Juridisch

Privacyverklaring

Laatste update: 17 mei 2026

WetDBA Scan is een dienst van GROPIX, gevestigd in Nederland, ingeschreven bij de Kamer van Koophandel onder nummer 42045723 (hierna: "wij", "ons" of "WetDBA Scan"). Wij zijn verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG, Verordening (EU) 2016/679) voor de verwerking van persoonsgegevens die plaatsvindt via wetdbascan.nl.

1. Welke persoonsgegevens verwerken wij?

Wij verwerken de volgende categorieën persoonsgegevens, afhankelijk van hoe u onze dienst gebruikt:

  • Accountgegevens (bij registratie): voornaam, achternaam, e-mailadres, wachtwoord (versleuteld), bedrijfsnaam, KvK-nummer, sector, telefoonnummer.
  • Zzp-relatiegegevens (ingevoerd door gebruiker): naam van de zzp'er, KvK-nummer van de zzp'er, sector, startdatum opdracht, tarieftype, contractstatus.
  • Scangegevens: antwoorden op de Wet DBA-vragenlijst, gegenereerde risicoscores per dimensie (gezagsverhouding, inbedding, ondernemerschap), scoreverloop in de tijd, versienummer van het scoremodel.
  • Bewijsdocumenten: geüploade bestanden per zzp-relatie, waaronder opdrachtovereenkomsten, facturen, e-mailcorrespondentie en modelovereenkomsten. Deze bestanden bevatten mogelijk persoonsgegevens van derden (de zzp'er).
  • Gratis scan (anoniem): antwoorden op de publieke Wet DBA Quick Scan. Bij optionele e-mailinvoer wordt het e-mailadres, de risicoscore en de sector opgeslagen als scan-lead.
  • Betalingsgegevens: abonnementsstatus, factuurhistorie en betalingsmethode. Betaalkaartgegevens worden uitsluitend verwerkt door Stripe en worden nooit door ons opgeslagen.
  • Technische gegevens: browsertype, sessiedata, foutmeldingen. IP-adressen van anonieme scans worden niet opgeslagen.
  • Gebruiksgegevens: inlogmomenten, aangeklikte functies, doorlooptijd van de scan (analytische cookies, alleen na toestemming).

2. Verwerkingsdoeleinden en rechtsgrondslagen

VerwerkingsactiviteitDoelRechtsgrondslag (art. 6 AVG)
Aanmaken en beheren van een accountToegang bieden tot de dienstUitvoering van de overeenkomst (lid 1 sub b)
Verwerken van zzp-relatiegegevens en scanantwoordenRisicobeoordeling en dossiervorming aanbiedenUitvoering van de overeenkomst (lid 1 sub b)
Opslaan van bewijsdocumentenDossiervorming en audit trailUitvoering van de overeenkomst (lid 1 sub b)
Versturen van transactionele e-mails (welkom, factuur, herinneringen)Dienstverlening en klantcommunicatieUitvoering van de overeenkomst (lid 1 sub b)
Versturen van herbeoordelingsherinneringenKlant attenderen op compliance-risicoGerechtvaardigd belang (lid 1 sub f)
Verwerken van betalingen via StripeAbonnementsbeheer en factureringUitvoering van de overeenkomst (lid 1 sub b)
Opslaan van anonieme scan-leads (e-mail optioneel)Follow-up en conversieToestemming (lid 1 sub a), bij optionele e-mailinvoer
Gebruik van analytische cookiesVerbetering van de dienstToestemming (lid 1 sub a)
Wetswijzigingsalerts naar gebruikersKlanten informeren over relevante regelgevingGerechtvaardigd belang (lid 1 sub f)

Wij verwerken geen bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9 AVG.

3. Delen van gegevens met derden

3.1 Accountants en adviseurs (via deel-links)

Een gebruiker kan een beveiligde, tijdgebonden deel-link aanmaken waarmee een accountant of juridisch adviseur read-only toegang krijgt tot een specifiek dossier of alle dossiers. De accountant kan geen gegevens bewerken of verwijderen.

Wanneer een accountant via deze link toegang heeft, fungeert WetDBA Scan als verwerkingsverantwoordelijke en de accountant als (zelfstandige) verwerkingsverantwoordelijke voor wat hij met de ingeziene gegevens doet. Voor accountants met een partnerlicentie (lees: structurele toegang via het partnerportaal) sluiten wij een verwerkersovereenkomst conform artikel 28 AVG. Deze overeenkomst is beschikbaar via het dashboard onder Instellingen, Accountantspartners.

3.2 Subverwerkers

Wij maken gebruik van de volgende subverwerkers. Alle gegevens worden uitsluitend opgeslagen op servers binnen de Europese Unie.

SubverwerkerRolVestigingsplaatsGegevens
Supabase (EU-regio Frankfurt)Databaseopslag en bestandsopslagEU (Duitsland)Accountgegevens, scandata, documenten
StripeBetalingsverwerkingEU (Ierland)Betalingsgegevens, abonnementsstatus
ResendTransactionele e-mailEUE-mailadressen, e-mailinhoud
VercelHosting en applicatieserverEU (edge)Technische verzoekdata

Met elke subverwerker is een verwerkersovereenkomst gesloten conform artikel 28 AVG.

3.3 Overige derden

Wij verstrekken persoonsgegevens niet aan derden voor commerciële doeleinden. Verstrekking aan overheidsinstanties vindt uitsluitend plaats op grond van een wettelijke verplichting.

