Privacy & veiligheid

Zo beschermen we jouw administratie en persoonsgegevens

Winstwaker werkt privacy-first. Je weet precies welke data we gebruiken, waarom we dat doen en welke afspraken we met elkaar maken over opslag, inzicht en verwijdering.

Laatste update: 12 december 2025Volledig AVG-conform

AVG-conform

Volledig ingericht op de AVG en GDPR, inclusief verwerkersovereenkomsten en audit trails.

Digitaal & veilig

Encryptie, 2FA, logging en back-ups zorgen dat jouw cijfers 24/7 beschermd zijn.

Transparant

We vertellen precies welke gegevens we nodig hebben, waarom en hoe lang we die bewaren.

1.

Verantwoordelijke voor gegevensverwerking

Winstwaker is verantwoordelijk voor de verwerking van jouw persoonsgegevens. We verwerken gegevens uitsluitend binnen de Europese Economische Ruimte en werken alleen met partners die voldoen aan dezelfde beveiligingsstandaarden.

Winstwaker is een online boekhoudplatform dat uitsluitend is ontwikkeld voor het voeren van jouw administratie. Wij verkopen, delen of gebruiken jouw gegevens nooit voor andere doeleinden dan het uitvoeren van onze boekhoudkundige dienstverlening aan jou.

  • Privacy officer: privacy@winstwaker.nl
  • Adres: Kwikstaartlaan 42, 3704 GS Zeist
  • Telefoon: +31 (0)30 227 05 70
  • KVK-nummer: 84193891
2.

Welke gegevens verwerken we?

We verwerken alleen gegevens die strikt noodzakelijk zijn voor het voeren van jouw boekhouding en administratie. Al deze gegevens worden uitsluitend binnen ons beveiligde portaal verwerkt en nooit gedeeld met derden voor commerciële doeleinden.

  • Voor- en achternaam
  • Bedrijfsnaam en contactpersonen
  • Adres- en facturatiegegevens
  • Telefoonnummer en e-mailadres
  • KVK- en BTW-nummer
  • Bankrekening- en betaalgegevens
  • Inloggegevens en IP-adres
  • Gebruik van het klantportaal en applicaties
  • Browser- en apparaatdata
  • Document- en dossierinformatie
  • Communicatie- en supportgeschiedenis
  • Banktransactiegegevens via PSD2-koppelingen
  • Facturen en bonnen (geüpload of via e-mail)
3.

Grondslagen en doeleinden

Wij verwerken persoonsgegevens uitsluitend voor boekhoudkundige en administratieve doeleinden. Al onze verwerkingen zijn gericht op het correct voeren van jouw administratie binnen ons beveiligde platform.

3.1 Uitvoering van de overeenkomst

  • Het verwerken van jouw administratie en belastingaangiften
  • Het opstellen van rapportages en jaarrekeningen
  • Het verzorgen van salarisadministratie en HR-rapportages
  • Het automatisch verwerken van banktransacties
  • Het scannen van e-mails op facturen en bonnen
  • Het genereren van winst- en verliesrekeningen en balansen
  • Het opstellen en versturen van facturen
  • Het bijhouden van inkomsten en uitgaven

3.2 Gerechtvaardigd belang

  • Het verbeteren en beveiligen van onze digitale omgeving
  • Het analyseren van systeemgebruik voor een betere gebruikerservaring
  • Het waarborgen van continuïteit van onze dienstverlening
  • Het detecteren en voorkomen van fraude of misbruik

3.3 Wettelijke verplichting

  • Het naleven van fiscale en administratieve wetgeving
  • Het voldoen aan bewaarplichten voor financiële documentatie
  • Het rapporteren aan de Belastingdienst indien vereist

3.4 Toestemming

  • Het versturen van nieuwsbrieven en updates
  • Het delen van relevante aanbiedingen of productinformatie
  • Het koppelen van externe diensten zoals e-mail en bankrekeningen
4.

E-mail integraties (Gmail, Outlook, IMAP)

Winstwaker biedt de mogelijkheid om jouw e-mailaccount te koppelen voor het automatisch detecteren en verwerken van facturen. Dit is een optionele functie die je expliciet moet inschakelen. Hieronder leggen we per integratietype precies uit hoe dit werkt en wat er met jouw e-mails gebeurt.

4.1 Hoe werkt de e-mail scan?

Om facturen te kunnen detecteren, haalt ons systeem e-mails op uit jouw inbox. Het scanproces werkt als volgt:

  • E-mails vanaf een bepaalde datum worden opgehaald uit je inbox
  • Het systeem filtert eerst op e-mails met bijlagen (PDF-bestanden)
  • Vervolgens wordt gekeken of de onderwerpregel, snippet of bestandsnaam factuur-gerelateerde termen bevat
  • Alleen e-mails die aan beide criteria voldoen worden verder verwerkt
  • De PDF-bijlage wordt geanalyseerd en indien het een factuur betreft opgeslagen in jouw administratie

4.2 Wat gebeurt er met e-mails zonder facturen?

E-mails die niet aan de filtercriteria voldoen worden niet opgeslagen in jouw administratie. Het systeem verwerkt alleen e-mails met PDF-bijlagen die factuur-gerelateerde termen bevatten.

