Privacyverklaring IdenScan (inclusief GrowFocusStudio)

Laatst bijgewerkt: 8 september 2025

Privacyvragen & AVG-verzoeken: info.idenscan@gmail.com

Contact over GrowFocusStudio (apps & projecten): info@growfocusstudio.nl

Onze bedrijfsgegevens (vestigingsadres, KvK en btw-gegevens) vind je in de footer en op de contactpagina van deze website.

1. Wie wij zijn en wat wij doen

IdenScan B.V. (“IdenScan”, “wij”, “ons”) helpt personen en organisaties om de gevolgen van datalekken te begrijpen en te beperken. Dat doen we met CyberCheck: jij geeft één of meerdere e-mailadressen en — als je dat wilt — telefoonnummers aan ons door, en wij controleren of die identifiers voorkomen in datasets die wij als legitiem datalek of lek beschouwen. Als dat zo is, leggen we uit wat dat betekent en welke maatregelen verstandig zijn, zoals wachtwoorden wijzigen of tweestapsverificatie inschakelen. Daarnaast bouwen en beheren we via GrowFocusStudio maatwerkapps en software voor bedrijven. Daarbij werken we in opdracht van de klant en gebruiken we eigen ontwikkelmethodes en onze eigen “IdenScan-engine” en tools. Die engine helpt ons om controleprocessen betrouwbaar te automatiseren, resultaten te normaliseren en meldingen correct te laten aansluiten op jouw instellingen.

Ons doel is om met zo min mogelijk persoonsgegevens tĂłch maximale duidelijkheid te geven. Jij bepaalt steeds welke identifiers we mogen controleren, via welke kanalen we jou op de hoogte houden en wanneer we moeten stoppen. We vragen nooit om wachtwoorden en vragen geen toegang tot je e-mailinbox of andere accounts. We leveren onze diensten vanuit Nederland met een focus op verwerking binnen de EU/EER waar dat kan. Als leveranciers buiten de EER betrokken zijn of datacenters buiten de EER gebruiken, beperken wij de hoeveelheid gegevens tot het strikt noodzakelijke en kiezen we waar mogelijk voor Europese alternatieven.

2. Voor wie deze verklaring geldt

Deze verklaring geldt voor iedereen die onze website bezoekt, een IdenScan-account gebruikt, een CyberCheck-abonnement afsluit, identifiers aanlevert voor monitoring, onze chat gebruikt of support vraagt, en voor zakelijke relaties die met GrowFocusStudio samenwerken. Wanneer we “persoonsgegevens” noemen, bedoelen we alle informatie over een geïdentificeerde of identificeerbare persoon. Met “verwerken” bedoelen we alles wat met persoonsgegevens kan gebeuren, zoals verzamelen, opslaan, gebruiken, doorgeven en verwijderen.

3. Onze rol volgens de AVG

Voor CyberCheck zijn wij verwerkingsverantwoordelijke. Dat betekent dat wij bepalen waarom en hoe jouw persoonsgegevens worden verwerkt en dat wij je daarover moeten informeren in begrijpelijke taal. Voor GrowFocusStudio werken wij meestal als verwerker voor onze zakelijke klanten: wij verwerken persoonsgegevens dan uitsluitend volgens de schriftelijke instructies van de klant, in het kader van de overeengekomen opdracht. In die B2B-situatie is de klant degene die de eindgebruiker informeert over de verwerking binnen zijn product of dienst. In alle gevallen hanteren we het uitgangspunt dat we alleen verwerken wat nodig is en niet méér.

4. Hoe onze dienstverlening feitelijk werkt

Je gebruikt onze website, die via Shopify wordt aangeboden. Wanneer jij op de site een abonnement kiest en met Stripe betaalt, stuurt Shopify de relevante klant- en ordergegevens door. Na een geslaagde betaling ontvang je een onboarding, waarin je de identifiers opgeeft die je door ons wilt laten monitoren, je meldingsvoorkeuren bepaalt en een frequentie kiest. Op dat moment stroomt de door jou ingevulde informatie via Make.com naar onze scenario’s. Make.com verzorgt voor ons de veilige en betrouwbare afhandeling van formulierberichten en vormt de schakel tussen de website en onze eigen engine. Onze engine controleert vervolgens — met behulp van zorgvuldig geselecteerde bronnen, waaronder betaalde diensten en bekende databronnen zoals Have I Been Pwned (HIBP) — of jouw identifiers voorkomen in datasets die als lek zijn aangemerkt. Wij verwerken voor die controle alleen de minimale kenmerken die nodig zijn om te kunnen bepalen of er sprake is van een match. Als er een match is, koppelen we dat terug via de door jou gekozen kanalen en op de door jou gekozen momenten. Als jij bijvoorbeeld “dagelijkse samenvatting” en e-mail hebt ingesteld, groeperen wij meldingen en sturen wij die eenmaal per dag. Als je sms/WhatsApp hebt aangezet, gebruiken we uitsluitend het opgegeven telefoonnummer voor die meldingen.

