Terug naar shootflow.nl

Privacyverklaring

Laatst bijgewerkt: 1 mei 2026

1. Wie zijn wij

shootflow.nl is een webapplicatie voor bedrijfsbeheer, gericht op fotografen en videografen. Het platform biedt functionaliteit voor klantenbeheer, boekingen, facturatie en financieel overzicht.

shootflow.nl is geregistreerd bij de Kamer van Koophandel onder nummer 65656962 en gevestigd op Douwes Dekkerstraat 5, 3362TC Sliedrecht. Voor vragen over deze privacyverklaring kun je contact opnemen via info@shootflow.nl.

In deze verklaring leggen wij uit welke persoonsgegevens wij verwerken, waarom, op welke grondslag en hoe lang we ze bewaren. Wij handelen conform de Algemene Verordening Gegevensbescherming (AVG / GDPR).

2. Twee rollen: verwerkingsverantwoordelijke en verwerker

shootflow verwerkt persoonsgegevens in twee verschillende hoedanigheden, afhankelijk van om wiens gegevens het gaat:

  • Verwerkingsverantwoordelijke — voor gegevens van onze eigen gebruikers (de fotografen en videografen die een account aanmaken). Wij bepalen zelf het doel en de middelen van deze verwerking.
  • Verwerker — voor de gegevens die gebruikers zelf in shootflow invoeren over hun klanten (namen, e-mailadressen, boekinginformatie, enzovoort). De gebruiker is voor die gegevens de verwerkingsverantwoordelijke; wij verwerken deze uitsluitend in opdracht en mogen er geen eigen gebruik van maken. Op verzoek sluiten wij een verwerkersovereenkomst.

De rest van deze verklaring beschrijft onze verwerking als verwerkingsverantwoordelijke, tenzij anders aangegeven.

3. Welke gegevens verwerken wij

Wij verwerken uitsluitend de gegevens die noodzakelijk zijn voor het leveren van de dienst. Dat zijn:

Accountgegevens

Bij het aanmaken van een account verzamelen wij je naam en e-mailadres. Deze gegevens zijn nodig om toegang te verlenen tot het platform en om te communiceren over je account.

Betalingsgegevens

Voor het verwerken van abonnementsbetalingen verwerken wij een beperkt aantal betaalgegevens. De feitelijke betaalverwerking vindt plaats via Mollie B.V. (zie paragraaf 6). Wij slaan geen volledige betaalkaartgegevens of IBAN-nummers van gebruikers op in ons systeem, tenzij je dit zelf invoert als onderdeel van je bedrijfsprofiel.

Gebruiksgegevens

Voor de beveiliging van het platform registreren wij het tijdstip van de laatste inlog. Wij houden geen uitgebreide gebruiksstatistieken bij en plaatsen geen analysetrackers.

Auditlog

Voor beveiligingsdoeleinden registreren wij bepaalde gevoelige handelingen in een auditlog, zoals wijzigingen van wachtwoord, het in- of uitschakelen van tweefactorauthenticatie en het verwijderen van een account. Deze gegevens worden maximaal 90 dagen bewaard.

E-mailcommunicatie

Wij bewaren een log van via shootflow verzonden e-mails (verzender, ontvanger, onderwerp) voor de functionaliteit van het platform. Deze logs zijn uitsluitend inzichtelijk voor de betrokken gebruiker.

4. Doeleinden en rechtsgronden

Wij verwerken persoonsgegevens op basis van de volgende grondslagen uit artikel 6 AVG:

DoelGrondslag (art. 6 AVG)
Accountbeheer en toegang tot het platformUitvoering van overeenkomst (lid 1 sub b)
Verwerking van abonnementsbetalingenUitvoering van overeenkomst (lid 1 sub b)
Serviceberichten en facturen per e-mailUitvoering van overeenkomst (lid 1 sub b)
Beveiliging van het platform (auditlog, rate limiting)Gerechtvaardigd belang (lid 1 sub f)
Bewaren van financiële administratieWettelijke verplichting (lid 1 sub c)
Functionele cookies (sessie en beveiliging)Gerechtvaardigd belang (lid 1 sub f) — strikt noodzakelijk

Wij verwerken geen bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9 AVG.

5. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor ze zijn verzameld:

  • Accountgegevens — zolang je account actief is, plus 30 dagen na opzegging om je de mogelijkheid te geven je account te herstellen of je gegevens te exporteren. Daarna worden alle gegevens definitief verwijderd.
  • Financiële en boekhoudkundige gegevens — 7 jaar, conform de wettelijke bewaarplicht voor de Belastingdienst.
  • Auditlog — 90 dagen.
  • E-maillogs — 12 maanden.

6. Ontvangers en subverwerkers

Wij delen persoonsgegevens uitsluitend met derden voor zover dat noodzakelijk is voor de dienstverlening. Wij verkopen geen persoonsgegevens. Onze subverwerkers zijn:

  • Mollie B.V. (Amsterdam) — betaalverwerking voor abonnementen. Mollie is een gereguleerde betaalinstelling (PSD2) en verwerkt gegevens conform hun eigen privacybeleid. Meer informatie: mollie.com/nl/privacy.
  • Resend Inc. (VS) — verzending van transactionele e-mails (accountbevestigingen, factuurmeldingen). Resend verwerkt gegevens uitsluitend ten behoeve van het afleveren van e-mail en heeft geen toegang tot berichtinhoud na aflevering.
  • Hostinger International Ltd. (Litouwen / EU) — hosting van de applicatie en database. Alle data wordt opgeslagen op Europese servers.

