Votiq

Privacybeleid

Ingangsdatum: 11 april 2026

Dit Privacybeleid legt uit hoe Votiq (“wij”, “ons” of “onze”) persoonsgegevens verzamelt, gebruikt, openbaar maakt en beschermt wanneer u Votiq.io en aanverwante diensten (gezamenlijk de “Dienst”) gebruikt. Wij streven ernaar uw gegevens op verantwoorde wijze en in overeenstemming met de toepasselijke privacywetgeving te verwerken, waaronder de Algemene Verordening Gegevensbescherming (AVG) van de EU en de UK AVG.

1. Informatie die Wij Verzamelen

Wij verzamelen de volgende categorieën persoonsgegevens:

Account- & Profielgegevens — Bij registratie verzamelen wij uw naam, e-mailadres, wachtwoord (gehasht), organisatienaam, factuuradres en btw-/belastingidentificatienummer waar van toepassing.

Feedback- & Betrokkenheidsgegevens — Functieverzoeken, posttitels en -beschrijvingen, reacties, stemregistraties, reactiegegevens en changelog-abonnementen ingediend door Leveranciers en eindgebruikers.

Crowdfunding- & Toezeggingsgegevens — Toegezegde bedragen, campagneselecties, toezeggingsstatus (in behandeling, geïncasseerd, gerestitueerd) en bevestigingen van leveringsvensters. Betalingsinstrumentgegevens worden bewaard door Stripe, niet door Votiq.

Gebruiks- & Technische Gegevens — IP-adressen, browsertype en -versie, besturingssysteem, verwijzende URL’s, bezochte pagina’s, bestede tijd, functie-interacties en API-verzoeklogboeken. Deze gegevens worden verzameld via serverlogboeken en eigen analyses.

Communicatiegegevens — E-mails die u ons stuurt, ondersteuningstickets en uw communicatievoorkeuren.

Gegevens van Externe Aanmelding — Als u zich registreert via een externe aanbieder (bijv. Google OAuth), ontvangen wij uw naam en e-mailadres van die aanbieder.

2. Hoe Wij Uw Informatie Gebruiken

Wij gebruiken verzamelde informatie om:

  • De Dienst te leveren, te exploiteren en te onderhouden.
  • Gebruikers te authenticeren, sessies te beheren en beveiligingsmaatregelen af te dwingen.
  • Abonnementsbetalingen en crowdfundingtransacties via Stripe te verwerken.
  • Transactionele e-mails te verzenden (accountbevestiging, wachtwoordreset, toezeggingsbewijzen, campagnestatusupdates en samenvattingsmeldingen).
  • AI-gestuurde functies uit te voeren: duplicaatdetectie van posts, sentimentanalyse op feedback en semantisch zoeken met vectorinsluitingen.
  • Geaggregeerde analyses en productgebruiksinzichten te genereren voor Leveranciers.
  • Fraude, misbruik en beveiligingsincidenten te detecteren en te voorkomen.
  • Te voldoen aan wettelijke verplichtingen en onze Algemene Voorwaarden te handhaven.
  • De Dienst te verbeteren en nieuwe functies te ontwikkelen (met gebruik van geaggregeerde, geanonimiseerde gegevens).

3. Rechtsgrondslag voor Verwerking (AVG)

Voor personen in de EU/EEA en het VK verwerken wij persoonsgegevens op de volgende rechtsgrondslagen:

  • Uitvoering van een overeenkomst — Verwerking die noodzakelijk is voor het leveren van de Dienst waarvoor u zich heeft aangemeld (accountbeheer, facturering, kernfuncties).
  • Gerechtvaardigd belang — Beveiligingsmonitoring, fraudepreventie, productanalyses en verbetering van de Dienst, waarbij onze belangen niet worden overschreden door uw rechten.
  • Wettelijke verplichting — Het bewaren van financiĂ«le gegevens, reageren op rechtmatige verzoeken van autoriteiten.
  • Toestemming — Marketingcommunicatie, optionele analysefuncties. U kunt uw toestemming op elk moment intrekken.

4. Gegevensopslag & Beveiliging

Alle gegevens worden opgeslagen in Supabase, dat draait op Amazon Web Services (AWS)-infrastructuur in de EU (standaard eu-west-1). Gegevens worden versleuteld in rust (AES-256) en tijdens verzending (TLS 1.2+). Databasetoegang wordt beschermd door Row-Level Security (RLS)-beleid afgestemd op elke organisatie.

Wij implementeren de volgende beveiligingsmaatregelen: bcrypt-gehasht wachtwoorden, SHA-256 gehashte API-sleutels, kortlevende JWT-sessietokens, regelmatige beveiligingsbeoordelingen en toegangscontroles op basis van het principe van minimale rechten voor ons team. Wij voeren regelmatig geautomatiseerde back-ups uit.

Geen enkele methode van elektronische verzending of opslag is 100% veilig. Als wij op de hoogte raken van een datalek dat uw rechten beĂŻnvloedt, zullen wij u en de relevante toezichthoudende autoriteiten op de hoogte stellen zoals wettelijk vereist.

