Privacybeleid
Laatst bijgewerkt: 29 mei 2026
1. Inleiding
Dit privacybeleid legt uit hoe Sparqbox persoonsgegevens verzamelt, gebruikt, opslaat en deelt. Het geldt voor bezoekers van onze marketingsites (sparqbox.com en sparqbox.nl), mensen die zich aanmelden voor een proefperiode of contact met ons opnemen, en eindgebruikers van de Sparqbox-applicatie. Vragen: support@sparqbox.com.
2. Wie wij zijn
Sparqbox is een product van SupplyUp, een Nederlandse eenmanszaak van Dennis Jacobs, gevestigd in Nederland.
- KvK (Kamer van Koophandel): 75179415
- Btw-nummer: NL002238592B33
- Contact: support@sparqbox.com
Een afzonderlijke Sparqbox B.V. staat later in 2026 op de planning. Zodra die entiteit is ingeschreven en het product overneemt, wordt dit beleid bijgewerkt met een nieuwe identificatie van de verwerkingsverantwoordelijke en worden alle bestaande gebruikers per e-mail geïnformeerd.
Verantwoordelijke versus verwerker
Onze rol onder de AVG hangt af van het soort gegevens:
- Marketing- en prospectgegevens (bezoeken aan sparqbox.com, nieuwsbrief-aanmeldingen, contactformulieren, aanmeldingen voor de proeflijst): SupplyUp is de verwerkingsverantwoordelijke.
- Werkruimtegegevens (ideeën, scores, opmerkingen, medewerkersaccounts binnen de Sparqbox-applicatie): de klant (uw werkgever) is de verwerkingsverantwoordelijke; SupplyUp is de verwerker. Onze verwerkersovereenkomst regelt deze relatie.
3. Welke gegevens wij verzamelen
Gegevens die u ons direct geeft
- Accountgegevens: naam, e-mailadres, bedrijfsnaam en functie wanneer u zich aanmeldt of een uitnodiging aanvaardt.
- Inhoud van de werkruimte:ideeën, scores, opmerkingen en beoordelingen die u en uw collega's in Sparqbox invoeren.
- Supportgesprekken: e-mails, chatgesprekken en ticketinhoud wanneer u contact opneemt met support.
- Factuurgegevens: factuurcontact en betaalmethode (volledige kaartnummers worden verwerkt en opgeslagen door Stripe; Sparqbox ziet alleen de laatste vier cijfers en het merk).
Gegevens die wij automatisch verzamelen
- Gebruiksgegevens: interacties met functies, paginaweergaven, sessietijdstempels en foutlogboeken om de kwaliteit van de dienst te borgen.
- Marketinganalytics:op sparqbox.com en sparqbox.nl gebruiken wij na uw toestemming Microsoft Clarity om te begrijpen welke pagina's nuttig zijn en waar de opmaak hapert. Zie het cookiebeleid.
- Cookies: strikt noodzakelijke cookies (sessie, CSRF, toestemmingsregistratie) en, na toestemming, analytics-cookies. Zie cookiebeleid.
Gegevens die wij van anderen ontvangen
- SSO-aanbieders (Scale-niveau): als u inlogt via SAML of OIDC deelt uw identiteitsaanbieder uw naam, e-mailadres en groepslidmaatschappen met ons, zoals bepaald door uw beheerder.
- Stripe: betalingsstatus, factuuradres, gedeeltelijke kaartgegevens en fraudesignalen voor de afhandeling van terugboekingen.