Met alle subverwerkers zijn verwerkersovereenkomsten gesloten conform artikel 28 AVG.

7. Doorgifte buiten de Europese Unie

De hosting van het platform en de database vindt uitsluitend plaats binnen de Europese Economische Ruimte (EER).

Resend Inc. is gevestigd in de Verenigde Staten. Op basis van de Standard Contractual Clauses (SCC) van de Europese Commissie is de doorgifte van e-mailgerelateerde gegevens naar Resend juridisch gedekt. De gegevens die aan Resend worden verstrekt, zijn beperkt tot het e-mailadres van de ontvanger, het onderwerp en de inhoud van de te verzenden e-mail.

8. Beveiliging

Wij treffen passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, ongeoorloofde toegang en misbruik. Specifieke maatregelen zijn onder meer:

  • Versleutelde opslag van wachtwoorden (bcrypt).
  • Versleuteling van gevoelige velden in de database (AES-256-GCM), waaronder betaalsleutels en IBAN-nummers.
  • HTTPS (TLS) voor alle communicatie via het platform.
  • HTTP-beveiligingsheaders: Content Security Policy, Strict-Transport-Security, X-Frame-Options, enzovoort.
  • Optionele tweefactorauthenticatie (TOTP) voor gebruikersaccounts.
  • Rate limiting op inlogpogingen en gevoelige acties ter voorkoming van brute-force aanvallen.

Bij een datalek dat waarschijnlijk een risico oplevert voor betrokkenen, zullen wij de Autoriteit Persoonsgegevens melden binnen 72 uur, conform artikel 33 AVG. Betrokkenen worden geïnformeerd als het datalek waarschijnlijk een hoog risico voor hen oplevert.

9. Cookies

shootflow gebruikt uitsluitend functionele cookies die strikt noodzakelijk zijn voor de werking van het platform. Er worden geen tracking-, marketing- of advertentiecookies geplaatst.

De volgende cookies worden geplaatst:

CookieDoelBewaartermijn
authjs.session-tokenInlogsessie — herkent jou als ingelogde gebruikerSessie of 30 dagen (bij "aangemeld blijven")
authjs.csrf-tokenBeveiliging tegen cross-site request forgery (CSRF)Sessie
authjs.callback-urlOnthoudt de pagina waarnaar na inloggen doorverwezen wordtSessie
sf-cookie-consentOnthoudt dat je de cookiemelding hebt gezien1 jaar

Omdat al deze cookies strikt noodzakelijk zijn voor het functioneren van het platform, is hiervoor op grond van de Telecommunicatiewet geen afzonderlijke toestemming vereist.

10. Jouw rechten als betrokkene

Op grond van de AVG heb je de volgende rechten met betrekking tot je persoonsgegevens:

  • Recht op inzage (art. 15 AVG) — je kunt opvragen welke persoonsgegevens wij van jou verwerken.
  • Recht op rectificatie (art. 16 AVG) — je kunt onjuiste of onvolledige gegevens laten corrigeren.
  • Recht op gegevenswissing (art. 17 AVG) — je kunt verzoeken om verwijdering van je persoonsgegevens, mits geen wettelijke bewaarplicht van toepassing is.
  • Recht op beperking van verwerking (art. 18 AVG) — in bepaalde gevallen kun je vragen de verwerking tijdelijk te beperken.
  • Recht op overdraagbaarheid (art. 20 AVG) — je kunt je gegevens in een gestructureerde, gangbare en machineleesbare vorm ontvangen.
  • Recht van bezwaar (art. 21 AVG) — je kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.

Om een van deze rechten uit te oefenen, kun je contact opnemen via info@shootflow.nl. Wij reageren binnen vier weken op je verzoek, zoals de AVG voorschrijft.

Je kunt ook direct via de app een aantal acties uitvoeren: je naam en e-mailadres wijzigen via Instellingen → Profiel, en je account inclusief alle gegevens verwijderen via Instellingen → Profiel → Account verwijderen.

11. Klacht indienen

Als je van mening bent dat wij je persoonsgegevens niet conform de AVG verwerken, heb je het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP):

autoriteitpersoonsgegevens.nl · Postbus 93374, 2509 AJ Den Haag · tel. 088 – 1805 250

Wij stellen het echter op prijs als je eventuele bezwaren eerst bij ons meldt, zodat wij samen tot een oplossing kunnen komen.

12. Wijzigingen in deze verklaring

Wij kunnen deze privacyverklaring van tijd tot tijd bijwerken, bijvoorbeeld bij wijzigingen in de dienst of in de toepasselijke wetgeving. Bij ingrijpende wijzigingen ontvang je hierover bericht per e-mail. De datum bovenaan deze pagina geeft aan wanneer de verklaring voor het laatst is gewijzigd.

13. Contact

shootflow.nl
Douwes Dekkerstraat 5, 3362TC Sliedrecht
KvK: 65656962
info@shootflow.nl