Privacybeleid

Ingangsdatum: 29 april 2026 - Versie 2026-04-29-v1

Dit beleid legt uit hoe QR-Verse jouw persoonsgegevens verwerkt, op welke rechtsgronden wij ons baseren, welke subverwerkers wij inschakelen, welke bewaartermijnen wij hanteren en welke rechten je hebt onder de Algemene Verordening Gegevensbescherming (AVG/GDPR). We hosten in de EU, slaan zo min mogelijk gegevens op en verkopen je informatie nooit.

Beheer je privacy nu

Mijn gegevens downloaden Mijn account verwijderen Cookievoorkeuren

Samenvatting

Wij zijn de verwerkingsverantwoordelijke. EU-gevestigd, geen Amerikaans moederbedrijf. Contact: support@qr-verse.com.
Wij verwerken je e-mailadres, abonnementsgegevens, de QR-codes die je aanmaakt, geanonimiseerde scananalyse en je AI-Art-geschiedenis.
Wij gebruiken Supabase (Frankfurt), Stripe, Resend, Cloudflare, Hetzner en Sentry. De volledige lijst met locaties staat in sectie 5.
Marketing- en analytische cookies staan standaard uit. Affiliate-cookies laden alleen als je ervoor kiest.
Je kunt je gegevens op elk moment downloaden of verwijderen via Instellingen -> Privacy. Verwijdering kent een uitstelperiode van 30 dagen.

1. Verwerkingsverantwoordelijke en contact

De verwerkingsverantwoordelijke voor de in dit beleid beschreven verwerking is:

QR-Verse
Geëxploiteerd vanuit de Europese Unie
support@qr-verse.com
Functionaris voor Gegevensbescherming (FG/DPO): support@qr-verse.com - vermeld "DPO" in het onderwerp zodat de mail correct wordt gerouteerd.
EU-vertegenwoordiger: Niet apart aangewezen - de verwerkingsverantwoordelijke is in de Europese Unie gevestigd, dus een vertegenwoordiger op grond van artikel 27 is niet vereist.
Leidende toezichthoudende autoriteit: Autoriteit Persoonsgegevens (AP), de Nederlandse toezichthouder - https://autoriteitpersoonsgegevens.nl

2. Categorieën persoonsgegevens die wij verwerken

Wij verzamelen alleen wat nodig is om de dienst te leveren. Elke categorie hieronder beschrijft wat wij bewaren en waarom.

Accountgegevens
E-mailadres, weergavenaam, taalvoorkeur, wachtwoord-hash (bij niet-OAuth), en OAuth-identifiers van Google of Apple als je daarmee inlogt.
Abonnements- en factureringsgegevens
Stripe-klantnummer, abonnementsniveau, abonnementsstatus, factuurhistorie, land voor btw en de laatste 4 cijfers van je kaart. Volledige kaartnummers zien of bewaren wij nooit - dat doet Stripe.
QR-code metadata
De QR-codes die je aanmaakt, hun bestemmings-URL's (bij dynamische codes), de namen die je toekent, type (URL, vCard, WiFi, enz.) en de stylingparameters die je kiest.
Scananalyse
Tijdstempel van elke scan, land afgeleid uit het IP-adres van de scanner (het IP zelf wordt niet bewaard), apparaatklasse (mobiel/desktop/tablet) en globale OS-familie. Alle scanrijen zijn gepseudonimiseerd - ze zijn niet te herleiden tot een individuele scanner.
AI-Art generaties
De prompt die je indient, de gebruikte parameters (stijl, controlnet-sterkte, seed) en het resulterende beeld. Bewaard zodat je opnieuw kunt downloaden of regenereren. Niet gebruikt om externe modellen te trainen.
E-maillogs
Aflever-, bounce-, open- en klikgebeurtenissen voor transactionele en marketingmails, geretourneerd door onze e-mailprovider Resend. Gebruikt voor afleverbaarheidsmonitoring en het onderdrukken van bouncende adressen.
Cookietoestemmingslog
Wanneer je cookievoorkeuren accepteert, weigert of wijzigt, leggen wij vast welke categorieën je gekozen hebt, welke consent_version op dat moment actief was en het tijdstip. Dit is het auditpad dat artikel 7(1) AVG vereist.

3. Rechtsgronden (artikel 6 AVG)

Wij baseren ons op de volgende rechtsgronden. Elke grond is gekoppeld aan de bovenstaande categorieën:

Uitvoering van een overeenkomst (artikel 6(1)(b))
Accountgegevens, abonnements- en factureringsgegevens en QR-code metadata - zonder deze kunnen wij de dienst niet leveren.
Gerechtvaardigd belang (artikel 6(1)(f))
Geaggregeerde scananalyse (beveiliging, fraudepreventie, capaciteitsplanning), foutlogs en auditpaden. Wij hebben jouw belangen tegen de onze afgewogen en de afweging intern gedocumenteerd.
Toestemming (artikel 6(1)(a))
Marketingmails, niet-essentiële cookies (analytics, marketing, affiliate) en AI-Art-prompthistorie buiten actieve sessies. Je kunt toestemming op elk moment intrekken en intrekken is even eenvoudig als geven.
Wettelijke verplichting (artikel 6(1)(c))
Facturen en abonnementsgegevens worden 7 jaar bewaard om aan de fiscale wetgeving te voldoen (Nederlandse Belastingdienst, vergelijkbare EU-regels per lidstaat).

