← Terug

Privacybeleid

Laatste wijziging: 13 mei 2026

1. Wie zijn wij?

WolffPay is een handelsnaam van By Wolff. Wij zijn de verwerkingsverantwoordelijke voor de persoonsgegevens die via ons platform worden verwerkt.

Bedrijfsnaam: By Wolff (handelend onder de naam WolffPay)
KvK-nummer: 93964323
BTW-identificatienummer: NL050058252B39
Adres: Boschdijk 180B, 5612HH Eindhoven, Nederland (geen bezoekadres)
Website: https://api.bywolff.dev
E-mail: info@bywolff.dev

2. Welke persoonsgegevens verwerken wij?

Wij verwerken alleen persoonsgegevens die nodig zijn voor onze betaaldienst, het dashboardbeheer en het besloten investeerdersportaal. Welke gegevens wij verwerken hangt af van uw rol als merchant, investeerder of contactpersoon.

Klantgegevens (merchants)

  • Naam — voor identificatie en communicatie
  • E-mailadres — voor communicatie en accountbeheer
  • Telefoonnummer — optioneel contactgegeven
  • Bedrijfsnaam — optioneel, voor zakelijke accounts
  • Stripe-gerelateerde ID'sstripeCustomerId en stripeAccountId

Betalingsgegevens

  • Bedrag en valuta — voor verwerking en administratie van betalingen
  • Beschrijving — omschrijving van de betaling
  • Betalingsstatus — bijvoorbeeld geslaagd, mislukt, terugbetaald of disputed
  • Stripe Payment Intent ID — referentie naar de betalingsverwerker

Investeerdersaccounts en vastlegging van de overeenkomst

  • Naam en e-mailadres — voor toegang tot het besloten investeerdersportaal en communicatie
  • Genormaliseerd e-mailadres en toegangsrol — om de juiste afgeschermde omgeving te tonen
  • Verificatie via Google — het geverifieerde Google e-mailadres en de bijbehorende aanmeldinformatie via Firebase Authentication
  • Contractacceptatiegegevens — vastgelegde naam, tijdstip, contractversie en contractstatus
  • Afgeschermde contract-PDF — een afgeschermde PDF-kopie van de digitaal geaccepteerde overeenkomst, inclusief documenthash en opslagpad
  • Terminalkoppelingen en uitbetalingsinformatie — gekoppelde terminalidentifiers, tellingen van meetellende transacties, verdiend/openstaand/uitbetaald bedrag en uitbetalingsstatus
  • Controlelog van het investeerdersportaal — uitnodiging, inloggen, contract openen of downloaden, digitale acceptatie, terminalkoppelingen en uitbetalingsacties

Voor investeerdersdoeleinden verwerken wij nadrukkelijk geen extra betalergegevens, ordernamen, productnamen of transactiebedragen in het investeerdersdashboard. Investeerders zien alleen afgeschermde totalen, statusregels en voortgang van hun eigen overeenkomst.

Technische gegevens

  • API key prefix — de eerste 16 tekens van uw API key (nooit de volledige sleutel)
  • IP-adres en user-agent — geregistreerd voor beveiliging; bij contractacceptatie kan volledige evidence worden bewaard, bij overige investor events geminimaliseerd
  • Webhook delivery logs — voor dienstverlening en foutopsporing
  • Activiteitenlog — voor beveiliging en monitoring

3. Waarvoor gebruiken wij uw gegevens?

CategorieDoel
KlantgegevensUitvoering van de overeenkomst, klantenbeheer
BetalingsgegevensVerwerking en administratie van betalingen
InvesteerdersaccountsBeheer van besloten investeerdersaccounts, verificatie via Google en toegang tot het juiste portaalgedeelte
Digitale contractacceptatie en afgeschermde contract-PDF'sVastleggen van digitale acceptatie, contractbewijs en gecontroleerde inzage of download van afgeschermde PDF's
Uitbetalingen aan investeerders en terminalkoppelingenBerekenen, administreren en controleren van maandelijkse uitbetalingen en voortgang richting EUR 825 en EUR 1.375
Controle- en beveiligingslog van het investeerdersportaalBeveiliging, contractbewijs, incidentanalyse en financiele controleerbaarheid
API keysAuthenticatie en autorisatie van API-verzoeken
Webhook deliveriesDienstverlening en foutopsporing
ActiviteitenlogBeveiliging en monitoring
IP-adressenBeveiliging, fraudepreventie en rate limiting

Wij gebruiken investeerdersdata niet voor openbare werving, profiling, publieke aanbiedingen of persoonlijke beleggingsadviezen. De informatie in het investeerdersportaal heeft uitsluitend een administratief en contractueel doel.

