1) Wie zijn wij (verwerkingsverantwoordelijke)

2) Waar dit beleid op van toepassing is

Dit privacybeleid geldt voor:

• de Spaartje-app (iOS/Android) en onze website(s),
• functies zoals product zoeken, boodschappenlijsten, winkelvergelijkingen, (optioneel) bonanalyse, pushmeldingen,
• support/klantenservice.

Het legt uit welke persoonsgegevens wij verwerken, waarom, hoe lang we ze bewaren, met wie we ze delen en welke rechten u heeft onder de AVG.

3) Welke persoonsgegevens wij verwerken

A) Accountgegevens en identifiers

• E-mailadres (als u een account aanmaakt)
• Gebruikers-ID / account-ID
• Technische authenticatiegegevens (bijv. tokens)
• Installatie-ID: een willekeurig gegenereerde identifier per app-installatie (geen hardware- of apparaat-ID). Doel: misbruikpreventie (bijv. meerdere gratis accounts per apparaat). Wordt ontkoppeld bij accountverwijdering en gereset bij herinstallatie van de app.

B) Chat- en gespreksgegevens (Spaartje-assistent)

• Uw chatberichten (tekst die u invoert)
• Antwoorden van de assistent die in de app worden getoond
• Tijdstempels en een gespreks-/sessie-ID om berichten te groeperen
• Context die u zelf invult (bijv. winkelvoorkeuren, budget, dieetvoorkeuren)

C) Boodschappenlijsten en winkelvergelijkingen

• Boodschappenlijsten (items, hoeveelheden, structuur)
• Gedeelde/huishoudlijsten en samenwerkingsgegevens (huishoudleden, uitnodigingslinks)
• Vergelijkingsresultaten die aan u worden getoond (bijv. totalen en besparing)
• Besparingshistorie en -statistieken
• Interacties die nodig zijn om de dienst te leveren (bijv. "mandje gemaakt")

C2) Voorkeuren en personalisatie

• Huishoudgrootte
• Voorkeursupermarkten
• Vervoermiddel (lopen/fietsen/auto) voor winkelafstandberekening
• Loyaliteitsprogramma-lidmaatschap (bijv. Mijn AH Premium)
• Productvoorkeur: ultra-bewerkte producten vermijden (NOVA 4)
• Favoriete producten

D) Kassabonnen/afbeeldingen (optioneel)

• De bonafbeelding wordt naar onze server verzonden voor tekstherkenning (OCR via OpenAI GPT-4o vision). Bonverwerking kan plaatsvinden op servers buiten de EU (VS); alleen de geëxtraheerde tekst wordt opgeslagen.
• Na verwerking wordt alleen de geëxtraheerde tekst (productnamen, bedragen, datum) opgeslagen. De originele afbeelding wordt niet permanent bewaard op onze servers.
• Upload bij voorkeur geen bonnen met onnodige persoonlijke informatie (bijv. bankrekeningnummers, klantkaartnummers).

E) Apparaat- en technische gegevens

• Apparaat/OS, appversie, taal
• Crash-/foutmeldingen en diagnostiek
• Beveiligingssignalen (bijv. rate limiting, misbruikdetectie)

F) Analytics / gebruiksstatistiek

Wij verzamelen gebruiksstatistiek (geen advertentieprofilering) op basis van gerechtvaardigd belang (Art. 6(1)(f) AVG). Analytics-gegevens worden gekoppeld aan pseudonieme identifiers (sessie-ID, installatie-ID, Firebase-gebruikers-ID). In combinatie met deze identifiers kunnen winkelpatronen persoonsgegevens vormen onder de AVG.

