Privacybeleid

Versie: 1.0 (concept)Geldig vanaf: 28 april 2026

Dit is een conceptversie. De tekst wordt op dit moment juridisch getoetst en is nog niet bindend. Neem contact met ons op voor de definitieve versie.

RecurBoard B.V. (“RecurBoard”, “wij”, “ons”) hecht waarde aan de bescherming van persoonsgegevens. In dit privacybeleid lees je welke gegevens wij verwerken, waarvoor wij ze gebruiken, hoe lang wij ze bewaren en welke rechten je hebt.

RecurBoard B.V. is gevestigd te [STATUTAIR ADRES], ingeschreven bij de Kamer van Koophandel onder nummer [KVK-NUMMER]. Voor vragen over dit privacybeleid kun je contact opnemen via privacy@recurboard.nl.

Inhoudsopgave

  1. 1. Wie zijn wij?
  2. 2. Welke gegevens verzamelen en bewaren wij?
  3. 3. Hoe verzamelen wij deze gegevens?
  4. 4. Waarvoor gebruiken wij je gegevens?
  5. 5. Bewaartermijnen en verwijdering
  6. 6. Toestemming intrekken of gegevens laten verwijderen
  7. 7. Beveiliging
  8. 8. Verstrekking aan derden
  9. 9. Wijzigingen in dit privacybeleid
  10. 10. Contact

1. Wie zijn wij?

RecurBoard synchroniseert financiële, CRM- en abonnementsgegevens vanuit Exact Online naar een beveiligde omgeving en maakt deze inzichtelijk via dashboards en Business Intelligence-tools.

Voor vragen over dit privacybeleid kun je contact opnemen via privacy@recurboard.nl.

2. Welke gegevens verzamelen en bewaren wij?

RecurBoard verwerkt de volgende categorieën gegevens:

Accountgegevens

  • Organisatienaam en tenantinformatie
  • Divisiegegevens uit Exact Online
  • Naam, e-mailadres en functie van geregistreerde gebruikers

Financiële en zakelijke gegevens (afkomstig van Exact Online)

  • Grootboekrekeningen
  • Kostenplaatsen en kostendragers
  • CRM-accounts, contactpersonen en relatiegegevens
  • Abonnementsgegevens, factuurgegevens en transactiehistorie

Technische en authenticatiegegevens

  • API-sleutels (versleuteld opgeslagen; de platte sleutel wordt eenmalig getoond en daarna nooit meer bewaard)
  • OAuth2-tokens voor de koppeling met Exact Online (versleuteld opgeslagen met AES-256-GCM)
  • Tijdstempels van aanmeldingen en API-gebruik
  • Technische loggegevens (IP-adres, tijdstip, actietype) voor beveiligings- en auditdoeleinden

KPI-gegevens

  • Berekende SaaS-statistieken zoals MRR, ARR en churnpercentage, afgeleid van je abonnementsgegevens

3. Hoe verzamelen wij deze gegevens?

  • Directe koppeling via OAuth2 — je autoriseert RecurBoard om namens je organisatie gegevens op te halen uit Exact Online via de officiële Exact Online API (OData v3).
  • Automatische synchronisatie — na het verlenen van toestemming synchroniseert RecurBoard je gegevens periodiek en automatisch op de achtergrond.
  • Handmatige invoer — tenantinformatie en configuratiegegevens worden door een beheerder ingevoerd via het RecurBoard-beheerportaal.
  • Technische logging — iedere API-aanroep en synchronisatieactie wordt automatisch geregistreerd voor beheer- en beveiligingsdoeleinden.