4. Ontvangers en subverwerkers

Wij werken met een kleine, zorgvuldig gekozen groep subverwerkers. Zij verwerken gegevens uitsluitend op onze schriftelijke instructie onder een verwerkersovereenkomst (DPA).

Leverancier	Doel	Locatie	AVG
Supabase	Database, authenticatie, bestandsopslag	EU - Frankfurt (eu-central-1)	DPA
Stripe	Betalingsverwerking, abonnementsfacturatie	Ierland (EU) met Amerikaanse fallback onder SCC's	DPA
Resend	Aflevering van transactionele en marketingmails	EU + VS onder SCC's	DPA
Cloudflare	CDN, DDoS-bescherming, edge-caching	Wereldwijd edge-netwerk	DPA
Hetzner Online	Applicatiehosting, container-infrastructuur	Uitsluitend EU - Duitsland	DPA
Sentry	Foutmonitoring en performance-tracking	EU-regio (de.sentry.io)	DPA
Impact (pxf.io)	Affiliate-trackingcookies - laden alleen als je Affiliate-cookies accepteert	VS onder SCC's	DPA
NordVPN affiliate	Partner-attributie - laadt alleen als je Affiliate-cookies accepteert	Panama met EU SCC's	DPA

Volledige subverwerkerslijst: /legal/subprocessors

5. Internationale gegevensoverdrachten

Het grootste deel van je gegevens blijft in de EU. Een aantal verwerkers opereert vanuit de Verenigde Staten. Voor elke Amerikaanse overdracht baseren wij ons op de Standaardcontractbepalingen (SCC's, 2021/914) van de Europese Commissie, ondertekend in de bijbehorende DPA.

Stripe (deel van betaalgegevens) - SCC's + aanvullende maatregelen van Stripe.
Resend (e-mailmetadata) - SCC's + EU-VS Data Privacy Framework (waar van toepassing).
Sentry (foutstacks, ontdaan van persoonsgegevens) - SCC's + standaard EU-regio.
Impact / pxf.io (affiliate-cookies, alleen na toestemming) - SCC's.
Cloudflare (edge-verkeerstransit) - SCC's.

Wij dragen geen persoonsgegevens over aan verwerkers gevestigd in landen zonder adequaatheidsbesluit, tenzij gedekt door SCC's en aanvullende technische maatregelen (versleuteling tijdens transport en in rust).

6. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan nodig. Specifieke termijnen:

Actief account
Onbepaald zolang je abonnement of gratis account actief is.
Verwijderd account
Uitstelperiode van 30 dagen na je verwijderingsverzoek. Tijdens de uitstelperiode is je account opgeschort en herstelbaar. Na 30 dagen volgt definitieve verwijdering en worden persoonlijke identifiers gewist.
Abonnements- en factuurregistratie
7 jaar vanaf factuurdatum. Verplicht door de Nederlandse fiscale wetgeving (Algemene Wet inzake Rijksbelastingen, art. 52) en vergelijkbare EU-lidstaatregels.
Scananalyse
Ruwe scanrijen: 90 dagen. Daarna geaggregeerd naar dag/land-tellers en de detailregels worden verwijderd.
Cookietoestemmingslog
12 maanden vanaf de datum van toestemming. Vereist door richtlijnen van CNIL en EDPB over toestemmingsregistratie.
E-maillogs
24 maanden. Gebruikt voor afleverbaarheidsmonitoring en bounce-onderdrukking.
Back-ups
Versleutelde back-ups vervallen na 35 dagen. Bij een verwijderingsverzoek herstellen wij je gegevens niet uit back-up tenzij wettelijk verplicht.

7. Jouw rechten onder de AVG

Je hebt de volgende rechten met betrekking tot je persoonsgegevens. De meeste kun je direct vanuit je account uitoefenen; voor de overige stuur je een mail naar support@qr-verse.com en wij reageren binnen 30 dagen.