Onze chatfunctie op de website wordt door echte medewerkers bemand. Wanneer je via chat een vraag stelt of een probleem meldt, gebruiken wij de gegevens die jij daarbij doorgeeft alleen om je te helpen. We slaan chats zo kort mogelijk en doelgebonden op, zodat we terug kunnen lezen wat er is afgesproken en incidenten netjes kunnen afronden.

5. Welke gegevens wij van jou verwerken en waarom

Wij verwerken alleen gegevens die nodig zijn om je abonnement te leveren en onze dienstverlening veilig en betrouwbaar te houden. In de kern gaat het om de identifiers die je zelf invult (e-mailadressen en — indien je dat kiest — telefoonnummers), je meldingsvoorkeuren (zoals e-mail of sms/WhatsApp, direct of als dagelijkse samenvatting, en het gewenste uur) en je scanfrequentie (bijvoorbeeld maandelijks, tweewekelijks of dagelijks). Als je in een zakelijke context extra ontvangers toevoegt, zoals CC-adressen die dezelfde meldingen moeten krijgen, verwerk je via ons persoonsgegevens van collega’s. Jij bent er dan verantwoordelijk voor dat zij weten waarom ze die mail ontvangen en dat zij zich eenvoudig kunnen afmelden. Iedere melding bevat daarvoor een duidelijke uitleg.

Verder verwerken we basis klantgegevens uit je accountomgeving bij Shopify zodra je bent ingelogd en een aankoop doet, zoals je klantnummer en klant-e-mail, zodat we je kunnen herkennen en service kunnen verlenen. We verwerken daarnaast beperkte technische context om onze site en scenario’s veilig en stabiel te laten draaien: tijdzone-informatie, taalinstelling, browser- en apparaatgegevens, een bron-URL voor foutanalyse en technisch noodzakelijke codes zoals anti-misbruik- en idempotency-sleutels die dubbele inzendingen voorkomen. Voor de betaling zelf maakt Stripe gebruik van zijn eigen betaalomgeving. Wij ontvangen wel de noodzakelijke transactie- en statusinformatie, maar slaan geen betaalkaarten of volledige betaalgegevens op in onze systemen.

De belangrijkste reden om deze gegevens te verwerken is de uitvoering van jouw abonnement: zonder identifiers, voorkeuren en frequentie kunnen we geen controles uitvoeren en geen meldingen sturen. Voor onderdelen die niet strikt noodzakelijk zijn, vragen we je uitdrukkelijke toestemming. Dat geldt voor sms/WhatsApp-meldingen, voor marketingberichten en voor het gebruik van analytische cookies op onze website. Voor beveiliging en misbruikpreventie baseren we ons op een gerechtvaardigd belang: we hebben er belang bij dat onze dienstverlening veilig is en robuust blijft, en we wegen dat zorgvuldig af tegen jouw privacybelang.

6. Wat wij nĂ­et doen

We vragen nooit om wachtwoorden en vragen geen toegang tot e-mailinboxen of andere accounts. We proberen geen profielen te bouwen en nemen geen geautomatiseerde besluiten met nadelige rechtsgevolgen voor jou. Onze detectie is geautomatiseerd in de zin dat er technisch wordt gekeken of een door jou opgegeven identifier voorkomt in een bekende dataset. Als je advies nodig hebt naar aanleiding van een match, kun je dat aan ons vragen en dan vindt er menselijke beoordeling plaats. Wij verwerken geen bijzondere categorieën persoonsgegevens, zoals gegevens over gezondheid, religie of etniciteit.

7. Over de bronnen die wij gebruiken en de beperkingen daarvan

Onze signalering is gebaseerd op datasets en bronnen die wij als legitiem lek of datalek identificeren. Dat kan gaan om door organisaties zelf bevestigde incidenten, openbaar gemaakte datasets, of gegevens die ons op een verantwoorde manier bereiken met het doel betrokkenen te kunnen waarschuwen. We doen een herkomst- en redelijkheidstoets en verwerken in onze operationele omgeving uitsluitend wat minimaal nodig is om te bepalen of jouw e-mailadres of telefoonnummer voorkomt. Het wereldwijde beeld van datalekken is echter nooit compleet. Niet ieder lek wordt publiek, niet iedere dataset bereikt ons, en sommige bronnen zijn onbetrouwbaar. Het kan dus voorkomen dat jouw gegevens toch ergens zijn blootgesteld zonder dat wij daar een signaal over tonen. Onze dienst is bedoeld als hulpmiddel en waarschuwingssysteem, niet als sluitend register van alle mogelijke datalekken.