4. Waarvoor gebruiken wij je gegevens?

RecurBoard gebruikt je gegevens uitsluitend voor de volgende doeleinden:

DoelGrondslag
Synchroniseren van je Exact Online-gegevens naar je eigen beveiligde omgevingUitvoering van de overeenkomst
Berekenen van SaaS-KPI’s (MRR, ARR, churn) op basis van je abonnementsdataUitvoering van de overeenkomst
Beschikbaar stellen van gegevens via REST API en dashboards voor BI-toolsUitvoering van de overeenkomst
Beveiliging, audit en fraudepreventieGerechtvaardigd belang
Technisch beheer en storingsbeheerGerechtvaardigd belang

RecurBoard verkoopt je gegevens nooit aan derden en gebruikt ze niet voor marketingdoeleinden.

5. Bewaartermijnen en verwijdering

Na het verstrijken van de bewaartermijn worden gegevens automatisch en onherstelbaar verwijderd uit onze systemen.

CategorieBewaartermijn
Gesynchroniseerde Exact Online-gegevensZolang je account actief is + 30 dagen na beëindiging
Berekende KPI-snapshotsZolang je account actief is + 30 dagen na beëindiging
Technische loggegevens90 dagen
OAuth2-tokensTot intrekking van toegang of beëindiging van het account
API-sleutels (gehasht)Tot handmatige intrekking of beëindiging van het account
Auditlogs (synchronisatiegeschiedenis)1 jaar

6. Toestemming intrekken of gegevens laten verwijderen

Als je vindt dat RecurBoard je privacyrechten schendt, heb je het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

Intrekken van toestemming / ontkoppelen van Exact Online

Je kunt de OAuth2-autorisatie op elk moment intrekken via het RecurBoard-beheerportaal. Hierna stopt RecurBoard onmiddellijk met het synchroniseren van gegevens. Bestaande gesynchroniseerde gegevens blijven bewaard gedurende de resterende bewaartermijn, tenzij je ook verwijdering aanvraagt.

Verwijdering van je gegevens (recht op vergetelheid)

Stuur een verzoek naar privacy@recurboard.nl met als onderwerp: Verzoek tot gegevensverwijdering. Vermeld je organisatienaam en tenant-identificatie. Wij verwerken je verzoek binnen 30 dagen en bevestigen schriftelijk zodra de verwijdering is voltooid.

Inzage en correctie

Je hebt het recht je opgeslagen gegevens in te zien en onjuistheden te laten corrigeren. Neem hiervoor contact op via privacy@recurboard.nl.

7. Beveiliging

  • Versleuteling van OAuth2-tokens met AES-256-GCM
  • Opslag van API-sleutels uitsluitend als SHA-256 hash
  • Netwerkisolatie via een private VPC op AWS (regio: eu-west-1, Ierland)
  • Toegangsbeheer via Row Level Security op alle datalagen
  • Alle verbindingen verlopen via TLS 1.2 of hoger
  • Multi-factor authenticatie voor RecurBoard-medewerkers met toegang tot productiesystemen
  • Periodieke back-ups en getest herstel van data

8. Verstrekking aan derden

RecurBoard schakelt voor de levering van de dienst een aantal sub-verwerkers in:

  • Amazon Web Services EMEA SARL (Luxemburg) — hosting van applicatie, database en cache in regio eu-west-1 (Ierland)
  • Amazon Web Services EMEA SARL (Luxemburg) — Cognito, voor gebruikersauthenticatie
  • Exact Online B.V. (Delft, Nederland) — bron van de gesynchroniseerde gegevens

Met al deze partijen zijn verwerkersovereenkomsten gesloten waarin afspraken zijn vastgelegd over beveiliging, geheimhouding en de naleving van de AVG. RecurBoard verwerkt en bewaart persoonsgegevens uitsluitend binnen de Europese Economische Ruimte.

9. Wijzigingen in dit privacybeleid

RecurBoard behoudt zich het recht voor dit privacybeleid te wijzigen. Bij materiële wijzigingen worden gebruikers ten minste 30 dagen van tevoren per e-mail geïnformeerd. De meest actuele versie is altijd beschikbaar op deze pagina.

10. Contact

Voor vragen, verzoeken of klachten over dit privacybeleid kun je contact opnemen via privacy@recurboard.nl. Wij streven ernaar binnen vijf werkdagen te reageren.