Hier lees je hoe wij — AdPage B.V., Velmolenweg 54 A, 5404 LD Uden, KvK 75440482 — met persoonsgegevens omgaan. Deze verklaring is van toepassing op iedereen die met AdPage in aanraking komt: bezoekers van adpage.io, prospects, klanten, hun medewerkers, en eindgebruikers van wie via onze producten gegevens worden verwerkt. Vragen of een rechtenverzoek? Mail privacy@adpage.io. Voor security: security@adpage.io.

1. Twee soorten verwerkingen

• Voor onszelf (sectie 2): alles rondom onze website, klantrelatie, marketing, facturatie en werving. Daar zijn wij verwerkingsverantwoordelijke.

• Voor klanten (sectie 3): alles wat door onze producten loopt — tracking, attributie, MMM, MCP. Daar is onze klant verwerkingsverantwoordelijke en zijn wij verwerker (zie Verwerkersovereenkomst op adpage.io/dpa).

2. Wat wij zelf verwerken

Welke gegevens, waarvoor en op welke grond:

• Contact- en accountgegevens (naam, e-mail, telefoon, functie, bedrijf, inloggegevens) — om de overeenkomst uit te voeren (art. 6 lid 1 sub b AVG).

• Communicatie via e-mail, support-tickets, Front, Slack en telefoon — voor support en klantbeheer (gerechtvaardigd belang, sub f).

• Facturatiegegevens via Chargebee — om te factureren en aan de fiscale bewaarplicht te voldoen (sub b en c).

• Websitegegevens (IP, browser, paginabezoeken) en marketinginteracties op Meta, Google, TikTok, LinkedIn — om onze marketing te meten en verbeteren, na jouw cookietoestemming (sub a).

• Sollicitatiegegevens — voor de werving (sub b/f, met respect voor de bewaartermijn hieronder).

Bewaartermijnen die we hanteren: klantgegevens tot 7 jaar na het einde van de overeenkomst (administratieplicht), prospectgegevens tot 24 maanden na laatste interactie, sollicitatiegegevens tot 4 weken na afronding (of 1 jaar met toestemming), algemene audit logs tot 12 maanden.

Marketingmails en commerciële aanbiedingen sturen we op basis van je klantrelatie of zakelijke interesse. Je kunt je daar op elk moment voor afmelden via de afmeldlink in elke e-mail of door een bericht aan privacy@adpage.io. Berichten die we nodig hebben om onze afspraken na te komen (zoals factuurmeldingen of beveiligingsupdates) kun je niet uitschakelen.

3. Wat we voor klanten verwerken

Via onze producten verwerken we gegevens op instructie van onze klant. De gegevens en hun bewaartermijnen vind je terug in de Verwerkersovereenkomst die de klant met ons heeft.

Bij Multi-Touch Attribution (MTA), Marketing Mix Modeling (MMM) en benchmarking gebruiken we pseudonieme identifiers en geaggregeerde data. Voor branche- en categoriebenchmarks hanteren we een aggregatiedrempel van k=5: een benchmarkwaarde wordt nooit getoond als die afkomstig is van minder dan vijf onderliggende klanten of datasegmenten. Daarmee voorkomen we dat individuele klanten of betrokkenen herleidbaar zijn.

Op een aantal integraties willen we hieronder expliciet ingaan.

Meta Business Tools

Bij gebruik van de Meta Pixel en Conversions API delen we technische gegevens, gebruiksgegevens en identifiers (fbclid, fbp, Pixel ID) met Meta voor advertentiemeting en doelgroepopbouw. Alleen na jouw cookietoestemming. Meer in het privacybeleid van Meta: facebook.com/privacy/policy.

Google API Services

We gebruiken Google Tag Manager, Analytics, Ads en OAuth — uitsluitend op instructie van de klant die eigenaar is van het Google-account, met de minimaal noodzakelijke scopes. We gebruiken Google-data niet voor onze eigen advertenties, verkopen of verhuren ze niet, en delen ze niet met databrokers. Dit voldoet aan het Google API Services User Data Policy (Limited Use).

AdPage Data Assistent, MCP-server en ChatGPT-app

Onze MCP-server laat AI-clients — Claude (Anthropic) en ChatGPT (OpenAI via de Apps SDK) — vragen stellen aan onze klantomgeving, alleen wanneer een geauthenticeerde gebruiker daar expliciet om vraagt. De Data Assistent maakt gebruik van LLM-inferentie via Anthropic of Google Gemini, afhankelijk van de configuratie. Alleen de gegevens waar de gebruiker om vraagt, gaan naar de gekozen aanbieder; nooit conversatiecontent, chatgeschiedenis, memory of geüploade bestanden.

Doorgifte naar Anthropic, Google en OpenAI in de Verenigde Staten is gedekt door de EU Standaardcontractsbepalingen (Module 3) en — waar van toepassing — het EU-VS Data Privacy Framework. Contractueel is afgesproken dat deze partijen de via AdPage doorgegeven gegevens niet mogen gebruiken voor het trainen of verbeteren van hun eigen modellen.

