Privacybeleid SamenstelFlow
Laatst bijgewerkt: 15 mei 2026
1. Wie zijn wij?
SamenstelFlow is een handelsnaam van DIACC. Wij zijn een Nederlandse SaaS‑aanbieder van software voor accountantskantoren voor het genereren van samensteldossiers.
Contactgegevens:
- Bedrijfsnaam: SamenstelFlow
- Adres: Anna Maria van Cappellenpark 41, Capelle aan den IJssel
- KvK‑nummer: 91903505
- E‑mail: info@samenstelflow.nl
- Telefoon: 06 22 47 15 46
Voor privacy‑gerelateerde vragen kun je ons mailen op info@samenstelflow.nl. We reageren binnen 7 werkdagen.
2. Welke rol hebben wij onder de AVG?
Onder de Algemene Verordening Gegevensbescherming (AVG) onderscheiden we twee rollen:
- Verantwoordelijke voor onze eigen accountgegevens (jij als gebruiker van SamenstelFlow).
- Verwerker voor de gegevens uit de boekhouding van jouw cliënten die je via SamenstelFlow opvraagt en verwerkt.
Voor de verwerkersrol sluiten we apart een verwerkersovereenkomst (VWO) met je af, automatisch bij registratie. Die VWO regelt onze verplichtingen rond de cliëntdata van jouw accountantspraktijk.
Dit privacybeleid gaat over de gegevens waarvoor wij verantwoordelijke zijn.
3. Welke persoonsgegevens verwerken wij?
3.1 Gegevens die jij actief aan ons verstrekt
| Categorie | Voorbeelden | Doel |
|---|---|---|
| Accountgegevens | naam, e‑mailadres, telefoonnummer | Inloggen, communicatie |
| Bedrijfsgegevens | kantoornaam, KvK‑nummer, BTW‑nummer, factuuradres | Facturatie, AVG‑documentatie |
| Betalingsgegevens | IBAN, SEPA‑mandaatnummer | Automatische incasso via Mollie |
| Beveiligingsgegevens | wachtwoord (hashed met Argon2id), 2FA‑geheim (optioneel) | Toegangsbeveiliging |
3.2 Gegevens die automatisch worden verzameld
| Categorie | Voorbeelden | Doel |
|---|---|---|
| Loggegevens | IP‑adres, browser, tijdstip, actie | Beveiliging, foutopsporing |
| Audit log | wie deed wat wanneer in het systeem | Compliance, NBA‑toetsing |
| Cookies | sessietokens | Inloggen, sessiemanagement |
3.3 Gegevens die wij verwerken namens jou (als verwerker)
Wanneer je je Yuki‑administratie koppelt, verwerken wij namens jou:
- Boekhoudgegevens van je cliënten (grootboek, debiteuren, crediteuren, etc.)
- Bedrijfsgegevens van cliënten (naam, KvK, BTW‑nummer)
- Transactiedetails (datums, bedragen, omschrijvingen)
Deze gegevens worden tijdelijk verwerkt om de Excel‑werkbladen te genereren. Na het uploaden naar object‑storage worden de tijdelijke bestanden van onze servers verwijderd. De Excel‑output zelf wordt 30 dagen bewaard in versleutelde object‑storage en daarna automatisch verwijderd.
4. Op welke grondslag verwerken wij?
| Grondslag (AVG art. 6) | Wanneer |
|---|---|
| Uitvoering overeenkomst | Voor het leveren van de dienst, facturatie en incasso. |
| Wettelijke verplichting | Voor administratieve bewaarplicht (Belastingdienst — 7 jaar). |
| Gerechtvaardigd belang | Voor beveiliging, fraudepreventie, foutopsporing en het verbeteren van de dienst. |
| Toestemming | Voor optionele cookies (analytics — niet in MVP) en marketing‑mails. |
5. Hoe lang bewaren wij gegevens?
| Categorie | Bewaartermijn |
|---|---|
| Accountgegevens | Zolang het account actief is + 30 dagen na opzegging voor reactivering |
| Betalingsgegevens (facturen, mandaten) | 7 jaar (fiscale bewaarplicht) |
| Audit log | 7 jaar (fiscale bewaarplicht en kwaliteitstoetsing) |
| Loggegevens (technisch) | 90 dagen |
| Cliëntboekhoudgegevens | Tijdelijk tijdens generatie; Excel‑output 30 dagen, daarna automatisch verwijderd |
| Backups | 30 dagen (cascadeerd door productie‑bewaartermijn) |
Na opzegging en de 30‑dagen reactiveringsperiode verwijderen wij alle persoonsgegevens, behalve gegevens die wij wettelijk moeten bewaren (zoals facturen).
