Juridisch
Privacyverklaring
Laatste update: 17 mei 2026
WetDBA Scan is een dienst van GROPIX, gevestigd in Nederland, ingeschreven bij de Kamer van Koophandel onder nummer 42045723 (hierna: "wij", "ons" of "WetDBA Scan"). Wij zijn verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG, Verordening (EU) 2016/679) voor de verwerking van persoonsgegevens die plaatsvindt via wetdbascan.nl.
1. Welke persoonsgegevens verwerken wij?
Wij verwerken de volgende categorieën persoonsgegevens, afhankelijk van hoe u onze dienst gebruikt:
- Accountgegevens (bij registratie): voornaam, achternaam, e-mailadres, wachtwoord (versleuteld), bedrijfsnaam, KvK-nummer, sector, telefoonnummer.
- Zzp-relatiegegevens (ingevoerd door gebruiker): naam van de zzp'er, KvK-nummer van de zzp'er, sector, startdatum opdracht, tarieftype, contractstatus.
- Scangegevens: antwoorden op de Wet DBA-vragenlijst, gegenereerde risicoscores per dimensie (gezagsverhouding, inbedding, ondernemerschap), scoreverloop in de tijd, versienummer van het scoremodel.
- Bewijsdocumenten: geüploade bestanden per zzp-relatie, waaronder opdrachtovereenkomsten, facturen, e-mailcorrespondentie en modelovereenkomsten. Deze bestanden bevatten mogelijk persoonsgegevens van derden (de zzp'er).
- Gratis scan (anoniem): antwoorden op de publieke Wet DBA Quick Scan. Bij optionele e-mailinvoer wordt het e-mailadres, de risicoscore en de sector opgeslagen als scan-lead.
- Betalingsgegevens: abonnementsstatus, factuurhistorie en betalingsmethode. Betaalkaartgegevens worden uitsluitend verwerkt door Stripe en worden nooit door ons opgeslagen.
- Technische gegevens: browsertype, sessiedata, foutmeldingen. IP-adressen van anonieme scans worden niet opgeslagen.
- Gebruiksgegevens: inlogmomenten, aangeklikte functies, doorlooptijd van de scan (analytische cookies, alleen na toestemming).
2. Verwerkingsdoeleinden en rechtsgrondslagen
| Verwerkingsactiviteit | Doel | Rechtsgrondslag (art. 6 AVG) |
|---|---|---|
| Aanmaken en beheren van een account | Toegang bieden tot de dienst | Uitvoering van de overeenkomst (lid 1 sub b) |
| Verwerken van zzp-relatiegegevens en scanantwoorden | Risicobeoordeling en dossiervorming aanbieden | Uitvoering van de overeenkomst (lid 1 sub b) |
| Opslaan van bewijsdocumenten | Dossiervorming en audit trail | Uitvoering van de overeenkomst (lid 1 sub b) |
| Versturen van transactionele e-mails (welkom, factuur, herinneringen) | Dienstverlening en klantcommunicatie | Uitvoering van de overeenkomst (lid 1 sub b) |
| Versturen van herbeoordelingsherinneringen | Klant attenderen op compliance-risico | Gerechtvaardigd belang (lid 1 sub f) |
| Verwerken van betalingen via Stripe | Abonnementsbeheer en facturering | Uitvoering van de overeenkomst (lid 1 sub b) |
| Opslaan van anonieme scan-leads (e-mail optioneel) | Follow-up en conversie | Toestemming (lid 1 sub a), bij optionele e-mailinvoer |
| Gebruik van analytische cookies | Verbetering van de dienst | Toestemming (lid 1 sub a) |
| Wetswijzigingsalerts naar gebruikers | Klanten informeren over relevante regelgeving | Gerechtvaardigd belang (lid 1 sub f) |
Wij verwerken geen bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9 AVG.
3. Delen van gegevens met derden
3.1 Accountants en adviseurs (via deel-links)
Een gebruiker kan een beveiligde, tijdgebonden deel-link aanmaken waarmee een accountant of juridisch adviseur read-only toegang krijgt tot een specifiek dossier of alle dossiers. De accountant kan geen gegevens bewerken of verwijderen.
Wanneer een accountant via deze link toegang heeft, fungeert WetDBA Scan als verwerkingsverantwoordelijke en de accountant als (zelfstandige) verwerkingsverantwoordelijke voor wat hij met de ingeziene gegevens doet. Voor accountants met een partnerlicentie (lees: structurele toegang via het partnerportaal) sluiten wij een verwerkersovereenkomst conform artikel 28 AVG. Deze overeenkomst is beschikbaar via het dashboard onder Instellingen, Accountantspartners.
3.2 Subverwerkers
Wij maken gebruik van de volgende subverwerkers. Alle gegevens worden uitsluitend opgeslagen op servers binnen de Europese Unie.
| Subverwerker | Rol | Vestigingsplaats | Gegevens |
|---|---|---|---|
| Supabase (EU-regio Frankfurt) | Databaseopslag en bestandsopslag | EU (Duitsland) | Accountgegevens, scandata, documenten |
| Stripe | Betalingsverwerking | EU (Ierland) | Betalingsgegevens, abonnementsstatus |
| Resend | Transactionele e-mail | EU | E-mailadressen, e-mailinhoud |
| Vercel | Hosting en applicatieserver | EU (edge) | Technische verzoekdata |
Met elke subverwerker is een verwerkersovereenkomst gesloten conform artikel 28 AVG.