  • E-mails zonder bijlagen worden direct overgeslagen
  • PDF-bijlagen zonder factuur-termen in onderwerp of bestandsnaam worden niet opgeslagen
  • E-mailinhoud (body) van niet-factuurgerelateerde mails wordt niet opgeslagen
  • Geen enkele e-mail of bijlage wordt gedeeld met derden
  • Alle verwerking vindt plaats binnen jouw eigen beveiligde Winstwaker-omgeving
  • E-mails van @winstwaker.nl worden automatisch uitgesloten

4.3 Gmail koppeling (Google)

De Gmail-integratie maakt gebruik van Google OAuth 2.0, de veiligste methode om toegang te verlenen zonder je wachtwoord te delen.

  • OAuth 2.0 authenticatie – wij ontvangen nooit jouw Google-wachtwoord
  • Machtiging: gmail.readonly – alleen leesrechten, geen schrijfrechten
  • Geen toegang tot verzonden e-mails, concepten, contacten of agenda
  • Je kunt de koppeling op elk moment intrekken via je Google-accountinstellingen
  • Refresh tokens worden versleuteld opgeslagen in onze database
  • Voldoet aan Google API Services User Data Policy

4.4 Outlook koppeling (Microsoft)

De Outlook-integratie maakt gebruik van Microsoft OAuth 2.0 via Microsoft Graph API.

  • OAuth 2.0 authenticatie – wij ontvangen nooit jouw Microsoft-wachtwoord
  • Machtigingen: Mail.Read (e-mail lezen) en User.Read (profielgegevens)
  • Alleen leesrechten – wij kunnen geen e-mails versturen, verwijderen of wijzigen
  • Geen toegang tot OneDrive, Teams, Calendar of andere Microsoft-diensten
  • Je kunt de koppeling intrekken via je Microsoft-accountinstellingen
  • Tokens worden versleuteld opgeslagen met automatische vernieuwing

4.5 IMAP/SMTP koppeling (Overige e-mailproviders)

Voor e-mailproviders die geen OAuth ondersteunen, bieden wij IMAP-koppeling aan. Dit vereist dat je jouw inloggegevens invoert.

  • Je voert je e-mailadres, wachtwoord en serverinstellingen in
  • Wachtwoorden worden versleuteld opgeslagen met AES-256 encryptie
  • Wij adviseren het gebruik van een app-specifiek wachtwoord indien je provider dit ondersteunt
  • De verbinding verloopt via beveiligde TLS/SSL-verbindingen
  • Je kunt de koppeling en opgeslagen credentials op elk moment verwijderen
  • IMAP biedt alleen leesrechten – wij kunnen geen e-mails versturen of verwijderen

4.6 Algemene beveiligingsmaatregelen e-mail

  • Alle communicatie verloopt via versleutelde HTTPS/TLS-verbindingen
  • Tokens en credentials worden versleuteld opgeslagen in onze database
  • Scan-logs worden 90 dagen bewaard voor troubleshooting, daarna verwijderd
  • E-mailinhoud wordt niet gedeeld met externe AI-diensten of derden
  • Je behoudt volledige controle en kunt koppelingen op elk moment verwijderen
5.

Bankintegraties en PSD2-koppelingen

Winstwaker kan gekoppeld worden aan jouw bankrekening(en) om automatisch transacties op te halen. Dit gebeurt via beveiligde PSD2-koppelingen in overeenstemming met Europese bankwetgeving.

5.1 Hoe werkt de bankkoppeling?

De koppeling met jouw bank verloopt via gecertificeerde PSD2-providers. Dit is de Europese standaard voor veilig delen van bankgegevens met derde partijen.

  • Wij ontvangen alleen leesrechten voor transacties – nooit schrijfrechten
  • Transacties worden automatisch gesynchroniseerd met jouw administratie
  • Rekeningnummers en saldi worden versleuteld opgeslagen
  • De koppeling moet periodiek opnieuw worden goedgekeurd door jou

5.2 Welke bankgegevens worden verwerkt?

  • Transactieomschrijvingen, bedragen en datums
  • Tegenrekeningnummers en namen
  • Rekeningsaldi (indien nodig voor reconciliatie)
  • Rekeningnummer (IBAN) voor identificatie

5.3 Wat doen we niet met bankgegevens?

  • We voeren nooit betalingen of overboekingen uit
  • We delen bankgegevens nooit met derden
  • We verkopen of analyseren transactiedata niet voor marketing
  • We hebben geen toegang tot spaarrekeningen of leningen tenzij expliciet gekoppeld
6.

