Terug naar Creya
Juridisch

Privacybeleid

Versie 1.2 — Ingangsdatum: 11 juni 2026 — Taal: Nederlands

1. Verwerkingsverantwoordelijke

T-labs (Tijl Cresens) (hierna "Creya", "wij" of "ons"), gevestigd te Korte Vorenstraat 3, 3900 Pelt, Limburg, België, met ondernemingsnummer BE 0805.477.211, is de verwerkingsverantwoordelijke voor de persoonsgegevens die worden verwerkt via het Creya-platform, inclusief de website op creya.be en de mobiele app voor iOS en Android.

Voor alle vragen en verzoeken in verband met uw persoonsgegevens kunt u contact opnemen via: info@creya.be

2. Welke persoonsgegevens verwerken wij?

Accountgegevens

  • E-mailadres
  • Volledige naam (optioneel, door u ingevuld)
  • Wachtwoord (versleuteld opgeslagen via bcrypt — nooit leesbaar voor ons)
  • Datum en tijdstip van aanvaarding van de gebruiksvoorwaarden
  • IP-adres bij registratie (via Supabase Auth)

Betalingsgegevens

  • Stripe-klantidentificatienummer (wij ontvangen enkel een referentiecode — uw betaalgegevens worden nooit bij ons opgeslagen)
  • Abonnementsstatus, plantype en facturatieperiode

Analysegegevens

  • Door u ingevoerde BTW-nummers van Belgische bedrijven
  • Berekende financiële ratio's en diagnosebevindingen
  • Datum en tijdstip van analyses
  • Gecachte jaarrekeningen van bedrijven (publieke data van de Nationale Bank van België)

Bedrijfsprofielgegevens (Geverifieerd Netwerk)

  • BTW-nummer van uw bedrijf (indien u een verificatieverzoek indient)
  • Door u geüploade documenten (bijv. identiteitsdocument of tussentijdse balans) en gepubliceerde tussentijdse balansen. Uploads zijn optioneel en nooit vereist om de app te gebruiken. U kunt geüploade bestanden op elk moment verwijderen via uw profiel.

Mobiele app — aanvullende gegevens

  • Apparaat-ID: een anonieme identificator van uw toestel, gebruikt voor appfunctionaliteit en diagnostiek. Dit ID is niet gekoppeld aan uw naam of e-mailadres.
  • Camera en fotobibliotheek: de app vraagt toegang tot uw camera en fotobibliotheek uitsluitend wanneer u zelf een document uploadt. De app leest nooit automatisch foto's of bestanden — toestemming is vereist en wordt enkel actief op uw verzoek.
  • Crashrapporten en prestatiegegevens (Sentry): anonieme technische diagnostiek (crashlogs, laadtijden) die niet gekoppeld zijn aan uw identiteit.
  • Push-notificatietoken: indien u push-notificaties inschakelt, slaan wij een apparaattoken op om notificaties te kunnen verzenden. U kunt dit op elk moment uitschakelen via de instellingen van uw toestel.
  • Platform­gebruik: wij registreren op welk(e) platform(s) u actief bent (web, iOS en/of Android) om platformoverschrijdende abonnementen correct te beheren en om te bewaken of functies op alle platformen correct werken. Rechtsgrondslag: uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG).

Gebruik- en gedragsgegevens (enkel met toestemming)

  • Welke functies u gebruikt en wanneer (via PostHog, enkel indien u toestemming hebt gegeven)
  • Sessie-opnames (session replay) van uw interactie met de applicatie — muisbewegingen, klikken en navigatie — via PostHog, enkel met uw toestemming. Gevoelige inhoud (financiële analyses, jaarrekeningcijfers en inloggegevens) wordt automatisch gemaskeerd en is niet zichtbaar in de opname.
  • Geanonimiseerde foutmeldingen en prestatiemetingen (via Sentry)

