← Terug naar FinancialFlow
Verwerkingsregister
Conform Art. 30 AVG/GDPR · Laatst bijgewerkt: 23 maart 2026
Dit register beschrijft alle verwerkingsactiviteiten van persoonsgegevens door FinancialFlow, een handelsnaam van PVG Technologies (KvK: 99645939). Dit document is opgesteld conform de vereisten van Artikel 30 van de Algemene Verordening Gegevensbescherming (AVG/GDPR).
1. Verwerkingsverantwoordelijke
| Organisatie | FinancialFlow (handelsnaam van PVG Technologies) |
|---|
| KvK-nummer | 99645939 |
|---|
| BTW-nummer | NL869074398B01 |
|---|
| Contactpersoon | Functionaris gegevensbescherming (FG) |
|---|
| E-mail | info@financialflow.nl |
|---|
2. Verwerkingsactiviteiten
2.1 Accountregistratie en authenticatie
| Doel | Aanmaken en beheren van gebruikersaccounts, inloggen en sessiebeheer |
|---|
| Categorieën betrokkenen | Geregistreerde gebruikers |
|---|
| Persoonsgegevens | Naam, e-mailadres, gehashte wachtwoorden, sessietokens |
|---|
| Grondslag | Art. 6(1)(b) Uitvoering overeenkomst |
|---|
| Bewaartermijn | Zolang account actief is + 30 dagen na verwijdering |
|---|
| Verwerker | Supabase (EU — Frankfurt) |
|---|
| Doorgifte buiten EU | Nee |
|---|
2.2 Financiele berekeningen en simulaties
| Doel | Vermogensplanning, cashflowberekeningen, belastingberekeningen (Box 3), vastgoedanalyse en projecties |
|---|
| Categorieën betrokkenen | Geregistreerde gebruikers |
|---|
| Persoonsgegevens | Inkomen, uitgaven, spaargeld, beleggingen, cryptovaluta, goud, pensioen, vastgoedgegevens, hypotheekgegevens, schulden |
|---|
| Grondslag | Art. 6(1)(b) Uitvoering overeenkomst |
|---|
| Bewaartermijn | Zolang account actief is; bij verwijdering binnen 30 dagen gewist |
|---|
| Verwerker | Supabase (EU — Frankfurt) |
|---|
| Doorgifte buiten EU | Nee |
|---|
2.3 AI Adviseur functie
| Doel | Gepersonaliseerd financieel advies genereren op basis van ingevoerde gegevens via AI-model |
|---|
| Categorieën betrokkenen | Gebruikers die de AI Adviseur activeren (opt-in) |
|---|
| Persoonsgegevens | Gepseudonimiseerde financiele gegevens: inkomen, uitgaven, vermogen, vastgoedgegevens, hypotheekdetails, belastingberekeningen. Geen naam of e-mailadres. |
|---|
| Grondslag | Art. 6(1)(a) Toestemming |
|---|
| Bewaartermijn | Niet opgeslagen door verwerker; verwerking alleen in real-time |
|---|
| Verwerker | Anthropic — Claude (VS) |
|---|
| Doorgifte buiten EU | Ja — Standard Contractual Clauses (SCCs) |
|---|
2.4 Betalingsverwerking
| Doel | Verwerken van abonnementsbetalingen (Pro/Elite), facturatie en terugbetalingen |
|---|
| Categorieën betrokkenen | Betalende gebruikers (Pro en Elite abonnementen) |
|---|
| Persoonsgegevens | E-mailadres, Mollie klant-ID, betaalstatus, bedragen (geen creditcardnummers of bankrekeningen) |
|---|
| Grondslag | Art. 6(1)(b) Uitvoering overeenkomst |
|---|
| Bewaartermijn | 7 jaar (wettelijke bewaarplicht fiscale administratie) |
|---|
| Verwerker | Mollie (Nederland) |
|---|
| Doorgifte buiten EU | Nee |
|---|
2.5 Transactionele e-mails
| Doel | Versturen van welkomst-e-mails, activatieherinneringen, wachtwoordresets en notificaties |
|---|
| Categorieën betrokkenen | Geregistreerde gebruikers |
|---|
| Persoonsgegevens | Naam, e-mailadres |
|---|
| Grondslag | Art. 6(1)(b) Uitvoering overeenkomst |
|---|
| Bewaartermijn | E-mail logs: 90 dagen |
|---|
| Verwerker | Resend Inc. (VS — verzendinfrastructuur via AWS eu-west-1, Ierland) |
|---|
| Doorgifte buiten EU | Ja — Standard Contractual Clauses (SCCs). Verzending via EU-infrastructuur. |
|---|
2.6 Beveiliging en foutopsporing
| Doel | Bescherming tegen ongeautoriseerde toegang, monitoring van foutmeldingen, systeemstabiliteit |
|---|
| Categorieën betrokkenen | Alle websitebezoekers en gebruikers |
|---|
| Persoonsgegevens | Geanonimiseerd IP-adres, browser-type, foutlogs |
|---|
| Grondslag | Art. 6(1)(f) Gerechtvaardigd belang |
|---|
| Bewaartermijn | Maximaal 90 dagen |
|---|
| Verwerker | Supabase (EU — Frankfurt) |
|---|
| Doorgifte buiten EU | Nee |
|---|
2.7 Admin- en supportbeheer