Boekhoudfunctionaliteiten en gegevensverwerking

Winstwaker is een compleet boekhoudplatform. Hieronder beschrijven we alle functionaliteiten en welke gegevens daarbij verwerkt worden. Al deze verwerkingen vinden uitsluitend plaats binnen jouw eigen beveiligde omgeving.

6.1 Facturatie

  • Aanmaken, versturen en archiveren van verkoopfacturen
  • Opslag van klantgegevens (naam, adres, BTW-nummer)
  • Bijhouden van betalingsstatussen
  • Genereren van factuur-PDFs met jouw bedrijfslogo

6.2 Inkomsten en uitgaven

  • Registratie van alle zakelijke inkomsten en uitgaven
  • Categorisatie naar grootboekrekeningen
  • Koppeling met banktransacties voor reconciliatie
  • Upload en opslag van bonnen en facturen als bewijs

6.3 BTW-aangifte

  • Automatische berekening van BTW-bedragen
  • Genereren van BTW-aangifteoverzichten
  • Ondersteuning voor verschillende BTW-tarieven
  • Export voor aangifte bij de Belastingdienst

6.4 Rapportages

  • Winst- en verliesrekening
  • Balans en vermogensoverzicht
  • Kasstroomoverzichten
  • Projectrapportages en urenregistratie

6.5 Documentbeheer

  • Veilige opslag van facturen, bonnen en contracten
  • OCR-scanning voor automatische gegevensextractie
  • Koppeling van documenten aan boekingen
  • Georganiseerd archief per boekjaar
7.

Bewaartermijnen

We bewaren gegevens niet langer dan nodig is en volgen de wettelijke termijnen voor de financiële sector. Daarna worden gegevens verwijderd of geanonimiseerd.

  • Financiële administratie, aangiften en jaarrekeningen: 7 jaar
  • Salarisadministratie en HR-gegevens: 7 jaar
  • Subsidie- en vastgoedadministratie: 10 jaar
  • Contracten en overeenkomsten: 7 jaar na beëindiging
  • Support- en communicatiegeschiedenis: 24 maanden
  • E-mail scan logs (zonder inhoud): 90 dagen
  • Banktransactie-synchronisatielogs: 24 maanden
8.

Digitaal portaal & beveiliging

Ons klantportaal is het hart van de samenwerking. We combineren technische en organisatorische maatregelen om jouw data te beschermen. Alle gegevens blijven binnen ons beveiligde systeem en worden nooit gedeeld voor commerciële doeleinden.

8.1 Opslag & encryptie

  • AES-256 encryptie van alle gevoelige documenten en datasets
  • End-to-end beveiligde verbinding (SSL/TLS) voor alle dataverkeer
  • Dagelijkse back-ups met geografische redundantie
  • Versleutelde opslag van OAuth-tokens en API-credentials
  • Database-encryptie at rest en in transit

8.2 Toegang & monitoring

  • Verplichte twee-factor authenticatie voor medewerkers
  • Rolgebaseerde toegang en individuele audit trails
  • 24/7 monitoring en penetratietesten door externe specialisten
  • Automatische sessietime-out na inactiviteit
  • IP-logging voor beveiligingsdoeleinden

8.3 Beëindiging & overdracht

  • Gegevensexport in PDF, CSV of XML op verzoek
  • Veilige verwijdering conform GDPR/AVG-richtlijnen
  • Ondersteuning bij overdracht naar nieuwe dienstverleners
  • Verwijdering van alle gekoppelde integraties bij opzegging
9.

Geen verkoop of deling van gegevens

Winstwaker verkoopt, verhuurt of deelt jouw gegevens nooit met derden voor commerciële, marketing- of andere doeleinden. Dit is een fundamenteel principe van ons platform.

  • Jouw administratiegegevens worden nooit verkocht aan derden
  • We gebruiken jouw gegevens niet voor gerichte advertenties
  • We delen geen data met datahandelaren of marketingbureaus
  • Banktransacties worden niet geanalyseerd voor commerciële inzichten
  • E-mailinhoud wordt niet gebruikt voor profilering
  • Alle gegevensverwerking is uitsluitend voor jouw boekhouding
10.

Verwerkersovereenkomst

Conform de Algemene Verordening Gegevensbescherming (AVG) sluiten wij met iedere klant een verwerkersovereenkomst af. Deze overeenkomst regelt de rechten en plichten met betrekking tot de verwerking van persoonsgegevens.

10.1 Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een wettelijk verplichte overeenkomst tussen de verwerkingsverantwoordelijke (jij als ondernemer) en de verwerker (Winstwaker). Deze overeenkomst beschrijft hoe wij omgaan met de persoonsgegevens die wij voor jou verwerken.

