Fynance

Privacybeleid

Fynance B.V.

Laatst bijgewerkt: 19 maart 2026Ingangsdatum: 19 maart 2026

1. Verwerkingsverantwoordelijke

Fynance B.V. is de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG/GDPR) voor de verwerking van uw persoonsgegevens via de Fynance-applicatie en de bijbehorende diensten.

Onze contactgegevens zijn:

  • Handelsnaam: Fynance B.V.
  • KvK-nummer: 98763156
  • BTW-nummer: NL868632983B01
  • Vestigingsadres: [Vestigingsadres invullen]
  • E-mailadres (privacy): privacy@fynance.nl

Voor vragen, opmerkingen of verzoeken met betrekking tot de verwerking van uw persoonsgegevens kunt u te allen tijde contact met ons opnemen via privacy@fynance.nl. Wij streven ernaar uw bericht binnen 5 werkdagen te beantwoorden.

2. Welke persoonsgegevens verwerken wij?

Fynance verwerkt uitsluitend persoonsgegevens die noodzakelijk zijn voor het leveren van onze financiële overzichtsdienst. Wij onderscheiden de volgende categorieën:

2.1. Accountgegevens

Gegevens die u verstrekt bij registratie en het beheer van uw account:

  • Voor- en achternaam
  • E-mailadres
  • Wachtwoord (uitsluitend opgeslagen als gehashte waarde — nooit in leesbare tekst)
  • Voorkeursinstellingen en taalinstellingen
  • Abonnementsstatus (gratis of premium)

2.2. Financiële gegevens

Gegevens die worden opgehaald via de Open Banking-koppeling (PSD2/Yapily) nadat u hiervoor expliciet toestemming heeft gegeven:

  • Bankrekeningnummers (IBAN)
  • Rekeningsaldo’s (huidig en historisch)
  • Transactiegegevens (datum, bedrag, omschrijving, tegenpartij, rekeningnummer tegenpartij, transactietype)
  • Rekeninghoudersnaam (zoals geregistreerd bij de bank)
  • Valuta en rekeningtype

Fynance slaat nooit uw bankinloggegevens (gebruikersnaam, pincode of wachtwoord van uw bank) op. De koppeling verloopt uitsluitend via de beveiligde OAuth 2.0-stroom van uw bank, waarbij u direct authenticeert bij uw bank.

2.3. Technische gegevens

Gegevens die automatisch worden verzameld bij gebruik van onze dienst:

  • IP-adres (gepseudonimiseerd via SHA-256 hashing in productieomgeving — nooit in leesbare tekst opgeslagen)
  • Browsertype en -versie
  • Besturingssysteem en apparaattype
  • Sessie-identificatoren (httpOnly cookies)
  • Tijdstempel van aanmeldingen en acties
  • Foutmeldingen en technische diagnostische gegevens (via Sentry)

2.4. Gebruiksgegevens

Gegevens over hoe u onze dienst gebruikt, uitsluitend na uw toestemming:

  • Bezochte pagina's en navigatiepatronen (via Google Analytics)
  • Klikgedrag en gebruik van functies
  • Duur van sessies
  • Verwijzende website (referral)

Deze analytische gegevens worden alleen verzameld nadat u hiervoor expliciet toestemming heeft gegeven via onze cookiebanner. U kunt uw toestemming te allen tijde intrekken.

3. Rechtsgrond per verwerkingsdoel

Wij verwerken persoonsgegevens uitsluitend op basis van een geldige rechtsgrond als bedoeld in artikel 6 AVG. Hieronder vindt u een overzicht per verwerkingsdoel:

