Juridisch

Privacyverklaring

Hoe wij persoonsgegevens verwerken, welke rechten u heeft en hoe u ons kunt bereiken. Transparant, AVG-conform en in lijn met de Google API Services User Data Policy.

Versie: 7 juni 2026

1. Over deze verklaring

Social Media Tools ("wij", "ons", "Senly") biedt een SaaS-platform aan waarmee social media bureaus hun klantrelaties, content, planningen, afspraken, e-mailcommunicatie, marketing en rapportages beheren. In deze verklaring leggen wij uit welke persoonsgegevens wij verwerken, waarom, hoe lang, met wie wij ze delen en welke rechten u heeft.

Wij treden op als verwerker in de zin van de AVG. Het social media bureau dat het portaal gebruikt, is de verwerkingsverantwoordelijke voor de persoonsgegevens van zijn eigen eindklanten. Met elk bureau sluiten wij desgewenst een verwerkersovereenkomst (VOW) af.

Voor gegevens die wij rechtstreeks van u als bureau verzamelen (account, betalingen, ondersteuning) treden wij op als verwerkingsverantwoordelijke.

2. Welke gegevens verwerken wij?

CategorieVoorbeeldenDoel
AccountgegevensNaam, e-mailadres, wachtwoord-hash, rol, taal, avatarAuthenticatie, toegangsbeheer, personalisatie
BedrijfsgegevensBedrijfsnaam, logo, kleuren, domein, contactpersoonWhitelabel-portaal en facturatie
EindklantgegevensBedrijfsnaam, contactpersoon, e-mail, notities, abonnementsfaseCRM-functionaliteit binnen het portaal
ContentOntwerpen (Canva/Metricool), bijschriften, bestanden, posts, kalendersContent- en planningsbeheer
BetalingsgegevensStripe customer-ID, abonnementsstatus, factuuradres, valuta (EUR/USD)Abonnementsfacturatie via Stripe
OAuth-tokensVersleutelde access- en refresh-tokens van Google, Microsoft, LinkedIn, Facebook, etc.Geautoriseerde API-calls namens de gekoppelde gebruiker
E-mailgegevensGekoppelde Gmail/Outlook/IMAP-accounts, verzonden en ontvangen e-mails binnen het portaal, handtekeningenE-mailfunctionaliteit in het portaal
AgendagegevensGekoppelde Google/Outlook-agenda's, beschikbare tijden, boekingen via de publieke booking-paginaAfsprakenbeheer en kalenders
Insights-dataStatistieken uit Google Analytics, Search Console en Bedrijfsprofiel zoals door de gebruiker gekoppeldDashboard-widgets en AI-samenvattingen
LoggegevensIP-adres, tijdstip, actie, user-agentBeveiliging, foutopsporing en auditlog
SessiegegevensJWT-token, taal-cookie (portal_locale)Ingelogd blijven, taalvoorkeur onthouden
MarketingtrackingCookieloze tracker (geanonimiseerd), UTM-parameters, signup-quiz-antwoordenInzicht in welke campagnes leads opleveren
Social sessie-cookiesAuth-cookies van LinkedIn, Facebook, TikTok, Instagram — alleen wanneer u expliciet "Verbind" klikt via de Senly ConnectorAutomation-features uitvoeren namens uw bureau

3. Google API Services en de Google API Services User Data Policy

Wanneer u via Senly uw Google-account koppelt, valt het gebruik van uw Google-gegevens onder de Google API Services User Data Policy, inclusief de Limited Use-vereisten. Hieronder leggen wij precies uit welke Google- diensten Senly aanspreekt en wat wij wel én niet doen met uw data.

