PRIVACYVERKLARING
Badprep AI — MADE Kitchen
Versie 1.0 · Laatst bijgewerkt: 31 maart 2026
1. Verwerkingsverantwoordelijke
MADE Kitchen
Lange Lakenstraat 35, 2011ZB Haarlem
info@madekitchen.nl · +31 6 81491499
KvK 93252390 · BTW NL866328099B01
2. Welke Gegevens Verzamelen We
2.1 Accountgegevens
| Gegeven | Doel | Grondslag |
|---|---|---|
| Naam, email, bedrijfsnaam, stad, telefoon | Account aanmaken en beheren | Uitvoering overeenkomst |
| KvK-nummer, BTW-nummer, IBAN | Offertegeneratie, facturatie | Uitvoering overeenkomst |
| Wachtwoord (gehasht via bcrypt) | Authenticatie | Uitvoering overeenkomst |
2.2 Klantgegevens van uw cateringbedrijf
| Gegeven | Doel | Grondslag |
|---|---|---|
| Namen en emails van uw klanten | Offertebeheer, communicatie | Gerechtvaardigd belang |
| Offertes, facturen, bedragen | Financieel beheer | Uitvoering overeenkomst |
2.3 Gmail-integratie (optioneel — op basis van toestemming)
| Gegeven | Doel | Grondslag |
|---|---|---|
| Emailinhoud inbox | Offerteaanvragen herkennen | Toestemming (OAuth 2.0) |
| Afzender, onderwerp, datum | Email overzicht in dashboard | Toestemming |
| OAuth tokens (versleuteld) | Toegang tot Gmail API | Toestemming |
Wij vragen uitsluitend leestoegang. Er worden nooit emails verstuurd, gewijzigd of verwijderd zonder uw expliciete actie. Conceptmails worden als draft aangemaakt — u klikt zelf op verzenden.
2.4 Sligro-integratie
| Gegeven | Doel | Grondslag |
|---|---|---|
| Sligro inloggegevens (versleuteld) | Automatisch inkoopprijzen ophalen | Uitvoering overeenkomst |
| Productprijzen, artikelnummers | Margeberekening, alarmen | Uitvoering overeenkomst |
Uw Sligro-wachtwoord wordt versleuteld opgeslagen (AES-256) en is voor geen enkele medewerker van MADE Kitchen leesbaar. Het wordt uitsluitend machinaal gebruikt door geautomatiseerde processen om prijzen op te halen.
2.5 InOne/Fontijn-integratie
Identiek aan de Sligro-integratie (2.4). Inloggegevens worden versleuteld opgeslagen en uitsluitend machinaal gebruikt voor prijsophaling.
2.6 SnelStart boekhoudintegratie
| Gegeven | Doel | Grondslag |
|---|---|---|
| API-sleutels (Primary, Secondary, Maatwerk) | Toegang tot SnelStart B2B API | Uitvoering overeenkomst |
| Debiteuren (klantnamen, emailadressen) | Relatiebeheer in boekhouding | Uitvoering overeenkomst |
| Verkoopboekingen, facturen | Financiële synchronisatie | Uitvoering overeenkomst |
SnelStart API-sleutels worden versleuteld opgeslagen. Gegevens worden bidirectioneel gesynchroniseerd: facturen van SnelStart naar Badprep AI, en verkoopboekingen van Badprep AI naar SnelStart.
2.7 AI-verwerking (Anthropic Claude)
| Gegeven dat naar AI wordt gestuurd | Doel |
|---|---|
| Inhoud van offerteaanvragen (email of handmatige invoer) | Offerte genereren |
| Beschikbare arrangementen en prijzen | Juiste prijsberekening |
| Bedrijfsgegevens (naam, adres, BTW) | Offerte opmaken |
| Geüploade menukaarten en recepturen | Receptuuranalyse |
Anthropic verwerkt gegevens uitsluitend voor het genereren van de gevraagde output. Gegevens worden niet opgeslagen door Anthropic voor trainingsdoeleinden conform hun Privacy Policy voor API-gebruik.
2.8 WhatsApp-integratie (gepland)
Toekomstige koppeling met WhatsApp Business API. Bij activering wordt deze privacyverklaring bijgewerkt met specifieke details over welke berichtgegevens worden verwerkt, hoe en op welke grondslag.