VerwerkingsdoelRechtsgrond (art. 6 AVG)Toelichting
Aanmaken en beheren van uw accountUitvoering van een overeenkomst (art. 6 lid 1 sub b)Noodzakelijk voor het leveren van de Fynance-dienst.
Koppelen van bankrekeningen via Open Banking (PSD2)Toestemming (art. 6 lid 1 sub a)U geeft expliciet toestemming per bankkoppeling. Intrekking is te allen tijde mogelijk.
Weergeven van transactieoverzichten en saldiUitvoering van een overeenkomst (art. 6 lid 1 sub b)Kernfunctie van de dienst.
Automatische categorisatie van transacties (ML)Gerechtvaardigd belang (art. 6 lid 1 sub f)Verbetert de gebruikswaarde van de dienst; geen rechtsgevolgen voor de gebruiker.
Detectie van terugkerende betalingenGerechtvaardigd belang (art. 6 lid 1 sub f)Biedt financieel inzicht; verwerking staat in verhouding tot het belang.
Verwerking van abonnementsbetalingen (Stripe)Uitvoering van een overeenkomst (art. 6 lid 1 sub b)Noodzakelijk voor facturering van premium abonnementen.
Verzenden van transactionele e-mails (verificatie, wachtwoord reset)Uitvoering van een overeenkomst (art. 6 lid 1 sub b)Noodzakelijk voor accountbeheer en beveiliging.
Klantcommunicatie en ondersteuningUitvoering van een overeenkomst (art. 6 lid 1 sub b)Beantwoorden van vragen en oplossen van problemen.
Foutmonitoring en technische stabiliteit (Sentry)Gerechtvaardigd belang (art. 6 lid 1 sub f)Noodzakelijk voor het handhaven van de technische kwaliteit en beveiliging van de dienst.
Websiteanalyse (Google Analytics)Toestemming (art. 6 lid 1 sub a)Alleen na expliciete toestemming via cookiebanner. Intrekking te allen tijde mogelijk.
Naleving van wettelijke verplichtingen (o.a. fiscale bewaarplicht)Wettelijke verplichting (art. 6 lid 1 sub c)Wettelijke bewaarplicht van 7 jaar voor financiële administratie.
Beveiliging en fraudepreventie (rate limiting, toegangslogs)Gerechtvaardigd belang (art. 6 lid 1 sub f)Bescherming van de dienst en gebruikersaccounts tegen misbruik.

Waar wij een beroep doen op ons gerechtvaardigd belang, hebben wij een afweging gemaakt tussen ons belang en uw privacybelangen. U heeft het recht bezwaar te maken tegen verwerkingen op basis van gerechtvaardigd belang. Zie hiervoor sectie 8 (Rechten van de betrokkene).

4. Open Banking (PSD2)

Fynance maakt gebruik van Open Banking-technologie op basis van de Europese PSD2-richtlijn (Payment Services Directive 2) om u inzicht te geven in uw bankgegevens vanuit meerdere bankrekeningen op één plek.

4.1. Yapily als Account Information Service Provider (AISP)

Voor de technische realisatie van de bankkoppeling werken wij samen met Yapily Ltd., een geautoriseerde Account Information Service Provider (AISP). Yapily is geregistreerd bij de Financial Conduct Authority (FCA) in het Verenigd Koninkrijk (FRN: 800880) en opereert als PSD2-gelicentieerde derde aanbieder (TPP) binnen de Europese Economische Ruimte.

Op grond van deze licentie mag Yapily — namens en met toestemming van u — enkel leestoegang ("read-only") opvragen bij uw bank. Het is Yapily en Fynance wettelijk en technisch niet toegestaan om betalingen te initiëren of uw bankgegevens te wijzigen.

4.2. Welke bankgegevens worden opgehaald?

Nadat u per bankkoppeling expliciet toestemming verleent, worden de volgende gegevens opgehaald:

  • Rekeninginformatie: IBAN, rekeningtype, valuta, rekeninghoudersnaam
  • Saldogegevens: huidig saldo en beschikbaar saldo
  • Transactiehistorie: tot maximaal 18 maanden terug (afhankelijk van de bank)
  • Transactiedetails: datum, bedrag, omschrijving, tegenrekeningnummer, naam tegenpartij

4.3. Fynance slaat nooit uw bankinloggegevens op

U authenticeert altijd rechtstreeks bij uw eigen bank via de beveiligde OAuth 2.0-stroom van uw bank. Fynance ziet en bewaart op geen enkel moment uw bankgebruikersnaam, pincode, wachtwoord of andere inloggegevens.

