Direct naar hoofdinhoud
Plaffen
  • Tarieven
  • Boekhouding

    • Open Banking koppeling
    • BTW-aangifte
    • Facturatie & herinneringen
    • Bonnen scannen
    • Live rapportages

    Voor je organisatie

    • Multi-administratie
    • Klantenbeheer
    • Offertes & contracten
    • Tijd- & uurregistratie
    • Multi-valuta

    E-facturatie & data

    • Peppol e-facturatie
    • Belastingdienst koppeling
    • Accountant access
    • Audit trail
    • Overal via je browser
    Bekijk alle features → Vergelijk pakketten →
  • Integraties
  • Voor wie
  • Beveiliging
  • Over ons
Contact Inloggen Gratis proberen
  • Tarieven
  • Features

    Boekhouding

    • Open Banking koppeling
    • BTW-aangifte
    • Facturatie & herinneringen
    • Bonnen scannen
    • Live rapportages

    Voor je organisatie

    • Multi-administratie
    • Klantenbeheer
    • Offertes & contracten
    • Tijd- & uurregistratie
    • Multi-valuta

    E-facturatie & data

    • Peppol e-facturatie
    • Belastingdienst koppeling
    • Accountant access
    • Audit trail
    • Overal via je browser
  • Integraties
  • Voor wie
  • Beveiliging
  • Over ons
  • Contact
  • Inloggen
  • Gratis proberen

[ Privacybeleid ]

Privacybeleid

Hoe wij omgaan met je persoonsgegevens en bankdata onder AVG/GDPR en PSD2.

Versie 1.0 (concept) · Laatst bijgewerkt: 9 mei 2026
Let op: dit is een concept-policy. Laat deze voor live-gang reviewen door een Nederlandse fintech-jurist.

Inhoud

  1. Wie is verantwoordelijk
  2. Welke gegevens we verzamelen
  3. Doel en rechtsgrond
  4. PSD2 en bankdata
  5. Bewaartermijnen
  6. Met wie we delen
  7. Sub-verwerkers
  8. Internationale doorgifte
  9. Beveiliging
  10. Jouw rechten
  11. Datalekken
  12. Cookies en tracking
  13. Geautomatiseerde besluitvorming
  14. Klachten
  15. Contact en wijzigingen

1. Wie is verantwoordelijk voor je gegevens

Plaffing LTD ("Plaffen", "wij", "ons") is gevestigd te 86-90 Paul Street, EC2A 4NE London, England, en is geregistreerd bij de Nederlandse Kamer van Koophandel onder nummer [PLACEHOLDER].

Voor de meeste verwerkingen zijn wij verwerkingsverantwoordelijke in de zin van artikel 4(7) van de Algemene Verordening Gegevensbescherming (AVG/GDPR). Voor specifieke verwerkingen treden wij op als verwerker namens jou (zie sectie 4 over PSD2).

Onze Functionaris voor Gegevensbescherming (DPO) is bereikbaar via info@plaffen.nl.

2. Welke gegevens we verzamelen

2.1 Gegevens die je actief aanlevert

  • Accountgegevens: naam, e-mailadres, wachtwoord (gehasht met Argon2id), telefoonnummer, taalvoorkeur
  • Bedrijfsgegevens: bedrijfsnaam, KvK-nummer, BTW-nummer, vestigingsadres, IBAN voor facturatie
  • Facturatiedata: klanten, facturen, betalingen, herinneringen, productinformatie
  • Bonnen & documenten: foto's of PDF's van bonnetjes en facturen die je uploadt
  • Communicatie: berichten naar onze support, demo-aanvragen, contactformulieren

2.2 Gegevens die we automatisch verzamelen

  • Technische data: IP-adres (geanonimiseerd na 30 dagen), browsertype, besturingssysteem, apparaat-ID
  • Gebruiksdata: welke functies je gebruikt, ingelogde sessies, foutmeldingen (zonder persoonlijke inhoud)
  • Cookies: alleen functionele en (met toestemming) analytische cookies — zie sectie 12

2.3 Gegevens van derde partijen

  • Banktransacties: via gereguleerde Account Information Service Providers (AISP), met jouw uitdrukkelijke toestemming (zie sectie 4)
  • Betaalstatus: van onze betaalpartner wanneer je een abonnement betaalt
  • KvK-data: voor verificatie van ondernemerschap (alleen openbare gegevens)

