shield_lock Privacy

Privacyverklaring

Versie: maart 2026 | Verwerkingsverantwoordelijke: Ostheimer OG, Fabriksgasse 20, 2230 Gänserndorf | [email protected]

1. Uitgangspunten

Wij verwerken persoonsgegevens in overeenstemming met de AVG (EU) 2016/679. De bescherming van uw gegevens is voor ons van essentieel belang. qr3.app is ontwikkeld volgens het principe van Privacy by Design: IP-adressen worden nooit opgeslagen — ze worden aan de edge (Cloudflare Workers) direct gehasht met SHA-256 + een dagelijkse salt voordat de gegevens worden opgeslagen.

2. Verwerkte gegevens

2.1 API-gebruik (Geregistreerde gebruikers)

  • Accountgegevens: e-mailadres, naam (via Clerk.com-authenticatie)
  • Facturatiegegevens: Stripe-klant-ID, abonnementsstatus (geen creditcardgegevens — Stripe verwerkt deze rechtstreeks)
  • Gebruiksgegevens: aangemaakte QR-codes, workspace-configuraties
  • Juridische grondslag: Art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst)

2.2 Scan-analytics (Eindgebruikers die QR-codes scannen)

  • Gehashte IP: SHA-256-hash + dagelijkse salt — niet omkeerbaar, geen herleidbaarheid tot personen
  • Apparaatgegevens: apparaattype, OS, browser (uit User-Agent, geanonimiseerd)
  • Geogegevens: land, stad (uit Cloudflare CF-IPCountry-header — er wordt geen IP opgeslagen)
  • Juridische grondslag: Art. 6 lid 1 sub f AVG (gerechtvaardigd belang van de QR-code-eigenaren bij statistieken)
  • Bewaartermijn: 90 dagen, daarna automatische verwijdering

2.3 Websitebezoek (qr3.app)

  • Geen trackingcookies, geen analytics van derden
  • Serverlogs: Cloudflare verwerkt verbindingsgegevens conform hun privacybeleid

3. Doorgifte aan derden

Wij geven gegevens alleen door aan:

  • Cloudflare, Inc. (USA) — infrastructuur, CDN, Workers. Juridische grondslag: standaardcontractbepalingen (SCC's)
  • Clerk.com — authenticatie. Juridische grondslag: SCC's
  • Stripe, Inc. (USA) — betalingsverwerking. Juridische grondslag: SCC's

Doorgifte voor reclamedoeleinden vindt niet plaats.

4. Uw rechten (AVG art. 15–22)

  • Inzage (Art. 15): GET /v1/account/privacy of e-mail naar [email protected]
  • Dataportabiliteit (Art. 20): GET /v1/account/export — JSON-export van alle gegevens
  • Verwijdering (Art. 17): DELETE /v1/account of e-mail — volledige verwijdering binnen 30 dagen
  • Beperking (Art. 18): e-mail naar [email protected]
  • Bezwaar (Art. 21): te allen tijde voor gerechtvaardigde belangen

5. Cookies

qr3.app maakt uitsluitend gebruik van technisch noodzakelijke sessiecookies (authenticatie via Clerk). Geen marketing- of trackingcookies. Toestemming op grond van de cookie-richtlijn is daarom niet vereist.

6. Gegevensbeveiliging

Alle gegevens werden versleuteld verzonden (TLS 1.3). Databaseversleuteling 'at-rest' via Cloudflare D1. API-keys worden gehasht opgeslagen. Webhook-handtekeningen via HMAC-SHA256.

7. Recht om een klacht in te dienen

U heeft het recht om een klacht in te dienen bij de Oostenrijkse privacytoezichthouder:
Datenschutzbehörde (dsb.gv.at), Barichgasse 40-42, 1030 Wenen

8. Contact privacy

Ostheimer OG
Fabriksgasse 20, 2230 Gänserndorf
[email protected]