Privacybeleid

App: ZumFlo
Uitgever: Sub37 Labs
Contact: privacy [at] zumflo.app
Laatst bijgewerkt: 1 april 2026

Jouw privacy is essentieel. ZumFlo is gebouwd op het principe van Privacy by Design: je financiële gegevens zijn van jou. Sub37 Labs verzamelt, verkoopt, deelt of bekijkt je gegevens niet. Dit beleid beschrijft precies welke data de app verwerkt, waar deze wordt opgeslagen en welke controle jij hebt.

1. Gegevens die we verzamelen en hoe ze worden opgeslagen

ZumFlo functioneert primair als een lokale applicatie op je iOS-apparaat. Sub37 Labs beheert geen servers die jouw gegevens opslaan.

Categorie	Voorbeelden	Opslag
Identiteit & Contact	Naam, e-mail, telefoonnummer, profielfoto	Op apparaat
Bedrijfsgegevens	Bedrijfsnaam, adres, KvK-nummer, BTW-nummer, IBAN	Op apparaat
Financiële gegevens	Dagstaten, omzet, kosten, verrekeningen, uren, kilometers	Op apparaat
Diensten & Producten	Categorieën, prijzen, financiële regels, kostenafspraken	Op apparaat
Authenticatietokens	OAuth access- en refresh-tokens voor SumUp, PayPal POS en Moneybird	iOS Keychain
PIN-provider identiteit	Merchant-code en accountnaam van je SumUp- of PayPal POS-account	Op apparaat
Boekhoudkoppeling	Moneybird administratie-ID, grootboekmapping en contactkoppelingen per locatie	Op apparaat
App-instellingen	Voorkeuren, meldingsinstellingen, vergrendelingstijd	Op apparaat
Biometrische referentie	Face ID / Touch ID (gebruikt voor App Lock)	iOS Secure Enclave

Geen externe server. Sub37 Labs beheert geen centrale database. Wij hebben geen technische mogelijkheid om jouw gegevens te openen, lezen of analyseren.

2. iCloud-synchronisatie

Je data wordt automatisch gesynchroniseerd via je persoonlijke iCloud-account met Apple’s CloudKit-framework. Dit is standaard actief en zorgt ervoor dat je gegevens beschikbaar zijn op al je apparaten.

• Data wordt door Apple versleuteld tijdens transport (TLS) en in opslag.
• Sub37 Labs heeft geen toegang tot jouw iCloud-container — alleen jouw Apple ID heeft toegang.
• Je kunt iCloud-synchronisatie voor ZumFlo uitschakelen via iOS-instellingen → Apple ID → iCloud → Apps die iCloud gebruiken → ZumFlo.
• Apple’s verwerking valt onder Apple’s Privacybeleid.

3. Integraties met derden

ZumFlo biedt optionele integraties met externe diensten. Gegevens worden alleen gedeeld wanneer je zelf een koppeling activeert.

3.1 SumUp (PIN-betalingen)

• Gevraagde toegangsrechten: Bij het koppelen vraagt ZumFlo twee rechten (scopes) aan:
  • transactions.history — toegang tot je transactiegeschiedenis
  • user.profile_readonly — alleen-lezen toegang tot je merchant-profiel
• Wat ZumFlo uitleest: Transactiebedragen, tijdstippen, betaalmethoden, transactiekosten en fooien. Daarnaast je merchant-code en accountnaam om transactiedetails op te halen en de bron van PIN-transacties in rapporten te vermelden. ZumFlo leest geen e-mailadressen, adresgegevens of accountinstellingen uit — ook al vallen die technisch binnen de gevraagde scope.
• Opslag: Je merchant-code en accountnaam worden lokaal opgeslagen op je apparaat en opgenomen in gegenereerde rapporten als bronverwijzing.
• Richting: Van SumUp naar de app. ZumFlo stuurt geen financiële gegevens naar SumUp.
• Tokens: OAuth-tokens opgeslagen in de iOS Keychain (hardware-versleuteld).
• Ontkoppelen: Mijn Bedrijf → Instellingen → Koppelingen → Ontkoppelen. Tokens worden direct verwijderd.
• Hun beleid: SumUp Privacybeleid

3.2 PayPal POS (PIN-betalingen)

• Gevraagde toegangsrechten: Bij het koppelen vraagt ZumFlo twee rechten (scopes) aan:
  • READ:PURCHASE — alleen-lezen toegang tot je transactiegegevens
  • READ:FINANCE — alleen-lezen toegang tot je financiële gegevens (transactiekosten, uitbetalingen)
• Wat ZumFlo uitleest: Transactiebedragen, tijdstippen, betaalmethoden en fooien via de Purchase API. Via de Finance API worden de werkelijke transactiekosten per betaling uitgelezen. Daarnaast je accountnaam om de bron van PIN-transacties in rapporten te vermelden. ZumFlo leest geen productcatalogus, voorraadgegevens of accountinstellingen uit.
• Opslag: Je accountnaam wordt lokaal opgeslagen op je apparaat en opgenomen in gegenereerde rapporten als bronverwijzing.
• Richting: Van PayPal POS naar de app. ZumFlo stuurt geen financiële gegevens naar PayPal POS.
• Tokens: OAuth-tokens opgeslagen in de iOS Keychain (hardware-versleuteld).
• Ontkoppelen: Mijn Bedrijf → Instellingen → Koppelingen → Ontkoppelen. Tokens worden direct verwijderd.
• Hun beleid: PayPal POS Privacybeleid