3.3 Overige derden
Wij verstrekken persoonsgegevens niet aan derden voor commerciële doeleinden. Verstrekking aan overheidsinstanties vindt uitsluitend plaats op grond van een wettelijke verplichting.
4. Bewaartermijnen en verwijdering
| Categorie | Bewaartermijn |
|---|---|
| Accountgegevens (actief abonnement) | Zolang het account actief is |
| Accountgegevens (na opzegging) | 90 dagen read-only beschikbaar, daarna automatisch verwijderd |
| Scanresultaten en dossierdata | Zolang het account actief is + 90 dagen na opzegging |
| Bewijsdocumenten | Zolang het account actief is + 90 dagen na opzegging |
| Anonieme scan-leads (zonder e-mail) | 12 maanden |
| Scan-leads met e-mailadres | 12 maanden of tot herroeping van toestemming |
| Factuurgegevens (fiscale bewaarplicht) | 7 jaar conform artikel 52 AWR |
| Auditlogs van dossier- en admin-acties | 12 maanden |
Bij opzegging kunt u uw volledige dossier opvragen via privacy@wetdbascan.nl. Wij leveren binnen 30 dagen een machineleesbare export aan. Na de retentieperiode van 90 dagen worden alle persoonsgegevens automatisch en onomkeerbaar verwijderd, met uitzondering van gegevens waarvoor een wettelijke bewaarplicht geldt.
5. Cookies en tracking
WetDBA Scan maakt gebruik van twee categorieën cookies:
- Noodzakelijke cookies: vereist voor de werking van de dienst, zoals sessiebeheer en authenticatie. Deze cookies worden zonder toestemming geplaatst op grond van ons gerechtvaardigd belang.
- Analytische cookies: worden uitsluitend geplaatst na uw expliciete toestemming via de cookieconsentbanner bij uw eerste bezoek. U kunt uw toestemming te allen tijde intrekken via de cookieinstellingen (beschikbaar in de footer van de website).
Wij gebruiken geen tracking cookies voor advertentiedoeleinden en plaatsen geen cookies van derden zonder uw toestemming. Een volledig overzicht van gebruikte cookies staat op onze Cookiepagina.
6. Beveiliging
Wij treffen passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, onbevoegde toegang of onrechtmatige verwerking. Maatregelen omvatten onder meer:
- Versleuteling van data in transit (TLS 1.2+) en in opslag (AES-256)
- Row Level Security op databaseniveau: elke organisatie heeft uitsluitend toegang tot eigen data
- Toegangsbeperking op basis van gebruikersrollen (owner, viewer, accountant, admin)
- Alle bestandsopslag in private, niet-publieke Supabase Storage buckets
- IP-adressen van anonieme scans worden niet opgeslagen
Bij een datalek dat een risico vormt voor uw rechten en vrijheden melden wij dit binnen 72 uur bij de Autoriteit Persoonsgegevens en, indien vereist, bij de betrokkenen.
7. Uw rechten als betrokkene
Op grond van de AVG (artikelen 15 tot en met 22) heeft u de volgende rechten:
- Recht op inzage (art. 15): u kunt opvragen welke persoonsgegevens wij van u verwerken.
- Recht op rectificatie (art. 16): u kunt onjuiste of onvolledige gegevens laten corrigeren. Accountgegevens kunt u zelf wijzigen via Instellingen in het dashboard.
- Recht op verwijdering (art. 17): u kunt verzoeken uw gegevens te verwijderen. Bij opzegging van uw account worden gegevens na 90 dagen automatisch verwijderd. U kunt ook tussentijds een verwijderverzoek indienen.
- Recht op beperking (art. 18): in bepaalde gevallen kunt u verzoeken de verwerking te beperken.
- Recht op dataportabiliteit (art. 20): u heeft recht op een kopie van uw gegevens in een machineleesbaar formaat. U kunt dit aanvragen via privacy@wetdbascan.nl; wij leveren binnen 30 dagen aan.
- Recht van bezwaar (art. 21): u kunt bezwaar maken tegen verwerking op grond van gerechtvaardigd belang, waaronder direct marketing.
- Recht op intrekking van toestemming (art. 7 lid 3): waar verwerking berust op toestemming (analytische cookies, scan-leads), kunt u deze toestemming te allen tijde intrekken zonder dat dit de rechtmatigheid van de verwerking vóór de intrekking aantast.
Verzoeken kunt u indienen via privacy@wetdbascan.nl. Wij reageren binnen één maand. Bij complexe verzoeken kunnen wij deze termijn met twee maanden verlengen, waarover wij u tijdig informeren. Wij kunnen een kopie van een identiteitsbewijs opvragen ter verificatie.
8. Klachtenrecht
Indien u van mening bent dat wij uw persoonsgegevens niet conform de AVG verwerken, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens:
Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
autoriteitpersoonsgegevens.nl
Telefoon: 088 180 52 50
Wij verzoeken u echter eerst contact met ons op te nemen zodat wij uw klacht kunnen onderzoeken en indien mogelijk oplossen.
9. Wijzigingen in deze verklaring
Wij kunnen deze privacyverklaring periodiek aanpassen, bijvoorbeeld bij wijzigingen in onze dienst of in de toepasselijke wetgeving. De datum van de laatste update staat bovenaan deze pagina vermeld. Bij materiële wijzigingen informeren wij u per e-mail of via een melding in het dashboard.
10. Contactgegevens
WetDBA Scan, een dienst van GROPIX
KvK-nummer: 42045723
E-mail privacyvragen: privacy@wetdbascan.nl
Algemene vragen: contact@wetdbascan.nl
Website: wetdbascan.nl