FinalWishPlan

Privacybeleid

Laatst bijgewerkt: 1 april 2026

FinalWishPlan hecht grote waarde aan de bescherming van jouw persoonsgegevens. In dit privacybeleid leggen we uit welke gegevens we verzamelen, waarom we dat doen, hoe lang we ze bewaren en welke rechten je hebt. Dit beleid is opgesteld in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR).

1. Verwerkingsverantwoordelijke

  • Handelsnaam: FinalWishPlan
  • Onderneming: Flow Force Systems
  • KvK-nummer: 55655432
  • Vestigingsadres: Choorstraat 71, 2681AR Monster
  • E-mail: privacy@finalwishplan.com

2. Welke gegevens verzamelen we?

We verzamelen en verwerken de volgende categorieën persoonsgegevens:

Accountgegevens

  • Voornaam en achternaam
  • E-mailadres
  • Wachtwoord (versleuteld opgeslagen, nooit leesbaar)
  • Geboortedatum en telefoonnummer (optioneel)

Inhoudelijke gegevens

  • Uitvaartwensen (type ceremonie, muziek, locatie, etc.)
  • Contactpersonen (naam, relatie, e-mailadres, telefoonnummer)
  • Persoonlijke berichten voor nabestaanden (versleuteld opgeslagen met AES-256-GCM)
  • Geüploade documenten (testament, verzekeringen, etc. — opgeslagen in een beveiligde kluis)

Technische gegevens

  • IP-adres (alleen voor beveiligingsdoeleinden)
  • Browser- en apparaatinformatie
  • Sessiegegevens voor authenticatie

3. Bijzondere persoonsgegevens

Sommige gegevens die je vastlegt kunnen als bijzonder worden beschouwd, zoals medische informatie (donorcodicil, pacemaker) of religieuze overtuigingen. Je kiest er zelf voor om deze gegevens in te voeren. Wij verwerken deze uitsluitend op basis van jouw uitdrukkelijke toestemming en slaan ze beveiligd op.

4. Waarom verwerken we je gegevens?

We verwerken je gegevens op basis van de volgende rechtsgronden:

  • Uitvoering van de overeenkomst — om je account te beheren en de dienst te leveren (opslaan van wensen, documenten, berichten)
  • Toestemming — voor het verwerken van bijzondere persoonsgegevens (medisch, religieus) en het versturen van optionele communicatie
  • Gerechtvaardigd belang — voor beveiliging van de dienst, fraudepreventie en verbetering van het platform

5. Hoe lang bewaren we je gegevens?

  • Accountgegevens: zolang je een actief account hebt. Bij verwijdering worden alle gegevens direct en permanent verwijderd.
  • Inhoudelijke gegevens: zolang je account actief is. Deze worden verwijderd wanneer je je account verwijdert (cascade delete).
  • Betalingsgegevens: transactiegegevens worden 7 jaar bewaard conform de Nederlandse fiscale bewaarplicht (Algemene wet inzake rijksbelastingen). De daadwerkelijke betaalgegevens (creditcard, IBAN) worden uitsluitend door Stripe verwerkt en niet door ons opgeslagen.
  • Technische logs: maximaal 90 dagen voor beveiligingsdoeleinden.
  • Na overlijden: na bevestiging van overlijden via onze verificatieprocedure blijven de gegevens van de overledene 24 maanden beschikbaar voor geverifieerde nabestaanden. Na deze periode worden alle gegevens permanent verwijderd. De AVG is niet van toepassing op persoonsgegevens van overleden personen (overweging 27 AVG), maar persoonsgegevens van levende contactpersonen en nabestaanden blijven uiteraard beschermd.

6. Beveiliging

We nemen de beveiliging van je gegevens zeer serieus:

  • Persoonlijke berichten worden versleuteld opgeslagen met AES-256-GCM encryptie
  • Documenten en audiobestanden worden versleuteld opgeslagen met AES-256-GCM encryptie
  • Alle verbindingen zijn versleuteld via HTTPS/TLS
  • Wachtwoorden worden gehasht opgeslagen (nooit in leesbare vorm)
  • Row Level Security (RLS) zorgt ervoor dat je alleen je eigen gegevens kunt zien
  • Onze database en opslag bevinden zich in de EU

7. AI-verwerking en geautomatiseerde besluitvorming

De functie "Adressen voor de drukker" maakt gebruik van kunstmatige intelligentie (Google Gemini) om handgeschreven adressen te herkennen uit foto's die je uploadt.

  • Foto's worden uitsluitend verwerkt om adressen te extraheren en worden niet gebruikt voor het trainen van AI-modellen
  • De verwerking vindt plaats via de Google Gemini API. De foto wordt tijdelijk naar Google gestuurd voor analyse en daarna niet door Google bewaard
  • De herkende adressen worden opgeslagen in je persoonlijke account, beschermd door dezelfde beveiligingsmaatregelen als je overige gegevens
  • Je kunt geüploade scans en herkende adressen op elk moment verwijderen

Geautomatiseerde besluitvorming (AVG art. 22)

De AI-adresherkenning is een geautomatiseerd proces dat tekst uit afbeeldingen extraheert. Dit proces:

  • Neemt geen besluiten met rechtsgevolgen voor jou of derden — het doet uitsluitend een suggestie die je zelf beoordeelt en bevestigt
  • Kent een betrouwbaarheidsscore toe (hoog, midden, laag) en markeert twijfelgevallen automatisch ter controle
  • Verwerkt persoonsgegevens van derden (namen en adressen van je contacten) — je bent zelf verantwoordelijk voor het rechtmatig gebruik van deze gegevens

FinalWishPlan maakt buiten deze functie geen gebruik van profilering of geautomatiseerde besluitvorming.