De koppeling wordt technisch vastgelegd via een versleuteld consenttoken dat door uw bank wordt afgegeven. Dit token heeft een beperkte geldigheidsduur. Na het verlopen van het token of na intrekking van uw toestemming is toegang tot uw bankgegevens niet meer mogelijk en worden er geen nieuwe gegevens meer opgehaald.

U kunt een bankkoppeling te allen tijde verwijderen via uw accountinstellingen in de Fynance-app. Bij verwijdering worden het consenttoken ingetrokken en de koppeling beëindigd.

5. Derde partijen en verwerkers

Fynance deelt uw persoonsgegevens uitsluitend met zorgvuldig geselecteerde derde partijen die noodzakelijk zijn voor het leveren van onze dienst. Met alle verwerkers zijn verwerkersovereenkomsten gesloten die voldoen aan de AVG-vereisten.

Wij verkopen uw persoonsgegevens nooit aan derden en delen uw gegevens niet voor commerciële of marketingdoeleinden van derden.

PartijVestigingslocatieRol / DienstDoorgifte grondslag
Yapily Ltd.Verenigd Koninkrijk (Londen)Account Information Service Provider (AISP); technische bankkoppeling via PSD2/Open BankingAdequaatheidsbesluit VK (lopende evaluatie); Standard Contractual Clauses (SCCs)
Supabase Inc.EU — Frankfurt, Duitsland (AWS eu-central-1)Database-hosting, authenticatie en realtime-diensten; uw persoonsgegevens worden opgeslagen in de EUGegevens worden verwerkt binnen de EU; verwerkersovereenkomst conform AVG
Stripe Inc.EU (Ierland) en Verenigde StatenBetalingsverwerking voor premium abonnementen; Stripe is zelfstandig verwerkingsverantwoordelijke voor betalingsgegevens conform PCI-DSSEU-entiteit (Stripe Payments Europe Ltd.); SCCs voor VS-doorgifte
Resend Inc.Verenigde StatenTransactionele e-mailverzending (verificatie-e-mails, wachtwoordherstel, systeemmeldingen)Standard Contractual Clauses (SCCs)
Functional Software Inc. (Sentry)Verenigde StatenFoutmonitoring en technische diagnose; foutmeldingen kunnen versleutelde gebruikersidentificatoren bevattenStandard Contractual Clauses (SCCs); EU Data Processing Addendum beschikbaar
Google LLC (Google Analytics)Verenigde StatenWebsiteanalyse en gebruiksstatistieken; uitsluitend na uw toestemming via de cookiebannerStandard Contractual Clauses (SCCs); IP-anonimisatie ingeschakeld
Netlify Inc.Verenigde StatenHosting van de Fynance-webapplicatie en serverloze functiesStandard Contractual Clauses (SCCs)
OpenAI Inc.Verenigde StatenAI-gestuurde transactiecategorisatie; transactieomschrijvingen en bedragen worden verwerkt voor automatische classificatie. Geen volledige rekeningnummers of persoonlijke identifiers worden verzonden.Standard Contractual Clauses (SCCs); Data Processing Addendum
Fingerprint Pro (Fingerprintjs Inc.)EU-servers (verwerking in EU); bedrijf gevestigd in VSApparaatherkenning voor de "Vertrouwd apparaat"-functie bij multi-factorauthenticatie (MFA). Genereert een gepseudonimiseerde apparaat-ID (SHA-256 gehasht).EU-verwerking; Standard Contractual Clauses (SCCs); SOC 2 Type II gecertificeerd
Yahoo Finance (Refined Data LLC)Verenigde StatenOphalen van beurskoersen en aandeelgegevens voor de portfoliofunctie. Er worden geen persoonsgegevens gedeeld — uitsluitend tickersymbolen worden opgevraagd.Geen persoonsgegevens betrokken; openbare marktdata
Frankfurter.app / ExchangeRate-HostEU / Verenigde StatenWisselkoersinformatie voor valutaomrekeningen. Er worden geen persoonsgegevens gedeeld — uitsluitend valutacodes worden opgevraagd.Geen persoonsgegevens betrokken; openbare wisselkoersdata

Naast bovenstaande verwerkers kunnen wij uw gegevens delen met overheidsinstanties of toezichthouders indien wij hiertoe wettelijk verplicht zijn, of in het kader van een gerechtelijk bevel. In dat geval zullen wij u hierover informeren voor zover wettelijk toegestaan.