4. Bewaartermijnen en verwijdering

CategorieBewaartermijn
Accountgegevens (actief abonnement)Zolang het account actief is
Accountgegevens (na opzegging)90 dagen read-only beschikbaar, daarna automatisch verwijderd
Scanresultaten en dossierdataZolang het account actief is + 90 dagen na opzegging
BewijsdocumentenZolang het account actief is + 90 dagen na opzegging
Anonieme scan-leads (zonder e-mail)12 maanden
Scan-leads met e-mailadres12 maanden of tot herroeping van toestemming
Factuurgegevens (fiscale bewaarplicht)7 jaar conform artikel 52 AWR
Auditlogs van dossier- en admin-acties12 maanden

Bij opzegging kunt u uw volledige dossier opvragen via privacy@wetdbascan.nl. Wij leveren binnen 30 dagen een machineleesbare export aan. Na de retentieperiode van 90 dagen worden alle persoonsgegevens automatisch en onomkeerbaar verwijderd, met uitzondering van gegevens waarvoor een wettelijke bewaarplicht geldt.

5. Cookies en tracking

WetDBA Scan maakt gebruik van twee categorieën cookies:

  • Noodzakelijke cookies: vereist voor de werking van de dienst, zoals sessiebeheer en authenticatie. Deze cookies worden zonder toestemming geplaatst op grond van ons gerechtvaardigd belang.
  • Analytische cookies: worden uitsluitend geplaatst na uw expliciete toestemming via de cookieconsentbanner bij uw eerste bezoek. U kunt uw toestemming te allen tijde intrekken via de cookieinstellingen (beschikbaar in de footer van de website).

Wij gebruiken geen tracking cookies voor advertentiedoeleinden en plaatsen geen cookies van derden zonder uw toestemming. Een volledig overzicht van gebruikte cookies staat op onze Cookiepagina.

6. Beveiliging

Wij treffen passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, onbevoegde toegang of onrechtmatige verwerking. Maatregelen omvatten onder meer:

  • Versleuteling van data in transit (TLS 1.2+) en in opslag (AES-256)
  • Row Level Security op databaseniveau: elke organisatie heeft uitsluitend toegang tot eigen data
  • Toegangsbeperking op basis van gebruikersrollen (owner, viewer, accountant, admin)
  • Alle bestandsopslag in private, niet-publieke Supabase Storage buckets
  • IP-adressen van anonieme scans worden niet opgeslagen

Bij een datalek dat een risico vormt voor uw rechten en vrijheden melden wij dit binnen 72 uur bij de Autoriteit Persoonsgegevens en, indien vereist, bij de betrokkenen.

7. Uw rechten als betrokkene

Op grond van de AVG (artikelen 15 tot en met 22) heeft u de volgende rechten:

  • Recht op inzage (art. 15): u kunt opvragen welke persoonsgegevens wij van u verwerken.
  • Recht op rectificatie (art. 16): u kunt onjuiste of onvolledige gegevens laten corrigeren. Accountgegevens kunt u zelf wijzigen via Instellingen in het dashboard.
  • Recht op verwijdering (art. 17): u kunt verzoeken uw gegevens te verwijderen. Bij opzegging van uw account worden gegevens na 90 dagen automatisch verwijderd. U kunt ook tussentijds een verwijderverzoek indienen.
  • Recht op beperking (art. 18): in bepaalde gevallen kunt u verzoeken de verwerking te beperken.
  • Recht op dataportabiliteit (art. 20): u heeft recht op een kopie van uw gegevens in een machineleesbaar formaat. U kunt dit aanvragen via privacy@wetdbascan.nl; wij leveren binnen 30 dagen aan.
  • Recht van bezwaar (art. 21): u kunt bezwaar maken tegen verwerking op grond van gerechtvaardigd belang, waaronder direct marketing.
  • Recht op intrekking van toestemming (art. 7 lid 3): waar verwerking berust op toestemming (analytische cookies, scan-leads), kunt u deze toestemming te allen tijde intrekken zonder dat dit de rechtmatigheid van de verwerking vóór de intrekking aantast.

Verzoeken kunt u indienen via privacy@wetdbascan.nl. Wij reageren binnen één maand. Bij complexe verzoeken kunnen wij deze termijn met twee maanden verlengen, waarover wij u tijdig informeren. Wij kunnen een kopie van een identiteitsbewijs opvragen ter verificatie.

8. Klachtenrecht

Indien u van mening bent dat wij uw persoonsgegevens niet conform de AVG verwerken, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens:

Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
autoriteitpersoonsgegevens.nl
Telefoon: 088 180 52 50

Wij verzoeken u echter eerst contact met ons op te nemen zodat wij uw klacht kunnen onderzoeken en indien mogelijk oplossen.

9. Wijzigingen in deze verklaring

Wij kunnen deze privacyverklaring periodiek aanpassen, bijvoorbeeld bij wijzigingen in onze dienst of in de toepasselijke wetgeving. De datum van de laatste update staat bovenaan deze pagina vermeld. Bij materiële wijzigingen informeren wij u per e-mail of via een melding in het dashboard.

10. Contactgegevens

WetDBA Scan, een dienst van GROPIX
KvK-nummer: 42045723
E-mail privacyvragen: privacy@wetdbascan.nl
Algemene vragen: contact@wetdbascan.nl
Website: wetdbascan.nl