8. Delen met derden

Wij verkopen je gegevens nooit. We delen gegevens alleen met de volgende partijen, uitsluitend voor het leveren van onze dienst:

  • Supabase (database en authenticatie) — EU-gebaseerd, AVG-compliant
  • Vercel (hosting) — verwerking conform AVG, Data Processing Agreement aanwezig
  • Stripe (betalingen, indien van toepassing) — PCI-DSS gecertificeerd, verwerkt betalingsgegevens rechtstreeks
  • Google (Gemini API)(AI-adresherkenning) — verwerkt foto's tijdelijk voor tekstextractie, geen dataretentie voor training

Met al deze partijen hebben wij verwerkersovereenkomsten (DPA's) afgesloten.

Internationale doorgifte

Sommige van onze verwerkers hebben infrastructuur buiten de Europese Economische Ruimte (EER):

  • Vercel— kan verzoeken verwerken via serverlocaties buiten de EU. De doorgifte is geborgd via Standard Contractual Clauses (SCC's) conform AVG art. 46(2)(c)
  • Google (Gemini API)— afbeeldingen worden tijdelijk verwerkt op Google-infrastructuur. De doorgifte is geborgd via SCC's en het EU-VS Data Privacy Framework
  • Stripe— betalingsverwerking kan via VS-servers lopen. Stripe opereert onder SCC's en is PCI-DSS gecertificeerd

Supabase (database en authenticatie) draait op EU-servers. Er vindt geen doorgifte buiten de EER plaats voor je opgeslagen gegevens.

9. Datalekken

Ondanks onze beveiligingsmaatregelen kan een datalek nooit volledig worden uitgesloten. In het geval van een datalek:

  • Melden wij het datalek binnen 72 uur bij de Autoriteit Persoonsgegevens, conform AVG art. 33
  • Informeren wij jou zonder onredelijke vertraging als het lek waarschijnlijk een hoog risico inhoudt voor je rechten en vrijheden, conform AVG art. 34
  • Nemen wij onmiddellijk maatregelen om het lek te beperken en herhaling te voorkomen
  • Documenteren wij elk incident in een intern datalekregister

10. Jouw rechten

Op grond van de AVG heb je de volgende rechten. Je moet minimaal 18 jaar oud zijn om een account aan te maken bij FinalWishPlan (zie onze Algemene Voorwaarden).

  • Recht op inzage (art. 15) — je kunt opvragen welke gegevens we van je bewaren
  • Recht op rectificatie (art. 16) — je kunt je gegevens wijzigen via je instellingen
  • Recht op verwijdering (art. 17) — je kunt je complete account en alle gegevens verwijderen via je instellingen
  • Recht op beperking van de verwerking (art. 18) — je kunt ons vragen om de verwerking van je gegevens tijdelijk te beperken, bijvoorbeeld als je de juistheid van je gegevens betwist
  • Recht op dataportabiliteit (art. 20) — je kunt al je gegevens exporteren in een gestructureerd formaat (JSON)
  • Recht van bezwaar (art. 21) — je kunt bezwaar maken tegen verwerkingen die gebaseerd zijn op ons gerechtvaardigd belang. We stoppen dan met de verwerking, tenzij er dwingende gerechtvaardigde gronden zijn
  • Recht om toestemming in te trekken (art. 7) — voor verwerkingen op basis van toestemming kun je deze op elk moment intrekken
  • Recht om een klacht in te dienen (art. 77) — bij de Autoriteit Persoonsgegevens

Om je rechten uit te oefenen kun je de export- en verwijderfuncties in je accountinstellingen gebruiken, of contact opnemen via privacy@finalwishplan.com. We reageren binnen 30 dagen op je verzoek.

11. Cookies

FinalWishPlan gebruikt uitsluitend functionele cookies die noodzakelijk zijn voor het functioneren van de dienst (authenticatie, sessie). Wij gebruiken geen tracking cookies, advertentiecookies of analytics van derden.

12. Verwerkingsregister

Een volledig overzicht van al onze verwerkingsactiviteiten conform artikel 30 AVG is beschikbaar in ons verwerkingsregister.

13. Wijzigingen

We kunnen dit privacybeleid van tijd tot tijd bijwerken. Bij belangrijke wijzigingen informeren we je via e-mail of een melding in de app. De datum bovenaan geeft aan wanneer dit beleid voor het laatst is gewijzigd.

14. Contact

Heb je vragen over je privacy of dit beleid? Neem contact op via privacy@finalwishplan.com.