Hemelboek

Privacyverklaring

Laatst bijgewerkt: 2 mei 2026

In begrijpelijk Nederlands. We respecteren uw gegevens en behandelen ze met dezelfde zorg waarmee u uw herinneringen aan ons toevertrouwt. Deze verklaring beschrijft welke persoonsgegevens we verwerken, waarom, hoe lang en welke rechten u heeft.

1. Wie zijn wij

Verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) is:

Hemelboek
Costerweg 1
5466 AM Veghel
KVK: 81526466
BTW: NL862126447B01
E-mail: privacy@hemelboek.nl

2. Welke gegevens we verwerken

We verwerken alleen gegevens die u zelf invoert of die strikt nodig zijn voor de werking van de dienst.

2.1 Account- en inloggegevens

  • · E-mailadres (voor magic-link-login en serviceberichten)
  • · Naam (optioneel, voor weergave in beheer)
  • · Inlogtokens (eenmalig bruikbaar, 15 minuten geldig)
  • · Sessiecookie (versleuteld, op uw apparaat)

2.2 Gedenkpagina-inhoud

  • · Naam, geboortedatum en sterfdatum van de overledene
  • · Biografie en levensverhaal (door u aangeleverd)
  • · Foto's, audio- en videofragmenten (met EXIF-locatiedata verwijderd)
  • · Bijdragen van bezoekers: naam, eventueel e-mailadres, bericht/foto/kaarsje

2.3 Technische gegevens

  • · Versleutelde IP-hash (geen plain IP) van bezoekers die een bijdrage achterlaten — uitsluitend voor spambeveiliging
  • · Tijdstip van bijdrage
  • · Audit-logboek van beheeracties (privacy-instellingen, moderatie, archivering)

2.4 Betaalgegevens

Bij een Premium-aankoop verwerkt onze betaalpartner Mollie B.V. uw betaalgegevens. Wij ontvangen van Mollie alleen het transactie-id, het bedrag, de betaalmethode en de status. Wij zien geen iDEAL-rekeningnummers of creditcardgegevens.

3. Waarom we deze gegevens verwerken (rechtsgronden)

DoelRechtsgrond
Account aanmaken en authenticatieUitvoering overeenkomst (art. 6 lid 1 b AVG)
Gedenkpagina hosten en tonenUitvoering overeenkomst
Spam- en misbruikbestrijding (IP-hash, rate limit)Gerechtvaardigd belang (art. 6 lid 1 f)
Service-mails (jaargedenken, herinneringen)Uitvoering overeenkomst — opt-out beschikbaar
Betalingen verwerken en facturerenUitvoering overeenkomst + wettelijke verplichting
Boekhouding bewarenWettelijke verplichting (art. 52 AWR — 7 jaar)
Beveiliging en backupsGerechtvaardigd belang

4. Bewaartermijnen

  • · Gedenkpagina-inhoud: zolang de eigenaar de pagina actief houdt. Na 5 jaar zonder enige interactie volgt een keep-alive-mail. Reageert de eigenaar niet binnen 180 dagen, dan archiveren we de pagina (offline, herstelbaar). We verwijderen niet automatisch.
  • · Inlogtokens: 15 minuten, daarna automatisch ongeldig.
  • · IP-hashes: de salt rouleert dagelijks; oude hashes zijn niet meer te herleiden.
  • · Audit-logboek: 2 jaar.
  • · Boekhouding (facturen, betalingen): 7 jaar (wettelijke fiscale bewaarplicht).
  • · Bij verwijderen op verzoek: alle persoonsgegevens en media worden binnen 30 dagen gewist, inclusief uit dagelijkse en wekelijkse back-ups. Boekhoudkundige rijen blijven gedurende de wettelijke termijn bestaan, geanonimiseerd waar mogelijk.

5. Met wie we werken (sub-verwerkers)

We delen gegevens alleen met partijen die we strikt nodig hebben voor de dienst. Met al deze partijen hebben we een verwerkersovereenkomst.

PartijDoelLocatie
Mailchimp Transactional (Mandrill)Verzending transactionele e-mailEU/VS — SCC
Mollie B.V.BetalingsverwerkingNL
Hosting-providerServers, opslag, backupsEU

Voor verwerking buiten de EER (zoals e-mailrouting via Mailchimp) baseren we ons op de modelcontracten van de Europese Commissie (Standard Contractual Clauses, SCC).

