Beveiliging & privacy bij QR-Verse
U verdient te weten hoe uw gegevens worden opgeslagen, verwerkt en beschermd. Geen vage beloften, alleen feiten. QR-Verse draait op EU-gehoste infrastructuur, is AVG-conform en geeft u volledige controle over uw gegevens.
Infrastructuur
Waar uw gegevens staan en hoe ze worden geleverd.
EU-hosting (Hetzner, Duitsland)
De applicatieservers draaien op Hetzner-clouddatacenters in Duitsland. Uw gegevens verlaten de Europese Unie niet.
Hetzner Online GmbH, Neurenberg & Falkenstein, DE
Database (Supabase / PostgreSQL)
Alle QR-codegegevens en gebruikersaccounts worden opgeslagen in PostgreSQL met Row Level Security. Dagelijkse automatische back-ups met herstel op een bepaald tijdstip.
EU-regio, versleuteld in rust (AES-256)
CDN & DDoS-bescherming (Cloudflare)
Al het verkeer loopt via Cloudflare voor edge-caching, wereldwijde beschikbaarheid en DDoS-mitigatie. Cloudflare verwerkt gegevens onder AVG-conforme voorwaarden.
Anycast-netwerk, 300+ PoP wereldwijd
Versleuteling
Gegevensbescherming tijdens overdracht en in rust.
Tijdens overdracht
- TLS 1.2+ verplicht voor alle verbindingen
- HSTS (HTTP Strict Transport Security) ingeschakeld
- Automatische omleiding van HTTP naar HTTPS
- Beveiligde cookies met SameSite- en Secure-attributen
In rust
- AES-256-versleuteling voor opgeslagen gegevens
- bcrypt-hashing voor wachtwoorden (nooit opgeslagen als platte tekst)
- Versleutelde database-back-ups
- Betalingsgegevens worden verwerkt door Stripe - wij zien nooit kaartnummers
Wat we verzamelen en wat niet
Transparantie over elk datapunt.
Wat we verzamelen
- E-mailadres van het account
- QR-code-inhoud en doel-URL's
- Scan-analytics: apparaattype, locatie op stadsniveau, tijdstempel
- Betalingsgegevens verwerkt via Stripe (we zien nooit kaartnummers)
- IP-adres bij aanmaken van account (alleen voor beveiliging, niet langdurig opgeslagen)
Wat we niet verzamelen
- Browsegeschiedenis van scan-bestemmingspagina's
- Persoonlijke identiteit van mensen die uw QR-codes scannen
- Biometrische gegevens van welke aard dan ook
- Gegevens van externe trackers op scanpagina's (we gebruiken er geen)
- Locatiegegevens nauwkeuriger dan stadsniveau
- Sociale-mediaprofielen of platformoverstijgend bijhouden
AVG-naleving
Uw rechten onder de AVG en hoe wij deze naleven.
Recht op inzage
U kunt op elk moment vanuit uw accountinstellingen een volledige export aanvragen van alle gegevens die wij over u bewaren.
Recht op overdraagbaarheid
Exporteer uw QR-codes, scangegevens en accountinformatie in standaardformaten (CSV, JSON). Uw gegevens, op uw manier.
Recht op verwijdering
Verwijder uw account en alle bijbehorende gegevens op elk moment. Verwijdering is permanent en onomkeerbaar na de respijtperiode van 30 dagen.
Geen gegevensverkoop
Wij verkopen, verhuren of delen uw persoonsgegevens niet met derden voor marketing- of reclamedoeleinden. Dat is een absolute grens.
Analytics opt-in voor scanners
Scan-analytics zijn opt-in voor de mensen die uw QR-codes scannen. Er worden geen permanente cookies geplaatst op scanpagina's.
Gegevensverwerkingsovereenkomst
Zakelijke klanten kunnen een GVO (Gegevensverwerkingsovereenkomst) aanvragen door te mailen naar [email protected].
Wat er gebeurt als u opzegt
We willen dat u weet dat uw werk veilig is, ook als u vertrekt.
QR-codes blijven doorsturen
Uw dynamische QR-codes blijven werken na opzegging. Wij verbreken geen omleidingsketens alleen omdat een abonnement verloopt.
Analytics gepauzeerd, niet verwijderd
Scan-analytics worden gepauzeerd bij terugkeer naar gratis. Uw historische gegevens worden bewaard en zijn weer toegankelijk als u uw abonnement heractiveren.