Client-side analytics (uitschakelbaar):

• Gebeurtenisnamen (bijv. 'app_open', 'search', 'basket_created', 'product_added_to_list')
• Eventeigenschappen: productnamen, merknamen, winkelnamen, lijstnamen, prijzen, besparingen — geen berichtinhoud
• Sessie-ID (willekeurig, verloopt na 1 uur inactiviteit)
• Installatie-ID en Firebase-gebruikers-ID (voor deduplicatie, niet voor profilering)
• Platform (iOS/Android), appversie

Server-side analytics (essentieel, niet uitschakelbaar):

• Dagelijks gebruik (heartbeat): alleen datum + gebruikers-ID + platform — geen gedragsgegevens
• Productkeuze-signalen: gepseudonimiseerd via éénrichting-hash (gebruikers-ID is niet direct herleidbaar zonder de sleutel). Bevat: productkeuze-type, brug-sleutel, winkel-ID, merk, prijs, promotiestatus

Server-side analytics zijn noodzakelijk voor de werking van de dienst (bijv. prijsnauwkeurigheid, voorraadmonitoring) en vallen onder Art. 6(1)(f) als essentieel gerechtvaardigd belang.

G) Locatie (beperkt)

Postcode (als u die invult) voor functies zoals filters/nabijheid. Wij doen geen continue GPS-tracking.

H) Bijzondere persoonsgegevens (alleen als u dit zelf invult)

Als u allergieën of andere gezondheidsgerelateerde dieetrestricties invult, kan dit onder de AVG als bijzondere persoonsgegevens gelden.

4) Waarom wij gegevens verwerken (doelen + rechtsgrond)

4.1 Dienst leveren (uitvoering overeenkomst — AVG art. 6(1)(b))

• Account en toegang beheren
• Chat, zoeken, lijsten en winkelvergelijkingen uitvoeren
• Bonanalyse leveren als u die functie gebruikt

4.2 Beveiliging, stabiliteit en verbetering (gerechtvaardigd belang — art. 6(1)(f))

• Beveiliging, misbruik- en fraudepreventie (essentieel — altijd actief)
• Debugging, crashanalyse en performance (essentieel — altijd actief)
• Productverbetering op basis van pseudonieme gebruiksstatistiek (niet-essentieel — uitschakelbaar in Instellingen)

Balanstoets: wij verwerken geen berichtinhoud in analytics. Client-side analytics omvat pseudonieme winkelpatronen (productnamen, winkels, prijzen) gekoppeld aan sessie-/installatie-ID — geen directe identifiers zoals naam of e-mail. Het belang van productverbetering en prijsnauwkeurigheid weegt op tegen de inbreuk op uw privacy. U kunt bezwaar maken door client-side analytics uit te schakelen (sectie 3F). Server-side analytics zijn essentieel en gepseudonimiseerd.

4.3 Pushmeldingen (toestemming — art. 6(1)(a))

Alleen als u pushmeldingen aanzet. U kunt dit altijd uitschakelen via uw apparaatinstellingen.

4.4 Allergieën/gezondheidsrestricties (uitdrukkelijke toestemming — art. 9(2)(a) + art. 6(1)(a))

Wanneer u allergieën of gezondheidsgerelateerde dieetrestricties instelt, wordt u gevraagd dit expliciet te bevestigen. Wij verwerken deze gegevens alleen om filters/waarschuwingen in de app te tonen. U kunt toestemming op elk moment intrekken door deze voorkeuren te verwijderen in Instellingen, waarna de gegevens direct worden gewist.

5) AI-verwerking

Spaartje gebruikt AI om verzoeken te begrijpen en resultaten te genereren. Tekstverzoeken worden verwerkt door Azure OpenAI (EU). Beeldverwerking (bonnen, receptfoto's) gebruikt OpenAI GPT-4o vision en kan buiten de EU (VS) plaatsvinden — zie sectie 3D.

• wij sturen alleen de input die nodig is voor de taak
• wij vermijden onnodige persoonsgegevens in prompts
• tekst-AI-verwerking vindt plaats op Azure-servers binnen de EU. Beeldverwerking (bonnen, receptfoto’s) gebruikt OpenAI GPT-4o vision en kan in de VS plaatsvinden (zie sectie 3D en 7)

Belangrijk: AI kan fouten maken. Controleer bij allergieën/dieet altijd zelf etiketten/ingrediënten.