5. Betalingsgegevens

Betalingsverwerking wordt uitgevoerd door Stripe, Inc., een PCI DSS Level 1 gecertificeerde betalingsverwerker. Votiq slaat geen volledige creditcardnummers, CVV-codes of onbewerkte bankrekeninggegevens op, verzendt deze niet en heeft er geen toegang toe. Stripe bewaart betalingsmethodetokens en beheert alle kaartgegevens.

Voor crowdfunding verbinden Leveranciers hun Stripe-accounts via Stripe Connect. Stripe fungeert als een onafhankelijke verwerkingsverantwoordelijke voor betalingsgegevens die worden verwerkt in verband met uitbetalingen. Raadpleeg het Privacybeleid van Stripe voor meer informatie.

6. AI-verwerking

Votiq maakt gebruik van AI-diensten om de kwaliteit van feedbackbeheer te verbeteren:

  • Anthropic Claude (Sentimentanalyse) — Posttitels en -beschrijvingen worden naar de API van Anthropic gestuurd om het sentiment (positief, neutraal, negatief) te classificeren en de toon te identificeren. Alleen de tekstinhoud van posts wordt verzonden; er worden geen persoonlijk identificeerbare accountgegevens opgenomen in deze verzoeken. Gegevens worden verwerkt in overeenstemming met het Privacybeleid van Anthropic.
  • VoyageAI (Semantische Insluitingen) — Posttekst wordt door VoyageAI omgezet in vectorinsluitingen om semantisch gelijkheidszoeken en duplicaatdetectie mogelijk te maken. Alleen posttekst wordt verzonden. Insluitingen worden opgeslagen in Supabase en uitsluitend gebruikt binnen de scope van uw organisatie. Gegevens worden verwerkt in overeenstemming met het privacybeleid van VoyageAI.

AI-verwerking is standaard ingeschakeld voor Leveranciers op betaalde plannen, maar kan worden uitgeschakeld in de werkruimte-instellingen. Wij gebruiken uw gegevens niet voor het trainen van AI-modellen van derden; gegevens die naar deze API’s worden gestuurd, worden uitsluitend gebruikt voor inferentie op uw inhoud.

7. Diensten van Derden

Wij delen gegevens met de volgende derden uitsluitend voor zover noodzakelijk voor het leveren van de Dienst:

  • Stripe — Betalingsverwerking en Stripe Connect-uitbetalingen.
  • Supabase — Database, authenticatie, realtime en bestandsopslag (gehost op AWS).
  • Vercel — Applicatiehosting en edge-netwerk (CDN). Vercel verwerkt verzoeklogboeken die IP-adressen kunnen bevatten.
  • Resend — Transactionele e-mailbezorging (accounte-mails, toezeggingsbewijzen, samenvattingen).
  • Anthropic — AI-sentimentanalyse (alleen posttekst).
  • VoyageAI — Semantische vectorinsluitingen (alleen posttekst).
  • Inngest — Orkestratie van achtergrondtaken voor asynchrone verwerking (bijv. betalingsincasso’s, e-mailtriggers). Taakpayloads kunnen verwijzingen naar gebruikers-ID’s en post-ID’s bevatten.

Wij verkopen uw persoonsgegevens niet aan derden. Wij delen uw gegevens niet met adverteerders. Gegevensdeling met subverwerkers wordt beheerst door Verwerkersovereenkomsten waar vereist door de AVG.

8. Cookies & Lokale Opslag

Votiq gebruikt uitsluitend essentiële cookies. Wij gebruiken geen advertentie- of trackingcookies van derden.

  • Sessiecookies — Ingesteld door Supabase Auth om uw geverifieerde sessie te onderhouden. Deze worden verwijderd wanneer u uw browser sluit of zich afmeldt.
  • Voorkeurscookies — Slaan UI-voorkeuren op zoals thema (donker/licht) en taalselectie.
  • CSRF-tokens — Kortlevende tokens die worden gebruikt om formulierinzendingen te beschermen.

Wij gebruiken lokale browseropslag om niet-gevoelige UI-status op te slaan in de cache (bijv. open filterselecties). Er worden geen persoonsgegevens opgeslagen in lokale opslag. U kunt de lokale opslag op elk moment wissen via uw browserinstellingen.

Omdat wij uitsluitend essentiële cookies gebruiken, tonen wij geen cookietoestemmingsbanner. Als u cookies uitschakelt, werken authenticatiefuncties niet.

9. Bewaarperioden

Wij bewaren persoonsgegevens voor de volgende perioden:

  • Accountgegevens — Bewaard voor de duur van uw abonnement plus 30 dagen na accountverwijdering, om gegevensexport mogelijk te maken. Na 30 dagen worden accountgegevens permanent verwijderd.
  • Feedback- & postgegevens — Bewaard zolang het organisatieaccount actief is. Verwijderd binnen 30 dagen na accountverwijdering.
  • FinanciĂ«le gegevens — Factureringsgeschiedenis en transactieregistraties worden 7 jaar bewaard om te voldoen aan boekhoud- en belastingwettelijke verplichtingen.
  • Serverlogboeken — Verzoeklogboeken worden 90 dagen bewaard voor beveiliging en foutopsporing.
  • AI-insluitingen — Verwijderd binnen 30 dagen na accountverwijdering.