3.1 Welke Google-scopes vraagt Senly?

  • userinfo.email — om weer te geven met welk Google-account u verbonden bent.
  • drive — om uw klantmappen (ontwerpen, bestanden) op te halen en weer te geven binnen het klantprofiel. Senly schrijft alleen wanneer u expliciet een upload doet vanuit het portaal.
  • analytics.readonly — uitsluitend lezen van Google Analytics 4-rapporten van de door u gekozen property, om deze als dashboard-widgets te tonen.
  • webmasters.readonly — uitsluitend lezen van Search Console-statistieken (klikken, vertoningen, posities, queries) van de door u gekozen site.
  • business.manage — lezen van uw eigen Google Bedrijfsprofiel-statistieken (zoekvertoningen, telefoonklikken, routebeschrijvingen). Senly wijzigt nooit uw Bedrijfsprofiel.
  • gmail.send / gmail.modify (alleen als u Gmail koppelt) — om vanuit het portaal e-mails te sturen en te lezen namens het gekoppelde account.
  • calendar (alleen als u Google Agenda koppelt) — om beschikbare tijdsblokken te tonen op uw publieke booking-pagina en boekingen in uw agenda te zetten.

3.2 Wat doen wij met uw Google-data?

Wij gebruiken uw Google-data uitsluitend om u de gevraagde Senly- functionaliteit te leveren:

  • Statistieken (Analytics, Search Console, Bedrijfsprofiel) tonen wij als grafieken en cijfers in uw dashboard-widgets. Wij voegen geen Google-data samen met andere gebruikers, en wij combineren geen data tussen tenants.
  • Drive-bestanden tonen wij in het klantprofiel. Wij maken nooit een kopie naar onze eigen storage zonder uw expliciete opdracht.
  • E-mails (Gmail) tonen wij in de e-mail-functionaliteit van het portaal voor de gebruiker die het account heeft gekoppeld.
  • Agenda-data (Google Calendar) gebruiken wij om "bezet"-tijden uit te lezen en bevestigde boekingen aan uw agenda toe te voegen.

3.3 Wat doen wij NIET met uw Google-data?

  • Wij gebruiken Google-data nooit voor advertenties of marketing doeleinden naar derden.
  • Wij verkopen of verhuren Google-data nooit aan derden.
  • Wij trainen geen AI-modellen op uw Google-data. AI-samenvattingen worden per-request gegenereerd; de data wordt na verzending naar de AI-provider niet voor modeltraining gebruikt (zie sectie 5).
  • Wij geven Google-data niet door aan andere tenants; multi-tenant isolatie garandeert dat bureau A nooit data van bureau B kan zien.
  • Wij gebruiken Google-data niet voor onderzoek of profielopbouw buiten de specifieke feature waarvoor u toestemming gaf.

3.4 Bewaartermijn van Google-data

  • OAuth-tokens bewaren wij versleuteld tot u via Senly ontkoppelt of uw toestemming intrekt via myaccount.google.com/permissions.
  • Statistieken (GA/GSC/GBP) cachen wij maximaal 10 minuten per tijdsperiode om quota te sparen. AI-samenvattingen worden 24 uur gecachet.
  • Gmail-e-mails worden lokaal in uw portaal getoond; wij bewaren geen volledige kopie buiten wat noodzakelijk is voor de functie.
  • Agenda-boekingen bewaren wij zolang u Senly gebruikt, met een auditlog voor 12 maanden.

3.5 Hoe verbreekt u de koppeling?

U kunt de koppeling op twee manieren verbreken:

  • Binnen Senly: ga naar Integraties → Website & vindbaarheid(of de relevante integratiepagina) en klik op "Ontkoppelen". Tokens worden direct verwijderd.
  • Bij Google: ga naar myaccount.google.com/permissions en verwijder de toegang voor Senly.

4. Senly Connector Chrome-extensie

Wanneer u de optionele Senly Connector Chrome-extensie installeert en handmatig op "Verbind" klikt in een klantprofiel, leest de extensie de sessie-cookies van het betreffende social media platform (LinkedIn, Facebook, TikTok of Instagram) uit uw eigen browser en stuurt deze versleuteld naar onze server.

