Versie
1.2 — 19 maart 2026
Verwerkingsverantwoordelijke
BreadSuite Netherlands
Contact privacy
privacy@breadsuite.com
Deze privacyverklaring geldt voor BreadSuite, inclusief de website, accountomgeving, receptworkflow, AI-functies, beoordelingsmodules, fotouploads, versiegeschiedenis, kostprijsberekening, organisatiebeheer en toekomstige community- of socialfuncties. Door gebruik te maken van BreadSuite ga je akkoord met de verwerking van persoonsgegevens zoals in deze verklaring beschreven.
1. Wie verantwoordelijk is voor de verwerking
BreadSuite Netherlands is de verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG voor de persoonsgegevens die via BreadSuite worden verwerkt.
Contactgegevens verwerkingsverantwoordelijke
- Handelsnaam: BreadSuite Netherlands
- Land van vestiging: Nederland
- E-mail (algemeen): info@breadsuite.com
- E-mail (privacy): privacy@breadsuite.com
- E-mail (support): support@breadsuite.com
Voor alle privacyvragen, verzoeken tot inzage, correctie, verwijdering, beperking of portabiliteit kun je contact opnemen via privacy@breadsuite.com. Wij reageren binnen de wettelijke termijn van één maand (met eventuele verlenging van twee maanden bij complexe verzoeken, conform artikel 12 AVG).
2. Welke persoonsgegevens wij verwerken
Afhankelijk van hoe je BreadSuite gebruikt, kunnen wij onder meer de volgende persoonsgegevens verwerken:
Accountgegevens
- Voornaam, achternaam, e-mailadres;
- Taalvoorkeur, tijdzone, land;
- Profielfoto (optioneel, door gebruiker geüpload);
- Accounttype (individueel of organisatie), abonnementsniveau;
- Aanmaakdatum account en laatste inlogdatum.
Authenticatie- en beveiligingsgegevens
- Gehashed wachtwoord (bcrypt, nooit in leesbare vorm opgeslagen);
- Sessietoken (opaque, SHA-256 gehasht in de database);
- MFA-instellingen: TOTP-secret (versleuteld), OTP-codes (tijdelijk);
- Loginactiviteit, sessieduur, apparaat- en browsertype voor beveiliging;
- IP-adressen voor fraudepreventie en beveiligingslogging (conform artikel 6 lid 1f AVG).
Gebruiksgegevens en inhoud
- Broodrecepten, ingrediënten, starters, hardwareprofielen, beoordelingen, versiegeschiedenis;
- Bake journal-notities, temperaturen, timing en bakobservaties;
- Resultaatfoto's en andere door de gebruiker geüploade media;
- Kostprijsinformatie, verkoopregelingen en margeberekeningen;
- Gebruikersinstellingen (gewichtseenheid, temperatuureenheid, rekenmethode, AI-voorkeursniveau).
Technische en operationele gegevens
- Technische fout- en performancedata voor kwaliteitsverbetering;
- Cookiegegevens voor sessiebeheer en basisnavigatie (zie artikel 11);
- Analyticsdata als de gebruiker daarvoor toestemming heeft gegeven.
Organisatiegegevens
- Organisatienaam, organisatie-ID, licentieplan;
- Relatie gebruiker–organisatie (rol: beheerder of lid);
- Door de organisatiebeheerder toegewezen rechten en rollen.
Betaalgegevens
- Abonnementsstatus en plan. Betaalgegevens zelf worden verwerkt door een externe betaaldienstverlener (bijv. Stripe) en worden niet door BreadSuite opgeslagen. Op deze verwerking is de privacyverklaring van die dienstverlener van toepassing.
3. Waarom wij persoonsgegevens verwerken (doeleinden)
| Doel | Rechtsgrond (AVG) | Artikel |
|---|---|---|
| Account aanmaken en beheren | Uitvoering overeenkomst | art. 6 lid 1b AVG |
| Levering BreadSuite-dienst (recepten, journal, etc.) | Uitvoering overeenkomst | art. 6 lid 1b AVG |
| Beveiliging, MFA en sessiebeheer | Gerechtvaardigd belang / Overeenkomst | art. 6 lid 1b/f AVG |
| Facturatie en abonnementsbeheer | Wettelijke verplichting / Overeenkomst | art. 6 lid 1b/c AVG |
| Foutopsporing en servicekwaliteit | Gerechtvaardigd belang | art. 6 lid 1f AVG |
| AI-ondersteunde functies (receptworkflow) | Uitvoering overeenkomst / Toestemming | art. 6 lid 1a/b AVG |
| E-mailcommunicatie over de dienst | Uitvoering overeenkomst | art. 6 lid 1b AVG |
| Nieuwsbrief en productnieuws (opt-in) | Toestemming | art. 6 lid 1a AVG |
| Analytics en productverbetering (opt-in) | Toestemming | art. 6 lid 1a AVG |
| Naleving wettelijke verplichtingen | Wettelijke verplichting | art. 6 lid 1c AVG |
| Afhandeling verzoeken en klachten | Gerechtvaardigd belang / Wettelijke verplichting | art. 6 lid 1c/f AVG |
4. Rechtsgronden in detail
Uitvoering van de overeenkomst (art. 6 lid 1b AVG)
De meeste verwerkingen zijn noodzakelijk voor de uitvoering van de overeenkomst die je met BreadSuite sluit bij het aanmaken van een account. Zonder deze verwerkingen kunnen wij de dienst niet leveren.
