Privacy policy
20-05-2025 v1.2
Privacy- en cookieverklaring
Versie 2.0 — Laatst bijgewerkt: 19 mei 2026
Onlinerz B.V. (“Onlinerz”, “wij”, “ons”) respecteert uw privacy en gaat zorgvuldig om met uw persoonsgegevens. In deze verklaring leggen wij uit welke gegevens wij verwerken, waarom, hoe lang, en welke rechten u heeft. Deze verklaring is opgesteld conform de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de aanvullende eisen van de advertentieplatformen waarmee wij werken (Meta, Google, TikTok).
1. Wie zijn wij en hoe bereikt u ons
Verwerkingsverantwoordelijke
Onlinerz B.V.
Transistorstraat 151
1322 CN Almere, Nederland
KvK: 91826586
BTWnr: NL865784322B01
Telefoon: +31 85 130 0517
E-mail algemeen: hello@onlinerz.nl
E-mail privacy: privacy@onlinerz.nl
Functionaris Gegevensbescherming (FG)
T.G. Brink — bereikbaar via privacy@onlinerz.nl
2. In welke rol verwerken wij gegevens
Onlinerz verwerkt persoonsgegevens in twee onderscheiden rollen. Welke rol van toepassing is, bepaalt uw rechten en onze verantwoordelijkheden.
2.1 Als verwerkingsverantwoordelijke
Voor gegevens die wij voor onze eigen bedrijfsvoering verwerken: bezoekers van onlinerz.nl, prospects, klanten, leveranciers, sollicitanten en medewerkers. Wij bepalen in deze rol zelfstandig doel en middelen.
2.2 Als verwerker (in opdracht van klanten)
Voor gegevens die wij verwerken in opdracht van onze klanten in het kader van marketingdienstverlening — waaronder advertentiedata afkomstig uit klant-advertentieaccounts bij Meta, Google en TikTok, leads die via klant-campagnes binnenkomen, en e-mail- en WhatsApp-marketingdata. In deze rol is de klant verwerkingsverantwoordelijke en sluiten wij een verwerkersovereenkomst conform AVG art. 28.
3. Welke persoonsgegevens wij verwerken
Afhankelijk van de relatie en doeleinde verwerken wij de volgende categorieën persoonsgegevens.
3.1 Identificatie- en contactgegevens
Voor- en achternaam, geslacht, bedrijfsnaam, functie, adresgegevens, telefoonnummer, e-mailadres.
3.2 Financiële gegevens
Bankrekeningnummer, factuuradres, BTW-nummer, KvK-nummer.
3.3 Technische en gedragsgegevens (websitebezoek)
IP-adres, internetbrowser en apparaattype, bezochte pagina’s en bezoektijden, verwijzende URL, klikgedrag, geolocatie op stad/regio-niveau, cookie-ID’s.
3.4 Communicatie- en marketingdata
E-mailadres, naam en bedrijfsnaam voor onze nieuwsbrief; openings- en klikgedrag in onze e-mails (alleen geaggregeerd voor verbetering van onze content).
3.5 Klant-advertentiedata (rol als verwerker)
Wanneer wij in opdracht van een klant advertenties beheren, verwerken wij namens die klant: campagne-, advertentieset- en advertentie-ID’s, performance-metrics (impressies, klikken, kosten, conversies, ROAS), audience-segmenten op geaggregeerd niveau, en bij conversie-API-koppelingen gehashte (SHA-256) versies van e-mailadressen en telefoonnummers van eindgebruikers van onze klant. Wij ontvangen geen onversleutelde persoonsgegevens van eindgebruikers van klanten.
3.6 Sollicitatiegegevens
CV, motivatiebrief, opleidings- en werkervaringsgegevens van sollicitanten.
3.7 Bijzondere persoonsgegevens
Wij verwerken geen bijzondere persoonsgegevens (zoals gezondheid, religie of biometrie) en streven er actief naar deze niet te ontvangen. Onze diensten richten zich niet op personen jonger dan 16 jaar.
4. Doeleinden en grondslagen
| Doel | Grondslag (AVG art. 6) |
|---|---|
| Uitvoeren van klantovereenkomsten en dienstverlening | Uitvoering overeenkomst |
| Beheren van klant-advertentieaccounts namens klant | Uitvoering overeenkomst (klant is verantwoordelijke) |
| Versturen van facturen en afhandelen betalingen | Uitvoering overeenkomst + wettelijke verplichting |
| Voldoen aan fiscale en wettelijke bewaarplichten | Wettelijke verplichting |
| Versturen nieuwsbrief naar bestaande klanten | Gerechtvaardigd belang (opt-out altijd mogelijk) |
| Versturen nieuwsbrief naar prospects | Toestemming |
| Plaatsen functionele cookies | Gerechtvaardigd belang |
| Plaatsen analytische, marketing- en trackingcookies | Toestemming (via cookiebanner) |
| Verbeteren van onze website en diensten | Gerechtvaardigd belang |
| Beoordelen van sollicitaties | Toestemming + precontractuele maatregelen |
| Beveiliging en fraudepreventie | Gerechtvaardigd belang |
5. Verwerking via API-koppelingen met advertentieplatformen
Voor onze dienstverlening maken wij gebruik van de officiële API’s van advertentieplatformen. Wij vinden het belangrijk dat u precies weet wat dit inhoudt.