6. Internationale doorgifte van persoonsgegevens

Sommige van onze verwerkers zijn gevestigd buiten de Europese Economische Ruimte (EER), met name in de Verenigde Staten. Op grond van de AVG is doorgifte naar derde landen alleen toegestaan indien er passende waarborgen zijn getroffen.

Wij maken gebruik van de volgende mechanismen voor internationale doorgiften:

  • Standard Contractual Clauses (SCCs): Voor alle verwerkers in de VS maken wij gebruik van de door de Europese Commissie vastgestelde modelcontractbepalingen (SCCs, 2021/914/EU). Deze contractuele waarborgen verplichten de ontvanger uw gegevens op een AVG-gelijkwaardig niveau te beschermen.
  • Adequaatheidsbesluit: Waar de Europese Commissie een adequaatheidsbesluit heeft vastgesteld (zoals gedeeltelijk voor het Verenigd Koninkrijk), baseren wij de doorgifte op dat besluit. Wij monitoren ontwikkelingen omtrent het VK-adequaatheidsbesluit en nemen aanvullende maatregelen indien nodig.
  • Aanvullende technische maatregelen: Naast contractuele waarborgen passen wij technische maatregelen toe, zoals versleuteling van gegevens in transit (TLS 1.2+) en in rust, en pseudonimisering waar van toepassing.

U kunt een kopie van de toepasselijke SCCs of aanvullende informatie over de getroffen waarborgen opvragen via privacy@fynance.nl.

7. Bewaartermijnen

Fynance bewaart uw persoonsgegevens niet langer dan strikt noodzakelijk voor de doeleinden waarvoor zij zijn verzameld, of langer dan wettelijk vereist. Onderstaand overzicht geeft de bewaartermijnen per gegevenscategorie weer:

GegevenscategorieBewaartermijnGrondslag / Toelichting
Accountgegevens (naam, e-mailadres, instellingen)Gedurende de looptijd van uw account + 30 dagen na verwijderingUitvoering overeenkomst; 30 dagen om verwijdering ongedaan te maken. Na 30 dagen permanente verwijdering.
Financiële transactiegegevens7 jaar na het betreffende boekjaarWettelijke bewaarplicht op grond van art. 52 AWR (fiscale administratieplicht).
SaldogegevensGedurende looptijd account + 30 dagen na verwijderingKernfunctie van de dienst; geanonimiseerd na verwijderingsperiode.
Bankkoppeling (consenttoken)Tot intrekking door gebruiker of vervaldatum consenttokenConsenttoken ingetrokken bij koppelingsverwijdering; geen verdere ophaling van bankgegevens.
Technische logs en foutmeldingen (Sentry)90 dagenGerechtvaardigd belang (technische stabiliteit en beveiliging); automatische verwijdering na 90 dagen.
Toegangslogs en beveiligingsgebeurtenissen90 dagenFraudepreventie en beveiliging; gerechtvaardigd belang.
Betalings- en abonnementsgegevens (Stripe)Conform Stripe-beleid (doorgaans 7 jaar conform financiële regelgeving)Stripe is zelfstandig verwerkingsverantwoordelijke; zie Stripe Privacy Policy.
Analytische gegevens (Google Analytics)14 maanden (standaard Google Analytics retentie)Alleen na toestemming; automatisch verwijderd conform Google Analytics-instellingen.
E-mailcommunicatie (via Resend)30 dagen na verzendingTechnische logretentie voor bezorgingsbevestiging; daarna automatisch verwijderd.

Na het verstrijken van de bewaartermijn worden gegevens permanent verwijderd of geanonimiseerd, zodat ze niet langer herleidbaar zijn tot een natuurlijk persoon. Geanonimiseerde, geaggregeerde statistische gegevens (niet herleidbaar tot individuen) kunnen voor onbepaalde tijd worden bewaard voor analytische doeleinden.