2.9 Gebruiksgegevens
| Gegeven | Doel | Grondslag |
|---|---|---|
| Inlogmomenten, IP-adres | Beveiliging, fraud detectie | Gerechtvaardigd belang |
| Browsertype, apparaat | Prestatieverbetering | Gerechtvaardigd belang |
| Audit logs (admin acties) | Transparantie, verantwoording | Wettelijke verplichting |
3. Bewaartermijnen
| Gegevens | Bewaartermijn |
|---|---|
| Accountgegevens | Duur abonnement + 30 dagen export |
| Offertes en facturen | 7 jaar (wettelijke bewaarplicht) |
| Gmail berichten | Max. 90 dagen na sync, of tot intrekking |
| Inkoopprijzen (Sligro, InOne) | Duur abonnement + 30 dagen |
| Leverancier credentials | Tot intrekking koppeling of einde abonnement |
| SnelStart data | Duur abonnement + 30 dagen (facturen: 7 jaar) |
| Sessies en audit logs | Sessies: 7 dagen. Audit logs: 12 maanden. |
| Recepturen en menu's | Duur abonnement + 30 dagen |
4. Beveiligingsmaatregelen
- Versleutelde verbindingen (TLS 1.2+) voor alle datatransmissie
- Row Level Security (RLS) op databaseniveau — volledige data-isolatie per Gebruiker
- JWT-verificatie op alle 9 beveiligde API-endpoints
- Versleuteling van credentials en OAuth-tokens via pgcrypto (AES-256)
- Wachtwoorden gehasht via bcrypt — nooit leesbaar opgeslagen
- Audit trail van alle administratieve en data-access acties
- Zero-knowledge architectuur — platformbeheerders kunnen geen klantdata inzien
- Multi-tenant architectuur met strikte scheiding per cateraar
- Google OAuth 2.0 voor Gmail — geen wachtwoorden opgeslagen
5. Doorgifte aan Derden
| Partij | Locatie | Doel | Waarborg |
|---|---|---|---|
| Supabase Inc. | VS (AWS eu-central-1) | Database, auth, realtime | EU Standard Contractual Clauses |
| Anthropic PBC | VS | AI offertegeneratie, receptuuranalyse | Data Processing Addendum, geen training |
| Google LLC | VS | Gmail API (opt-in) | Google DPA + SCCs |
| Netlify Inc. | VS | Website hosting | Geen persoonsgegevens in DB |
| SnelStart B.V. | Nederland | Boekhoudkoppeling | NL-gevestigd, AVG-compliant |
| Sligro Food Group N.V. | Nederland | Prijsdata ophalen | Geen persoonsgegevens gedeeld |
| InOne/Fontijn | Nederland | Prijsdata ophalen | Geen persoonsgegevens gedeeld |
Wij verkopen nooit persoonsgegevens. Wij gebruiken geen tracking cookies of advertentienetwerken.
6. Uw Rechten
Op grond van de AVG heeft u het recht op:
- Inzage — Opvragen welke gegevens we van u verwerken
- Rectificatie — Onjuiste gegevens laten corrigeren
- Vergetelheid — Verwijdering van uw gegevens verzoeken
- Beperking — Verwerking laten beperken
- Dataportabiliteit — Gegevens in gestructureerd formaat opvragen (CSV, JSON)
- Bezwaar — Bezwaar maken tegen verwerking op basis van gerechtvaardigd belang
- Intrekking toestemming — Gmail-koppeling, leverancierskoppelingen en andere op toestemming gebaseerde verwerkingen altijd intrekken
Neem contact op via info@madekitchen.nl. Reactietermijn: 30 dagen.
7. Cookies
Badprep AI gebruikt uitsluitend functionele cookies voor authenticatiesessies. Geen tracking cookies, analytics cookies of cookies van derden.
8. Datalekken
Bij een datalek dat risico vormt voor uw rechten melden wij dit binnen 72 uur bij de Autoriteit Persoonsgegevens en, bij hoog risico, ook direct aan u. Alle datalekken worden geregistreerd in onze interne audit log.
9. Klacht Indienen
Neem eerst contact op via info@madekitchen.nl. U heeft altijd het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.
10. Wijzigingen
Wezenlijke wijzigingen worden minimaal 30 dagen vooraf gecommuniceerd via email. De actuele versie staat altijd op deze pagina.