4. Op welke grondslag verwerken wij uw gegevens?

Wij verwerken uw persoonsgegevens op basis van de volgende rechtsgronden uit de AVG (Art. 6):

  • Uitvoering van een overeenkomst (Art. 6 lid 1 sub b) — de meeste verwerkingen zijn noodzakelijk voor het uitvoeren van onze dienstverlening aan merchants en voor de uitvoering van de private investeringsovereenkomst met een uitgenodigde investeerder.
  • Wettelijke verplichting (Art. 6 lid 1 sub c) — betalings- en boekhoudkundige gegevens, uitbetalingsgegevens aan investeerders en relevante contractvastlegging bewaren wij op grond van de fiscale en administratieve bewaarplicht (o.a. Algemene Wet inzake Rijksbelastingen, Art. 52).
  • Gerechtvaardigd belang (Art. 6 lid 1 sub f) — voor beveiliging, fraudepreventie, toegangscontrole, monitoring van onze systemen en het vastleggen van beperkte auditinformatie.

WolffPay geeft geen fiscaal advies of beleggingsadvies via het platform. Eventuele informatie in het investeerdersdashboard is uitsluitend bedoeld als administratief overzicht van de afgesproken private regeling.

5. Hoe lang bewaren wij uw gegevens?

GegevenstypeBewaartermijnReden
KlantgegevensTot 2 jaar na beëindiging relatieUitvoering overeenkomst
Betalingsgegevens7 jaarFiscale bewaarplicht Nederland
Investeerdersaccounts en contractmetadataZolang de overeenkomst loopt + maximaal 7 jaar na einde of volledige afrondingContractueel en financieel bewijs, afgeschermde toegang
Investeerdersuitbetalingen7 jaarFinanciele administratie
Controlelog van het investeerdersportaal1 jaar voor uitnodigingen, inloggen en raadplegen; 7 jaar of langer voor contractacceptatie en uitbetalingsbewijsBeveiliging, contractbewijs en auditability
Afgeschermde contract-PDF'sLooptijd overeenkomst + 7 jaar na einde of volledige afrondingContractueel bewijs
Historische terminalkoppelingenTot 7 jaar na laatste payout of einde overeenkomstReproduceerbaarheid van payoutberekeningen zonder payerdata
Idempotency keys24 uurTechnische noodzaak (automatisch verwijderd)
Activiteitenlog1 jaarBeveiliging en monitoring
Webhook delivery logs90 dagenFoutopsporing en dienstverlening

Na het verstrijken van de bewaartermijn worden gegevens verwijderd, geanonimiseerd of verder geminimaliseerd. Betalingsgegevens, uitbetalingsgegevens aan investeerders, vastgelegde contractgegevens en contract-PDF's die nog binnen een fiscale of contractuele bewaarplicht vallen, worden na een verwijderingsverzoek geminimaliseerd in plaats van volledig gewist.

6. Delen wij uw gegevens met derden?

WolffPay verkoopt uw gegevens nooit aan derden. Wij delen gegevens uitsluitend met:

Stripe Inc.

Betalingen worden verwerkt via Stripe Connect. Stripe verwerkt kaartgegevens en betaalgegevens van eindgebruikers. Stripe heeft een eigen privacybeleid dat u kunt raadplegen op stripe.com/privacy. Stripe draagt tevens zorg voor de Wft-registratie en DNB-registratie waaronder WolffPay als platform opereert.

Google Cloud Platform (Firebase)

Onze applicatie wordt gehost op Google Cloud Platform en maakt gebruik van Firebase voor opslag, afgeschermde contractbestanden en authenticatie. Google Sign-In voor het investeerdersportaal verloopt via Firebase Authentication. Met Google is een verwerkersovereenkomst gesloten conform de vereisten van de AVG.