3.3 Moneybird (Boekhouding)

• Gevraagde toegangsrechten: Bij het koppelen vraagt ZumFlo de volgende rechten aan:
  • sales_invoices — verkoopfacturen aanmaken en beheren
  • documents — documenten uitlezen
  • estimates — offertes uitlezen
  • bank — financiële rekeningen en boekingen beheren
  • settings — administratie-instellingen uitlezen (grootboekrekeningen, BTW-tarieven)
• Wat ZumFlo schrijft: Verkoopfacturen, betalingsregistraties en memoriaalboekingen op basis van je verrekeningen. ZumFlo wijzigt geen bestaande facturen, contacten of administratie-instellingen.
• Richting: Bidirectioneel — de app leest en schrijft in jouw Moneybird-account.
• Tokens: OAuth-tokens opgeslagen in de iOS Keychain.
• Ontkoppelen: Via de app of je Moneybird-accountinstellingen.
• Hun beleid: Moneybird Privacyverklaring

Sub37 Labs vereist dat elke derde partij waarmee de app gegevens uitwisselt bescherming biedt die gelijk is aan of hoger dan dit beleid.

4. Apparaatrechten

Recht	Doel	Vereist?
Meldingen	Dagelijkse herinneringen om je dagstaat in te vullen	Optioneel
Camera	Profielfoto maken (alleen lokaal opgeslagen)	Optioneel
Fotobibliotheek	Profielfoto selecteren uit je bibliotheek	Optioneel
Face ID / Touch ID	App Lock via biometrische authenticatie	Optioneel

ZumFlo heeft geen toegang tot je locatie, microfoon, contacten, agenda, gezondheidsgegevens of andere sensoren dan hierboven vermeld.

5. Abonnementen en betalingen

Alle betalingen worden verwerkt via je Apple ID-account via Apple’s in-app aankoopsysteem. Sub37 Labs verzamelt, bewaart of heeft geen toegang tot je betalingsgegevens, creditcardgegevens of factuuradres. Apple’s verwerking valt onder Apple’s Privacybeleid.

6. Analyse en telemetrie

ZumFlo verzamelt minimale, privacy-first gebruiksanalyses om de app te verbeteren. Deze analyses registreren alleen dát een actie heeft plaatsgevonden (bijv. “een dagstaat is aangemaakt”), nooit de inhoud van die actie (geen bedragen, namen of financiële gegevens).

• Analyse-events bevatten geen persoonlijk identificeerbare informatie (PII)
• Financiële gegevens (bedragen, omzet, kosten) worden nooit opgenomen in analyses
• Geen advertentie-identificatoren (IDFA) of cross-app tracking frameworks worden gebruikt
• Geen advertentie-SDK’s van derden zijn aanwezig
• Geen device fingerprinting wordt uitgevoerd
• Geen gegevens worden gedeeld met datahandelaren of marketingplatforms
• ZumFlo gebruikt geen cookies, niet in de app en niet op de website

Voorbeelden van events die kunnen worden geregistreerd: app geopend, onboarding afgerond, dagstaat aangemaakt, abonnement gestart. Voorbeelden van gegevens die nooit worden geregistreerd: omzetbedragen, kostendetails, persoonsnamen, locatiegegevens.

Deze analyses worden verwerkt door TelemetryDeck GmbH (Duitsland), een privacy-first analytics dienstverlener. TelemetryDeck ontvangt geen persoonlijk identificeerbare informatie en kan individuele gebruikers niet identificeren. Zie TelemetryDeck’s Privacybeleid.

Voor onze website (zumflo.app) gebruiken wij Plausible Analytics, een privacy-vriendelijke analysedienst. Plausible plaatst geen cookies, verzamelt geen persoonsgegevens en slaat geen IP-adressen op. De data wordt gehost in de Europese Unie (Duitsland). Er is geen toestemming vereist omdat er geen persoonlijke informatie wordt verwerkt. Meer informatie: plausible.io/data-policy.