8. Uw rechten als betrokkene

Op grond van de AVG heeft u de volgende rechten ten aanzien van uw persoonsgegevens:

  • Recht op inzage (art. 15 AVG): U heeft het recht om te weten welke persoonsgegevens wij van u verwerken, voor welke doeleinden, met welke partijen wij deze delen en hoe lang wij deze bewaren.
  • Recht op rectificatie (art. 16 AVG): U heeft het recht om onjuiste of onvolledige persoonsgegevens te laten corrigeren. U kunt een deel van uw gegevens zelf aanpassen via uw accountinstellingen.
  • Recht op gegevenswissing ("recht om vergeten te worden") (art. 17 AVG): U heeft het recht ons te verzoeken uw persoonsgegevens te wissen, tenzij wij een dwingende gerechtvaardigde reden hebben om de gegevens te bewaren (bijv. wettelijke bewaarplicht).
  • Recht op beperking van de verwerking (art. 18 AVG): U heeft het recht de verwerking van uw gegevens te laten beperken in bepaalde omstandigheden, bijvoorbeeld gedurende de periode dat wij een bezwaar behandelen.
  • Recht op gegevensoverdraagbaarheid (art. 20 AVG): U heeft het recht uw persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen, zodat u deze kunt overdragen aan een andere verwerkingsverantwoordelijke.
  • Recht van bezwaar (art. 21 AVG): U heeft het recht bezwaar te maken tegen de verwerking van uw persoonsgegevens op basis van gerechtvaardigd belang. Wij staken de verwerking tenzij wij dwingende gerechtvaardigde gronden kunnen aanvoeren die zwaarder wegen dan uw belangen.

Hoe kunt u uw rechten uitoefenen?

U kunt een verzoek indienen door een e-mail te sturen naar privacy@fynance.nl. Vermeld hierbij uw naam en het e-mailadres waarmee u bent geregistreerd, zodat wij uw identiteit kunnen verifiëren. Wij kunnen aanvullende verificatie vragen om uw identiteit te bevestigen en te voorkomen dat uw gegevens worden verstrekt aan onbevoegden.

Wij streven ernaar uw verzoek binnen 30 dagen te beantwoorden. Bij complexe of meervoudige verzoeken kan deze termijn met maximaal twee maanden worden verlengd. Wij informeren u in dat geval binnen 30 dagen over de verlenging en de reden daarvoor.

Het uitoefenen van uw rechten is kosteloos, tenzij uw verzoek kennelijk ongegrond of buitensporig is (bijv. bij herhaalde verzoeken). In dat geval kunnen wij een redelijke vergoeding in rekening brengen.

9. Recht om toestemming in te trekken

Waar de verwerking van uw persoonsgegevens is gebaseerd op uw toestemming, heeft u het recht deze toestemming te allen tijde in te trekken, zonder opgave van redenen. Het intrekken van uw toestemming heeft geen terugwerkende kracht: verwerkingen die hebben plaatsgevonden vóór de intrekking blijven rechtmatig.

U kunt uw toestemming op de volgende manieren intrekken:

  • Bankkoppeling (Open Banking): U kunt een bankkoppeling te allen tijde verwijderen via Instellingen → Bankrekeningen in de Fynance-app. Bij verwijdering wordt het consenttoken onmiddellijk ingetrokken en worden er geen nieuwe bankgegevens meer opgehaald. Eerder opgehaalde transactiegegevens worden bewaard conform de wettelijke bewaartermijnen (zie sectie 7).
  • Google Analytics-cookies (analytisch): U kunt uw toestemming voor analytische cookies intrekken via de cookiebeheerder, bereikbaar via de link "Cookievoorkeuren" in de footer van de applicatie. Na intrekking worden er geen analytische gegevens meer verzameld.
  • Alle toestemmingen tegelijk: U kunt ook contact opnemen met privacy@fynance.nl om alle toestemmingen die u heeft gegeven te laten intrekken.