Voor kwaliteitswaarborging kan het nodig zijn dat wij onderdelen van brondatasets tijdelijk of langduriger afgeschermd bewaren, los van onze operationele omgeving. Dat doen we alleen als dat echt nodig is voor herbeoordeling, om valse meldingen te voorkomen of om vragen van een legitieme derde partij (zoals een getroffen organisatie of autoriteit) te beantwoorden. De toegang tot dergelijke archieven is strikt beperkt en wordt alleen onder gecontroleerde omstandigheden verleend. We vermijden waar mogelijk opslag van ruwe inhoud en prefereren indexen en cryptografische kenmerken boven volledige records.

8. Cookies, metingen en logbestanden

Onze website gebruikt alleen de cookies die nodig zijn om de site veilig en bruikbaar te houden. Denk aan sessiecookies voor het inloggen en aan technische waarden die formulierverzendingen betrouwbaar maken. Deze cookies bevatten geen marketingprofielen. Analytische cookies gebruiken we alleen als je daarvoor toestemming geeft via de cookiebanner; zonder jouw toestemming laden we geen externe meetpixels of vergelijkbare technologieën. Je kunt je keuze later aanpassen via de link “Cookie-instellingen” in de footer.

Voor het kunnen beveiligen en verbeteren van de dienstverlening houden we beperkte logbestanden bij. Daarin staan bijvoorbeeld tijdstippen, responscodes, technisch gegenereerde sessiereferenties en — waar dat noodzakelijk is om misbruik of DDoS-verkeer af te weren — tijdelijk het IP-adres. Deze logs worden niet langer bewaard dan nodig is voor foutanalyse en beveiliging en zijn alleen toegankelijk voor medewerkers die deze informatie voor hun werk nodig hebben.

9. Beveiliging van onze omgeving

Wij bouwen onze dienstverlening zó op dat gegevens tijdens transport versleuteld zijn. De website draait via Shopify en betaalverkeer loopt via Stripe; beide gebruiken versleutelde verbindingen (HTTPS/TLS). Communicatie met onze Make.com-scenario’s vindt eveneens plaats over beveiligde verbindingen. We maken geen aparte beloftes over versleuteling bij opslag in alle onderdelen van onze eigen omgeving. Waar een platform of leverancier standaard versleuteling bij opslag biedt, maken we daar gebruik van; waar dat niet het geval is, beperken we de hoeveelheid opgeslagen gegevens, schermen we de toegang af en verwijderen we gegevens zodra ze niet meer nodig zijn. Toegang tot beheeromgevingen is beperkt tot medewerkers die dat strikt nodig hebben en we stimuleren het gebruik van sterke wachtwoorden en meervoudige verificatie. Omgevingen voor ontwikkeling, test en productie houden we zoveel mogelijk gescheiden en we beoordelen onze aanpak regelmatig. Komt er toch een beveiligingsincident voor dat waarschijnlijk een risico vormt voor betrokkenen, dan onderzoeken we dit, beperken we de schade, en handelen we volgens de wet: zo nodig melden we het bij de Autoriteit Persoonsgegevens en informeren we betrokkenen begrijpelijk en tijdig.

10. Met wie wij samenwerken om de dienst te leveren

Om CyberCheck en onze website te laten werken, maken we gebruik van een beperkt aantal dienstverleners. De website en accountomgeving draaien via Shopify. Betalingen verwerken we via Stripe. Het doorsturen en verwerken van formuliergegevens doen we via Make.com; dat is de schakel tussen de website en onze eigen engine en tools. Voor de onderliggende controle op datalekken gebruiken we bronnen uit de beveiligingsgemeenschap, betaalde verificatiediensten en publieke meldingen, waaronder Have I Been Pwned (HIBP). Voor support en communicatie gebruiken we onze websitechat, die door medewerkers wordt bemand. Waar mogelijk kiezen we voor Europese datacenters en EU-diensten. Als een leverancier buiten de EER verwerkt of opslag buiten de EER gebruikt, beperken we de hoeveelheid persoonsgegevens tot een minimum en gebruiken we de dienst alleen voor het strikt noodzakelijke onderdeel. We verkopen nooit persoonsgegevens en delen geen gegevens met derden voor hun eigen marketing.

11. Hoe lang wij gegevens bewaren

We bewaren persoonsgegevens niet langer dan nodig. Zolang je abonnement actief is, hebben we je identifiers en instellingen nodig om de controles en meldingen te kunnen uitvoeren. Als je je abonnement beëindigt, verwijderen of anonimiseren wij je identifiers en bijbehorende operationele gegevens in de regel binnen zestig dagen, tenzij we die informatie langer nodig hebben voor afhandeling van openstaande supportverzoeken of voor wettelijke verplichtingen. Logbestanden die we gebruiken voor foutanalyse en beveiliging bewaren we ongeveer negentig dagen. Facturen en administratieve gegevens moeten we volgens de wet zeven jaar bewaren. Gegevens uit zakelijke ontwikkeltrajecten bij GrowFocusStudio bewaren we zolang het project loopt en nog kort daarna om een nette overdracht en afronding mogelijk te maken, tenzij in het projectcontract anders is afgesproken. Waar we gegevens niet meer nodig hebben, verwijderen we ze of zetten we ze om in geaggregeerde, niet-herleidbare informatie.

