Verwerkingsverantwoordelijke
| Organisatie | Inprovo |
| Product | Chup — gezinstaken app |
| Vestiging | Nederland |
| Contact | privacy@chup.nu |
| FG aangesteld | Nee (niet verplicht op basis van omvang) |
1. Accountbeheer
| Doel | Aanmaken en beheren van gebruikersaccounts en gezinsprofielen |
| Grondslag | Uitvoering overeenkomst (art. 6 lid 1 sub b AVG) |
| Betrokkenen | Ouders, kinderen (via ouderlijk gezag) |
| Gegevens | Naam, e-mailadres, wachtwoord (gehasht), profielfoto, geboortedatum (versleuteld), telefoonnummer (versleuteld), rol (ouder/kind) |
| Bewaartermijn | Zolang account actief is. Bij verwijdering: binnen 30 dagen gewist. |
| Beveiliging | Wachtwoord gehasht (bcrypt), geboortedatum en telefoonnummer AES-256 versleuteld, HTTPS, sessie-encryptie |
| Verwerkers | Hetzner (hosting, EU/Duitsland) |
2. Berichten (Chat)
| Doel | Communicatie tussen gezinsleden en gekoppelde gezinnen |
| Grondslag | Uitvoering overeenkomst (art. 6 lid 1 sub b AVG) |
| Betrokkenen | Alle gezinsleden die de chatfunctie gebruiken |
| Gegevens | Berichtinhoud, spraakberichten, leesbevestigingen, tijdstempels |
| Bewaartermijn | Zolang account actief is. Bij verwijdering account: alle berichten gewist. |
| Beveiliging | End-to-end versleuteld (AES-256-GCM). Berichtinhoud wordt op het apparaat van de gebruiker versleuteld voordat het onze servers bereikt. Chup kan de inhoud niet inzien. |
| Verwerkers | Hetzner (versleutelde opslag), Pusher (real-time bezorging, alleen metadata) |
3. Foto's en documenten
| Doel | Veilig opslaan en delen van gezinsfoto's en documenten |
| Grondslag | Uitvoering overeenkomst (art. 6 lid 1 sub b AVG) |
| Betrokkenen | Gezinsleden, kinderen afgebeeld op foto's |
| Gegevens | Foto's, documenten, thumbnails. Locatiegegevens (EXIF) worden automatisch verwijderd voor versleuteling. |
| Bewaartermijn | Zolang account actief is. Bij verwijdering: direct en onherstelbaar gewist. |
| Beveiliging | End-to-end versleuteld. Elk bestand heeft een unieke versleutelingssleutel (FEK). EXIF-metadata wordt client-side verwijderd. Bestanden worden direct naar versleutelde opslag geupload zonder tussenkomst van de server. |
| Verwerkers | Hetzner Object Storage (versleutelde blobs, EU/Duitsland) |
4. Financiele gegevens
| Doel | Huishoudboekje: inzicht in inkomsten en uitgaven van het gezin |
| Grondslag | Uitvoering overeenkomst (art. 6 lid 1 sub b AVG) |
| Betrokkenen | Ouders die de financiele module gebruiken |
| Gegevens | IBAN (versleuteld), banksaldo (versleuteld), transacties (versleuteld), budgetten, spaardoelen |
| Bewaartermijn | Zolang de bankverbinding actief is. Bij ontkoppelen: transactiedata gewist. |
| Beveiliging | End-to-end versleuteld (AES-256-GCM). IBAN en saldo extra versleuteld met gezinsspecifieke sleutel. |
| Verwerkers | Tink (bankverbinding, EU), Hetzner (versleutelde opslag) |
5. Betaling en facturatie
| Doel | Verwerking van abonnementsbetalingen en facturatie |
| Grondslag | Uitvoering overeenkomst (art. 6 lid 1 sub b AVG) en wettelijke verplichting (art. 6 lid 1 sub c, fiscale bewaarplicht) |
| Betrokkenen | Betalende ouders |