3. Waarom verwerken wij uw gegevens? (Rechtsgrondslag)

Verwerking Rechtsgrondslag AVG Art. 6
Account aanmaken en beheren Uitvoering overeenkomst6.1.b
Abonnement en facturatie (Stripe) Uitvoering overeenkomst6.1.b
Financiële analyses uitvoeren (CBSO API) Uitvoering overeenkomst + Gerechtvaardigd belang 6.1.b + 6.1.f
Productanalyse & sessie-opname (PostHog) Uw toestemming6.1.a
Foutenregistratie (Sentry) Gerechtvaardigd belang (platformstabiliteit) 6.1.f
AI-gestuurde analyse (OpenAI) Uitvoering overeenkomst6.1.b
Misbruik- en fraudepreventie Gerechtvaardigd belang6.1.f
Wettelijke boekhoudverplichtingen Wettelijke verplichting6.1.c
Gebruikerservaring-onderzoek (UX-enquêtes per e-mail) Uw toestemming (opt-in bij registratie of via Instellingen) 6.1.a

4. Met wie delen wij uw gegevens? (Subverwerkers)

Wij schakelen de volgende dienstverleners in om het platform te kunnen aanbieden. Deze partijen verwerken uw gegevens uitsluitend in onze opdracht en conform de AVG:

Dienstverlener Rol Locatie / Doorgifte
Supabase Inc. Database, authenticatie, bestandsopslag EU (Frankfurt, Duitsland)
Stripe Inc.Betalingsverwerking VS — Standard Contractual Clauses (SCC)
PostHog Inc. Productanalyse (enkel met uw toestemming) EU (Ierland)
Sentry (Functional Software) Foutenregistratie en platformmonitoring Duitsland (EU)
OpenAI LLC AI-gestuurde financiële analyse (Creya Insights) VS — Standard Contractual Clauses (SCC)
Resend Inc. Transactionele e-mail (verificatie, meldingen) EU
Google LLC OAuth-authenticatie ("Inloggen met Google") VS — Standard Contractual Clauses (SCC)
Nationale Bank van België (CBSO API) Ophalen van officiële jaarrekeningen België (publieke overheidsinstelling)
Apple Inc. OAuth-authenticatie ("Inloggen met Apple"), distributie en in-app aankopen via de App Store VS — Standard Contractual Clauses (SCC)
Google LLC OAuth-authenticatie ("Inloggen met Google"), distributie en in-app aankopen via Google Play VS — Standard Contractual Clauses (SCC)
RevenueCat, Inc. Beheer van in-app aankopen en abonnements­validatie voor iOS en Android VS — Standard Contractual Clauses (SCC)

Wij verkopen uw persoonsgegevens nooit aan derden.

5. Hoe lang bewaren wij uw gegevens?

Gegevenstype Bewaartermijn
Accountgegevens (naam, e-mail) Tot u uw account verwijdert
Analyseresultaten en berekende ratio's Tot u uw account verwijdert
Betalingsgegevens (facturen) 7 jaar (wettelijke boekhoudverplichting)
Gecachte sectorstatistieken 30 dagen (automatisch verwijderd)
Foutlogs (Sentry)90 dagen
Analysegebeurtenissen & sessie-opnames (PostHog) 1 jaar (enkel met uw toestemming)
Geüploade bedrijfsdocumenten Tot u ze verwijdert of uw account sluit

6. Uw rechten onder de AVG (GDPR)

Op grond van de Algemene Verordening Gegevensbescherming (AVG/GDPR) heeft u de volgende rechten:

Recht op inzage (Art. 15)

U kunt opvragen welke persoonsgegevens wij van u verwerken. Via Instellingen → Mijn profiel → Gegevens exporteren ontvangt u een kopie van al uw gegevens.

Recht op rectificatie (Art. 16)

U kunt uw naam en e-mailadres corrigeren via Instellingen → Mijn profiel.

