnen 30 dagen definitief gewist.
  • Google Contacten-import: OAuth-tokens worden niet bewaard na voltooiing van de import. Geïmporteerde contactgegevens worden bewaard zolang je account actief is of totdat je ze verwijdert.
  • Betalingsgegevens: 7 jaar conform fiscale bewaarplicht.
  • AI-logs: geanonimiseerd na 90 dagen.
  • Bezorgadressen: verwijderd na uitvoering van de bestelling, tenzij je ze opslaat in je profiel.

8. Cookies

Attentico gebruikt uitsluitend functionele cookies die technisch noodzakelijk zijn voor de werking van de dienst (sessiebeheer en authenticatie). We gebruiken geen analytische, marketing- of tracking-cookies. Er is geen cookiewall of betaalmuur verbonden aan cookietoestemming.

9. Jouw rechten (AVG)

Je hebt de volgende rechten met betrekking tot je persoonsgegevens:

  • Inzage (art. 15): opvragen welke gegevens we over je bewaren
  • Rectificatie (art. 16): onjuiste gegevens laten corrigeren
  • Wissing (art. 17): je account en alle bijbehorende gegevens laten verwijderen — rechtstreeks via Instellingen → Gegevens
  • Beperking (art. 18): verwerking tijdelijk beperken
  • Overdraagbaarheid (art. 20): je gegevens downloaden als CSV via Instellingen → Gegevens
  • Bezwaar (art. 21): bezwaar maken tegen verwerking op basis van gerechtvaardigd belang
  • Intrekking toestemming Google: via myaccount.google.com/permissions

Dien je verzoek in via privacy@attentico.nl. We reageren binnen één maand.

10. Work-klanten: verwerkersovereenkomst

Organisaties die Attentico Work gebruiken, verwerken persoonsgegevens van hun medewerkers via ons platform. Attentico treedt hierbij op als verwerker in de zin van de AVG. Een verwerkersovereenkomst (DPA) is beschikbaar op verzoek via legal@attentico.nl.

11. Klacht indienen

Heb je een klacht over de manier waarop we je gegevens verwerken, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl.

12. Wijzigingen

We kunnen dit privacybeleid aanpassen. Bij ingrijpende wijzigingen sturen we je een e-mail. De datum bovenaan dit document geeft aan wanneer het voor het laatst is bijgewerkt.

13. Contact

privacy@attentico.nl

    Privacybeleid | Attentico