Dit privacybeleid legt uit welke persoonsgegevens WrapSheet verwerkt, op welke rechtsgrond, met welke partijen we gegevens delen, en hoe je jouw rechten onder de Algemene Verordening Gegevensbescherming (AVG / GDPR) en de Uitvoeringswet AVG (UAVG) uitoefent. WrapSheet is een iOS-app voor de Nederlandse filmcrew die hun eigen administratie regelen.
1. Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke voor de in dit beleid beschreven verwerkingen is:
- Muayad Hilamia, h/o WrapSheet (eenmanszaak, gevestigd in Nederland)
- KVK-nummer:
91896940 - E-mail: hello@wrapsheet.nl
- Postadres: op verzoek beschikbaar via bovenstaand e-mailadres
Functionaris voor Gegevensbescherming (FG / DPO). Een DPO is niet aangesteld; WrapSheet is een eenmanszaak en valt buiten de aanstellingsplicht van Art. 37 AVG. Vragen over privacy kun je rechtstreeks sturen naar het bovenstaande e-mailadres.
2. Welke gegevens we verwerken
2.1 Lokaal op je apparaat (het grootste deel)
De meeste gegevens die je in WrapSheet invoert blijven op je iPhone, iPad of Mac en worden niet naar onze servers verzonden. Dit zijn onder andere:
- Projecten, bonnen, werkdagen, kilometer-ritten, voorschotten, facturen, budgetcodes
- Filmlocaties, contacten, voertuigen
- GPS-coördinaten tijdens een actief opgenomen rit — uitsluitend lokaal opgeslagen en niet naar onze servers verzonden
- Foto's van bonnen — lokaal opgeslagen, tenzij je de Slimme Scanner gebruikt (zie §2.3)
Deze lokale gegevens vallen buiten de scope van WrapSheet als verwerkingsverantwoordelijke: wij verwerken ze niet server-side, hebben er geen toegang toe en kunnen er geen kopie van maken. Optionele iCloud-back-ups worden door Apple beheerd onder jouw iCloud-account; wij hebben daar geen toegang toe.
2.2 Op onze servers (Supabase) — alleen als je een abonnement hebt
- Auth-rij: je e-mailadres (of een Apple-proxy-adres als je Hide My Email gebruikt), aangemaakt zodra je een abonnement afsluit.
- Sign in with Apple — Hide My Email. Als je bij het inloggen kiest voor "Verberg mijn e-mailadres", ontvangen wij uitsluitend een proxy-adres op
@privaterelay.appleid.com. We krijgen jouw echte Apple-ID nooit te zien. - Abonnementsgegevens: SKU (
pro_monthly), laatste transactie-ID, vervaldatum, abonnementsstatus (bv. free, pro, lapsedOver). Opgeslagen in jouw profielrij en in de audit-tabelapp_store_webhook_events. - Gebruiksteller Slimme Scanner: elke keer dat je een bon of draaiplanning aan de AI-scan aanbiedt, leggen we één rij vast in
ai_scan_logsmet je gebruikers-ID, een tijdstempel en het type scan. Niet de afbeelding en niet de inhoud. Deze teller is nodig om de fair-use-limiet van 500 scans per maand af te dwingen. De afbeelding zelf wordt real-time door Google Gemini verwerkt en daarna verwijderd (zie §2.3).
2.3 Verzonden naar Google Gemini (Verenigde Staten) wanneer de Slimme Scanner is ingeschakeld
- De afbeelding of PDF van de bon plus de namen van je budgetcodes (voor automatische categorisering).
- Draaiplanning-PDF's die je via "Schedule Import" / "Draaiplanning importeren" aanbiedt. Een call sheet kan namen, telefoonnummers, adressen en draailocaties van derden bevatten. Je bent zelf verantwoordelijk voor de bevoegdheid om deze documenten te uploaden.
Je kunt de Slimme Scanner uitschakelen in Instellingen → AI. In dat geval verwerkt WrapSheet bonnen uitsluitend lokaal met Apple Vision (gratis, onbeperkt, blijft op je apparaat). De draaiplanning-import is alleen beschikbaar mét AI; zonder AI-toestemming wordt deze functie niet aangeboden.
3. Rechtsgrond per verwerking
Op grond van Art. 13(1)(c) AVG noemen we voor elke verwerking de specifieke rechtsgrond uit Art. 6(1) AVG:
| Verwerking | Rechtsgrond |
|---|---|
| Aanmaken account (Sign in with Apple) | Art. 6(1)(b) — uitvoering van de overeenkomst |
| Slimme Scanner: bon-OCR (Gemini) | Art. 6(1)(b) — uitvoering van de overeenkomst (door jou geïnitieerd) |
| Slimme Scanner: draaiplanning-OCR (Gemini) | Art. 6(1)(b) — uitvoering van de overeenkomst (door jou geïnitieerd) |
| Abonnement + facturatie-registratie | Art. 6(1)(b) — uitvoering van de overeenkomst Art. 6(1)(c) — wettelijke fiscale bewaarplicht |
| Gegevens lokaal op je apparaat | Buiten de controller-scope: wij verwerken deze niet server-side |
4. Subverwerkers
Wij schakelen de volgende verwerkers in. Een actuele lijst houden we onder dit beleid bij; ingrijpende wijzigingen kondigen we aan in de app (§11).