Na intrekking van een toestemming staken wij de verwerking op basis van die toestemming zo spoedig mogelijk, en in elk geval binnen 72 uur.

10. Geautomatiseerde besluitvorming en profilering

Fynance maakt gebruik van geautomatiseerde verwerking van uw transactiegegevens voor de volgende doeleinden:

10.1. Automatische transactiecategorisatie (Machine Learning)

Fynance past een meerlagig categorisatiesysteem toe om uw transacties automatisch te classificeren in categorieën zoals boodschappen, huur, abonnementen en inkomen. De derde laag van dit systeem maakt gebruik van een AI-classificatiemodel via OpenAI, dat transactieomschrijvingen en bedragen analyseert om de meest passende categorie te bepalen.

Kenmerken van deze verwerking:

  • Het model analyseert uitsluitend de omschrijving en het bedrag van een transactie — geen andere persoonsgegevens.
  • De categorisatie heeft geen juridische gevolgen voor u en leidt niet tot geautomatiseerde besluiten die u significant beïnvloeden in de zin van art. 22 AVG.
  • Categorisaties zijn altijd zichtbaar voor u en kunnen te allen tijde handmatig worden gecorrigeerd via de transactiedetails in de app.
  • Handmatige correcties worden opgeslagen als persoonlijke regels die bij toekomstige vergelijkbare transacties voorrang krijgen boven het AI-model.
  • Transactieomschrijvingen en bedragen worden verwerkt door OpenAI Inc. (VS) onder een Data Processing Addendum. Er worden geen volledige rekeningnummers, namen of andere directe persoonlijke identifiers meegestuurd.

10.2. Detectie van terugkerende betalingen

Fynance analyseert uw transactiepatronen automatisch om terugkerende betalingen te identificeren, zoals abonnementen, huurbetalingen en verzekeringspremies. Dit biedt u inzicht in uw vaste lasten. Deze detectie vindt plaats op basis van patroonherkenning en bekende leveranciersregisters — hierbij wordt geen AI-model ingezet.

Ook deze verwerking heeft geen juridische gevolgen voor u en leidt niet tot geautomatiseerde besluiten als bedoeld in art. 22 AVG. Gedetecteerde terugkerende betalingen worden u ter bevestiging aangeboden en kunnen worden gecorrigeerd of verwijderd.

10.3. Geen profilering voor commerciële derden

Fynance gebruikt uw financiële gegevens niet voor profilering ten behoeve van derden, voor reclame-targeting, kredietbeoordeling of andere doeleinden dan het leveren van de Fynance-dienst aan u.

11. Cookies en tracking

Fynance maakt gebruik van cookies en vergelijkbare technologieën. Voor een volledig overzicht van alle cookies die wij gebruiken, de doeleinden en de bewaartermijnen verwijzen wij u naar ons uitgebreide Cookiebeleid, beschikbaar op /cookies.

Hieronder volgt een beknopt overzicht van de categorieën:

11.1. Noodzakelijke cookies (geen toestemming vereist)

Deze cookies zijn strikt noodzakelijk voor de werking van de applicatie en worden geplaatst op basis van ons gerechtvaardigd belang dan wel de uitvoering van de overeenkomst. U kunt deze cookies niet weigeren zonder de functionaliteit van de dienst te beïnvloeden.

  • Supabase Auth-sessiecookie (sb-access-token, sb-refresh-token): httpOnly, Secure — bevat de versleutelde sessietoken voor authenticatie. Geen bankinloggegevens. Levensduur: sessie / 1 uur (access token), 7 dagen (refresh token).
  • CSRF-beschermingscookie: beveiligt formulierverzoeken tegen cross-site request forgery.
  • Cookievoorkeuren-cookie: slaat uw cookievoorkeur op zodat de banner niet bij elk bezoek verschijnt.

11.2. Analytische cookies (toestemming vereist)

Alleen na uw expliciete toestemming via de cookiebanner plaatsen wij analytische cookies van Google Analytics (Google LLC). Deze cookies helpen ons inzicht te krijgen in het gebruik van de applicatie, zodat wij de gebruikerservaring kunnen verbeteren.

