1. Wie zijn wij
EU Reg Monitor (eureg-monitor.nl) is een B2B SaaS-dienst die EU-regelgeving monitort en interpreteert voor bedrijven. Wij verwerken persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG / GDPR).
Verwerkingsverantwoordelijke: EU Reg Monitor, bereikbaar via WhatsApp of e-mail via de website.
2. Verwerkingsdoeleinden
Wij verwerken persoonsgegevens voor de volgende doeleinden:
- API-toegang en quota-beheer — registratie van API-gebruik om je abonnementsniveau (free, pro, business, enterprise) te handhaven.
- Alerting — e-mailnotificaties bij nieuwe EU-publicaties die relevant zijn voor je geregistreerde bedrijfstype.
- Facturering — verwerking van betalingen via Mollie voor betaalde abonnementen.
- Serviceverbetering — geanonimiseerde gebruiksstatistieken om de API-prestaties en dekking van regelgeving te verbeteren.
3. Verwerkte gegevens
| Categorie | Gegevens | Doel |
|---|---|---|
| Identificatie | E-mailadres (bij registratie) | API-key koppelen, alerts sturen |
| Toegang | API-key (gehasht opgeslagen) | Authenticatie en autorisatie |
| Gebruik | Endpoint, timestamp, response code, IP-adres | Quota-tracking, rate limiting, beveiliging |
| Betaling | Mollie transactie-ID, abonnementsstatus | Facturering (via Mollie, geen kaartgegevens) |
| Voorkeuren | Bedrijfstype(s), alert-instellingen | Relevante alerts leveren |
4. Rechtsgrond
De verwerking berust op:
- Uitvoering van een overeenkomst (AVG Art. 6.1.b) — API-toegang, quota, facturering op basis van je abonnement.
- Gerechtvaardigd belang (AVG Art. 6.1.f) — beveiligingslogging (IP, request-patterns) om misbruik en rate-limit bypass te detecteren.
- Toestemming (AVG Art. 6.1.a) — e-mailalerts; je kunt zich op elk moment uitschrijven via de API of door een bericht te sturen.
5. Bewaartermijnen
| Gegevenstype | Bewaartermijn |
|---|---|
| Usage logs (endpoint, timestamp, IP) | 90 dagen |
| API-keys | Actief tot opzegging, daarna 30 dagen verwijderperiode |
| E-mailadres (account) | Actief tot opzegging, daarna 30 dagen verwijderperiode |
| Betalingsrecords (Mollie) | 7 jaar (fiscale verplichting) |
| Alert-log | 1 jaar |
6. Delen met derden
Wij delen je persoonsgegevens uitsluitend met:
- Mollie — betalingsverwerker (iDEAL, creditcard). Mollie verwerkt betalingsgegevens onder eigen AVG-verklaring. Wij ontvangen alleen de transactie-status, geen kaartgegevens.
- E-mailprovider — voor het versturen van alerts (via SMTP of Resend). De e-mailprovider ziet alleen het afleveradres.
De EU-regelgevingsbronnen die wij raadplegen (EUR-Lex, RVO, DNB/ESMA/EBA) zijn publiek. Wij delen geen persoonsgegevens met deze bronnen.
Wij verkopen of verhuren nooit persoonsgegevens aan derden.
7. Jouw rechten (AVG Art. 15-22)
Je hebt de volgende rechten:
- Inzage — opvragen welke gegevens wij van je verwerken.
- Rectificatie — corrigeren van onjuiste gegevens.
- Verwijdering — verwijderen van je gegevens (recht op vergetelheid), behalve gegevens die we wettelijk moeten bewaren.
- Beperking van verwerking — tijdelijk stopzetten van verwerking in bepaalde gevallen.
- Overdraagbaarheid — ontvangen van je gegevens in een machine-leesbaar formaat.
- Bezwaar — bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
- Toestemming intrekken — voor alert-e-mails op elk moment.
Om een recht uit te oefenen: stuur een bericht via
WhatsApp of via de API
(POST /api/v1/subscribe met "unsubscribe": true).
Wij reageren binnen 30 dagen (AVG Art. 12.3).
8. Beveiligingsmaatregelen
- HTTPS / TLS 1.2+ — alle verkeer is versleuteld (Strict-Transport-Security, HSTS).
- API-keys — API-keys worden gegenereerd met
secrets.token_urlsafe(24)(cryptografisch veilig) en opgeslagen in een afgeschermde SQLite-database (chmod 600, niet publiek toegankelijk). - Rate limiting — 60 requests/minuut per IP om misbruik te voorkomen.
- Security headers — CSP, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy, Permissions-Policy.
- Toegangsbeperking — de server draait als www-data met minimale rechten; SQLite-bestanden en .env zijn niet publiek toegankelijk (chmod 600).
- Gunicorn + nginx — de API draait achter een reverse proxy met alleen interne poort (127.0.0.1:5101).
9. Datalekken
Bij een datalek (inbreuk op de beveiliging van persoonsgegevens) volgt EU Reg Monitor de procedure uit de AVG (Art. 33-34):
- Melding aan AP — een datalek met risico voor de rechten en vrijheden van betrokkenen wordt binnen 72 uur gemeld bij de Autoriteit Persoonsgegevens.
- Informeren van betrokkenen — bij een hoog risico worden betrokkenen direct geïnformeerd over de aard van het lek en aanbevolen maatregelen.
- Registratie — alle datalekken worden intern gedocumenteerd, inclusief datum, omvang en genomen maatregelen.
10. Data buiten de EER
Wij verwerken alle gegevens op een server binnen de EU (Hetzner, Duitsland). Mollie en e-mailproviders verwerken gegevens eveneens binnen de EER. Er vindt geen doorgifte van persoonsgegevens naar derde landen plaats.
10. Klachten
Heb je een klacht over onze verwerking van persoonsgegevens? Neem eerst contact met ons op via WhatsApp. Je hebt ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).
11. Wijzigingen
Dit privacybeleid kan wijzigen bij nieuwe functionaliteit of wetgeving. De meest recente versie is altijd vindbaar op eureg-monitor.nl/privacybeleid. Bij ingrijpende wijzigingen informeren we geregistreerde gebruikers via e-mail.
Laatst bijgewerkt: juli 2026