Privacyverklaring

Oppaspakket (oppaspakket.nl) is een dienst van BFH Beheer B.V., handelend onder de naam Code & Copper. KVK 95162348, BTW NL867025293B01, postadres Postbus 2, 5175 ZG Loon op Zand.

Voor alle privacyvragen: info@oppaspakket.nl. Je hebt recht op een reactie binnen 30 dagen.

Persoonsgegevens die je zelf invoert via de vragenlijst: je e-mailadres (voor de aflevering van de PDF) en — in versleutelde vorm — alle antwoorden die je invult over jouw kind(eren).

Technische gegevens: IP-adres, browsertype en tijdstip van je verzoek. Deze worden gebruikt voor beveiliging en fraudepreventie, en worden maximaal 90 dagen bewaard.

Betaalgegevens: wij ontvangen via Mollie alleen de bevestiging dat je betaald hebt. Je bank- of creditcardgegevens komen nooit bij ons binnen.

Vóór je antwoorden onze server bereiken, worden ze in jouw browser versleuteld met TweetNaCl (Curve25519 + XSalsa20 + Poly1305). Dit is dezelfde encryptie-familie die ook door Signal gebruikt wordt.

Onze database bevat alleen een versleuteld pakket (de cijfertekst, een eenmalig gebruikte nonce en jouw tijdelijke publieke sleutel). De bijbehorende sleutel is alleen nodig op het moment dat wij jouw PDF genereren, en wordt direct daarna gewist.

Concreet betekent dit: zelfs als iemand onze database zou stelen, vinden ze daar geen leesbare kindgegevens. En wij — het team — kunnen het met admin-rechten ook niet, want we hebben eenvoudigweg niet de sleutel die in jouw browser gegenereerd werd.

Versleuteld pakket (antwoorden): maximaal 2 jaar, zodat je de gids opnieuw kunt genereren. Daarna automatisch verwijderd.

Gegenereerde PDF-bestanden: 90 dagen na aanmaak. Daarna verwijderd; je kunt opnieuw downloaden vanuit je dashboard of opnieuw genereren.

Audit-logs (acties zonder inhoud, bv. "PDF gedownload"): 90 dagen.

Betaalbevestigingen: 7 jaar — wettelijke bewaarplicht fiscale administratie.

Mollie B.V. (Keizersgracht 313, Amsterdam): verwerkt betalingen. Zie mollie.com/privacy voor hun verklaring.

Hetzner Online GmbH: e-mail-hosting voor uitgaande mails (notificaties over je bestelling).

Hostinger International Ltd: hosting van de server waarop Oppaspakket draait, in EU-datacenter.

Wij delen nooit persoonsgegevens met derden voor reclame, profilering of analyse. We hebben geen advertentienetwerken en geen tracking pixels van derden.

Recht op inzage: je kunt al je bij ons opgeslagen gegevens opvragen via info@oppaspakket.nl. Omdat wij de inhoud van je antwoorden niet kunnen lezen, ontvang je die als versleuteld pakket — samen met je mailadres en bestelhistorie in leesbare vorm.

Recht op verwijdering: je kunt alle gegevens laten wissen door een mail te sturen. Wij verwijderen dan binnen 30 dagen je account, je versleutelde data, je PDF-bestanden en je audit-logs.

Recht op rectificatie: je kunt via het dashboard zelf je e-mailadres aanpassen. Om je antwoorden te wijzigen, herstart je de vragenlijst (de oude blijven versleuteld staan tot ze na 2 jaar auto-verwijderd worden, of verwijder je ze direct via het dashboard).

Recht op dataportabiliteit: je ontvangt bij inzage een JSON-export, leesbaar door andere systemen.

Klachtrecht: vind je dat wij je rechten niet respecteren? Je mag altijd klagen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

TLS 1.2+ met Let's Encrypt-certificaten op alle verbindingen. Wachtwoorden worden niet ongehashed opgeslagen. Sleutels van servers roteren we periodiek en staan opgeslagen in aparte, versleutelde credential-stores.

Bij een beveiligingsincident dat een hoog risico inhoudt voor jou als gebruiker, melden we dit binnen 72 uur bij de Autoriteit Persoonsgegevens en informeren wij jou per e-mail.

Wij plaatsen alleen functionele cookies: één voor het onthouden van je tussentijds opgeslagen vragenlijst, en één voor je ingelogde sessie. Geen tracking-cookies, geen analytics-cookies, geen marketing-cookies. Zie ons cookiebeleid voor details.

Wij mogen deze verklaring aanpassen wanneer de techniek of de wet dat nodig maakt. Bij materiële wijzigingen (bv. een nieuwe subverwerker of langere bewaartermijnen) informeren wij bestaande klanten per e-mail en vermelden de datum bovenaan.