  • Google Analytics (_ga, _gid, _gat): meten paginabezoeken, sessieduur en navigatiepatronen. IP-anonimisatie is ingeschakeld; volledig IP-adres wordt nooit door Google opgeslagen.
  • Bewaartermijn: 14 maanden (standaard Google Analytics-retentie).

U kunt uw toestemming te allen tijde intrekken via "Cookievoorkeuren" in de footer, of via de Google Analytics opt-out browserextensie.

12. Beveiliging van persoonsgegevens

Fynance neemt de bescherming van uw persoonsgegevens serieus en treft passende technische en organisatorische maatregelen om uw gegevens te beveiligen tegen verlies, ongeoorloofde toegang, wijziging of openbaarmaking. Wij passen onder meer de volgende maatregelen toe:

  • Transportbeveiliging (TLS 1.2+): Alle communicatie tussen uw browser en onze servers verloopt via HTTPS met minimaal TLS 1.2-versleuteling. Gegevens worden nooit via onbeveiligde verbindingen verzonden.
  • Row Level Security (RLS): Onze database (Supabase/PostgreSQL) is geconfigureerd met Row Level Security op alle tabellen met persoonsgegevens. Dit betekent dat elke gebruiker uitsluitend zijn of haar eigen gegevens kan inzien — toegang tot gegevens van andere gebruikers is technisch geblokkeerd op databaseniveau.
  • Versleuteling van gevoelige gegevens in rust: Bijzonder gevoelige identifiers (zoals Stripe-klant-ID's) worden versleuteld opgeslagen in de database met AES-256-encryptie. Wachtwoorden worden nooit in leesbare tekst opgeslagen; alleen de gehashte waarde wordt bewaard.
  • SHA-256 pseudonimisering: IP-adressen worden in de productieomgeving direct gehasht met SHA-256 voordat ze worden opgeslagen. Geen enkel logrecord bevat een leesbaar IP-adres.
  • Principe van minimale rechten: Interne systemen en verwerkers hebben uitsluitend toegang tot de persoonsgegevens die strikt noodzakelijk zijn voor hun specifieke taak.
  • Database-backed rate limiting: Toegang tot de API is beschermd door ratebegrenzingmechanismen op PostgreSQL-niveau, die beschermen tegen brute-force-aanvallen en misbruik.
  • Multi-factor authenticatie (MFA): Gebruikers kunnen MFA inschakelen voor hun account voor extra beveiliging bij het inloggen.
  • Regelmatige beveiligingsreviews: Wij voeren periodieke beveiligingsreviews uit van onze codebase, afhankelijkheden en configuraties. Kwetsbaarheden in afhankelijkheden worden actief gemonitord en zo snel mogelijk verholpen.
  • Foutmonitoring zonder gevoelige gegevens: Technische foutmeldingen die via Sentry worden vastgelegd, zijn geconfigureerd om geen gevoelige persoonsgegevens (zoals wachtwoorden, volledige transactieomschrijvingen of volledige rekeningnummers) te bevatten.

Hoewel wij al het redelijke doen om uw gegevens te beschermen, kan geen enkele beveiligingsmaatregel absolute veiligheid garanderen. In het geval van een datalek dat waarschijnlijk een hoog risico voor uw rechten en vrijheden inhoudt, zullen wij u zo snel mogelijk informeren conform de AVG-meldplicht.

Vermoedt u een beveiligingsincident of heeft u een kwetsbaarheid gevonden? Meld dit direct via privacy@fynance.nl. Wij hanteren een responsible disclosure-beleid.

13. Minderjarigen

De Fynance-dienst is bestemd voor personen van 16 jaar en ouder, in overeenstemming met de Uitvoeringswet AVG (Nederland) en vergelijkbare implementaties in België (13 jaar) en Duitsland (16 jaar). Wij verwerken bewust geen persoonsgegevens van personen jonger dan 16 jaar.

