ShelfBase

Juridisch

Privacybeleid

Versie: pre-launch · Laatst bijgewerkt 2026-05-12

Dit beleid beschrijft welke persoonsgegevens ShelfBase verwerkt en waarom. ShelfBase is de verwerkingsverantwoordelijke. Privacyverzoeken: [email protected].

1. Gegevens die we verzamelen

  • Account: e-mail, gehashte wachtwoord, taal, land, optioneel btw-nummer, plan, tijdstempels voor verificatie en laatste login.
  • API-gebruik: request-aantallen per sleutel en per maand, laatst-gebruikt tijdstempel. We loggen geen request-bodies of querystrings in herleidbare vorm.
  • Facturatie: bij abonnement verwerkt onze betalingsprovider (PayPal) kaart- of bankgegevens; wij ontvangen alleen abonnement-ID en status.
  • Operationele logs: serverlogs met IP-adres en request-metadata, kort bewaard om de dienst te beheren en beveiligen.

2. Doel en grondslag

  • Aanbieden en onderhouden van de API (grondslag: overeenkomst).
  • Facturatie en fiscale verplichtingen (overeenkomst; wettelijke verplichting).
  • Misbruik detecteren en de dienst beveiligen (gerechtvaardigd belang).
  • Essentiële transactionele e-mails versturen (overeenkomst).

We verkopen geen persoonsgegevens. Geen advertenties of gedragsprofilering.

3. Cookies

We gebruiken één first-party sessiecookie (sb_session) om je ingelogd te houden. HttpOnly, SameSite=Lax, vervalt na 7 dagen. Geen third-party analytics of advertentiecookies.

4. Bewaartermijnen

  • Accountgegevens: zolang het account actief is, plus 12 maanden daarna.
  • API-gebruiksstanden: rollend per maand.
  • Facturen: 7 jaar (Nederlandse fiscale plicht).
  • Operationele logs: 30 dagen.

5. Subverwerkers

We gebruiken een beperkt aantal providers: een EU-hostingpartij, een transactionele e-mailprovider en PayPal voor abonnementen. Elk verwerkt data uitsluitend in opdracht en onder een verwerkersovereenkomst.

6. Jouw rechten

Onder de AVG heb je recht op inzage, correctie, verwijdering, beperking, overdraagbaarheid en bezwaar. Stuur ons een mail op [email protected]; we reageren binnen 30 dagen. Je kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens.

7. Beveiliging

Wachtwoorden worden opgeslagen met bcrypt. API-sleutels worden alleen als SHA-256 hash bewaard; de ruwe sleutel wordt eenmalig getoond bij aanmaak en is daarna niet meer opvraagbaar. Verkeer is versleuteld via TLS.

8. Wijzigingen

Materiële wijzigingen worden minstens 14 dagen vooraf gemeld per e-mail en in het dashboard.

Dit is een pre-launch concept. Definitieve versie volgt voor de publieke lancering.