| Doel | Beheer van gebruikersaccounts door support/admin medewerkers, audit logging van admin-acties |
|---|
| Categorieën betrokkenen | Geregistreerde gebruikers, admin/support medewerkers |
|---|
| Persoonsgegevens | Naam, e-mailadres, abonnementstype, admin-notities, audit trail |
|---|
| Grondslag | Art. 6(1)(f) Gerechtvaardigd belang (klantenservice en fraude-preventie) |
|---|
| Bewaartermijn | Audit logs: 2 jaar; notities: zolang account actief is |
|---|
| Verwerker | Supabase (EU — Frankfurt) |
|---|
| Doorgifte buiten EU | Nee |
|---|
3. Subverwerkers
| Partij |
Doel |
Locatie |
Verwerkersovereenkomst |
| Supabase Inc. |
Database, authenticatie, opslag, Edge Functions |
EU (Frankfurt, Duitsland) |
Ja — DPA conform Art. 28 AVG |
| Mollie B.V. |
Betalingsverwerking (iDEAL, creditcard) |
Nederland |
Ja — DPA conform Art. 28 AVG |
| Anthropic PBC |
AI Adviseur (Claude) |
Verenigde Staten |
Ja — SCCs + DPA |
| Resend Inc. |
Transactionele e-mails |
VS (verzending via AWS EU-West) |
Ja — SCCs + DPA |
4. Technische en organisatorische maatregelen
| Maatregel | Beschrijving |
|---|
| Versleuteling in transit | Alle verbindingen via HTTPS/TLS 1.3 |
| Versleuteling in rust | Database-encryptie via Supabase (AES-256) |
| Toegangsbeheer | Row Level Security (RLS) op databaseniveau — gebruikers kunnen alleen eigen data inzien |
| Authenticatie | Gehashte wachtwoorden (bcrypt), optionele twee-factor authenticatie (TOTP) |
| Admin-audit | Alle admin-acties worden gelogd in een audit trail (wie, wat, wanneer) |
| Minimale dataverzameling | Geen BSN, geen bankrekeningen, geen creditcardnummers opgeslagen |
| Functionele cookies | Alleen sessie-authenticatie cookies; geen tracking of analytics |
| Backups | Dagelijkse automatische backups via Supabase (point-in-time recovery) |
5. Rechten van betrokkenen
Betrokkenen kunnen de volgende rechten uitoefenen door contact op te nemen via info@financialflow.nl:
| Recht | Artikel AVG | Hoe |
|---|
| Inzage | Art. 15 | Alle opgeslagen gegevens opvragen |
| Rectificatie | Art. 16 | Onjuiste gegevens laten corrigeren |
| Verwijdering | Art. 17 | Account en alle data verwijderen (ook zelf mogelijk via profiel-instellingen) |
| Beperking | Art. 18 | Verwerking tijdelijk stopzetten |
| Overdraagbaarheid | Art. 20 | Gegevens ontvangen in gestructureerd formaat (JSON/PDF) |
| Bezwaar | Art. 21 | Bezwaar tegen verwerking op basis van gerechtvaardigd belang |
| Intrekking toestemming | Art. 7(3) | Toestemming voor AI Adviseur intrekken via profiel-instellingen |
Verzoeken worden binnen 30 dagen afgehandeld conform Art. 12(3) AVG.
6. Doorgifte buiten de EU
Persoonsgegevens worden primair verwerkt binnen de EU (Supabase, Frankfurt). In twee gevallen vindt doorgifte plaats naar de Verenigde Staten, beide op basis van Standard Contractual Clauses (SCCs) conform Art. 46(2)(c) AVG:
6.1 Anthropic (AI Adviseur)
Doorgestuurde gegevens:
- Gepseudonimiseerde financiele gegevens: inkomen, uitgaven, vermogen, vastgoedgegevens, hypotheekdetails, belastingberekeningen
- Geen naam of e-mailadres
- Verwerking vindt plaats in real-time; er wordt geen data opgeslagen door Anthropic
- Alleen bij opt-in door de gebruiker (Art. 6(1)(a) — toestemming)
6.2 Resend (Transactionele e-mails)
Doorgestuurde gegevens:
- Naam en e-mailadres (noodzakelijk voor verzending)
- Verzendinfrastructuur draait op AWS eu-west-1 (Ierland)
- E-mail logs worden maximaal 90 dagen bewaard
7. Datalekken
Bij een datalek volgt FinancialFlow de procedure conform Art. 33 en 34 AVG:
- Melding aan de Autoriteit Persoonsgegevens binnen 72 uur
- Melding aan betrokkenen indien het lek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden
- Documentatie van het lek, de gevolgen en de genomen maatregelen
8. Contactgegevens toezichthouder
Bij klachten over de verwerking van persoonsgegevens kunt u terecht bij:
Autoriteit Persoonsgegevens
Website: autoriteitpersoonsgegevens.nl
Telefoon: 088 - 1805 250
9. Versiehistorie
| Versie | Datum | Wijzigingen |
|---|
| 1.0 | 23 maart 2026 | Eerste versie verwerkingsregister |