Gerechtvaardigd belang (art. 6 lid 1f AVG)
Wij verwerken bepaalde gegevens op grond van een gerechtvaardigd belang, zoals: beveiliging van het platform, fraudepreventie, misbruikdetectie en foutopsporing. Daarbij wegen wij ons belang af tegen jouw privacybelang. Je hebt het recht om bezwaar te maken (zie artikel 9).
Toestemming (art. 6 lid 1a AVG)
Voor verwerkingen die niet noodzakelijk zijn voor de kernfunctionaliteit — zoals analytics, nieuwsbrieven en het toestaan dat jouw receptdata wordt gebruikt voor AI-modelverbetering — vragen wij expliciete toestemming. Je kunt toestemming altijd intrekken zonder gevolgen voor eerder rechtmatige verwerkingen, via de accountinstellingen of door contact op te nemen via privacy@breadsuite.com.
Wettelijke verplichting (art. 6 lid 1c AVG)
Wij kunnen gegevens bewaren om te voldoen aan wettelijke verplichtingen, zoals de bewaarplicht voor boekhoudkundige gegevens (7 jaar op grond van artikel 2:10 BW en de Belastingwet) of verzoeken van bevoegde autoriteiten.
5. AI-functionaliteit en jouw data
BreadSuite gebruikt AI-functies om de receptworkflow te ondersteunen: het structureren van ingrediënten, genereren van werkflowteksten, bakadviezen en inhoudelijke begeleiding. AI-verwerking vindt zo veel mogelijk plaats op basis van de gegevens die je zelf invoert (ingrediënten, processtappen, hardware, notities).
AI-verwerking en toestemming
Als AI-functies jouw receptinhoud verwerken via externe AI-dienstverleners (zoals Anthropic / Claude), geldt dit als een verwerkerssituatie. BreadSuite sluit daarvoor een verwerkersovereenkomst (DPA) en beperkt datadeling tot het minimum dat nodig is voor de gevraagde functie. In de accountinstellingen kun je aangeven of je receptdata mag worden gebruikt voor AI-modelverbetering (standaard: nee).
Betrouwbaarheid AI-uitkomsten
AI-uitkomsten kunnen onvolledig, incorrect of niet passend zijn voor jouw specifieke meel, starter, productieomgeving of doel. BreadSuite adviseert gebruikers altijd zelf kritisch te beoordelen of een voorstel, tekst of berekening correct is. AI-uitkomsten vormen geen professioneel bakkundig advies.
6. Met wie wij gegevens delen (verwerkers en derden)
BreadSuite deelt persoonsgegevens alleen wanneer dat noodzakelijk is voor de levering van de dienst of wanneer dat wettelijk verplicht is. Wij verkopen persoonsgegevens niet aan derden.
Verwerkers (sub-processors)
BreadSuite maakt gebruik van verwerkers voor de volgende categorieën diensten:
- Hosting en database: cloud-infrastructuurprovider (EER of met passende waarborgen);
- E-mailverzending: SMTP-dienstverlener voor verificatie- en systeemmails;
- Betalingen: externe betaaldienstverlener (PCI-DSS compliant);
- AI-verwerking: AI-dienstverlener, uitsluitend voor gevraagde AI-functies;
- Bestandsopslag: cloud-opslag voor foto-uploads en mediabestanden.
Met alle verwerkers sluit BreadSuite een verwerkersovereenkomst conform artikel 28 AVG, met afspraken over beveiliging, vertrouwelijkheid, doelbinding en (indien van toepassing) subverwerkers.
Organisaties (bij org-accounts)
Als je een account hebt binnen een organisatie die BreadSuite gebruikt, heeft de organisatiebeheerder toegang tot bepaalde gegevens zoals je naam, e-mailadres en je activiteit binnen de organisatieomgeving. De organisatie treedt op als (mede-)verwerkingsverantwoordelijke of verwerker voor die gegevens.
Openbare deling door de gebruiker
Als je in de toekomst kiest voor publieke publicatie van een recept of resultaat, worden die gegevens openbaar zichtbaar. Dit is altijd een actieve keuze van de gebruiker zelf; BreadSuite maakt recepten nooit standaard openbaar.