12. Jouw keuzes en je toestemming

Bepaalde onderdelen van onze dienstverlening hebben we echt nodig om je abonnement te kunnen leveren, zoals het opslaan van jouw identifiers, het uitvoeren van controles en het versturen van e-mailmeldingen. Andere onderdelen zijn optioneel en doen we alleen als jij daarvoor toestemming geeft. Dat geldt bijvoorbeeld voor sms/WhatsApp-meldingen, marketingcommunicatie en analytische cookies. Toestemming vragen we altijd duidelijk en gescheiden; we gebruiken geen vooraf aangevinkte vakjes. Je kunt je toestemming later altijd weer intrekken of je voorkeuren aanpassen, bij voorkeur via je accountinstellingen of anders door ons te mailen. Intrekken werkt voor de toekomst en verandert niets aan verwerkingen die al hebben plaatsgevonden. Als je instellingen zĂł aanpast dat we je abonnement niet meer kunnen uitvoeren (bijvoorbeeld door alle identifiers te verwijderen), laten we dat duidelijk weten zodat je een weloverwogen keuze kunt maken.

13. Jouw rechten onder de AVG

Je hebt het recht om te weten welke persoonsgegevens wij over jou verwerken en waarom. Als gegevens onjuist of onvolledig zijn, mag je vragen om correctie. Als wij je gegevens niet langer nodig hebben of als je je toestemming hebt ingetrokken en er is geen andere grondslag meer, mag je vragen om verwijdering. In sommige situaties kun je vragen om de verwerking te beperken of om je gegevens in een gangbaar, machineleesbaar formaat te ontvangen of te laten doorgeven. Wanneer wij gegevens verwerken op basis van een gerechtvaardigd belang, kun je daar bezwaar tegen maken; tegen direct marketing kun je altijd bezwaar maken. Je kunt je rechten uitoefenen door ons te mailen op info.idenscan@gmail.com. We reageren in de regel binnen dertig dagen. Als wij je verzoek niet of niet volledig kunnen honoreren, leggen we uit waarom. Ben je het daar niet mee eens, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

14. GrowFocusStudio: ontwikkeling in opdracht van klanten

Voor de ontwikkeling en het beheer van maatwerkapps werkt GrowFocusStudio in opdracht van zakelijke klanten. In die context verwerken we persoonsgegevens alleen als dat nodig is voor de bouw, test en support van het product. We leggen werkafspraken schriftelijk vast in het projectcontract. Waar mogelijk testen we met geanonimiseerde of gepseudonimiseerde data en beperken we toegang tot personen die die toegang echt nodig hebben. Als echte gegevens toch noodzakelijk zijn om een fout te reproduceren, gebruiken we zo weinig mogelijk data, afgeschermd van andere omgevingen, en verwijderen we die weer zodra het doel is bereikt. Na afloop van de opdracht leveren we gegevens terug of verwijderen we ze op een veilige manier, zoals in het contract is vastgelegd. Voor algemene vragen over GrowFocusStudio kun je mailen naar info@growfocusstudio.nl; voor privacy-verzoeken blijft info.idenscan@gmail.com het juiste adres.

15. Minderjarigen

Onze diensten zijn niet gericht op kinderen jonger dan zestien jaar. Als je denkt dat een minderjarige zonder toestemming gegevens aan ons heeft doorgegeven, laat het ons dan weten via info.idenscan@gmail.com. Wij verwijderen die gegevens waar dat passend en mogelijk is.

16. Vragen, zorgen of klachten

Bij vragen over dit privacybeleid, over je instellingen of over je rechten kun je ons mailen op info.idenscan@gmail.com. Voor app- en projectvragen over GrowFocusStudio kun je terecht op info@growfocusstudio.nl. We doen ons best om snel en duidelijk te reageren. Als je vindt dat we je niet goed hebben geholpen, kun je een klacht indienen bij de Autoriteit Persoonsgegevens.

17. Wijzigingen in deze verklaring

We passen deze verklaring aan wanneer onze dienstverlening of wetgeving verandert. Als het om een belangrijke wijziging gaat, laten we dat actief weten, bijvoorbeeld per e-mail of via een melding in je account. De meest recente versie staat altijd op deze pagina; de datum bovenaan laat zien wanneer we het document voor het laatst hebben bijgewerkt.