4. Waarom wij gegevens verwerken (en op welke rechtsgrond)
Wij verwerken persoonsgegevens uitsluitend wanneer wij daarvoor een rechtsgrond hebben onder artikel 6 AVG. De tabel hieronder koppelt elk doel aan de rechtsgrond.
| Doel | Rechtsgrond (art. 6 AVG) |
|---|---|
| Leveren van de Sparqbox-dienst aan uw werkruimte | Uitvoering overeenkomst · 6(1)(b) |
| Betalingen verwerken en fraude voorkomen | Overeenkomst · 6(1)(b) + gerechtvaardigd belang · 6(1)(f) |
| Transactionele e-mails (uitnodigingen, kwitanties, wachtwoordherstel) | Uitvoering overeenkomst · 6(1)(b) |
| AI-ondersteunde scoring wanneer in de werkruimte ingeschakeld | Uitvoering overeenkomst, op instructie van de verantwoordelijke · 6(1)(b) |
| Beveiliging, misbruikdetectie en debugging | Gerechtvaardigd belang · 6(1)(f) |
| Productupdate-e-mails aan werkruimtebeheerders | Gerechtvaardigd belang · 6(1)(f) (opt-out in elk bericht) |
| Marketingmails aan prospects (nieuwsbrief, sales) | Toestemming · 6(1)(a) (op elk moment intrekbaar) |
| Marketinganalytics (Microsoft Clarity) | Toestemming · 6(1)(a) (via cookiebanner) |
| Fiscale, boekhoudkundige en juridische administratie | Wettelijke verplichting · 6(1)(c) |
5. Hoe lang wij gegevens bewaren
| Gegevens | Bewaartermijn |
|---|---|
| Actieve accountgegevens | Duur van het abonnement |
| Inhoud van de werkruimte na opzegging | Exportvenster van 30 dagen, daarna verwijderd uit productie. Back-ups worden binnen 90 dagen geschoond. |
| Factuur- en boekhoudgegevens | 7 jaar (Nederlandse belastingwet) |
| Marketingcontacten (prospects) | Tot u zich afmeldt |
| Applicatie- en systeemlogs | 90 dagen |
| Registratie van beveiligingsincidenten | Maximaal 3 jaar |
| Marketinganalytics (Clarity) | Volgens standaardinstellingen Clarity (rolling, max. 1 jaar) |
6. Met wie wij gegevens delen
Wij verkopen geen persoonsgegevens. Wij delen ze uitsluitend met onderstaande derden onder schriftelijke verwerkersovereenkomsten.
Subverwerkers (werkruimtegegevens)
Subverwerkers verwerken klantgegevens uit de werkruimte namens ons. De actuele lijst, inclusief gegevenscategorie, locatie en doorgiftemechanisme, is gepubliceerd op sparqbox.com/subprocessors. Werkruimtebeheerders worden ten minste 30 dagen van tevoren per e-mail geïnformeerd voordat wij een nieuwe subverwerker toevoegen die persoonsgegevens verwerkt.
Marketing-zijde derden (controller-gegevens)
Voor onze rol als verantwoordelijke (bezoeken, aanmeldingen, prospectgegevens) gebruiken wij daarnaast:
- Notion: prospect-CRM. Inzendingen via contactformulier, proeflijst en nieuwsbrief (naam, e-mailadres, bedrijf, functie, opmerkingen) worden opgeslagen in onze Notion-werkruimte. Notion verwerkt gegevens in de EU- en VS-regio's.
- Microsoft Clarity: analytics voor de marketingsite. Pagina-interacties en sessieopnames uitsluitend op sparqbox.com en sparqbox.nl. Wordt pas geladen nadat u toestemming heeft gegeven via de cookiebanner. Microsoft verwerkt gegevens hoofdzakelijk in de VS.
- Vercel Blob: opslag van onze pilot-aanmeldlijst en uploads van marketingafbeeldingen.
Wettelijke verstrekking
Wij verstrekken persoonsgegevens wanneer dat wettelijk vereist is, door een gerechtelijk bevel, of om rechten, veiligheid of eigendommen te beschermen. Wij stellen betrokken klanten op de hoogte voor zover dit wettelijk is toegestaan.