-
Supabase (database, authenticatie, opslag, Edge Functions, realtime, S2S-webhook-verwerking).
Regio:
eu-west-1 (Ireland)(EU/EEA). Verwerker voor alle server-side gegevens in §2.2. -
Google Gemini (
gemini-2.5-flash, benaderd via de Google Generative Language API). Locatie: Verenigde Staten. Doorgiftewaarborg: Standaardcontractbepalingen (SCC's) plus het EU-VS Data Privacy Framework — Google LLC is DPF-gecertificeerd. Een kopie van de waarborgen is op verzoek beschikbaar via hello@wrapsheet.nl. - Apple MapKit (zoeken van adressen, routeberekening). Verwerking gebeurt op het apparaat zelf; er is geen aparte gegevensstroom naar WrapSheet.
-
Apple App Store Server Notifications V2. Apple stuurt ons abonnements-levenscyclus-events (verlenging, verlopen, terugbetaling) als door Apple ondertekende JWS-payloads. We slaan deze events op in
app_store_webhook_eventsvoor controle-doeleinden.
5. Internationale doorgifte
Op grond van Art. 13(1)(f) en Art. 44–50 AVG: er is één doorgifte buiten de EU/EEA:
- Naar Google Gemini in de Verenigde Staten — uitsluitend de bon- of draaiplanning-afbeelding die je zelf aan de Slimme Scanner aanbiedt, plus je budgetcode-namen. Waarborgen: SCC's (via de Google Cloud Data Processing Addendum) én EU-VS Data Privacy Framework. Een afschrift van de waarborgen is op verzoek beschikbaar via hello@wrapsheet.nl.
Er zijn geen andere doorgiftes buiten de EU/EEA. De Supabase-regio blijft binnen de EU.
6. Bewaartermijnen
- Lokale gegevens op je apparaat: zolang je de app geïnstalleerd hebt. Verwijderen van de app wist alle lokale gegevens.
- Auth-rij en
ai_scan_logs(gebruikstellers): direct verwijderd zodra je je account verwijdert. app_store_webhook_events: bewaard zolang het Supabase-project bestaat. Doel: een controleerbaar grootboek voor abonnementsstatus-afstemming bij een geschil of terugbetaling.- Gegenereerde facturen: WrapSheet bewaart jouw gegenereerde facturen niet server-side. Ze staan op je apparaat. Je bent zelf verantwoordelijk voor het bewaren van een kopie gedurende de 7-jaars-bewaarplicht voor btw-administratie van de Belastingdienst.
- iCloud-back-ups: beheerd door Apple onder jouw iCloud-account; wij hebben hier geen toegang toe.
7. Jouw rechten
Onder de AVG heb je de volgende rechten:
- Recht van inzage (Art. 15) — een kopie van je server-side gegevens opvragen.
- Recht op rectificatie (Art. 16) — onjuiste gegevens laten corrigeren.
-
Recht op gegevenswissing / "vergetelheid" (Art. 17) — via Instellingen → Account verwijderen. De
delete-accountEdge Function verwijdert dan hard: je auth-rij, jeai_scan_logsen jecode_redemptions. - Recht op beperking (Art. 18).
- Recht op gegevensoverdraagbaarheid (Art. 20) — je administratie is in de app exporteerbaar als CSV, XLSX en UBL.
- Recht van bezwaar (Art. 21).
- Recht om toestemming in te trekken (Art. 7(3)) — zonder dat dit eerder verwerkte gegevens onrechtmatig maakt.
- Recht een klacht in te dienen bij de toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens.
Hoe oefen je deze rechten uit? Stuur een e-mail naar hello@wrapsheet.nl. We reageren binnen 30 dagen, zoals Art. 12(3) AVG voorschrijft.
8. Geen tracking
WrapSheet bevat geen analytics-SDK's, advertentienetwerken, third-party crash-tools of trackers van derden. Wij loggen wél essentiële servicegebruik-tellers (bijvoorbeeld een teller voor je AI-scans per maand) om de fair-use-limieten te kunnen handhaven. We loggen geen scherm-views, knop-taps of andere gedragsgegevens.
9. Minimale leeftijd
WrapSheet is niet bedoeld voor gebruikers jonger dan 16 jaar (UAVG Art. 5). Als ouder of voogd vermoedt dat je kind een account heeft aangemaakt, neem contact op via hello@wrapsheet.nl voor verwijdering.
10. Beveiliging
Server-side gegevens worden versleuteld in transit (TLS) en at rest (door Supabase). De toegang tot productiegegevens is beperkt tot de eigenaar van WrapSheet via Multi-Factor Authentication. Row-Level-Security-policies (RLS) beperken iedere gebruiker tot de eigen rijen; cross-account-toegang is op databank-niveau onmogelijk gemaakt. Bij een datalek dat een hoog risico vormt voor jouw rechten en vrijheden, informeren we je rechtstreeks en melden we dit binnen 72 uur bij de Autoriteit Persoonsgegevens, zoals Art. 33–34 AVG voorschrijft.
11. Wijzigingen
Wanneer we deze policy wijzigen, tonen we een melding in de app voordat de wijziging van kracht wordt. De datum bovenaan deze pagina geeft de meest recente versie aan.
12. Contact
Vragen over dit privacybeleid of over jouw rechten? Stuur een e-mail naar hello@wrapsheet.nl.