10. Uw Rechten (AVG & Privacyrechten)

Afhankelijk van uw locatie kunt u de volgende rechten hebben met betrekking tot uw persoonsgegevens:

  • Recht op inzage — Verzoek om een kopie van de persoonsgegevens die wij over u bewaren.
  • Recht op rectificatie — Verzoek om correctie van onjuiste of onvolledige gegevens.
  • Recht op verwijdering (“recht om vergeten te worden”) — Verzoek om verwijdering van uw persoonsgegevens, met inachtneming van wettelijke bewaarverplichtingen.
  • Recht op gegevensoverdraagbaarheid — Ontvang uw gegevens in een machineleesbaar formaat (JSON/CSV).
  • Recht op beperking — Verzoek dat wij de verwerking van uw gegevens in bepaalde omstandigheden beperken.
  • Recht van bezwaar — Bezwaar maken tegen verwerking op basis van gerechtvaardigde belangen of voor direct marketing.
  • Recht om toestemming in te trekken — Waar verwerking gebaseerd is op toestemming, deze op elk moment intrekken.

Wij reageren op geverifieerde verzoeken binnen 30 dagen (verlengbaar met nog eens 60 dagen voor complexe verzoeken, met kennisgeving). Wij moeten mogelijk uw identiteit verifiëren voordat wij een verzoek inwilligen.

11. AVG Gegevensexport & Accountverwijdering

Votiq biedt zelfbedieningstools voor het uitoefenen van uw gegevensrechten:

  • Gegevensexport — Beschikbaar in uw werkruimte-instellingen onder “Gegevens & Privacy”. U kunt een volledige JSON-export downloaden van de posts, stemmen, reacties, changelogs en ledengegevens van uw organisatie.
  • Accountverwijdering — Beschikbaar in de werkruimte-instellingen. Het verwijderen van uw account start een respijtperiode van 30 dagen gedurende welke gegevens worden bewaard en kunnen worden geĂ«xporteerd. Na 30 dagen worden alle persoonsgegevens permanent en onomkeerbaar verwijderd, met uitzondering van financiĂ«le gegevens die op grond van een wettelijke verplichting worden bewaard.

Neem contact op met privacy@votiq.io voor het indienen van een handmatig gegevensverzoek of als u hulp nodig heeft.

12. Internationale Gegevensoverdrachten

Votiq slaat gegevens voornamelijk op en verwerkt ze in de EU (AWS eu-west-1). Sommige van onze subverwerkers zijn echter gevestigd in de Verenigde Staten (Stripe, Anthropic, VoyageAI, Inngest, Vercel, Resend). Wanneer persoonsgegevens buiten de EU/EEA worden overgedragen, zorgen wij ervoor dat passende waarborgen aanwezig zijn, waaronder:

  • Standaardcontractbepalingen (SCC’s) van de EU opgenomen in Verwerkersovereenkomsten.
  • Adequaatheidsbesluiten van de Europese Commissie waar van toepassing.

U kunt informatie opvragen over de specifieke waarborgen voor internationale overdrachten door contact op te nemen met privacy@votiq.io.

13. Privacy van Kinderen

De Dienst is niet gericht op of bedoeld voor gebruik door personen onder de leeftijd van 16 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen onder de 16 jaar. Als wij ontdekken dat een kind onder de 16 jaar ons persoonsgegevens heeft verstrekt, zullen wij stappen ondernemen om deze gegevens onmiddellijk te verwijderen. Als u vermoedt dat een kind ons zijn gegevens heeft verstrekt, neem dan contact op met privacy@votiq.io.

14. Wijzigingen van Dit Beleid

Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken. Als de wijzigingen wezenlijk zijn, zullen wij u per e-mail of via een prominente kennisgeving op de Dienst ten minste 14 dagen vóór de inwerkingtreding van de wijzigingen op de hoogte stellen. Wij raden u aan dit beleid regelmatig te raadplegen. Uw voortgezet gebruik van de Dienst na de ingangsdatum vormt aanvaarding van het herziene beleid.

15. Functionaris voor Gegevensbescherming

Wij hebben een Functionaris voor Gegevensbescherming (FG) aangesteld die verantwoordelijk is voor het toezicht op onze gegevensbeschermingspraktijken. Als u vragen of zorgen heeft over hoe wij uw persoonsgegevens verwerken, kunt u contact opnemen met onze FG via:

Functionaris voor Gegevensbescherming, Votiq
privacy@votiq.io

U heeft ook het recht om een klacht in te dienen bij uw lokale gegevensbeschermingsautoriteit. In de EU kunt u uw nationale autoriteit vinden via edpb.europa.eu.

16. Contact

Voor alle privacy-gerelateerde vragen, verzoeken van betrokkenen of vragen over dit beleid kunt u contact opnemen met:

Votiq Privacyteam
privacy@votiq.io

Privacybeleid — Votiq