5.1 Meta Marketing API en Conversions API
Wij halen geaggregeerde performance-data op uit klant-advertentieaccounts bij Meta Platforms Ireland Ltd. (Facebook, Instagram) middels read-only toegang via de Meta Marketing API. Wanneer een conversie (zoals een afspraak of aankoop) plaatsvindt bij onze klant, sturen wij — uitsluitend met SHA-256-gehashte persoonsgegevens — een event terug via de Meta Conversions API zodat het ad-algoritme leert op feitelijke conversies in plaats van alleen op klikken. Wij hebben nooit schrijfrechten op campagnes via de API.
5.2 Google Ads API en Google Analytics Data API
Voor klanten met Google Ads halen wij performance-data op via de Google Ads API met read-only operaties (uitsluitend GoogleAdsService.search). Voor Google Analytics 4 gebruiken wij de Analytics Data API met een specifieke read-only scope. Wij doen via deze API’s nooit wijzigingen aan campagnes of properties.
5.3 TikTok Marketing API en Events API
Voor klanten met TikTok Ads halen wij performance-data op via de TikTok Marketing API met read-only-scopes. Conversies sturen wij gehashed terug via de TikTok Events API.
5.4 Verwerker-rol bij API-data
Voor deze API-data is de klant de verwerkingsverantwoordelijke en Onlinerz de verwerker. Onze toegang is altijd per klant individueel geconfigureerd via standaard Business Manager / MCC partner-relaties. Toegang wordt binnen 10 werkdagen na beëindiging van de samenwerking ingetrokken.
5.5 Beveiliging van toegangsgegevens
API-tokens en credentials worden versleuteld bewaard (encryption at rest) in een afgeschermde secret-management omgeving. Tokens hebben uitsluitend de minimaal benodigde read-only-scopes. Wijzigingen worden gelogd in een auditlog.
6. Cookies en vergelijkbare technieken
6.1 Functionele cookies
Noodzakelijk voor het werken van de website. Worden zonder toestemming geplaatst.
6.2 Analytische cookies
Voor het meten van websitegebruik (Google Analytics 4 met IP-anonimisering). Worden uitsluitend geplaatst na toestemming via onze cookiebanner.
6.3 Marketing- en trackingcookies
Inclusief de Meta Pixel, Google Ads-tag en TikTok Pixel. Worden uitsluitend geplaatst na expliciete toestemming via onze cookiebanner. Hiermee kunnen wij u relevante advertenties tonen op andere websites en de effectiviteit van onze advertenties meten.
6.4 Toestemming intrekken
U kunt uw cookietoestemming op elk moment intrekken via de cookie-instellingen onderaan onze website, of door de cookies via uw browserinstellingen te verwijderen. Een toelichting vindt u op veiliginternetten.nl/cookies.
7. Hoe lang wij gegevens bewaren
| Categorie | Bewaartermijn |
|---|---|
| Klantadministratie en facturatie | 7 jaar na einde boekjaar (fiscale bewaarplicht) |
| Klantcommunicatie (e-mail, projectdocumenten) | 5 jaar na einde overeenkomst |
| Leads via website-formulieren | 24 maanden na laatste interactie |
| Nieuwsbriefabonnees | Tot uitschrijving |
| Sollicitatiegegevens | 12 weken na afronding procedure (1 jaar met toestemming) |
| Websitebezoek (analytische cookies) | 14 maanden |
| Marketing- en trackingcookies | Per cookie verschillend, maximaal 13 maanden |
| Klant-advertentiedata in ons dashboard (servicetier Care) | 12 maanden |
| Klant-advertentiedata in ons dashboard (servicetier Grow) | 24 maanden |
| Klant-advertentiedata in ons dashboard (servicetier Scale) | 36 maanden |
| Auditlogs en beveiligingslogs | 12 maanden |
Wanneer een bewaartermijn verloopt verwijderen wij de gegevens of anonimiseren wij ze definitief.
8. Delen van persoonsgegevens met derden
Wij verkopen uw persoonsgegevens nooit. Wij delen alleen wanneer dit noodzakelijk is voor de uitvoering van onze diensten, op grond van een wettelijke verplichting, of met uw toestemming.
8.1 Sub-verwerkers
Wij maken gebruik van de volgende sub-verwerkers, met elk een verwerkersovereenkomst:
| Sub-verwerker | Functie | Vestigingsregio |
|---|---|---|
| Meta Platforms Ireland Ltd. | Advertenties + Conversion API | Ierland (EU) |
| Google Ireland Ltd. | Advertenties + Analytics + Workspace | Ierland (EU) |
| TikTok Information Technologies UK Ltd. | Advertenties + Events API | VK / Ierland |
| Brevo SAS | E-mailmarketing en transactionele e-mail | Frankrijk (EU) |
| Hoasted B.V. | Hosting workflow-automatisering (n8n) | Nederland |
| Supabase Inc. | Database, authenticatie, opslag | EU-regio (eu-central-1) |
| Vercel Inc. | Hosting dashboard | EU-regio |
| Anthropic PBC | AI-tekstverwerking via API | Verenigde Staten |
| WhatsApp Business Platform (Meta) | Klantcommunicatie | Ierland (EU) |
| Calendly LLC / Cal.com | Afsprakenboeking | VS / EU |
Een actuele lijst is op verzoek beschikbaar via privacy@onlinerz.nl.
