Privacybeleid

Verwerkingsverantwoordelijke: MVE Holding BV, handelend als Libaros, geregistreerd in Nederland. Handelsnaam: Libaros. KvK 58233938 · BTW NL852937039B01. Email: privacy@libaros.com.

We hebben geen formele functionaris voor gegevensbescherming aangesteld omdat we niet onder de AVG-drempels vallen. MVE Holding BV fungeert als primair privacy-contact via privacy@libaros.com.

We verzamelen alleen wat we nodig hebben om de dienst te leveren:

• Calculator-invoer: bruto maandinkomen, vertrekland, gezinssituatie, eigen bedrijf, vastgoed. Alleen opgeslagen in een getekend token in jouw browser-URL, niet op onze servers, tenzij je een rapport koopt.
• E-mailadres: wanneer je je inschrijft op de wachtlijst, een rapport bestelt of de nieuwsbrief aanvraagt.
• Factuurgegevens (naam, adres, postcode, plaats, land): verzameld tijdens checkout, uitsluitend gebruikt voor het opstellen van je factuur en het voldoen aan onze 7-jaar Nederlandse fiscale bewaarplicht. Stripe verzamelt dit rechtstreeks in zijn checkout-flow; voor Mollie verzamelen wij het in ons formulier en geven het door als betaling-metadata.
• Betaalgegevens: volledig afgehandeld door Stripe en Mollie. Wij ontvangen alleen bevestiging, nooit je kaartnummer.
• Technische gegevens: IP-adres, browsertype, bezochte pagina's. Alleen voor beveiliging en geaggregeerde analyse.

We verwerken je gegevens alleen voor deze doelen:

• Het leveren van het Libaros-rapport dat je hebt besteld
• Het opstellen van je factuur en de EU OSS-BTW-aangifte per kwartaal aan de Belastingdienst
• Het versturen van essentiële service-mails (aankoopbevestiging, rapportlevering, restitutie)
• De maandelijkse nieuwsbrief, alleen als je daar expliciet voor hebt gekozen
• Geaggregeerde analyse om de dienst te verbeteren, alleen als je analysecookies hebt geaccepteerd
• Fraudepreventie en rate-limiting

Onder AVG artikel 6 zijn onze grondslagen:

• Overeenkomst (art. 6 lid 1 sub b): bij bestelling van een rapport verwerken we gegevens nodig om dat te leveren.
• Toestemming (art. 6 lid 1 sub a): voor nieuwsbrief en analysecookies. Op elk moment intrekbaar.
• Gerechtvaardigd belang (art. 6 lid 1 sub f): beveiliging, fraudepreventie en geaggregeerde technische analyse.
• Wettelijke verplichting (art. 6 lid 1 sub c): belasting- en boekhoud-administratie.

We bewaren gegevens alleen zo lang als nodig:

• Calculator-tokens: 30 dagen (verloopt automatisch)
• Wachtlijst-e-mail: tot je je afmeldt
• Aankoopadministratie: 7 jaar (Nederlandse fiscale bewaarplicht)
• Rapport-PDF's: 5 jaar (zodat je opnieuw kunt downloaden)
• Technische logs: 90 dagen

We verkopen je gegevens niet. Conform AVG artikel 28 hebben wij met elke onderstaande sub-verwerker een verwerkersovereenkomst. De lijst noemt de verwerker, wat hij voor ons doet en waar hij gevestigd is:

• Supabase, database-hosting; EU-regio (Frankfurt). Slaat rapporten, betalingen en leads op.
• Vercel, website-hosting; EU-regio voor EU-verkeer. Draait de libaros.com-applicatie.
• Stripe, kaart- en Apple Pay / Google Pay-betalingen. Ierland (Stripe Payments Europe Ltd.).
• Mollie, iDEAL, Bancontact, Wero-betalingen. Nederland.
• Resend, transactionele e-mails (aankoopbevestiging, rapport-aflevering). Ierland.
• Beehiiv, nieuwsbrief-aflevering; alleen bij opt-in. Verenigde Staten, gedekt door EU-VS Data Privacy Framework.
• Anthropic, AI-rapportgeneratie. Verenigde Staten, gedekt door Anthropic's verwerkersaddendum en EU-VS Data Privacy Framework.
• Trigger.dev, uitvoering van achtergrond-jobs (rendering en aflevering van je rapport). Verenigde Staten, gedekt door Trigger.dev's verwerkersaddendum en Standaard Contractuele Bepalingen.
• Upstash, Redis-cache voor rate-limiting; EU-regio. Alleen IP-adressen worden verwerkt.
• Plausible Analytics, privacyvriendelijke cookieloze analyse, EU-regio; alleen bij acceptatie van analytische cookies.
• Autoriteiten, indien wettelijk verplicht.

De meeste van onze verwerkers zijn EU-gebaseerd. Anthropic is gevestigd in de VS, doorgifte vindt plaats op basis van Standaard Contractuele Bepalingen en de EU-VS Data Privacy Framework-adequaatheidsbeslissing.

Onder de AVG heb je het recht om:

• Je gegevens in te zien (art. 15)
• Onjuiste gegevens te corrigeren (art. 16)
• Je gegevens te laten verwijderen, "recht op vergetelheid" (art. 17)
• De verwerking te beperken (art. 18)
• Je gegevens in een overdraagbaar formaat te ontvangen (art. 20)
• Bezwaar te maken tegen verwerking gebaseerd op gerechtvaardigd belang (art. 21)
• Toestemming op elk moment in te trekken (art. 7 lid 3)
• Een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl)

We gebruiken industriestandaard-beveiliging: versleutelde verbindingen (TLS 1.3), versleutelde opslag, rolgebaseerde toegangscontrole, twee-factor-authenticatie op admin-accounts, periodieke security-audits en een gedocumenteerd incident response plan. We melden datalekken binnen 72 uur bij de AP en zonder onnodige vertraging bij betrokkenen.

We gebruiken een minimum aan cookies. Strikt noodzakelijke cookies (taalvoorkeur, consent-status) staan altijd aan. Analyse- en marketingcookies vereisen expliciete toestemming. Zie ons Cookiebeleid voor details.

We kunnen dit beleid bijwerken wanneer regelgeving verandert of onze praktijken evolueren. Materiële wijzigingen worden per e-mail aan actieve klanten gecommuniceerd én via een banner op libaros.com.

Privacyvragen: privacy@libaros.com. We streven naar antwoord binnen 7 werkdagen.