  • Versleuteling: AES-256-GCM met per-tenant gescopte sleutel. Cookies van bureau A kunnen niet door bureau B worden uitgelezen.
  • Doel: uitsluitend om automation-features (groei-tools, invite-tools) namens uw bureau te kunnen uitvoeren op de server, zonder dat u wachtwoorden hoeft te delen.
  • Verzameling: alleen na expliciete gebruikersactie ("Verbind" knop). Nooit stilzwijgend op de achtergrond.
  • Bewaartermijn: tot u "Ontkoppel" klikt of de cookies door het platform zelf worden geïnvalideerd.
  • Geen wachtwoorden: de extensie leest geen wachtwoorden, alleen reeds-actieve sessie-tokens. Uw klant-wachtwoorden komen nooit in ons systeem.

5. AI-functionaliteit (Gemini, Groq, Cerebras e.a.)

Senly biedt AI-ondersteunde functies zoals bijschrift-suggesties, merkcheck, notitiesuggesties en wekelijkse Insights-samenvattingen. Wij gebruiken een gefaseerde AI-fallback-ladder:

  • Google Gemini (eerste keuze, met door Google bevestigde dataverwerkings- voorwaarden — data wordt niet voor modeltraining gebruikt).
  • Bij Gemini-storing: Groq, Cerebras, Cloudflare Workers AI, GitHub Models, OpenRouter, xAI Grok en OpenAI — afhankelijk van welke API-sleutels op platformniveau of per bureau zijn geconfigureerd.

Wij sturen alleen de minimaal noodzakelijke data naar de AI-provider om het verzoek te kunnen beantwoorden. AI-samenvattingen van uw Insights-data bevatten uitsluitend cijfers en top-N lijsten — geen persoonsgegevens van uw eindklanten.

Bureaus kunnen optioneel een eigen Gemini-API-sleutel zetten in Integraties → AI; in dat geval gaat het AI-verzoek rechtstreeks via uw eigen account.

6. Marketing- en analyse-tracking

Senly gebruikt een eigen cookieloze bezoekers-tracker op de marketing- website (senly.io). Deze hashet IP-adressen en User-Agent strings tot een 24-uurs- identificator zonder persoonsgegevens te bewaren. Wij plaatsen geen tracking-cookies van derden (Facebook Pixel, Google Ads, etc.) op de website.

Wanneer u zich aanmeldt voor een trial, vragen wij optioneel naar uw rol, uitdaging en platforms (signup-quiz) om uw onboarding te personaliseren. Deze antwoorden worden in uw eigen account opgeslagen en gebruikt om Senly's marketing te verbeteren — uw persoonlijke antwoorden worden nooit publiekelijk gedeeld.

7. Klant-review-portaal (publieke pagina)

Bureaus kunnen content ter goedkeuring aan hun eindklanten voorleggen via een unieke review-link (senly.io/review/[token]). Wij bewaren geen persoonsgegevens van eindklanten die deze link openen — alleen een aggregaat van goed/afkeur-acties per token. Wij plaatsen geen tracking-cookies op deze pagina.

8. Betalingen via Stripe

Abonnementen worden gefactureerd via Stripe. Stripe is een eigenstandige verwerkingsverantwoordelijke voor uw betalingsgegevens. Wij ontvangen alleen een Stripe customer-ID, factuurstatus en de gekozen valuta (EUR of USD, automatisch gedetecteerd op basis van uw IP-adres en aan te passen tot de eerste betaling).

Senly gebruikt voor het affiliate-programma Stripe Connect om uitbetalingen aan partners automatisch te verwerken. Affiliates ontvangen rechtstreeks vanuit Stripe.

9. Grondslag voor verwerking

  • Uitvoering van de overeenkomst — het leveren van de SaaS-dienst.
  • Toestemming — wanneer u via OAuth een Google/Microsoft/social account koppelt.
  • Gerechtvaardigd belang — beveiliging, fraudepreventie, technische stabiliteit en productverbetering.
  • Wettelijke verplichting — fiscale bewaarplichten en verzoeken van toezichthouders.