3. Doel en rechtsgrond per verwerking

Op grond van artikel 6 AVG verwerken wij je gegevens alleen voor specifieke, vooraf bepaalde doelen:

DoelRechtsgrondBewaartermijn
Levering van de dienstUitvoering overeenkomst (art. 6.1.b)Duur abonnement + 90 dagen
PSD2 banktoegangToestemming (art. 6.1.a)Duur toestemming + 90 dagen
Facturatie & boekhoudingWettelijke verplichting (art. 6.1.c)7 jaar (Algemene Wet inzake Rijksbelastingen)
Beveiliging & fraudepreventieGerechtvaardigd belang (art. 6.1.f)Tot 12 maanden
Productverbetering (geanonimiseerd)Gerechtvaardigd belang (art. 6.1.f)Onbeperkt (geen persoonsdata)
Marketing communicatieToestemming (art. 6.1.a)Tot intrekking

4. PSD2 en bankdata

Voor het ophalen van je banktransacties werken wij samen met gereguleerde Account Information Service Providers (AISP). Dit zijn instellingen die door De Nederlandsche Bank (DNB) of een equivalente Europese toezichthouder zijn gelicenseerd onder de tweede betaaldienstenrichtlijn (PSD2, Richtlijn 2015/2366).

4.1 Hoe het werkt

  1. Je geeft uitdrukkelijke toestemming via je eigen bankapp om de AISP toegang te geven tot je rekening
  2. De AISP haalt je transactiedata op via de officiële PSD2 API van je bank
  3. De AISP geeft de data door aan Plaffen als verwerker
  4. Plaffen toont en verwerkt de data alleen binnen jouw account

Wij ontvangen nooit je bankinloggegevens, pincodes, of andere geheimen. Authenticatie verloopt altijd via je eigen bankapp.

4.2 Toestemming intrekken

Je kunt je toestemming op elk moment intrekken via je Plaffen account, de PSD2-toestemmingenpagina van je bank, of via info@plaffen.nl. Onder PSD2 verloopt toestemming automatisch elke 180 dagen.

Voor gebruikers die gebruikmaken van prepaid top-up diensten: transactiegegevens worden verwerkt conform de PSD2-richtlijn en uitsluitend gedeeld met gereguleerde betaalinstellingen binnen de Europese Unie.

4.3 Onze AISP-partners

Wij werken uitsluitend met door DNB of equivalente Europese toezichthouder gelicenseerde AISP-partners. Details beschikbaar via info@plaffen.nl.

5. Bewaartermijnen

  • Actieve account: zolang je account bestaat plus 90 dagen na opzegging
  • Facturatie- en BTW-data: 7 jaar conform artikel 52 Algemene Wet inzake Rijksbelastingen (AWR)
  • Boekhoudkundige basisadministratie: 7 jaar conform artikel 2:10 BW
  • PSD2 transactiedata: 90 dagen na verbreken van de bankkoppeling
  • Support tickets: 24 maanden voor kwaliteit en training
  • Marketing toestemming: tot intrekking + 14 maanden voor bewijs
  • IP-logs (security): 12 maanden, daarna geanonimiseerd
  • Datalek-documentatie: 5 jaar conform artikel 33(5) AVG

6. Met wie we gegevens delen

Wij verkopen nooit persoonsgegevens. We delen alleen met:

  • Sub-verwerkers die diensten leveren namens ons (zie sectie 7)
  • Je accountant of boekhouder als je hen toegang hebt verleend in Plaffen
  • Bevoegde autoriteiten bij wettelijke verzoeken (Belastingdienst, AFM, DNB, justitie)
  • Bij overname: indien Plaffing LTD wordt overgenomen, wordt dit minimaal 30 dagen vooraf gemeld met de mogelijkheid je account te beëindigen

7. Sub-verwerkers

Wij gebruiken de volgende sub-verwerkers. Met elk hebben wij een verwerkersovereenkomst (DPA) op basis van EU Model Clauses (artikel 28 AVG):

Wij werken samen met een beperkt aantal sub-verwerkers, elk met een verwerkersovereenkomst (DPA) op basis van EU Standard Contractual Clauses (artikel 28 AVG). Een actuele lijst is op aanvraag beschikbaar via info@plaffen.nl.

