Naar inhoud
StippaStippa
FunctiesPrijzenFAQContact
InloggenAan de slag

Privacybeleid

Laatst bijgewerkt: 21 juni 2026

1. Wie zijn wij?

De Rechter Software (hierna: "wij", "ons" of "Stippa") is verantwoordelijk voor de verwerking van persoonsgegevens zoals beschreven in dit privacybeleid.

  • De Rechter Software (handelend onder de naam Stippa), eenmanszaak
  • Molenwater 20, 4511 BN Breskens, Nederland
  • KvK-nummer: 98466402
  • Btw-nummer: NL005332100B80
  • E-mail: support@stippa.nl (of support@derechtersoftware.nl)

Wij vervullen twee rollen. Voor de gegevens van onze accounthouders (de bedrijven die Stippa gebruiken) en hun medewerkers zijn wij verwerkingsverantwoordelijke. Voor de persoonsgegevens van de eindklanten die een accounthouder via Stippa beheert, zijn wij verwerker. De accounthouder bepaalt in dat geval het doel en is zelf verwerkingsverantwoordelijke, en wij verwerken die gegevens uitsluitend namens en in opdracht van de accounthouder. De afspraken daarover staan in onze verwerkersovereenkomst.

2. Welke gegevens verzamelen wij?

Wij verwerken de volgende categorieën persoonsgegevens:

  • Naam en e-mailadres (bij registratie en afsprakenbeheer)
  • Telefoonnummer (optioneel, voor herinneringsberichten)
  • Afspraakgegevens (datum, tijd, dienst, medewerker, notities)
  • Betalingsinformatie (verwerkt via Stripe; wij slaan geen volledige kaartgegevens op)
  • Technische gegevens (IP-adres, browsertype, gebruikslogboeken)
  • Google Calendar-gegevens (uitsluitend wanneer een medewerker zijn of haar Google-agenda koppelt; zie sectie 6 voor de volledige toelichting)

3. Waarvoor gebruiken wij uw gegevens, en op welke grondslag?

Wij verwerken elk gegeven voor een specifiek doel en op een specifieke grondslag uit artikel 6 AVG:

  • Het inplannen, beheren en bevestigen van afspraken, op grondslag van de uitvoering van de overeenkomst.
  • Het versturen van herinneringen en notificaties, op grondslag van de uitvoering van de overeenkomst.
  • Het verwerken van betalingen, op grondslag van de uitvoering van de overeenkomst en het naleven van een wettelijke (fiscale) verplichting.
  • Het synchroniseren van afspraken met externe agenda's (Google Calendar, iCal), op grondslag van uw uitdrukkelijke toestemming, die u op elk moment kunt intrekken.
  • Het beveiligen, onderhouden en verbeteren van de dienst, waaronder productanalyse en fraudepreventie, op grondslag van ons gerechtvaardigd belang om een veilige en bruikbare dienst aan te bieden. Wij wegen dit belang af tegen uw privacy en beperken de verwerking tot wat daarvoor noodzakelijk is.
  • Het naleven van wettelijke verplichtingen, op grondslag van een wettelijke verplichting.

4. Delen met derden

Wij delen uw gegevens uitsluitend met verwerkers die strikt noodzakelijk zijn voor de uitvoering van onze dienst:

  • Supabase Inc. voor databaseopslag (gehost in de EU)
  • Vercel Inc. voor de hosting van de webapplicatie
  • Upstash, Inc. voor snelheidsbegrenzing en misbruikpreventie (tijdelijke verwerking van IP-adressen)
  • Cloudflare, Inc. voor bot- en misbruikbescherming (Turnstile)
  • Sentry (Functional Software, Inc.) voor foutmonitoring en de stabiliteit van de applicatie
  • Inngest, Inc. voor de uitvoering van achtergrondtaken, zoals het versturen van herinneringen
  • Grafana Labs voor logboekbeheer (Loki), uitsluitend indien ingeschakeld
  • Stripe Payments Europe Ltd. en Mollie B.V. voor betalingsverwerking (Mollie is gehost in de EU)
  • Resend, Inc. voor het versturen van transactionele e-mails (bevestigingen, herinneringen en notificaties)
  • Twilio Inc. / WhatsApp Business voor optionele berichtendiensten
  • PostHog voor productanalyse (op onze marketingwebsite uitsluitend na uw toestemming via de cookiebanner, en binnen de applicatie voor accounthouders ter verbetering van de dienst; gegevens worden verwerkt op servers binnen de EU; zie sectie 10)