6. Met wie delen wij gegevens?
Wij verkopen jouw gegevens nooit aan derden. Wij delen ze alleen met partijen die ons helpen de dienst te leveren (sub‑verwerkers):
| Sub‑verwerker | Doel | Locatie |
|---|---|---|
| Clerk | Authenticatie (login, 2FA, magic links) | Verenigde Staten — onder EU‑US Data Privacy Framework |
| Mollie | Betaalverwerking (SEPA, iDEAL) | Nederland |
| Render | Hosting van onze backend en database | Frankfurt, Duitsland (EU) |
| Cloudflare R2 | Object‑storage van Excel‑output | EU‑regio (Frankfurt) |
| Resend | Versturen van transactionele e‑mails | Verenigde Staten — onder EU‑US Data Privacy Framework |
| Sentry | Error monitoring en debugging | EU‑regio bij configuratie |
| Better Stack | Centrale logging | EU‑regio bij configuratie |
| GitHub | Versiebeheer en CI/CD (geen klantdata) | Verenigde Staten |
Met al deze partijen hebben wij verwerkersovereenkomsten afgesloten conform AVG art. 28.
Voor doorgifte aan partijen in landen buiten de EER (zoals de VS) baseren wij ons op het EU‑US Data Privacy Framework dan wel standaard contractbepalingen (Standard Contractual Clauses).
7. Welke rechten heb je?
Onder de AVG heb je de volgende rechten:
- Recht op inzage — je kunt opvragen welke gegevens wij van je verwerken.
- Recht op rectificatie — je kunt onjuiste gegevens laten corrigeren.
- Recht op vergetelheid — je kunt verzoeken om verwijdering van je gegevens (behoudens wettelijke bewaarplicht).
- Recht op beperking — je kunt de verwerking laten beperken.
- Recht op overdraagbaarheid — je kunt je gegevens in een gestructureerd formaat opvragen.
- Recht van bezwaar — je kunt bezwaar maken tegen verwerking op grond van gerechtvaardigd belang.
- Recht om toestemming in te trekken — voor verwerking gebaseerd op toestemming.
Om gebruik te maken van deze rechten kun je mailen naar info@samenstelflow.nl. We reageren binnen 30 dagen.
Ben je niet tevreden met onze afhandeling? Je hebt het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) via autoriteitpersoonsgegevens.nl.
8. Hoe beveiligen wij jouw gegevens?
We nemen de beveiliging van jouw gegevens — en die van jouw cliënten — uiterst serieus. Onze maatregelen:
- Versleuteling at‑rest — Alle Yuki API‑sleutels worden versleuteld met AES‑256‑GCM. De encryptie‑sleutel wordt apart bewaard in een beveiligde sleutel‑kluis.
- Versleuteling in transit — HTTPS met TLS 1.2+ op alle verbindingen. HSTS afgedwongen.
- Wachtwoordhashing — Argon2id, een door OWASP aanbevolen algoritme.
- 2FA — TOTP optioneel voor alle gebruikers, verplicht voor DIACC‑beheerders.
- Audit log — Alle relevante acties zijn traceerbaar (wie, wanneer, welke actie, vanaf welk IP).
- EU‑hosting — Onze productieservers en database staan in Frankfurt (Duitsland).
- Periodieke security‑testen — Geautomatiseerde scans en periodieke penetratietesten.
- Backups — Dagelijkse snapshots, 30 dagen bewaard, gescheiden van productie.
- Toegang op need‑to‑know basis — Slechts één persoon binnen DIACC heeft toegang tot productie‑secrets, beveiligd met hardware‑MFA.
In geval van een datalek melden wij dit binnen 72 uur bij de Autoriteit Persoonsgegevens en informeren we betrokkenen indien de inbreuk waarschijnlijk een hoog risico inhoudt.
9. Cookies
SamenstelFlow gebruikt alleen strikt noodzakelijke cookies voor het functioneren van de dienst:
| Cookie | Doel | Bewaartermijn |
|---|---|---|
__clerk_session | Houden van je inlog‑sessie | Sessie‑duur (12 uur) |
__clerk_csrf | Beveiliging tegen CSRF‑aanvallen | Sessie‑duur |
Wij gebruiken geen analytics‑, marketing‑ of tracking‑cookies in MVP. Mocht dit veranderen, dan vragen we expliciet om toestemming via een cookie‑banner.
10. Kinderen
SamenstelFlow is een zakelijke (B2B) dienst gericht op accountantskantoren. We richten ons niet op kinderen onder 16 jaar en we verzamelen niet bewust persoonsgegevens van kinderen. Mochten wij ontdekken dat we toch gegevens van een kind hebben, dan verwijderen we deze direct.
11. Wijzigingen in dit privacybeleid
Wij kunnen dit privacybeleid wijzigen. Wijzigingen publiceren we op deze pagina en in geval van wezenlijke wijzigingen ontvang je een notificatie per e‑mail. De datum bovenaan dit document toont de meest recente wijziging.
12. Contact
Heb je vragen over dit privacybeleid of over hoe wij met jouw gegevens omgaan?
SamenstelFlow
Anna Maria van Cappellenpark 41
Capelle aan den IJssel
06 22 47 15 46
KvK 91903505
Versie 0.1 — 15 mei 2026 — Concept, juridische review vereist vóór go‑live.