Privacy policy.
Versie 1.0 — 19 mei 2026. Qlaro B.V. (KvK 42070263), gevestigd te Hardenberg. Voor vragen mail naar dpo@qlaroapp.nl.
1. Welke gegevens we verwerken
Bij merchant-aanmelding verwerken wij: bedrijfsnaam, KvK-nummer, adres, contactpersoon, e-mail, telefoonnummer, IBAN, aantal pinapparaten en de inhoud van bonnen die via de Qlaro-tiles worden doorgegeven.
Wij verwerken géén individuele klantgegevens (naam/adres van consumenten die een Qlaro-bon ontvangen) tenzij de consument zelf een Qlaro-account aanmaakt via onze klant-app.
2. Waarvoor we deze gegevens gebruiken
We gebruiken jouw gegevens uitsluitend om:
- De Qlaro-dienst aan jou te leveren (bonnen leveren, abonnement beheren)
- Communicatie te sturen over je proefperiode + contract
- Facturen op te stellen en betalingen te verwerken
- Wettelijke verplichtingen na te komen (BTW-administratie, etc.)
Wij delen geen data met derden voor commerciële doeleinden. Wij verkopen geen data. Wij doen geen advertentie-tracking.
3. Waar de data staat
Alle persoonsgegevens worden opgeslagen op Supabase Postgres (region: eu-west-1, AWS Frankfurt). Backup-data blijft binnen de EU. Transactionele mail loopt via Resend (EU-eindpunt). Hosting via Vercel (EU-eindpunten).
4. Hoe lang we het bewaren
Bedrijfsgegevens van actieve klanten bewaren we voor de duur van het contract + 7 jaar wettelijke fiscale bewaarplicht.
Bij beëindiging van het contract worden persoonlijke contactgegevens binnen 90 dagen geanonimiseerd. Financiële data (facturen, betalingen) blijft 7 jaar bewaard conform de Wet op de Rijksbelastingen.
Logbestanden van trial-mails bewaren we 12 maanden voor debugging-doeleinden.
5. Cookies + tracking
Onze dashboard- en marketing-site gebruiken alleen functionele cookies (sessie + voorkeuren). Geen tracking-cookies, geen Google Analytics, geen Facebook Pixel.
6. Je rechten (AVG art. 13-22)
Je hebt het recht op inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar. Mail naar dpo@qlaroapp.nl — wij reageren binnen 30 dagen.
Klachten over onze gegevensverwerking kunnen worden ingediend bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).
7. Beveiliging
Alle data-overdracht via HTTPS (TLS 1.3). Database-encryption-at-rest via Supabase. Toegang tot productie-data door 2FA-beveiligde admin-accounts. Geen plaintext wachtwoorden in onze database (bcrypt-hashed).
8. Verwerkers
We werken met de volgende sub-verwerkers (allen EU-region of met adequate beschermingsmaatregelen):
- Supabase Inc. — database + auth (EU-west)
- Resend Inc. — transactionele e-mail (EU)
- Vercel Inc. — hosting (EU-eindpunten)
- MyParcel B.V. — verzendlabels (NL)
- Mollie B.V. — betalingen (NL, zodra geactiveerd)
- Microsoft Ireland (M365) — zakelijke mail (EU)
9. Wijzigingen
Bij ingrijpende wijzigingen van deze privacy policy informeren we actieve klanten minimaal 30 dagen vooraf per e-mail.