De volgende koppelingen worden uitsluitend ingeschakeld wanneer u of een medewerker deze zelf activeert: Google LLC voor agendasynchronisatie (zie sectie 6) en Moneybird B.V. voor een boekhoudkoppeling.

Wij verkopen uw gegevens nooit aan derden. Voor zover persoonsgegevens worden doorgegeven aan sub-verwerkers buiten de Europese Economische Ruimte, waaronder de Verenigde Staten (zoals bij Stripe, Google, Vercel, Resend, Sentry, Cloudflare, Upstash of Inngest), berust die doorgifte primair op het EU-VS Data Privacy Framework (adequaatheidsbesluit van de Europese Commissie van 10 juli 2023) voor daaronder gecertificeerde partijen. Als aanvullende of terugvalwaarborg gelden de modelcontractbepalingen van de Europese Commissie (Standard Contractual Clauses, uitvoeringsbesluit (EU) 2021/914).

5. Grondslag voor verwerking

Zoals toegelicht in sectie 3 verwerken wij uw gegevens op basis van de uitvoering van een overeenkomst, een gerechtvaardigd belang, een wettelijke verplichting, of uw uitdrukkelijke toestemming. Waar wij ons op toestemming baseren, kunt u die op elk moment intrekken. Dat doet geen afbreuk aan de rechtmatigheid van de verwerking vóór de intrekking.

6. Google Calendar-integratie

Stippa biedt medewerkers de mogelijkheid om hun Google-agenda te koppelen via Google OAuth 2.0. Onderstaande bepalingen lichten toe welke Google-gebruikersgegevens wij benaderen, hoe wij deze gebruiken, met wie wij ze delen, hoe wij ze opslaan en beveiligen, en hoe u uw toestemming kunt intrekken.

6.1 Welke Google-gegevens benaderen wij?

Wanneer u of een medewerker binnen uw organisatie kiest om een Google-agenda te koppelen, vragen wij uitsluitend de volgende OAuth-scope aan: https://www.googleapis.com/auth/calendar.events.readonly. Dit is een uitsluitend leesrecht. Stippa kan met deze toestemming geen gebeurtenissen aanmaken, wijzigen of verwijderen in uw Google-agenda. Met die toestemming benaderen wij:

  • Het e-mailadres van het gekoppelde Google-account (uitsluitend ter weergave in het dashboard, zodat de medewerker ziet welk account is gekoppeld);
  • Begin- en eindtijden, status en unieke identificatie van gebeurtenissen in de primaire agenda van het gekoppelde Google-account binnen een venster van 90 dagen vanaf het huidige moment;
  • Wij lezen geen titels, beschrijvingen, locaties of gegevens van genodigden uit uw bestaande Google-agenda, uitsluitend of een tijdvak is bezet.

6.2 Hoe gebruiken wij deze gegevens?

De gegevens worden uitsluitend gebruikt om bezette tijdvakken uit uw Google-agenda te tonen in Stippa, zodat dubbele boekingen worden voorkomen. Stippa schrijft geen gebeurtenissen naar uw Google-agenda. Afspraken die u in Stippa beheert blijven uitsluitend in Stippa.

6.3 Met wie delen wij deze gegevens?

Wij delen Google-gebruikersgegevens met geen enkele derde partij. De tokens en agenda-gegevens worden uitsluitend gebruikt om met de Google-API's te communiceren namens de aangesloten gebruiker. Wij gebruiken Google-gebruikersgegevens nooit voor advertenties of voor enig ander doel dan beschreven in dit privacybeleid.

