Privacyverklaring
Laatst bijgewerkt: 1 maart 2026
1. Wie zijn wij?
StatementBridge is een dienst van FIDURO B.V., gevestigd te Stephensonweg 6, 4207 HB Gorinchem, Nederland. KvK-nummer: 78200695. BTW-nummer: NL861300221B01.
Voor vragen over deze privacyverklaring of uw persoonsgegevens kunt u contact opnemen via info@fiduro.nl of telefonisch via 0183-201077.
2. Welke persoonsgegevens verwerken wij?
Wij verwerken de volgende categorieën persoonsgegevens:
2.1 Accountgegevens
- E-mailadres — voor authenticatie en accountbeheer
- Wachtwoord — opgeslagen als bcrypt-hash (niet leesbaar)
- Weergavenaam — optioneel, voor personalisatie
- Taalvoorkeur en thema-instelling — voor gebruikerservaring
2.2 Conversiegegevens
- Geüploade bestanden — worden direct na verwerking verwijderd van onze servers
- Conversieteller — het aantal uitgevoerde conversies per maand, voor het handhaven van planlimiten. Geen inhoudelijke gegevens (geen IBAN, bestandsnamen of transactiedetails).
- Gegenereerde bestanden — beschikbaar voor download gedurende uw sessie, daarna automatisch verwijderd
2.3 Technische gegevens
- IP-adres — vastgelegd bij het accepteren van de gebruiksvoorwaarden (juridisch bewijs van toestemming)
- User agent — vastgelegd bij het accepteren van de gebruiksvoorwaarden
- Sessie-informatie — voor het functioneren van de applicatie
2.4 Betalingsgegevens
- Stripe klant-ID — voor het beheren van uw abonnement
- Betalingsgegevens (creditcard, iDEAL) worden uitsluitend door Stripe verwerkt. Wij slaan geen betalingsgegevens op.
2.5 API-sleutels (optioneel)
- LLM API-sleutel — indien u AI PDF-extractie gebruikt, wordt uw API-sleutel versleuteld opgeslagen (AES-128/Fernet)
3. Waarvoor gebruiken wij uw gegevens?
| Doel | Grondslag (AVG) | Bewaartermijn |
|---|---|---|
| Aanmaken en beheren van uw account | Uitvoering overeenkomst (Art. 6.1b) | Tot u uw account verwijdert |
| Uitvoeren van bestandsconversies | Uitvoering overeenkomst (Art. 6.1b) | Bestanden: direct na verwerking. Conversieteller: zolang account actief is. |
| Abonnementsbeheer en facturering | Uitvoering overeenkomst (Art. 6.1b) | Tot u uw account verwijdert |
| Vastleggen toestemming gebruiksvoorwaarden | Wettelijke verplichting (Art. 6.1c) | Tot u uw account verwijdert |
| Technisch functioneren en beveiliging | Gerechtvaardigd belang (Art. 6.1f) | Sessiegegevens: 24 uur |
4. Twee verwerkingsstromen
StatementBridge kent twee verwerkingsstromen met een verschillend risicoprofiel:
4.1 Deterministische conversie (standaard)
Bij conversie van gestructureerde formaten (MT940, CAMT.053, CSV, Excel, OFX, CODA) worden uw bestanden uitsluitend lokaal verwerkt op onze EU-servers (Frankfurt). Er worden geen gegevens naar externe partijen verzonden. De conversie is deterministisch: transacties worden exact overgenomen zonder interpretatie.
4.2 AI PDF-extractie (optioneel)
Bij AI PDF-extractie wordt de volledige tekstinhoud van uw PDF-bestand — inclusief transactieomschrijvingen, bedragen, datums, rekeningnummers en namen — verzonden naar een externe AI-provider voor verwerking:
- Anthropic (San Francisco, VS) — indien u Anthropic als provider kiest
- OpenAI (San Francisco, VS) — indien u OpenAI als provider kiest
Deze dienstverleners zijn gevestigd in de Verenigde Staten. De doorgifte vindt plaats op basis van de door deze partijen gehanteerde Standard Contractual Clauses (SCC's) conform Art. 46.2c AVG.