Wettelijke verplichtingen
BreadSuite kan persoonsgegevens verstrekken aan bevoegde autoriteiten (politie, belastingdienst, Autoriteit Persoonsgegevens) wanneer dat wettelijk verplicht is of noodzakelijk ter bescherming van rechten of veiligheid.
7. Internationale doorgiften
BreadSuite streeft ernaar persoonsgegevens zo veel mogelijk binnen de Europese Economische Ruimte (EER) te verwerken. Als doorgiften buiten de EER onvermijdelijk zijn — bijvoorbeeld bij gebruik van bepaalde cloud- of AI-dienstverleners gevestigd in de VS — treft BreadSuite passende waarborgen conform hoofdstuk V AVG:
- Adequaatheidsbesluit: doorgifte naar landen waarvoor de Europese Commissie een adequaatheidsbesluit heeft vastgesteld (bijv. het EU-VS Data Privacy Framework voor gecertificeerde partijen);
- Standaardcontractbepalingen (SCC's): de door de Europese Commissie vastgestelde modelbepalingen conform Uitvoeringsbesluit 2021/914;
- Bindende bedrijfsregels (BCR's): indien van toepassing voor internationale groepen van ondernemingen.
Op verzoek kun je een kopie opvragen van de passende waarborgen die BreadSuite heeft getroffen voor internationale doorgiften. Stuur daarvoor een e-mail naar privacy@breadsuite.com.
8. Bewaartermijnen
| Categorie | Bewaartermijn |
|---|---|
| Recepten, versies, journal, beoordelingen | Zolang account actief is; na verwijdering max. 30 dagen in back-up |
| Profielfoto's en uploads | Zolang account actief is; direct verwijderd na accountbeëindiging |
| Accountgegevens en instellingen | Zolang account actief is + 30 dagen na beëindiging (herstelperiode) |
| Sessie- en beveiligingslogboeken | Max. 90 dagen (beveiliging, conform art. 6 lid 1f AVG) |
| E-mailverificatie- en OTP-codes | Max. 15 minuten (tijdelijk, automatisch verwijderd) |
| Factuur- en betaalgegevens (adm.) | 7 jaar (wettelijke bewaarplicht art. 2:10 BW, Belastingwet) |
| Nieuwsbrief opt-in (toestemming) | Tot intrekking toestemming + max. 1 jaar bewijs van opt-in |
| Analytics data (geanonimiseerd) | Max. 24 maanden, daarna geaggregeerd/verwijderd |
Na beëindiging van een account verwijdert BreadSuite persoonsgegevens binnen de bovengenoemde termijnen, tenzij een langere bewaartermijn wettelijk vereist is (bijv. voor boekhouding of juridische claims).
9. Jouw privacyrechten onder de AVG
Op grond van de AVG heb je de volgende rechten ten aanzien van jouw persoonsgegevens. Verzoeken kun je indienen via privacy@breadsuite.com. Wij zijn verplicht je identiteit te verifiëren voordat wij een verzoek inwilligen.
Recht op inzage (art. 15)
Je kunt opvragen welke persoonsgegevens BreadSuite van jou verwerkt en voor welk doel.
Recht op rectificatie (art. 16)
Je kunt onjuiste of onvolledige gegevens laten corrigeren. Veel gegevens kun je zelf aanpassen in de accountinstellingen.
Recht op verwijdering (art. 17)
Je kunt verzoeken dat BreadSuite jouw persoonsgegevens verwijdert ('recht om vergeten te worden'), tenzij er een wettelijke grond bestaat om ze te bewaren.
Recht op beperking (art. 18)
Je kunt de verwerking laten beperken, bijvoorbeeld terwijl de juistheid van gegevens wordt betwist.
Recht op dataportabiliteit (art. 20)
Je kunt jouw recepten en accountgegevens opvragen in een gestructureerd, gangbaar en machine-leesbaar formaat (JSON-export, beschikbaar op Artisan-abonnement).
Recht van bezwaar (art. 21)
Je kunt bezwaar maken tegen verwerkingen op basis van gerechtvaardigd belang, zoals beveiligingslogging of bepaalde analyses. BreadSuite staakt dan de verwerking tenzij er dwingende gerechtvaardigde gronden zijn.
Recht op intrekking toestemming (art. 7 lid 3)
Als de verwerking is gebaseerd op toestemming, kun je die altijd intrekken. Dit tast de rechtmatigheid van verwerkingen vóór de intrekking niet aan.
Klachtrecht bij toezichthouder (art. 77)
Je kunt een klacht indienen bij de Autoriteit Persoonsgegevens (AP) als je van mening bent dat BreadSuite jouw persoonsgegevens niet rechtmatig verwerkt.
