Versie 1.4 – effectief 3 maart 2026 · KontoCSV – https://kontocsv.de
Deze kennisgeving informeert u overeenkomstig art. 12 – 14 AVG en § 25 TDDDG over het type, de omvang en het doel van de verwerking van persoonsgegevens bij het gebruik van KontoCSV.
1 verantwoordelijke instantie
Tom Abraham
Riemekestraße 118 · 33102 Paderborn · Duitsland
E-mail support@kontocsv.de
(Momenteel verwerken < 20 mensen regelmatig persoonsgegevens - overeenkomstig artikel 38 BDSG hoeft er geen functionaris voor gegevensbescherming te worden aangesteld. Als u vragen heeft, kunt u rechtstreeks contact opnemen met de verantwoordelijke persoon.)
2 definities
De definities uit artikel 4 DSGVO zijn van toepassing (bijvoorbeeld “verwerking”, “persoonsgegevens”).
3 Hosting en infrastructuur
| dienst | Locatie | Doel | Wettelijke basis | Contract/verzekering |
|---|---|---|---|---|
| Google Cloud Run (Google Ireland Ltd.) | Regio Europa-West3 (Frankfurt a.M.) | Exploitatie & oplevering website / API | Kunst. 6 Paragraaf. 1 f | Addendum voor cloudgegevensverwerking (CDPA) incl. SCC, geaccepteerd 10 · 06 · 2025 |
| Supabase (Supabase Inc.) | eu-central-1 (Frankfurt) | Authenticatie, database, objectopslag | Kunst. 6 Paragraaf. 1 b | AV-contract + SCC |
| Supabase | eu-west3 / eu-west1 (Supabase / Opslag) | Realtime DB, opslag, authenticatie, pushmeldingen | Kunst. 6 Paragraaf. 1b en art. 6 Paragraaf. 1 f | Supabase Voorwaarden gegevensverwerking + SCC, geaccepteerd 10 · 06 · 2025 |
| Google Vertex AI / Gemini (Google Ireland Ltd.) | Regio Europa-West3 (Frankfurt a.M.) | AI-aangedreven analyse van PDF documenten | Kunst. 6 Paragraaf. 1 b | Addendum voor cloudgegevensverwerking (CDPA) incl. SCC |
| Render (Render Inc.) | Frankfort (FRA) | Werking van Python backend en documentverwerking | Kunst. 6 Paragraaf. 1 f | Verwerkersovereenkomst (DPA) + SCC |
| Stripe (Stripe Payments Europe Ltd.) | Ierland | Betalingsverwerking | Kunst. 6 Paragraaf. 1 b | Zelfverantwoordelijke dienst |
| Vercel Inc. | Frankfurt, eu-central-1 / fra1 | Frontend-hosting, CDN, serverloze functies | Kunst. 6 Paragraaf. 1 f | DPA + SCC + EU-US DPF |
| Resend Inc. | Ierland (eu-west-1) | Transactionele e-mails (registratie, wachtwoord opnieuw instellen) | Kunst. 6 Paragraaf. 1 b | DPA + SCC |
| PostHog Inc. | EU (Frankfurt, AWS eu-central-1) | Webanalyses, paginaweergaven, klikken | Kunst. 6 Paragraaf. 1 f | DPA + SCC |
| Sentry (Functionele Software Inc.) | EU (Frankfurt) | Foutregistratie en technische stabiliteitsanalyse van het platform | Kunst. 6 Paragraaf. 1 f DSGVO | Verwerkersovereenkomst (DPA) + Standaardcontractbepalingen (SCC) |
Webanalyse is zonder cookies of lokale opslag (PostHog cookieless_mode). Er worden geen analysecookies geplaatst en er is geen toestemmingsbanner vereist.
4 Verwerkingsdoeleinden en rechtsgrondslagen
| Verwerking | Gegevens | Doel | Wettelijke basis |
|---|---|---|---|
| Toegang tot de website | IP-adres, user-agent, tijd, verwijzer | Technische implementatie- en beveiligingslogboeken | Kunst. 6 Paragraaf. 1 f |
| Registratie/Inloggen | E-mail, wachtwoordhash, sessietoken | Uitvoering van contracten | Kunst. 6 Paragraaf. 1 b |
| PDF upload & AI-analyse | PDF inhoud, metagegevens | Conversie naar CSV | Kunst. 6 Paragraaf. 1 b |
| Betaling | Naam, e-mailadres, kaartgegevens | Uitvoering van contracten | Kunst. 6 Paragraaf. 1 b |
| Realtime synchronisatie/authenticatie (Supabase) | Apparaattoken, app-ID, gebeurtenisgegevens | Live status en pushmeldingen | Kunst. 6 Paragraaf. 1 f |
| Ondersteuningscontact | E-mail, bericht | Het verwerken van uw aanvraag | Kunst. 6 Paragraaf. 1 f |
| Webanalyse (PostHog, zonder cookies) | Geanonimiseerde gebruikershash, paginaweergaven, klikken | Productverbetering & conversieoptimalisatie | Kunst. 6 Paragraaf. 1 f |
| Foutlogboeken (Sentry) | technische foutgegevens, browsertype, geanonimiseerde IP | Stabiliteit, foutanalyse en technische verbetering van het platform | Kunst. 6 Paragraaf. 1 f DSGVO |
| Cookies/lokale opslag | Sessie- en CSRF-tokens | Aanmeldingspersistentie | § 25 Paragraaf 2 nr. 2 TDDDG i. V. met art. 6 Paragraaf. 1 f |
Sentry wordt uitsluitend gebruikt voor technische foutanalyse. Persoonlijke gegevens worden niet actief verzonden.