Belangrijk: U kiest zelf of u deze functionaliteit gebruikt. Bij het gebruik van AI-extractie wordt uw eigen API-sleutel gebruikt. De verwerking vindt plaats onder uw eigen overeenkomst met de betreffende AI-provider. Wij raden u aan geen bestanden met gevoelige persoonsgegevens (zoals creditcardnummers, persoonsnamen in transactieomschrijvingen) via AI-extractie te verwerken.
5. Derde partijen en subverwerkers
| Partij | Doel | Locatie |
|---|---|---|
| Stripe, Inc. | Betalingsverwerking en abonnementsbeheer | VS (SCC's van toepassing) |
| Render.com | Hosting van de applicatie | EU (Frankfurt) |
| Anthropic (optioneel) | AI PDF-extractie (alleen op verzoek gebruiker) | VS (SCC's van toepassing) |
| OpenAI (optioneel) | AI PDF-extractie (alleen op verzoek gebruiker) | VS (SCC's van toepassing) |
Voor de formele verwerkersovereenkomst, zie onze Verwerkersovereenkomst.
6. Uw rechten
Op grond van de AVG heeft u de volgende rechten:
- Recht op inzage (Art. 15) — U kunt opvragen welke gegevens wij van u verwerken.
- Recht op rectificatie (Art. 16) — U kunt onjuiste gegevens laten corrigeren via uw accountinstellingen.
- Recht op verwijdering (Art. 17) — U kunt uw account en alle bijbehorende gegevens verwijderen via de accountinstellingen in de applicatie.
- Recht op gegevensoverdraagbaarheid (Art. 20) — U kunt een export van uw persoonsgegevens aanvragen in JSON-formaat via de applicatie.
- Recht op beperking van verwerking (Art. 18) — U kunt verzoeken de verwerking van uw gegevens te beperken.
- Recht van bezwaar (Art. 21) — U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
Voor het uitoefenen van deze rechten kunt u contact opnemen via info@fiduro.nl. Wij reageren binnen 30 dagen op uw verzoek.
7. Beveiliging
Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen:
- Alle communicatie verloopt via HTTPS (TLS-versleuteling)
- Wachtwoorden worden opgeslagen als bcrypt-hash
- API-sleutels worden versleuteld opgeslagen met AES-128 (Fernet)
- Geüploade bestanden worden direct na verwerking verwijderd
- Sessiecookies zijn beveiligd (HttpOnly, Secure, SameSite=Strict)
- Rate limiting beschermt tegen misbruik
- Content Security Policy (CSP) voorkomt ongeautoriseerde scripts
- Server-logbestanden bevatten geen financiële gegevens en worden maximaal 30 dagen bewaard
8. Cookies
StatementBridge gebruikt de volgende cookies:
| Cookie | Type | Doel | Duur |
|---|---|---|---|
| session | Noodzakelijk | Inlogstatus en applicatiefunctionaliteit | 24 uur |
| session_token | Noodzakelijk | Identificatie voor conversielimiet (anonieme gebruikers) | 30 dagen |
| cookie_consent | Noodzakelijk | Uw cookie-voorkeuren onthouden | 1 jaar |
| csrf_token | Noodzakelijk | Beveiliging tegen cross-site request forgery (CSRF) | 24 uur |
Wij gebruiken geen tracking- of advertentiecookies.
9. Klachten
Indien u een klacht heeft over de verwerking van uw persoonsgegevens, neem dan contact met ons op via info@fiduro.nl. U heeft ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl).
10. Datalekken
Bij een beveiligingsincident waarbij persoonsgegevens betrokken zijn, meldt FIDURO dit binnen 72 uur aan de Autoriteit Persoonsgegevens indien dit incident een risico vormt voor de rechten en vrijheden van betrokkenen (Art. 33 AVG). Betrokkenen worden geïnformeerd indien het incident een hoog risico oplevert (Art. 34 AVG). U kunt beveiligingsincidenten melden via info@fiduro.nl.
11. Wijzigingen
Wij behouden ons het recht voor deze privacyverklaring te wijzigen. Significante wijzigingen worden via de applicatie gecommuniceerd. De meest recente versie is altijd beschikbaar op deze pagina.