8. Internationale doorgifte

Al je persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER). Indien een sub-verwerker in een uitzonderlijk geval gegevens buiten de EU verwerkt, gebeurt dit uitsluitend onder de Standaard Contractbepalingen van de Europese Commissie (SCC's, besluit 2021/914) en aanvullende technische maatregelen zoals encryptie.

9. Beveiliging

  • AES-256 encryptie in rust, TLS 1.3 onderweg
  • Wachtwoorden gehasht met Argon2id (niet omkeerbaar)
  • Verplichte tweefactorauthenticatie voor alle accounts
  • Strikte rolgebaseerde toegangscontrole (RBAC)
  • Audit logging van alle datatoegang door medewerkers
  • Periodieke penetratietesten door onafhankelijke partijen
  • Periodieke security awareness training voor alle medewerkers

Meer details vind je op onze beveiligingspagina.

10. Jouw rechten onder de AVG

  • Recht op inzage (art. 15)
  • Recht op rectificatie (art. 16)
  • Recht op gegevenswissing (art. 17)
  • Recht op beperking (art. 18)
  • Recht op overdraagbaarheid (art. 20)
  • Recht van bezwaar (art. 21)
  • Recht om toestemming in te trekken (art. 7.3)
  • Recht niet onderworpen te zijn aan geautomatiseerde besluitvorming (art. 22)

Verzoeken naar info@plaffen.nl. Wij reageren binnen één maand.

11. Datalekken

Conform artikel 33 AVG melden wij een datalek aan de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking. Bij een hoog risico voor betrokkenen worden zij conform artikel 34 AVG ook direct geïnformeerd.

12. Cookies en tracking

12.1 Strikt noodzakelijke cookies

  • session_token — om je ingelogd te houden, verloopt na 14 dagen
  • csrf_token — bescherming tegen cross-site request forgery

12.2 Functionele localStorage

  • ol_lang — onthoudt je taalvoorkeur (NL/EN), bevat geen persoonsgegevens

12.3 Analytische cookies (opt-in)

Wij gebruiken een privacy-vriendelijk analytics-systeem dat geen cookies plaatst, geen IP-adressen opslaat, en volledig in de EU draait. We gebruiken geen Google Analytics, Facebook Pixel, of andere tracking van Amerikaanse big-tech partijen.

13. Geautomatiseerde besluitvorming

Plaffen gebruikt machine learning voor het automatisch categoriseren van transacties en het herkennen van bonnen (OCR). Dit zijn geen besluiten met rechtsgevolgen in de zin van artikel 22 AVG.

14. Klachten

Heb je een klacht over hoe wij je gegevens verwerken? info@plaffen.nl. Kom je er met ons niet uit, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

15. Contact en wijzigingen

Plaffing LTD
T.a.v. Functionaris Gegevensbescherming
86-90 Paul Street, EC2A 4NE London, England
Email: info@plaffen.nl

Bij materiële wijzigingen ontvangen geregistreerde gebruikers minimaal 30 dagen van tevoren een e-mail.

Plaffen

Online boekhouden voor moderne Nederlandse ondernemers. Eén ecosysteem, naadloos geïntegreerd.

Geregistreerd adres Plaffing LTD · 86-90 Paul Street, London EC2A 4NE, United Kingdom
info@plaffen.nl

Product

  • Features
  • Tarieven
  • Integraties
  • Peppol e-facturatie
  • Betalingen
  • BTW-calculator
  • Beveiliging

Bedrijf

  • Over ons
  • Voor wie
  • Contact

Juridisch

  • Privacy
  • Voorwaarden
  • Cookies

Betaalmethoden

  • Open Banking
  • SEPA Instant
  • iDEAL
  • Bancontact

Veilige betalingen via Open Banking (PSD2-richtlijn).

© 2026 Plaffing LTD · Companies House [PLACEHOLDER] · ALLE RECHTEN VOORBEHOUDEN

Gratis proberen

Cookies en privacy

Wij gebruiken alleen functionele cookies (taalkeuze) en geen tracking-cookies. Lees meer in ons cookiebeleid.