Privacybeleid

1. Introductie

Bij Spender ("wij", "ons", "onze") respecteren wij je privacy en zetten ons in voor de bescherming van je persoonsgegevens. Dit privacybeleid informeert je over hoe wij omgaan met je persoonsgegevens wanneer je onze applicatie gebruikt en vertelt je over je privacyrechten en hoe de wet je beschermt.

Dit privacybeleid is opgesteld in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de Nederlandse Uitvoeringswet AVG (UAVG).

2. Verantwoordelijke

Spender is verantwoordelijk voor de verwerking van je persoonsgegevens zoals beschreven in dit privacybeleid. Voor vragen over dit beleid kun je contact opnemen via privacy@spender.nl.

3. Welke gegevens verzamelen wij?

3.1 Accountgegevens

• E-mailadres
• Naam (optioneel)
• Wachtwoord (versleuteld opgeslagen)

3.2 Financiële gegevens

• Banktransacties (datum, bedrag, omschrijving, tegenpartij)
• Rekeningsaldi
• Bezittingen (bankrekeningen, beleggingen, crypto, vastgoed, contant geld)
• Schulden (hypotheek, studieschuld, persoonlijke leningen) inclusief aflossingsgegevens
• Vermogenshistorie en snapshots
• Budgetten en spaardoelen
• Categorisatie van uitgaven

3.3 Technische gegevens

• IP-adres
• Browser type en versie
• Apparaatinformatie
• Inlog- en beveiligingslogboeken

4. Hoe verzamelen wij je gegevens?

Wij verzamelen gegevens op de volgende manieren:

• Direct van jou: Wanneer je een account aanmaakt, gegevens handmatig invoert, of instellingen wijzigt
• Via bankkoppelingen: Met je expliciete toestemming via beveiligde PSD2-koppelingen (Plaid)
• Via CSV-import: Wanneer je transactiebestanden uploadt
• Automatisch: Technische gegevens voor beveiliging en functionaliteit

5. Rechtsgrond voor verwerking

Wij verwerken je persoonsgegevens op basis van de volgende rechtsgronden (Art. 6 AVG):

• Uitvoering van de overeenkomst (Art. 6(1)(b)): Om onze diensten aan je te kunnen leveren
• Toestemming (Art. 6(1)(a)): Voor bankkoppelingen en optionele functies - je kunt deze toestemming altijd intrekken
• Wettelijke verplichting (Art. 6(1)(c)): Voor belasting- en boekhoudkundige verplichtingen
• Gerechtvaardigd belang (Art. 6(1)(f)): Voor beveiliging, fraudepreventie en verbetering van onze diensten

6. Doeleinden van verwerking

Wij gebruiken je gegevens uitsluitend voor:

• Het leveren van onze financiële overzichtsdiensten
• Het automatisch categoriseren van transacties
• Het genereren van inzichten, rapporten en budgetoverzichten
• Het bijhouden van je vermogenshistorie via dagelijkse snapshots
• Het automatisch verwerken van schuldaflossingen (indien door jou ingeschakeld)
• Het beveiligen van je account en detecteren van fraude
• Het verbeteren van onze dienstverlening
• Het communiceren over belangrijke updates en serviceberichten

7. Met wie delen wij je gegevens?

Wij verkopen je gegevens nooit. Wij delen gegevens alleen met:

8. Beveiliging van je gegevens

Wij nemen passende technische en organisatorische maatregelen (Art. 32 AVG):

• Encryptie van gegevens in transit (TLS 1.3)
• Encryptie van gegevens at rest (AES-256)
• Applicatie-niveau encryptie voor gevoelige tokens
• Row Level Security (RLS) in de database
• Multi-factor authenticatie (beschikbaar)
• Audit logging van gevoelige acties
• Regelmatige beveiligingsaudits
• Strikte toegangscontrole

9. Bewaartermijnen

10. Je rechten onder de AVG

Je hebt de volgende rechten met betrekking tot je persoonsgegevens:

• Recht op inzage (Art. 15): Je kunt een kopie van je gegevens opvragen
• Recht op rectificatie (Art. 16): Je kunt onjuiste gegevens laten corrigeren
• Recht op vergetelheid (Art. 17): Je kunt verzoeken om verwijdering van je gegevens
• Recht op beperking (Art. 18): Je kunt verwerking tijdelijk laten beperken
• Recht op dataportabiliteit (Art. 20): Je kunt je gegevens in een gestructureerd formaat (JSON/CSV) ontvangen
• Recht van bezwaar (Art. 21): Je kunt bezwaar maken tegen bepaalde verwerkingen
• Recht om toestemming in te trekken: Je kunt gegeven toestemming op elk moment intrekken

Om je rechten uit te oefenen, ga naar Instellingen → Privacy in de app of stuur een e-mail naar privacy@spender.nl.

11. Cookies

Wij gebruiken alleen strikt noodzakelijke cookies (functionele cookies):

• Sessie-authenticatie (sb-access-token, sb-refresh-token)
• Beveiligingstokens
• Gebruikersvoorkeuren (thema-instelling)

Wij gebruiken geen tracking cookies, analytics van derden, of advertentiecookies.

12. Internationale doorgifte

Wij streven ernaar je gegevens binnen de Europese Economische Ruimte (EER) te houden. Wanneer gegevens buiten de EER worden verwerkt, zorgen wij voor passende waarborgen zoals Standard Contractual Clauses (SCCs) of adequaatheidsbesluiten.

13. Kinderen

Onze diensten zijn niet bedoeld voor personen jonger dan 18 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen. Als je ontdekt dat een kind ons persoonsgegevens heeft verstrekt, neem dan contact met ons op zodat wij deze kunnen verwijderen.

14. Wijzigingen in dit beleid

Wij kunnen dit privacybeleid van tijd tot tijd bijwerken. Bij belangrijke wijzigingen informeren wij je via e-mail of een melding in de app. De huidige versie is altijd beschikbaar op deze pagina met de datum van de laatste update.

15. Contact en klachten