10. Bewaartermijnen (samengevat)

  • Accountgegevens: zolang het abonnement actief is + maximaal 30 dagen daarna.
  • Eindklant- en contentgegevens: zolang het bureau de data niet verwijdert via het portaal.
  • OAuth-tokens (Google, Microsoft, social): tot ontkoppelen of token-revocatie bij de provider.
  • Insights-cache (GA/GSC/GBP/AI): 10 min (data) tot 24 uur (AI-samenvatting).
  • Loggegevens (audit, SyncLog): maximaal 12 maanden.
  • Stripe-koppeling: zolang het abonnement actief is; financiële records 7 jaar (fiscaal).
  • Na opzegging: volledige verwijdering binnen 30 kalenderdagen na verzoek (tenzij wettelijk anders vereist).

11. Sub-verwerkers

Wij delen gegevens uitsluitend met sub-verwerkers die noodzakelijk zijn voor de dienstverlening:

  • Railway / PostgreSQL — hosting en database (EU).
  • Stripe — betalingen en Connect-uitbetalingen.
  • Google Cloud (Workspace API's) — Drive, Analytics, Search Console, Bedrijfsprofiel, Gmail, Calendar.
  • Microsoft (Graph API) — Outlook-agenda, Outlook-mail.
  • Resend / SMTP — transactionele e-mails (welkom, password-reset, notificaties).
  • AI-providers — Gemini, Groq, Cerebras, Cloudflare, GitHub Models, OpenRouter, xAI, OpenAI (alleen voor het beantwoorden van het concrete verzoek; geen training).
  • Metricool — content-planning en analytics.
  • Canva — ontwerpen ophalen.
  • GoHighLevel (optioneel) — taken en CRM-sync wanneer ingeschakeld.

Wij verkopen of verhuren persoonsgegevens nooit aan derden.

12. Beveiliging

  • Versleutelde verbindingen (HTTPS/TLS) voor alle communicatie.
  • Wachtwoorden opgeslagen als bcrypt-hash (nooit leesbaar).
  • OAuth-tokens versleuteld in rust (AES-256-GCM, per-tenant key derivation).
  • Strikte multi-tenant isolatie: elk bureau ziet uitsluitend zijn eigen data.
  • Rate limiting op inlogpogingen en API-routes om brute-force aanvallen te blokkeren.
  • Auditlog van kritieke acties (SyncLog).
  • JWT-sessies met een maximale geldigheidsduur van 30 dagen.
  • Automatische foutmonitoring met geanonimiseerde stacktraces.

13. Uw rechten

Als betrokkene heeft u onder de AVG recht op inzage, correctie, verwijdering, beperking, overdraagbaarheid en bezwaar. Richt uw verzoek in eerste instantie aan het bureau waarmee u samenwerkt. Bureaus kunnen deze verzoeken verwerken via het portaal of nemen contact met ons op via info@senly.io.

U heeft ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

14. Datalekken

Bij een datalek dat risico oplevert voor betrokkenen, informeren wij het betreffende bureau zonder onnodige vertraging (binnen 24 uur na ontdekking). Het bureau is verantwoordelijk voor de melding aan de Autoriteit Persoonsgegevens binnen 72 uur indien vereist.

15. Internationale doorgifte

Onze primaire data-opslag is in de EU. Sommige sub-verwerkers (Stripe, Google, Microsoft, AI-providers) verwerken data buiten de EU. In die gevallen gebruiken wij EU Standard Contractual Clauses (SCC's) als overdracht-mechanisme. Wij houden bij welke sub-verwerker welke data buiten de EU verwerkt en kunnen dit op verzoek toelichten.

16. Contact

Voor vragen over privacy kunt u ons bereiken via:

Social Media Tools
Nieuwlandschedijk 66, Lage Zwaluwe
info@senly.io

17. Wijzigingen

Wij kunnen deze verklaring aanpassen. Bij wezenlijke wijzigingen informeren wij bureaus via het portaal of per e-mail. De datum bovenaan geeft aan wanneer de verklaring voor het laatst is bijgewerkt. Eerdere versies bewaren wij intern voor referentie.