6.4 Hoe slaan en beveiligen wij deze gegevens?

OAuth access- en refresh-tokens worden vóór opslag versleuteld met AES-256-GCM. Alle communicatie met Google-API's verloopt over TLS 1.2 of hoger. De database wordt gehost binnen de Europese Unie. Toegang tot tokens is beperkt tot de geautomatiseerde synchronisatieprocessen. Tokens worden nooit door medewerkers van De Rechter Software ingezien.

6.5 Bewaartermijn en verwijdering

Wij bewaren Google-gebruikersgegevens zolang de medewerker zijn of haar Google-agenda gekoppeld houdt aan Stippa. Wanneer de koppeling wordt verbroken via Stippa (Dashboard, tabblad Medewerkers, "Agendasynchronisatie", "Verbinding verbreken"):

  • worden de tokens en bezettingstijden direct uit onze database verwijderd;
  • wordt het Google push-notificatiekanaal voor die koppeling stopgezet;
  • worden geen nieuwe gegevens meer opgehaald van Google.

U kunt op elk moment de toegang ook intrekken via uw Google-account op myaccount.google.com/permissions. Daarnaast kunt u via support@stippa.nl een verzoek tot verwijdering indienen. Wij verwerken zo'n verzoek binnen 30 dagen.

6.6 Limited Use, advertenties en AI/ML-training

Het gebruik en de doorgifte door Stippa van gegevens die zijn verkregen van Google API's naar enige andere app voldoen aan het Google API Services User Data Policy, inclusief de Limited Use-vereisten.

Wij gebruiken gegevens die zijn verkregen via Google Workspace API's niet om generieke modellen voor kunstmatige intelligentie (AI) of machine learning (ML) te ontwikkelen, te verbeteren of te trainen. Wij dragen dergelijke gegevens evenmin over aan derden voor dat doel. Google-gebruikersgegevens worden niet gebruikt voor het tonen van advertenties.

7. Bewaartermijnen

Persoonsgegevens worden bewaard zolang noodzakelijk voor het doel waarvoor ze zijn verzameld, of zolang wettelijk vereist:

  • Afspraak- en klantgegevens: standaard 2 jaar na de laatste afspraak;
  • Betalingsgerelateerde gegevens: 7 jaar (wettelijke fiscale bewaarplicht);
  • Google Calendar-tokens en synchronisatiegegevens: totdat de koppeling wordt verbroken (zie sectie 6.5);
  • Technische logbestanden: maximaal 90 dagen;
  • Auditlogs van mutaties in het dashboard: 2 jaar, voor beveiliging en compliance.

8. Uw rechten

U heeft het recht op:

  • Inzage in uw persoonsgegevens
  • Correctie of aanvulling van onjuiste gegevens
  • Verwijdering van uw gegevens (het recht op vergetelheid)
  • Beperking van de verwerking
  • Overdraagbaarheid van gegevens (dataportabiliteit)
  • Bezwaar tegen verwerking op basis van gerechtvaardigd belang
  • Intrekking van eerder gegeven toestemming, zoals bij het koppelen van een externe agenda, zonder dat dit afbreuk doet aan de rechtmatigheid van eerdere verwerking

Verzoeken kunt u sturen naar support@stippa.nl. Wij reageren binnen 30 dagen. Om misbruik te voorkomen kunnen wij u vragen uw identiteit aan te tonen. Verwerkt een accounthouder uw gegevens als eindklant, dan kunt u uw verzoek tot die accounthouder richten. Wij verlenen daarbij als verwerker de nodige medewerking.

9. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om uw gegevens te beschermen, waaronder:

  • Versleuteling van gegevens tijdens transport (TLS 1.2 of hoger) en in rust;
  • Versleuteling van gevoelige tokens (zoals OAuth access- en refresh-tokens) met AES-256-GCM vóór opslag;
  • Rolgebaseerd toegangsbeheer met row-level security in de database;
  • Regelmatige beveiligingsbeoordelingen en logging van toegang;
  • Een procedure voor melding van datalekken aan betrokkenen en de Autoriteit Persoonsgegevens conform de AVG.