Bij foutcontrole wordt de inhoud van geüploade documenten niet opgeslagen. Financiële gegevens, PDF-inhoud en transactiegegevens worden nooit doorgegeven aan foutbewakingsdiensten. Alleen metagegevens over technische fouten worden verwerkt.
Er worden geen analyse- of marketingcookies geplaatst. De webanalyse is cookieless (PostHog cookieless_mode) zonder cookies of lokale opslag; een toestemmingsbanner is dus niet nodig.
5 AI-ondersteunde verwerking en overdrachten naar derde landen
Geüploade PDF-pagina's worden gecodeerd verzonden naar AI-services om automatisch tekst en documentstructuur te extraheren.
- Google Gemini / Vertex AI (primair): Verwerking in regio europa-west3 (Frankfurt a. M.) binnen de Google Cloud-infrastructuur. De basis is het Google Cloud Addendum voor gegevensverwerking (CDPA) inclusief standaardcontractbepalingen (SCC).
- OpenAI (optionele fallback): Wordt alleen gebruikt in uitzonderlijke technische gevallen; Verwerking in Ierland/VS met DPA 07 · 06 · 2025 incl. SCC & EU-US DPF.
Voor alle AI-diensten geldt het volgende:
- Bewaartermijn: maximaal 30 dagen (API retentie).
- Opleiding: API-gegevens worden niet gebruikt voor modeltraining.
- Geautomatiseerde beslissingen: geen beslissingen i. S.v. Artikel 22 DSGVO, alleen op regels gebaseerde extractie.
Supabase wordt beheerd in datacentra in de EU. De verwerking gebeurt volledig DSGVO-conform met aanvullende technische maatregelen (TLS 1.3, toegangscontrole).
6 bewaartermijnen
| Gegevenstype | Verwijdering/bewaring |
|---|---|
| Serverlogboeken | 30 dagen |
| PDF bestanden en tussenresultaten | automatische harde verwijdering ≤ 7 dagen |
| Contract- en factuurgegevens | 10 jaar (HGB, AO) |
| Ondersteunings-e-mails | ≤ 1 jaar na afstuderen |
| Sessietokens | Verwijdering bij accountverwijdering of opt-out |
7 Technische & organisatorische maatregelen (TOM)
•TLS 1.3 Van begin tot eind · AES-256 in rust
•Optionele CMEK-codering in Cloud Run & Supabase
•Rollen- en rechtenconcept, MFA voor beheerdersaccounts
•Verwerking in het geheugen + verwijderingsroutine van 7 dagen
•Pentesten & kwetsbaarheidsscans minimaal jaarlijks
•Toezicht op subverwerker (opzegtermijn van 15 dagen)
8 Uw rechten (Art. 15 – 22 DSGVO)
U kunt te allen tijde verzoeken om informatie, correctie, verwijdering, beperking, gegevensoverdraagbaarheid of bezwaar.
Zelfbediening in het dashboard:
- Gegevens exporteren (artikel 20): Onder Instellingen → “Mijn gegevens exporteren” kunt u al uw gegevens downloaden als JSON-bestand.
- Account verwijderen (artikel 17): Onder Instellingen → “Account verwijderen” kunt u uw account en alle bijbehorende gegevens onherroepelijk verwijderen.
U kunt ons ook per e-mail bereiken: support@kontocsv.de
U heeft ook het recht om een klacht in te dienen bij een toezichthoudende autoriteit voor gegevensbescherming (bijvoorbeeld BayLDA, Promenade 27, 91522 Ansbach).
9 Intrekking van toestemming
U kunt op elk moment de verwerking die op uw toestemming is gebaseerd, informeel intrekken. De rechtmatigheid van eerdere verwerkingen blijft onaangetast.
10 Verplichting om gegevens te verstrekken
Voor registratie, PDF upload en betaling zijn e-mailadres, wachtwoord en betalingsgegevens vereist. Zonder deze gegevens is het niet mogelijk om gebruik te maken van de betaalde diensten.
11 Wijzigingen in deze Verklaring
Wij zullen deze verklaring inzake gegevensbescherming bijwerken zodra procedures, dienstverleners of juridische situaties veranderen. Huidige versie: https://kontocsv.de/nl/privacy · Versie 1.4 – geldig vanaf 3 maart 2026.