| Gegevens | Naam, adres, e-mailadres, betaalmethode, factuurbedragen, Mollie klant-ID |
| Bewaartermijn | Facturen: 7 jaar (fiscale bewaarplicht). Betaalgegevens: zolang abonnement actief is. |
| Beveiliging | HTTPS, versleutelde database, Mollie PCI-DSS gecertificeerd |
| Verwerkers | Mollie (betalingsverwerking, Nederland), Apple (in-app aankopen, VS met EU-waarborgen) |
6. Taken, agenda en huishouden
| Doel | Gezinstaken, agenda, boodschappenlijsten, verlanglijstjes en beloningen beheren |
| Grondslag | Uitvoering overeenkomst (art. 6 lid 1 sub b AVG) |
| Betrokkenen | Alle gezinsleden |
| Gegevens | Taakomschrijvingen, agendapunten, boodschappenlijsten, verlanglijstjes, punten en beloningen |
| Bewaartermijn | Zolang account actief is. |
| Beveiliging | HTTPS, versleutelde database, toegangscontrole per gezin |
| Verwerkers | Hetzner (hosting) |
7. Gastouder
| Doel | Dagelijks verslag en planning tussen gastouder en ouders |
| Grondslag | Uitvoering overeenkomst (art. 6 lid 1 sub b AVG) |
| Betrokkenen | Gastouders, ouders, kinderen |
| Gegevens | Dagverslagen (maaltijden, slaap, stemming, activiteiten), planning, vakanties, foto's van kinderen |
| Bewaartermijn | Zolang de gastouderkoppeling actief is. |
| Beveiliging | HTTPS, versleutelde database, toegangscontrole per koppeling |
| Verwerkers | Hetzner (hosting) |
8. E-mail en notificaties
| Doel | Transactionele e-mails (inloglinks, bevestigingen) en pushnotificaties |
| Grondslag | Uitvoering overeenkomst (art. 6 lid 1 sub b AVG) |
| Betrokkenen | Alle gebruikers met e-mailadres of mobiel apparaat |
| Gegevens | E-mailadres, naam, notificatie-inhoud, device tokens (pushnotificaties) |
| Bewaartermijn | Device tokens: zolang apparaat actief is. E-maillogs: conform verwerkerbeleid. |
| Beveiliging | TLS in transit, device tokens in versleutelde database |
| Verwerkers | Postmark (e-mail, VS met EU-waarborgen), Firebase Cloud Messaging (push, Google, VS met EU-waarborgen) |
9. Contactformulier en support
| Doel | Beantwoorden van vragen en klachten via het contactformulier |
| Grondslag | Gerechtvaardigd belang (art. 6 lid 1 sub f AVG) |
| Betrokkenen | Bezoekers en gebruikers die contact opnemen |
| Gegevens | Naam, e-mailadres, berichtinhoud, bijlagen |
| Bewaartermijn | Maximaal 12 maanden na laatste contact. |
| Beveiliging | HTTPS, versleutelde database |
| Verwerkers | Hetzner (hosting) |
10. Nieuwsbrief
| Doel | Informeren over Chup updates en nieuws |
| Grondslag | Toestemming (art. 6 lid 1 sub a AVG, dubbele bevestiging) |
| Betrokkenen | Ingeschreven bezoekers |
| Gegevens | E-mailadres, optioneel naam |
| Bewaartermijn | Tot uitschrijving. |
| Beveiliging | HTTPS |
| Verwerkers | Postmark (e-mailverzending) |
11. Foutregistratie en monitoring
| Doel | Opsporen en oplossen van technische fouten in de applicatie |
| Grondslag | Gerechtvaardigd belang (art. 6 lid 1 sub f AVG) |
| Betrokkenen | Gebruikers bij wie een fout optreedt |
| Gegevens | Foutmeldingen, stacktraces, request-context (URL, headers). Geen versleutelde inhoud (E2E data is niet leesbaar voor de server). |
| Bewaartermijn | Conform Flare retentiebeleid (standaard 30 dagen). |