10. Cookies en analyse

Wij gebruiken functionele cookies en lokale opslag die strikt noodzakelijk zijn voor de werking van de dienst (sessiebeheer, inlogstatus en voorkeuren). Deze worden altijd geplaatst en zijn niet uit te schakelen, omdat de dienst zonder deze niet functioneert.

Op onze publieke marketingwebsite gebruiken wij daarnaast PostHog voor productanalyse, om te begrijpen hoe bezoekers de website gebruiken en deze te verbeteren. Deze analyse wordt uitsluitend uitgevoerd nadat u hiervoor toestemming heeft gegeven via de cookiebanner die bij uw eerste bezoek verschijnt. Weigert u, of onderneemt u geen actie, dan vindt er geen analyse plaats. U kunt uw keuze op elk moment wijzigen door de opgeslagen voorkeur in uw browser te wissen.

Binnen de ingelogde applicatie gebruiken wij PostHog voor productanalyse op accountniveau (zoals welke functies worden gebruikt), op grondslag van ons gerechtvaardigd belang om de dienst te verbeteren. In deze omgeving vindt geen sessie-opname, geen heatmap-registratie en geen automatische klikregistratie plaats. Tijdens beheersessies (impersonatie door support) wordt analyse volledig uitgeschakeld.

Daarnaast verzamelen wij via Vercel Speed Insights geanonimiseerde prestatiegegevens (zoals laadtijden, browsertype, apparaattype en land op landniveau) om de snelheid en betrouwbaarheid van de applicatie te bewaken en te verbeteren. Hierbij worden geen cookies geplaatst en worden geen persoonsgegevens of IP-adressen opgeslagen. De gegevens zijn niet te herleiden tot een individuele bezoeker. Hiervoor is dan ook geen toestemming vereist; de verwerking vindt plaats op grondslag van ons gerechtvaardigd belang.

Alle analysegegevens worden verwerkt op servers binnen de Europese Unie. Wij gebruiken geen advertentiecookies en delen geen gegevens met advertentienetwerken.

11. Kinderen

Onze dienst is niet bedoeld voor gebruik door personen jonger dan 16 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen onder de 16. Indien u vermoedt dat wij dergelijke gegevens hebben verzameld, neem dan contact met ons op zodat wij deze kunnen verwijderen.

12. Geautomatiseerde besluitvorming

Wij maken geen gebruik van geautomatiseerde besluitvorming of profilering die rechtsgevolgen voor u heeft of u in aanmerkelijke mate treft.

13. Klachten

Heeft u een klacht over hoe wij met uw gegevens omgaan? Neem dan contact met ons op via support@stippa.nl. U heeft ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl. Bevindt u zich in een andere EU-lidstaat, dan kunt u ook terecht bij de toezichthoudende autoriteit van uw eigen land.

14. Wijzigingen

Wij kunnen dit privacybeleid van tijd tot tijd bijwerken. De meest recente versie is altijd beschikbaar op deze pagina. Bij ingrijpende wijzigingen informeren wij u via e-mail of een melding in de applicatie.

StippaStippa

Online afspraken maken, zonder gedoe.

Voor wie

  • Voor kappers
  • Schoonheidssalons
  • Fysiotherapeuten
  • Coaches
  • Personal trainers

Functies

  • Boekingswidget
  • Online betalingen
  • Herinneringen
  • No-show preventie
  • Online agenda
  • Klantenbeheer

Product

  • Functies
  • Prijzen
  • Veelgestelde vragen
  • Gids
  • Contact

Juridisch

  • Privacybeleid
  • Algemene voorwaarden
  • Verwerkersovereenkomst

Vergelijken

  • Stippa vs Salonized
  • Stippa vs Fresha
  • Stippa vs Treatwell

© 2026 Stippa. Alle rechten voorbehouden.

De Rechter Software · Molenwater 20, 4511 BN Breskens · KvK 98466402 · btw NL005332100B80

······