10.2 Wat staat er in onze verwerkersovereenkomst?

  • Het doel en de aard van de gegevensverwerking
  • Welke categorieën persoonsgegevens worden verwerkt
  • De beveiligingsmaatregelen die wij treffen
  • Hoe wij omgaan met datalekken en meldplichten
  • De rechten van betrokkenen en hoe wij deze faciliteren
  • Afspraken over subverwerkers en doorgifte
  • Aansprakelijkheid en vrijwaring
  • Bewaartermijnen en verwijdering van gegevens

10.3 Hoe krijg ik een verwerkersovereenkomst?

Bij het aanmaken van een account ga je automatisch akkoord met onze algemene voorwaarden, waar de verwerkersovereenkomst onderdeel van uitmaakt. Je kunt een kopie van de verwerkersovereenkomst opvragen via privacy@winstwaker.nl of downloaden vanuit je accountinstellingen.

10.4 Onze subverwerkers

Wij maken gebruik van een beperkt aantal subverwerkers, uitsluitend voor het leveren van onze dienst. Met al deze partijen hebben wij verwerkersovereenkomsten afgesloten:

  • Cloudinfrastructuur: EU-gebaseerde datacenters
  • E-mailproviders: Voor het verzenden van systeemmails
  • PSD2-providers: Voor beveiligde bankkoppelingen
  • Betalingsproviders: Voor factuurbetaling via iDEAL/Mollie
11.

Delen van persoonsgegevens met derden

We verkopen nooit gegevens aan derden. We delen data uitsluitend wanneer dit strikt noodzakelijk is voor de uitvoering van de overeenkomst, op basis van jouw expliciete toestemming of om aan wettelijke verplichtingen te voldoen.

Met iedere externe partij sluiten we een verwerkersovereenkomst, inclusief strikte beveiligings- en vertrouwelijkheidsafspraken.

  • Delen alleen met subverwerkers die essentieel zijn voor onze dienst
  • Nooit delen met marketingpartijen of datahandelaren
  • Alleen delen met overheid indien wettelijk verplicht
  • Transparante lijst van subverwerkers op verzoek beschikbaar
12.

Cookies en vergelijkbare technieken

We gebruiken alleen technische, functionele en geanonimiseerde analytische cookies. Ze zorgen dat het portaal en onze website goed werken en blijven verbeteren. We plaatsen geen tracking- of marketingcookies.

  • Functionele cookies – voor het onthouden van sessies en voorkeuren
  • Analytische cookies – voor geanonimiseerd gebruiksonderzoek
  • Sessie cookies – voor een veilige en stabiele inlogervaring
  • Authenticatie cookies – voor het onthouden van inlogstatus
13.

Jouw rechten

Je hebt volledige controle over jouw gegevens. Gebruik de volgende rechten door ons te mailen via privacy@winstwaker.nl. We reageren altijd binnen de wettelijke termijn van 30 dagen.

  • Recht op inzage – bekijk welke gegevens we hebben
  • Recht op rectificatie – corrigeer onjuiste gegevens
  • Recht op vergetelheid – laat gegevens verwijderen
  • Recht op beperking – beperk de verwerking tijdelijk
  • Recht op dataportabiliteit – ontvang je gegevens in standaardformaat
  • Recht van bezwaar – maak bezwaar tegen verwerking
14.

Klachten

Heb je een klacht over hoe we met persoonsgegevens omgaan? Meld dit direct bij ons via privacy@winstwaker.nl. We nemen elke klacht serieus en streven ernaar binnen 5 werkdagen te reageren. Je kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens.

15.

Wijzigingen in dit privacybeleid

We actualiseren dit beleid wanneer wetgeving of onze dienstverlening wijzigt. De meest recente versie vind je altijd op deze pagina. Bij grote wijzigingen informeren we je actief via e-mail.

16.

Contact

Vragen over privacy, een inzageverzoek of een gegevenswijziging? Neem contact met ons op en we helpen je binnen twee werkdagen verder.

  • Privacy officer: privacy@winstwaker.nl
  • Adres: Kwikstaartlaan 42, 3704 GS Zeist
  • Telefoon: +31 (0)30 227 05 70
  • KVK-nummer: 84193891

Laatste update

12 december 2025

Je vaste Winstwaker informeert je altijd wanneer er inhoudelijke wijzigingen in dit beleid plaatsvinden.

Privacy in de praktijk

Wil je samen door jouw portaal-instellingen of verwerkersovereenkomsten lopen?

Plan een korte sessie met ons privacyteam. We helpen je met checks, toegangsrechten of extra beveiligingsmaatregelen voor jouw organisatie.

Vraag privacy call aanNeem contact op