Upstash

Voor rate limiting en beveiliging van onze API gebruiken wij Upstash Redis. Daarbij worden alleen beperkte technische metadata verwerkt die nodig zijn om misbruik te voorkomen.

Wij delen geen investeerdersdashboardgegevens met andere investeerders. Het investeerdersportaal toont geen payerdata, ordernamen, productnamen of transactiebedragen.

7. Uw rechten

Op grond van de AVG heeft u de volgende rechten:

  • Recht op inzage (Art. 15 AVG) — u kunt opvragen welke gegevens wij van u verwerken.
  • Recht op rectificatie (Art. 16 AVG) — u kunt onjuiste gegevens laten corrigeren.
  • Recht op wissing (Art. 17 AVG) — u kunt verzoeken om verwijdering van uw gegevens. Let op: betalingsgegevens, uitbetalingsgegevens aan investeerders en contractgegevens die onder een fiscale of contractuele bewaarplicht vallen, worden geminimaliseerd in plaats van volledig gewist.
  • Recht op beperking van verwerking (Art. 18 AVG) — u kunt verzoeken de verwerking te beperken.
  • Recht op dataportabiliteit (Art. 20 AVG) — u kunt uw gegevens opvragen in een gestructureerd, machineleesbaar formaat.
  • Recht van bezwaar (Art. 21 AVG) — u kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.

Om een verzoek in te dienen, kunt u contact opnemen via info@bywolff.dev. Wij reageren in beginsel binnen 30 dagen.

Indien u van mening bent dat uw rechten niet worden nageleefd, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.

8. Hoe beveiligen wij uw gegevens?

WolffPay treft passende technische en organisatorische maatregelen ter bescherming van uw persoonsgegevens:

  • API keys worden versleuteld opgeslagen met SHA-256 hashing — nooit in plaintext.
  • Alle data-toegang verloopt via de server-side Firebase Admin SDK; directe client-side toegang tot de database is onmogelijk.
  • Firestore beveiligingsregels blokkeren alle niet-geautoriseerde toegang.
  • Dashboardtoegang is afgeschermd: beheerders en uitgenodigde investeerders krijgen alleen toegang tot hun eigen toegestane omgeving.
  • Investeerders loggen in met een geverifieerd Google-account; contract-PDF's blijven afgeschermd opgeslagen zonder publieke downloadtokens.
  • Het investeerdersdashboard toont alleen samengevatte tellingen, statusregels en voortgang; geen betalergegevens, ordernamen, productnamen of transactiebedragen.
  • IP-adressen en user-agentgegevens uit het controlelog van het investeerdersportaal worden waar mogelijk geminimaliseerd; volledige technische gegevens blijven alleen bewaard voor digitale contractacceptatie als contractbewijs.
  • Webhook leveringen worden ondertekend met HMAC-SHA256 handtekeningen zodat ontvangers de echtheid kunnen verifiëren.
  • Rate limiting: maximaal 100 API-verzoeken per minuut per API key.
  • WolffPay verwerkt geen ruwe kaartgegevens; betaalkaartdata blijft bij Stripe Elements en Stripe.
  • Alle communicatie verloopt via HTTPS/TLS.

9. Cookies

WolffPay maakt gebruik van een beperkt aantal functionele cookies, uitsluitend voor authenticatie en sessiebeheer van het dashboard. Er worden geen tracking- of marketingcookies gebruikt.

Meer informatie vindt u in ons cookiebeleid.

10. Wijzigingen in dit privacybeleid

WolffPay behoudt zich het recht voor dit privacybeleid te wijzigen. Wijzigingen worden gepubliceerd op deze pagina met een bijgewerkte datum. Bij ingrijpende wijzigingen zullen wij u via e-mail informeren.

Dit beleid is voor het laatst gewijzigd op 13 mei 2026.

11. Contact

Voor vragen over dit privacybeleid of onze gegevensverwerking kunt u contact opnemen:

By Wolff (WolffPay)
Boschdijk 180B, 5612HH Eindhoven, Nederland (geen bezoekadres)
KvK: 93964323 | BTW: NL050058252B39
info@bywolff.dev
https://api.bywolff.dev