7. Toekomst: Sector Benchmarking (Opt-In)

In een toekomstige versie kan ZumFlo een optionele benchmarkingfunctie aanbieden. Indien geïntroduceerd:

• Deelname is volledig vrijwillig en vereist expliciete toestemming
• Alleen geaggregeerde, gekwantiseerde metrieken worden gedeeld — nooit ruwe financiële gegevens
• Data wordt geanonimiseerd met k-anonimiteit (minimale groepsgrootte van 10)
• Je kunt je toestemming op elk moment intrekken
• Dit privacybeleid wordt bijgewerkt vóór activering

8. Gegevens die we niet verzamelen

ZumFlo doet het volgende niet:

• Advertentie-identificatoren (IDFA) of cross-app tracking gebruiken
• Advertentie-SDK’s van derden bevatten
• Device fingerprinting uitvoeren
• Financiële bedragen of persoonsgegevens opnemen in analyses
• Gegevens delen met datahandelaren of marketingplatforms

9. Gegevensbewaring en verwijdering

9.1 Bewaring

Je gegevens blijven op je apparaat en in je iCloud-account zolang je ervoor kiest ze te bewaren. Er is geen automatische vervaltermijn.

9.2 Verwijdering

Je hebt volledige controle. Je kunt gegevens op elk moment verwijderen:

• Individuele records: Verwijder dagstaten, categorieën of financiële regels vanuit de app.
• Volledig wissen: Mijn Bedrijf → Instellingen → Gegevensbeheer → alle gegevens wissen.
• iCloud-gegevens: Schakel synchronisatie uit via iOS-instellingen → Apple ID → iCloud → Apps die iCloud gebruiken → ZumFlo. Verwijder de container via iOS-instellingen → Apple ID → iCloud → Beheer opslag.
• Tokens van derden: Ontkoppel SumUp, PayPal POS of Moneybird via Mijn Bedrijf → Instellingen → Koppelingen. Tokens worden direct verwijderd uit de iOS Keychain.
• Verwijderen: Het verwijderen van de app wist alle lokaal opgeslagen gegevens.

Omdat Sub37 Labs geen gegevens opslaat op externe servers, is verwijdering onmiddellijk en permanent.

10. Toestemming intrekken

• Apparaatrechten — iOS-instellingen → ZumFlo → individuele rechten uitschakelen.
• iCloud-synchronisatie — iOS-instellingen → Apple ID → iCloud → Apps die iCloud gebruiken → ZumFlo.
• SumUp / PayPal POS / Moneybird — Mijn Bedrijf → Instellingen → Koppelingen → Ontkoppelen, of via de accountinstellingen van de betreffende dienst.
• Meldingen — iOS-instellingen → Meldingen → ZumFlo.

11. Privacy van kinderen

ZumFlo is een zakelijke administratietool voor zelfstandige professionals en is niet bedoeld voor kinderen onder de 16 jaar. Wij verzamelen niet bewust gegevens van kinderen. Als je denkt dat een kind de app heeft gebruikt, neem dan contact op met .

12. Beveiliging

• Alle gegevens worden opgeslagen in de iOS-versleutelde applicatie-sandbox.
• OAuth-tokens worden opgeslagen in de iOS Keychain met hardware-ondersteunde versleuteling (Secure Enclave).
• Optionele App Lock via Face ID of Touch ID.
• iCloud-gegevens worden door Apple versleuteld tijdens transport en in opslag.
• Er worden geen gegevens verzonden naar door Sub37 Labs beheerde infrastructuur.

13. Internationale overdrachten

Omdat iCloud-synchronisatie standaard actief is, kan Apple gegevens opslaan in datacenters buiten je land van verblijf, conform Apple’s gegevensverwerkingsovereenkomsten. Als je SumUp, PayPal POS of Moneybird koppelt, kunnen gegevens worden verwerkt in de rechtsgebieden van die diensten. Anonieme gebruiksanalyses worden verwerkt door TelemetryDeck GmbH in Duitsland. Sub37 Labs zelf draagt je gegevens niet internationaal over.

14. Jouw rechten onder de AVG

Binnen de Europese Economische Ruimte heb je de volgende rechten onder de Algemene Verordening Gegevensbescherming:

• Inzage: Bekijk al je gegevens rechtstreeks in de app.
• Rectificatie: Bewerk elk record in de app.
• Wissing: Verwijder individuele records of alle gegevens (zie Sectie 9).
• Gegevensoverdraagbaarheid: Exporteer je gegevens als PDF-rapporten.
• Beperking & bezwaar: Je oefent deze rechten uit door integraties en rechten rechtstreeks te beheren.

Omdat alle gegevens op je apparaat staan, oefen je deze rechten rechtstreeks uit — geen verzoek aan Sub37 Labs is nodig. Hulp nodig? E-mail .

15. Toepasselijk recht

Dit privacybeleid wordt beheerst door het recht van Nederland. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.

16. Wijzigingen in dit beleid

• De datum “Laatst bijgewerkt” bovenaan wordt aangepast.
• Materiële wijzigingen worden gecommuniceerd via een melding in de app.
• Voortgezet gebruik na de update geldt als aanvaarding.

17. Contact