Door een account aan te maken, bevestigt u dat u 16 jaar of ouder bent. Wij vertrouwen op deze verklaring. Als wij redenen hebben om aan te nemen dat een account toebehoort aan een persoon jonger dan 16 jaar, zullen wij dat account zo snel mogelijk opschorten en de bijbehorende gegevens verwijderen.

Betaalde diensten (Premium-abonnement) zijn uitsluitend beschikbaar voor gebruikers van 18 jaar en ouder, aangezien de betalingsdienstverlener (Stripe) dit vereist.

Indien u als ouder of voogd van mening bent dat uw kind jonger dan 16 jaar een account heeft aangemaakt bij Fynance, verzoeken wij u contact met ons op te nemen via privacy@fynance.nl. Wij zullen het account dan onmiddellijk verwijderen.

14. Klachtrecht bij de toezichthoudende autoriteit

Als u van mening bent dat wij uw persoonsgegevens niet conform de AVG verwerken, heeft u altijd het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit. Wij stellen het echter op prijs als u eerst contact met ons opneemt via privacy@fynance.nl, zodat wij eventuele problemen kunnen oplossen.

Afhankelijk van uw woonplaats kunt u een klacht indienen bij:

  • Nederland — Autoriteit Persoonsgegevens (AP): Postbus 93374, 2509 AJ Den Haag | T: +31 (0)70 888 85 00 | www.autoriteitpersoonsgegevens.nl
  • België — Gegevensbeschermingsautoriteit (GBA / APD): Drukpersstraat 35, 1000 Brussel | T: +32 (0)2 274 48 00 | www.gegevensbeschermingsautoriteit.be
  • Duitsland — Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) (federaal): Graurheindorfer Str. 153, 53117 Bonn | T: +49 (0)228 997799-0 | www.bfdi.bund.de. Afhankelijk van uw deelstaat kunt u ook terecht bij de relevante deelstatelijke toezichthouder (Landesdatenschutzbeauftragter).

U kunt ook een klacht indienen bij de toezichthoudende autoriteit van uw gewone verblijfplaats of werkplek, of van de lidstaat waar de vermeende inbreuk heeft plaatsgevonden.

15. Wijzigingen in dit privacybeleid

Fynance behoudt zich het recht voor dit privacybeleid te wijzigen als gevolg van veranderingen in onze dienstverlening, wijzigingen in wet- en regelgeving, of om andere redenen die wij relevant achten.

Bij materiële wijzigingen — dat wil zeggen wijzigingen die uw rechten of de manier waarop wij uw gegevens verwerken wezenlijk beïnvloeden — hanteren wij de volgende procedure:

  • Kennisgeving per e-mail: U ontvangt minimaal 30 dagen vóór de inwerkingtreding van de wijzigingen een e-mail op het adres dat u bij ons heeft geregistreerd. De e-mail bevat een samenvatting van de belangrijkste wijzigingen en een link naar de volledige bijgewerkte tekst.
  • Melding in de applicatie: Bij uw eerstvolgende aanmelding na de kennisgeving wordt u gevraagd kennis te nemen van de wijzigingen.
  • Publicatie op de website: De bijgewerkte versie van het privacybeleid wordt altijd gepubliceerd op fynance.nl/privacy, met vermelding van de datum van de laatste wijziging en de ingangsdatum.

Bij niet-materiële wijzigingen (zoals het corrigeren van spelfouten, verduidelijkende aanpassingen of het bijwerken van contactgegevens) kunnen wij de wijzigingen zonder voorafgaande kennisgeving doorvoeren. De datum "Laatste update" bovenaan dit document wordt in dat geval bijgewerkt.

Indien u na de inwerkingtreding van de wijzigingen gebruik blijft maken van de Fynance-dienst, wordt dit beschouwd als acceptatie van het bijgewerkte privacybeleid. Als u niet akkoord gaat met de wijzigingen, kunt u uw account verwijderen via Instellingen → Account → Account verwijderen, of contact opnemen met privacy@fynance.nl.

De huidige versie van dit privacybeleid is van kracht vanaf 19 maart 2026. Eerdere versies zijn op verzoek beschikbaar via privacy@fynance.nl.