Meer informatie over je privacyrechten vind je op de website van de Autoriteit Persoonsgegevens.
10. Beveiliging
BreadSuite neemt passende technische en organisatorische maatregelen conform artikel 32 AVG om persoonsgegevens te beschermen. Voorbeelden van maatregelen:
- Wachtwoorden worden gehashed opgeslagen met bcrypt (kostfactor ≥ 12); nooit in leesbare vorm;
- Sessietokens zijn cryptografisch willekeurig (32 bytes) en worden SHA-256-gehasht opgeslagen;
- Multi-factor authenticatie (TOTP en/of e-mailverificatie) als standaard beveiligingsoptie;
- HTTPS/TLS versleuteling voor alle dataverkeer;
- Toegangsbeperking tot productiedatabase op basis van need-to-know;
- Beveiligingslogging en sessie-tijdlimieten configureerbaar per organisatie;
- Regelmatige back-ups met gecontroleerde bewaartermijnen;
- Doorlopende productontwikkeling met aandacht voor beveiligingsrisico's (OWASP Top 10).
Datalekprocedure (art. 33 en 34 AVG)
Bij een beveiligingsincident dat waarschijnlijk een hoog risico voor betrokkenen oplevert, informeert BreadSuite de betrokken gebruikers zonder onredelijke vertraging. Datalekken die meldplichtig zijn, worden binnen 72 uur gemeld bij de Autoriteit Persoonsgegevens conform artikel 33 AVG. Vermoedelijke beveiligingsincidenten kun je melden via security@breadsuite.com.
11. Cookies en vergelijkbare technieken
Noodzakelijke cookies (geen toestemming vereist)
- breadsuite_session: sessiecookie voor inlogstatus, httpOnly, secure, SameSite=Lax. Bewaartermijn: 30 dagen (ingelogd) of sessieduur;
- breadsuite_mfa: tijdelijke cookie voor MFA-verificatieflow. Bewaartermijn: 15 minuten;
- breadsuite_lang: taalvoorkeur cookie. Bewaartermijn: 1 jaar;
- breadsuite_consent: vastlegging cookievoorkeur. Bewaartermijn: 1 jaar.
Analytische cookies (toestemming vereist)
Indien je toestemming geeft, kunnen analytische cookies worden geplaatst voor het meten van websitegebruik en productverbetering. Je kunt toestemming weigeren of intrekken via de cookievoorkeursinstellingen die bij het eerste bezoek worden getoond.
BreadSuite plaatst geen tracking- of marketingcookies van derden zonder expliciete toestemming.
12. Minderjarigen
BreadSuite is niet bedoeld voor gebruik door personen jonger dan 16 jaar zonder toestemming van een ouder of wettelijke vertegenwoordiger, conform artikel 8 AVG. Wij verzamelen niet bewust persoonsgegevens van kinderen jonger dan 16 jaar. Indien wij redelijkerwijs vermoeden dat persoonsgegevens van een minderjarige zonder toestemming zijn verzameld, zullen wij deze onverwijld verwijderen en het account opschorten.
13. Verwerkingsregister
BreadSuite houdt conform artikel 30 AVG een intern register bij van verwerkingsactiviteiten (verwerkingsregister). Dit register bevat per verwerking het doel, de rechtsgrond, de categorieën betrokkenen en gegevens, de ontvangers, en (indien van toepassing) doorgifte buiten de EER. Het verwerkingsregister is beschikbaar voor inzage door de Autoriteit Persoonsgegevens op verzoek.
14. Klachten en wijzigingen
Als je niet tevreden bent over hoe BreadSuite met jouw persoonsgegevens omgaat, horen wij dat graag eerst via privacy@breadsuite.com. Wij nemen elke melding serieus en streven naar een oplossing.
Daarnaast heb je het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP), Postbus 93374, 2509 AJ Den Haag, telefoon 088 1805 250.
BreadSuite kan deze privacyverklaring aanpassen wanneer wetgeving, productfunctionaliteit of onze dienstverlening daarom vraagt. Bij belangrijke wijzigingen informeren wij gebruikers via de website, e-mail of een melding binnen de app, minimaal 30 dagen vóór inwerkingtreding (tenzij directe wijziging wettelijk verplicht is).
Vorige versies
- Versie 1.1 — 17 maart 2026 (initiële publicatie)
- Versie 1.2 — 19 maart 2026 (uitbreiding: bewaartermijnen, rechtsgrondentabel, datalek, cookies, verwerkingsregister)
Autoriteit Persoonsgegevens (AP)
De Nederlandse toezichthouder voor gegevensbescherming is de Autoriteit Persoonsgegevens. Bij klachten over de verwerking van persoonsgegevens door BreadSuite kun je terecht bij de AP.