Recht op inzage (artikel 15)
Download een volledige kopie van je gegevens als ZIP-archief.
Mijn gegevens exporteren->
Recht op rectificatie (artikel 16)
Onjuiste persoonsgegevens corrigeren.
Profiel bewerken->
Recht op vergetelheid (artikel 17)
Permanente verwijdering van je account en persoonsgegevens. Verwijdering kent een uitstelperiode van 30 dagen waarin je kunt annuleren.
Mijn account verwijderen->
Recht op beperking (artikel 18)
Vraag ons de verwerking te beperken zolang een klacht of correctie loopt.
Mail support@qr-verse.com->
Recht op overdraagbaarheid (artikel 20)
Ontvang je gegevens in een gestructureerd, machineleesbaar formaat (JSON in een ZIP) en draag ze over aan een andere verwerkingsverantwoordelijke.
Mijn gegevens exporteren->
Recht van bezwaar (artikel 21)
Maak bezwaar tegen verwerking voor marketing of op grond van gerechtvaardigd belang. Marketingmails kun je direct opzeggen.
E-mailvoorkeuren->
Recht om toestemming in te trekken (artikel 7(3))
Trek cookietoestemming of marketingtoestemming op elk moment in. Even eenvoudig als geven.
Cookievoorkeuren->
Recht om een klacht in te dienen (artikel 77)
Dien een klacht in bij de toezichthouder in jouw EU-lidstaat. Onze leidende toezichthouder is de Nederlandse AP. Je mag ook je lokale DPA aanschrijven.
Vind je toezichthouder->

8. Cookies en vergelijkbare technieken

Wij gebruiken vier cookiecategorieën. Alleen Noodzakelijke cookies staan standaard aan; al het andere is strikt opt-in.

Noodzakelijk

Altijd aan

Sessie, authenticatie, CSRF-bescherming, taalvoorkeur en de geo_country-cookie die de cookiebanner vertelt welk juridisch regime van toepassing is. Niet uit te schakelen - de site werkt zonder deze cookies niet.

Analytics

Standaard uit

Momenteel uitgeschakeld - wij draaien geen externe analytics. Als wij dit in de toekomst aanzetten (bijv. Vercel Analytics of PostHog) bumpen wij consent_version en de banner vraagt opnieuw om toestemming.

Marketing

Standaard uit

Pixels voor e-mailcampagne-prestaties en personalisering bij onboarding. Wij draaien geen externe advertentienetwerken.

Affiliate

Standaard uit

Impact (pxf.io) en de NordVPN-affiliate-cookie. Worden alleen geladen wanneer je op een affiliate-link klikt EN je deze categorie hebt geaccepteerd.

Als wij een nieuwe leverancier toevoegen of een categoriebeschrijving wijzigen, bumpen wij CONSENT_VERSION (zie auditlog op /api/account/cookie-consent) en vraagt de banner alle bezoekers opnieuw om toestemming.

9. Beveiligingsmaatregelen

Wij volgen de gangbare beveiligingspraktijken voor EU-SaaS:

TLS 1.2+ voor al het verkeer tussen jou en onze edge (Cloudflare).
Versleuteling in rust voor de Supabase Postgres-database en storage-buckets.
Row-Level Security (RLS) op elke gebruikersgerichte tabel - gebruikers kunnen alleen hun eigen data lezen.
Geheimen worden opgeslagen in environment variables, nooit in versiebeheer.
Sentry-alerts voor runtime-fouten met automatische scrubbing van persoonsgegevens.
Penetratietest-review bij grote releases; bug bounty beschikbaar - mail support@qr-verse.com.
Back-ups versleuteld met AES-256, rolling retentie van 35 dagen, uitsluitend EU.
Tweefactorauthenticatie verplicht voor alle founder-accounts en beschikbaar voor elke gebruiker.

10. Kinderen

QR-Verse is niet gericht op kinderen onder de 16 jaar. Wij verzamelen niet bewust persoonsgegevens van personen onder de 16. Ben je ouder of voogd en heeft je kind een account aangemaakt? Mail support@qr-verse.com en wij verwijderen het account binnen 5 werkdagen. Waar lokaal recht een hogere digitale toestemmingsleeftijd kent (bijv. 16 in NL/DE, 15 in FR), geldt die hogere leeftijd.

11. Wijzigingen in dit beleid

Bij wezenlijke wijzigingen:

Wij actualiseren de versie en ingangsdatum bovenaan deze pagina.
Wij e-mailen alle gebruikers ten minste 30 dagen voordat het nieuwe beleid van kracht wordt.
Als de wijziging cookiecategorieën raakt, bumpen wij CONSENT_VERSION zodat de cookiebanner alle bezoekers opnieuw vraagt.
Wij houden een archief bij van eerdere versies, gelinkt bovenaan deze pagina.

12. Contact

Voor privacyvragen, verzoeken van betrokkenen of DPO-zaken:

support@qr-verse.com

Wij streven ernaar verzoeken binnen 72 uur te bevestigen en binnen 30 dagen af te handelen, zoals vereist door artikel 12(3) AVG.

Ingangsdatum: 29 april 2026 - Versie 2026-04-29-v1

Cookie banner consent_version: 2026-04-29-v1