Exporteer vóór verwijdering
U kunt uw QR-codes, scangegevens en accountinformatie op elk moment exporteren - ook na opzegging, tijdens de respijtperiode van 30 dagen.
Respijtperiode van 30 dagen
Na opzegging is uw account 30 dagen volledig toegankelijk. Daarna wordt het account nog 60 dagen gearchiveerd (niet meteen verwijderd).
Verantwoorde openbaarmaking
Een beveiligingsprobleem gevonden? We horen het graag.
Contact: [email protected]
Stuur ons een e-mail met een beschrijving van het probleem, reproductiestappen en uw inschatting van de ernst. PGP-sleutel beschikbaar op verzoek.
Bevestiging binnen 48 uur
Wij streven ernaar elk beveiligingsrapport binnen 48 uur te bevestigen. Voor kritieke kwetsbaarheden streven wij naar een patch binnen 7 dagen.
Beveiligingsonderzoekers te goeder trouw beschermd
Wij nemen geen juridische stappen tegen beveiligingsonderzoekers die kwetsbaarheden te goeder trouw melden, onze richtlijnen volgen en geen gebruikersgegevens openen of wijzigen.
Hall of fame
Onderzoekers die geldige kwetsbaarheden verantwoord melden, worden gecrediteerd in onze beveiligings-hall of fame (met toestemming).
Veelgestelde vragen
Is QR-Verse AVG-conform?
Ja. QR-Verse is ontworpen om AVG-conform te zijn. Onze servers zijn gehost in Duitsland (EU), we verwerken alleen noodzakelijke gegevens, bieden volledige export- en verwijderingsrechten, gebruiken geen externe trackers en verkopen geen gebruikersgegevens. Zakelijke klanten kunnen een gegevensverwerkingsovereenkomst aanvragen.
Waar worden mijn QR-codes opgeslagen?
Alle QR-codegegevens worden opgeslagen in een PostgreSQL-database die in de EU-regio op Supabase wordt gehost. De database gebruikt Row Level Security zodat elke gebruiker alleen zijn eigen gegevens kan benaderen. Back-ups zijn versleuteld en in dezelfde EU-regio opgeslagen.
Wat gebeurt er met mijn gegevens als ik opzeg?
Bij opzegging blijven uw QR-codes doorsturen. Analytics worden gepauzeerd, maar uw historische gegevens blijven bewaard. U heeft een respijtperiode van 30 dagen met volledige toegang tot uw account om alles te exporteren. Daarna wordt het account 60 dagen gearchiveerd vóór permanente verwijdering.
Verkoopt u gebruikersgegevens?
Nee. Wij verkopen, verhuren of delen gebruikersgegevens niet met derden voor marketing of reclame. Ons businessmodel zijn abonnementen. Uw gegevens worden uitsluitend gebruikt om u de QR-Verse-service te bieden.
Zijn mijn scangegevens anoniem?
Ja. Wij verzamelen apparaattype, browser, besturingssysteem, globale locatie op stadsniveau en tijdstempel. Wij verzamelen geen namen, e-mailadressen of persoonlijk identificeerbare informatie van mensen die uw QR-codes scannen. Op scanpagina's worden geen cookies geplaatst.
Hoe gaan jullie om met beveiligingsproblemen?
Beveiligingsproblemen kunnen worden gemeld via [email protected]. Wij bevestigen meldingen binnen 48 uur, prioriteren oplossingen op basis van ernst en beschermen te goeder trouw handelende onderzoekers tegen juridische stappen. Momenteel hebben we geen bugbounty-programma, maar we onderhouden wel een hall of fame.
Kan ik mijn gegevens exporteren?
Ja. U kunt uw QR-codes en scan-analytics op elk moment als CSV of JSON exporteren via uw accountinstellingen. Dit is beschikbaar voor alle abonnementen, inclusief gratis. U kunt ook een volledige account-data-export aanvragen door contact op te nemen met de support.
Hebben derden toegang tot mijn QR-codegegevens?
Onze infrastructuurpartners (Hetzner voor hosting, Supabase voor de database, Cloudflare voor CDN, Stripe voor betalingen) hebben beperkte, noodzakelijke toegang als onderdeel van de dienstverlening. Geen van deze partners mag uw gegevens voor eigen doeleinden gebruiken. Wij delen geen gegevens met adverteerders, gegevensmakelaars of analyseplatforms.
Begin met het maken van veilige QR-codes
EU-gehost, AVG-conform en transparant over elk datapunt. Gratis te starten.