| Beveiliging | TLS in transit, Flare EU-hosting |
| Verwerkers | Flare (foutregistratie, EU) |
12. Cloud storage import
| Doel | Importeren van foto's vanuit Dropbox, Google Drive of OneDrive naar de versleutelde kluis |
| Grondslag | Toestemming (art. 6 lid 1 sub a AVG, gebruiker initieert koppeling) |
| Betrokkenen | Gebruikers die een cloud storage account koppelen |
| Gegevens | OAuth-tokens (versleuteld opgeslagen), mappenlijst. Geimporteerde foto's worden client-side versleuteld. |
| Bewaartermijn | OAuth-tokens: tot ontkoppeling. Foto's: zie verwerking 3. |
| Beveiliging | OAuth-tokens AES-256 versleuteld, foto's end-to-end versleuteld voor opslag |
| Verwerkers | Dropbox, Google, Microsoft (alleen mappenlijst via OAuth, foto-inhoud wordt client-side verwerkt) |
13. Noodrecovery (vault)
| Doel | Herstel van versleutelingssleutels als een gezin alle apparaten verliest |
| Grondslag | Uitvoering overeenkomst (art. 6 lid 1 sub b AVG) |
| Betrokkenen | Gezinnen die recovery aanvragen |
| Gegevens | Dubbel versleutelde kopie van de gezinssleutel (FVK). Niet leesbaar zonder 3 onafhankelijke factoren. |
| Bewaartermijn | Zolang account actief is. |
| Beveiliging | Opgeslagen op volledig gescheiden server bij andere provider (TransIP, Nederland). Geen leesendpoints. Drie-factor authenticatie voor recovery. Automatische blokkade na 3 mislukte pogingen. |
| Verwerkers | TransIP (recovery-server, Nederland) |
Overzicht verwerkers
| Verwerker | Doel | Vestiging | Verwerkersovereenkomst |
|---|
| Hetzner | Serverhosting en bestandsopslag | Duitsland (EU) | Ja |
| TransIP | Recovery-server | Nederland (EU) | Ja |
| Mollie | Betalingsverwerking | Nederland (EU) | Ja |
| Postmark | E-mailverzending | VS (EU-waarborgen) | Ja |
| Firebase (Google) | Pushnotificaties | VS (EU-waarborgen) | Ja (Google DPA) |
| Tink (Visa) | Bankverbindingen | Zweden (EU) | Ja |
| Flare | Foutregistratie | EU | Ja |
| Apple | In-app aankopen | VS (EU-waarborgen) | Ja (Apple EULA) |
| Cloudflare | CAPTCHA (Turnstile) | VS (EU-waarborgen) | Ja |
Technische en organisatorische maatregelen
- End-to-end encryptie (AES-256-GCM) voor foto's, berichten, documenten en financiele gegevens
- Versleutelingssleutels bestaan alleen op apparaten van gezinsleden, niet op de server
- EXIF-metadata (locatie, camera) automatisch verwijderd bij foto-upload
- Wachtwoorden gehasht met bcrypt
- Gevoelige velden (telefoonnummer, geboortedatum, IBAN) individueel AES-256 versleuteld
- HTTPS op alle verbindingen
- Content Security Policy (nonce-based, geen inline scripts)
- Subresource Integrity op alle JavaScript-bestanden
- Twee-factor authenticatie beschikbaar (TOTP en SMS)
- Autorisatie via policies (gezinsleden zien alleen eigen gezinsdata)
- Recovery-server fysiek gescheiden bij andere provider
- Regelmatige beveiligingsaudits
Rechten van betrokkenen
Betrokkenen kunnen hun rechten uitoefenen (inzage, rectificatie, verwijdering, beperking, dataportabiliteit, bezwaar) door contact op te nemen via privacy@chup.nu. Chup biedt daarnaast een ingebouwde data-exportfunctie en account-verwijderfunctie in de app.
Klachten kunnen worden ingediend bij de Autoriteit Persoonsgegevens.