8.2 Andere derden
Accountant, bank, juridische adviseurs en de Belastingdienst — uitsluitend wanneer wettelijk verplicht of noodzakelijk voor onze bedrijfsvoering.
9. Internationale doorgiften
Sommige van onze sub-verwerkers zijn gevestigd in de Verenigde Staten of verwerken gegevens daar. Wij doen alleen gegevens naar landen buiten de Europese Economische Ruimte indien aan ten minste één van de volgende voorwaarden is voldaan:
- De ontvanger is gecertificeerd onder het EU-U.S. Data Privacy Framework (van toepassing op Meta, Google, TikTok-US-entiteiten en Anthropic);
- Er zijn Standaard Contractuele Clausules (SCC’s) afgesloten conform Uitvoeringsbesluit (EU) 2021/914;
- Er is een ander rechtmatig overdrachtsmechanisme conform AVG hoofdstuk V van toepassing.
Wij geven, waar mogelijk, voorkeur aan EU-regio’s voor opslag (Supabase EU, Vercel EU, Hoasted NL).
10. Beveiligingsmaatregelen
Onlinerz neemt passende technische en organisatorische maatregelen om uw gegevens te beschermen, waaronder:
- TLS-encryptie voor alle dataoverdracht (HTTPS, alle interne verbindingen);
- Versleutelde opslag (encryption at rest) voor databases en credential vaults;
- Toegangsbeheer op basis van het least-privilege-principe;
- Multi-factor authenticatie op alle administratieve accounts;
- Audit-logging voor alle wijzigingen aan credentials en klantgegevens;
- Periodieke beveiligingsreviews en updates;
- Datalek-procedure met meldingsplicht binnen 72 uur aan de Autoriteit Persoonsgegevens.
Wanneer u vermoedt dat uw gegevens niet goed beveiligd zijn, neem dan direct contact op via privacy@onlinerz.nl.
11. Geautomatiseerde besluitvorming
Onlinerz maakt gebruik van geautomatiseerde lead-scoring en classificatie binnen onze marketingdienstverlening — bijvoorbeeld het automatisch indelen van binnenkomende leads naar prioriteit op basis van ingevulde formuliergegevens. Deze classificatie heeft geen rechtsgevolgen voor de betrokkene en is altijd onderhevig aan menselijke beoordeling voordat er met de betrokkene gehandeld wordt. Op verzoek leggen wij de gehanteerde logica toe.
12. Uw rechten
U heeft op grond van de AVG de volgende rechten:
- Inzage — opvragen welke gegevens wij van u verwerken;
- Rectificatie — onjuiste gegevens laten corrigeren;
- Verwijdering — gegevens laten verwijderen (recht op vergetelheid), voor zover geen wettelijke bewaarplicht geldt;
- Beperking — verwerking laten beperken;
- Bezwaar — bezwaar maken tegen verwerking op grond van gerechtvaardigd belang;
- Overdraagbaarheid — uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat ontvangen;
- Intrekking toestemming — eerder gegeven toestemming intrekken zonder gevolg voor eerdere rechtmatige verwerking.
Hoe uitoefenen
Stuur uw verzoek naar privacy@onlinerz.nl. Wij reageren binnen vier weken.
Identiteitsverificatie
Om misbruik te voorkomen verifiëren wij uw identiteit. Wij gebruiken hiervoor — conform de aanbevelingen van de Autoriteit Persoonsgegevens — bij voorkeur proportionele methoden zoals een verificatie-e-mail vanaf het bij ons bekende e-mailadres, een videocall, of een terugbelverificatie op het bij ons bekende telefoonnummer. Wij vragen géén kopie van uw identiteitsbewijs voor inzage-verzoeken, tenzij dit in een specifiek geval strikt noodzakelijk en proportioneel is.
Verzoeken die betrekking hebben op klant-data
Als uw verzoek betrekking heeft op gegevens die wij in opdracht van een klant verwerken (bijvoorbeeld doordat u via een advertentie van onze klant een lead bent geworden), verwijzen wij u door naar de betreffende klant als verwerkingsverantwoordelijke, en informeren wij u welke partij dit betreft.
13. Klacht bij de toezichthouder
U heeft het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl. Wij waarderen het wanneer u eerst contact met ons opneemt zodat wij uw klacht direct kunnen behandelen.
14. Wijzigingen in deze verklaring
Wij kunnen deze privacyverklaring aanpassen. Wijzigingen publiceren wij op deze pagina met versienummer en datum. Bij materiële wijzigingen die uw rechten raken, informeren wij actieve klanten en nieuwsbriefabonnees per e-mail.