7. Doorgifte buiten de EER
Werkruimtegegevens worden opgeslagen in de Europese Unie (Supabase, Frankfurt; Render, Frankfurt). Een deel van de verwerking vindt noodzakelijkerwijs buiten de EER plaats, voornamelijk in de Verenigde Staten (Anthropic, Microsoft, Vercel-edge, Stripe US, Resend US). Voor die doorgiften baseren wij ons op:
- Het EU-US Data Privacy Framework wanneer de ontvanger gecertificeerd is; en
- Modelcontractbepalingen (Uitvoeringsbesluit EC 2021/914) als fallback, met aanvullende waarborgen waar passend.
Het doorgiftemechanisme per subverwerker is te zien op sparqbox.com/subprocessors.
8. Hoe wij gegevens beveiligen
Onze technische en organisatorische maatregelen omvatten TLS 1.2+ bij transport, AES-256 in rust, drielaagse tenant-isolatie, minimale rechten met gelogde toegang, strikte wachtwoordvereisten met SSO op het Scale-niveau, gedocumenteerde back-up- en uitwijkprocedures en een gedocumenteerd incidentenproces. Het volledige overzicht staat op onze beveiligingspagina.
9. Uw rechten onder de AVG
- Inzage: een kopie opvragen van uw persoonsgegevens.
- Rectificatie: ons vragen om onjuiste gegevens te corrigeren.
- Verwijdering: verzoeken om verwijdering, voor zover er geen wettelijke bewaarverplichting geldt (bijvoorbeeld facturen).
- Beperking: verzoeken de verwerking te beperken terwijl een verzoek loopt.
- Bezwaar: bezwaar maken tegen verwerking op grond van gerechtvaardigd belang.
- Overdraagbaarheid: uw werkruimtegegevens exporteren als CSV.
- Toestemming intrekken: voor verwerking op basis van toestemming, op elk moment, zonder gevolgen voor de rechtmatigheid van eerdere verwerking.
Stuur voor het uitoefenen van deze rechten een e-mail naar support@sparqbox.com. Wij bevestigen binnen vijf werkdagen en reageren volledig binnen 30 dagen. Gaat het verzoek over gegevens onder controle van uw werkgever (de werkruimtegegevens binnen de Sparqbox-app), neem dan eerst contact op met uw werkgever. Die is de verwerkingsverantwoordelijke; wij ondersteunen hen bij hun reactie.
U heeft daarnaast het recht om een klacht in te dienen bij uw nationale toezichthouder. Voor klanten in Nederland is dat de Autoriteit Persoonsgegevens.
10. Datalekken
Wij hebben een gedocumenteerd incidentenproces. Wanneer wij vaststellen dat zich een datalek heeft voorgedaan dat waarschijnlijk een risico oplevert voor de rechten en vrijheden van betrokkenen, melden wij dit zonder onnodige vertraging en uiterlijk binnen 72 uur na ontdekking bij de bevoegde toezichthoudende autoriteit (art. 33 AVG). Indien het datalek waarschijnlijk een hoog risico oplevert, informeren wij ook de betrokken klanten en personen zonder onnodige vertraging (art. 34 AVG).
11. Kinderen
Sparqbox is een werkplekproduct. Wij verzamelen niet bewust persoonsgegevens van personen jonger dan 16. Als wij vaststellen dat dit toch is gebeurd, verwijderen wij deze zo snel mogelijk.
12. Wijzigingen van dit beleid
Wezenlijke wijzigingen worden ten minste 30 dagen voor de inwerkingtreding per e-mail aan de werkruimtebeheerders gemeld. De datum "Laatst bijgewerkt" boven aan deze pagina weerspiegelt altijd de meest recente wijziging.
13. Contact
- Privacy en verzoeken van betrokkenen: support@sparqbox.com
- Beveiligingsincidenten en responsible disclosure: support@sparqbox.com
- Algemene ondersteuning: hello@sparqbox.com
SupplyUp · KvK 75179415 · Btw NL002238592B33 · Nederland