6. Wat we níet doen

  • · Geen reclame, geen tracking-cookies, geen Facebook Pixel.
  • · Geen verkoop of doorgifte van uw gegevens aan derden voor marketingdoeleinden.
  • · Geen geautomatiseerde besluitvorming of profiling.
  • · Geen analytics op gedenkpagina's (privacy-vrije Plausible alleen op marketingpagina's, zonder cookies).

7. Cookies

We gebruiken alleen functionele cookies, geen toestemming vereist:

  • · __nuxt-session — versleutelde sessie om u ingelogd te houden.
  • · csrf-token — beveiliging tegen cross-site request forgery.
  • · memorial-access-{slug} — onthoudt dat u het wachtwoord van een beveiligde pagina heeft ingegeven (alleen als u dat zelf heeft gedaan).

Google Tag Manager op marketing-pagina's. Op de openbare marketing-pagina's van Hemelboek (homepage, prijzen, voor uitvaartondernemers, veelgestelde vragen) laden wij de Google Tag Manager-container. Wij gebruiken Google Consent Mode v2: zonder uw toestemming staan alle tracking- categorieën standaard op denied, waardoor noch GTM noch enige ingestelde tag tracking-cookies plaatst of persoonsgegevens deelt. Pas wanneer u via onze cookie-banner toestemming geeft, wordt het signaal op granted gezet en kunnen statistiek-tags daadwerkelijk meten. GTM is in geen geval actief op gedenkpagina's, in beheer, in het admin- of uitvaartondernemer-dashboard, of in de betaal- en login-flow.

U past uw cookie-voorkeur op elk moment aan via de link "Cookie-voorkeuren" onderaan iedere pagina, of via onze cookie-overzichtspagina.

8. IP-adressen van bezoekers

We slaan IP-adressen van bezoekers nooit klaar op. Voor het tegenhouden van spam berekenen we een eenrichtings-versleutelde versie ("hash") met een dagelijks roterende sleutel. Die kan niet teruggerekend worden naar het oorspronkelijke adres en is na 24 uur waardeloos voor identificatie.

9. Uw rechten onder de AVG

U heeft het recht om:

  • · Inzage te krijgen in welke gegevens wij van u verwerken (art. 15 AVG)
  • · Rectificatie te vragen van onjuiste gegevens (art. 16)
  • · Verwijdering te vragen ("recht op vergetelheid", art. 17)
  • · Beperking van de verwerking te vragen (art. 18)
  • · Dataportabiliteit te vragen — een machineleesbare export van uw data (art. 20)
  • · Bezwaar te maken tegen verwerking op basis van gerechtvaardigd belang (art. 21)

Mail uw verzoek naar privacy@hemelboek.nl. We reageren binnen 30 dagen. Bij twijfel over uw identiteit kunnen we aanvullende verificatie vragen voor we gegevens vrijgeven.

10. Beveiliging

  • · TLS (HTTPS) op alle verbindingen.
  • · Wachtwoorden worden niet opgeslagen — we gebruiken magic-links.
  • · Wachtwoorden van privé-pagina's worden bcrypt-gehasht (kosten-factor 10).
  • · Sessies in versleutelde cookies, gesigneerd met een server-side geheim.
  • · CSRF-bescherming (double-submit token) op alle muterende endpoints.
  • · EXIF-locatiedata wordt automatisch uit foto's verwijderd vóór opslag.
  • · Continue back-ups van de database en wekelijkse off-site back-ups.

11. Datalek-procedure

Bij een datalek met risico voor uw rechten en vrijheden melden we dit binnen 72 uur bij de Autoriteit Persoonsgegevens. Als u direct geraakt bent, informeren we u zo snel mogelijk per e-mail.

12. Klacht-recht

U kunt altijd een klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). We stellen het op prijs als u eerst contact met ons opneemt — vaak is het sneller op te lossen.

13. Wijzigingen in deze verklaring

Wijzigingen kondigen we minstens 30 dagen vooraf aan, per e-mail aan beheerders van een gedenkpagina en bovenaan deze pagina. Bij ingrijpende wijzigingen vragen we opnieuw om uitdrukkelijke instemming waar de wet dat vereist.

14. Vragen

Mail ons via privacy@hemelboek.nl. We reageren persoonlijk en in begrijpelijk Nederlands.