6) Met wie wij gegevens delen

• Hosting/database (Supabase)
• Authenticatie/backend/push (Firebase / Google Cloud services)
• Cloud-opslag en back-ups (Google Cloud Storage)
• AI-verwerking: tekst via Azure OpenAI (EU), beeldverwerking via OpenAI GPT-4o vision (VS)
• Postcode → coördinaten (PDOK Locatieserver)

Wij verkopen geen persoonsgegevens en delen niet met advertentienetwerken voor targeting.

7) Doorgifte buiten de EER

Tekst-AI-verwerking (Azure OpenAI) vindt plaats binnen de EU. Beeldverwerking (bonnen, receptfoto’s) via OpenAI GPT-4o vision kan in de VS plaatsvinden. Voor alle dienstverleners buiten de EER gebruiken wij Standaard Contractbepalingen (SCC’s) en/of adequaatheidsbesluiten als waarborg.

8) Beveiliging

Wij nemen passende technische en organisatorische maatregelen: encryptie (TLS), toegangscontrole, monitoring en back-ups. Security-by-design is een kernprincipe.

9) Bewaartermijnen

• Account- en lijstgegevens: zolang het account actief is, of totdat u verwijdert.
• Chatgeschiedenis: alleen zolang deze zichtbaar is in de app; verwijderd na Vernieuwen/Chat wissen of accountverwijdering.
• Bonnen (geëxtraheerde tekst): zolang het account actief is. Originele afbeeldingen worden niet permanent bewaard (alleen tijdelijk verwerkt voor OCR).
• Aankoopgeschiedenis (besparingen): bewaard voor geaggregeerde dienstverbetering (prijsvalidatie, besparingsberekeningen). Bij accountverwijdering wordt deze data gepseudonimiseerd (gebruikers-ID ontkoppeld).
• Analytics-events: gepseudonimiseerd bij accountverwijdering. Maximaal 12 maanden bewaard.
• Beveiligings- en crashlogs: maximaal 90 dagen.
• Installatie-ID koppeling: tot accountverwijdering; Firestore-record wordt gedeactiveerd (is_active: false) bij verwijdering.
• Server-side analytics (heartbeats): bewaard voor geaggregeerde dienststatistiek (alleen datum + platform). Bevat geen gedragsgegevens.
• Productkeuze-signalen: gepseudonimiseerd via éénrichting-hash. Bewaard voor prijsnauwkeurigheid en dienstverbetering.

10) Cookies en vergelijkbare technologie

Apps gebruiken doorgaans geen browsercookies, maar kunnen SDK’s gebruiken voor kernfunctionaliteit (auth, push), diagnostiek en pseudonieme analytics (geen advertentietracking).

11) Uw rechten onder de AVG

U heeft rechten op: inzage, rectificatie, verwijdering, beperking van verwerking, dataportabiliteit, bezwaar tegen verwerking op basis van gerechtvaardigd belang, intrekken van toestemming, en een klacht indienen bij de Autoriteit Persoonsgegevens.

Spaartje neemt geen besluiten die uitsluitend geautomatiseerd zijn en rechtsgevolgen hebben voor u.

12) Hoe u uw rechten uitoefent

Stuur een verzoek naar info@spaartje.com en vermeld het e-mailadres dat bij uw account hoort. Om misbruik te voorkomen kunnen wij om redelijke verificatie vragen.

13) Kinderen

Spaartje is niet bedoeld voor kinderen onder 16 jaar. Wij verzamelen niet bewust gegevens van kinderen onder 16.

14) Wijzigingen

Wij kunnen dit beleid aanpassen. De nieuwste versie staat altijd in de app/website. Bij materiële wijzigingen informeren wij u passend.

15) Contact

Vragen over privacy of verzoeken: info@spaartje.com