Recht op verwijdering — "recht om vergeten te worden" (Art. 17)

U kunt uw account en alle bijbehorende gegevens permanent verwijderen via Instellingen → Mijn profiel → Account verwijderen (zowel op de website als in de mobiele app). Dit is onomkeerbaar.

Recht op gegevensoverdraagbaarheid (Art. 20)

U kunt een export van al uw gegevens (JSON-formaat) downloaden via Instellingen → Mijn profiel → Gegevens exporteren.

Recht op beperking van verwerking (Art. 18)

U kunt de verwerking beperken in afwachting van een klacht of rectificatie. Stuur hiervoor een e-mail naar support@creya.be.

Recht van bezwaar (Art. 21)

U kunt bezwaar maken tegen verwerkingen op basis van gerechtvaardigd belang (bijv. foutenregistratie). Stuur hiervoor een e-mail naar support@creya.be.

Recht om toestemming in te trekken (Art. 7.3)

U kunt uw toestemming op elk moment intrekken zonder dat dit gevolgen heeft voor de rechtmatigheid van de verwerking vóór de intrekking:

  • Productanalyse (PostHog) — website: via de cookiebanner onderaan de pagina of via uw browserinstellingen.
  • Productanalyse — mobiele app: via Instellingen → Privacyvoorkeuren in de app, of door push-notificaties uit te schakelen via de systeeminstellingen van uw toestel.
  • UX-onderzoek e-mails: via Instellingen → Mijn profiel → E-mailvoorkeuren, of via de afmeldlink in elke e-mail.

Hoe uw rechten uitoefenen? Stuur een e-mail naar info@creya.be. Wij reageren binnen 30 kalenderdagen.

7. Cookies

Voor meer informatie over de cookies die wij gebruiken, raadpleeg ons Cookiebeleid.

8. Beveiliging

Wij passen passende technische en organisatorische maatregelen toe om uw persoonsgegevens te beschermen tegen ongeoorloofde toegang, verlies of vernietiging:

  • Versleutelde verbindingen (HTTPS/TLS voor alle communicatie)
  • AES-256-encryptie voor opgeslagen gegevens (via Supabase)
  • Toegangscontrole via Row Level Security (RLS) — elke gebruiker ziet enkel zijn eigen gegevens
  • Wachtwoorden worden versleuteld opgeslagen (bcrypt) en zijn nooit leesbaar
  • Beperkte toegang tot productiesystemen met tweefactorauthenticatie

9. Datalekken

Bij een datalek dat een hoog risico inhoudt voor uw rechten en vrijheden, brengen wij u zo snel mogelijk op de hoogte (uiterlijk binnen 72 uur). Datalekken worden ook gemeld aan de Belgische Gegevensbeschermingsautoriteit (GBA) conform Art. 33 AVG.

10. Klacht indienen

Als u van mening bent dat wij uw persoonsgegevens niet correct verwerken, heeft u het recht een klacht in te dienen bij de Belgische toezichthoudende autoriteit:

Gegevensbeschermingsautoriteit (GBA)

Website: www.gegevensbeschermingsautoriteit.be

E-mail: contact@apd-gba.be

Adres: Drukpersstraat 35, 1000 Brussel

11. Wijzigingen aan dit privacybeleid

Wij behouden het recht om dit privacybeleid op elk moment te wijzigen. Wezenlijke wijzigingen worden minimaal 30 dagen op voorhand per e-mail meegedeeld. De meest recente versie staat altijd op deze pagina met de datum van de laatste aanpassing.

GebruiksvoorwaardenCookiebeleidTerug naar Creya

Jouw privacy, jouw keuze

We gebruiken analytische cookies om bugs sneller te vinden en het platform te verbeteren. Noodzakelijke cookies zijn altijd actief — ze zorgen dat je kan inloggen.

Meer over ons cookiebeleid

Noodzakelijk Analytisch (PostHog) Marketing (Google Ads)