MCP- en Apps SDK-audit logs bewaren we maximaal 90 dagen. Een klant kan de Data Assistent, MCP-server en ChatGPT-app op elk moment uitschakelen in het dashboard; uitstaande OAuth-tokens worden dan ingetrokken.

AdPage Shopify-app

Wanneer een merchant de AdPage Shopify-app installeert, koppelt zij haar shop via OAuth 2.0 aan AdPage. De merchant is verwerkingsverantwoordelijke voor de gegevens van haar shop en buyers; AdPage is verwerker.

Via de Shopify Admin API raadplegen we alleen de scopes die nodig zijn voor de geactiveerde functionaliteit (dataminimalisatie conform art. 5 lid 1 sub c AVG): shop-informatie (shop-ID, domein, valuta, plan), order- en checkout-gegevens (transactie-ID, orderwaarde, line items, productinformatie), pseudonieme buyer-identifiers (cookie- en click-ID’s zoals gclid/fbclid/ttclid en — alleen als de merchant het configureert — gehashte e-mailadressen voor Enhanced Conversions, Meta CAPI en TikTok Events API), en de OAuth-tokens en webhook-registraties die de app nodig heeft om te werken.

Voor scopes die onder Shopify’s “protected customer data”-regime vallen, hanteren we aanvullende waarborgen: doelbinding aan de door de merchant opgegeven use case, opt-out-ondersteuning, transparantie via deze verklaring, versleuteling in transit (TLS 1.3) en at rest, en strikte role-based access control.

We ondersteunen de drie door Shopify verplicht gestelde GDPR-webhooks: customers/data_request (export binnen 30 dagen aan merchant), customers/redact (verwijdering of pseudonimisering binnen 30 dagen) en shop/redact (verwijdering uit actieve systemen binnen 48 uur, back-ups via reguliere rotatiecyclus). Shopify-shop- en orderdata bewaren we zolang de app is geïnstalleerd; bij deïnstallatie of een shop/redact-webhook verwijderen we de gegevens binnen 30 dagen, behoudens wettelijke bewaarplichten. OAuth-tokens worden bij deïnstallatie direct ingetrokken.

Shopify-data wordt primair verwerkt op EU-servers (Hetzner DE, Scaleway FR). Doorgifte naar sub-verwerkers in de Verenigde Staten verloopt onder de EU Standaardcontractsbepalingen en — waar van toepassing — het EU-VS Data Privacy Framework. AdPage gebruikt Shopify-data niet voor eigen advertising of retargeting van de merchant en verkoopt of verhuurt deze niet aan derden.

TikTok Marketing API

Koppelt een klant TikTok Ads aan AdPage, dan halen we campagne- en conversiedata op om er rapportages van te maken. Opslag op EU-servers, verwijdering binnen 30 dagen na ontkoppeling of beëindiging.

4. Wie ontvangt je gegevens

We delen alleen wat nodig is, en sluiten met elke partij een verwerkersovereenkomst die ten minste dezelfde verplichtingen oplegt als deze verklaring. We verkopen geen persoonsgegevens.

Voor onze eigen werking (klantrelatie, support, marketing, facturatie, hosting):

Voor onze diensten aan klanten (de Producten — server-side tagging, attributie, MMM, MCP, Data Assistent):

Een actuele lijst publiceren we op adpage.io/sub-verwerkers, met daar ook de aankondiging van toekomstige wijzigingen.

5. Doorgifte buiten de EER

Gaat een verwerking buiten de Europese Economische Ruimte, dan steunen we op de EU Standaardcontractsbepalingen (Besluit 2021/914) en — waar van toepassing — het EU-VS Data Privacy Framework. We voegen technische maatregelen toe (versleuteling, pseudonimisering) en contractuele beperkingen op secundair gebruik.

6. Jouw rechten

Je hebt onder de AVG recht op inzage, rectificatie, wissen, beperking, dataportabiliteit en bezwaar, plus het recht om eerdere toestemming in te trekken. Mail privacy@adpage.io — we reageren binnen een maand. Klacht? Die kun je indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

Gaat je verzoek over een verwerking waarvoor onze klant verantwoordelijk is (sectie 3), dan stuur je dat naar die klant. Wij helpen ze waar nodig.

Woon je in Californië, dan heb je vergelijkbare rechten onder de CCPA/CPRA: inzage, verwijdering, correctie, opt-out van verkoop of sharing, en beperking van het gebruik van gevoelige persoonsgegevens. We “verkopen” geen persoonsgegevens in de zin van die wet.

7. Cookies

Onze website gebruikt functionele, analytische en marketingcookies. Niet-essentiële cookies plaatsen we pas na jouw toestemming via de cookiebanner. Je kunt je voorkeuren op elk moment wijzigen door de banner opnieuw te openen.

Belangrijkste cookies/identifiers: _fbp en _fbc (Meta), _ga, _gid en _gcl_aw (Google), _ttp en ttclid (TikTok), li_sugr/bcookie/lidc (LinkedIn), en onze eigen sessie- en voorkeurscookies.

8. Beveiliging

We werken met versleuteling (TLS 1.2+), role-based access control, multi-factor-authenticatie, logging, monitoring en pentests. Vermoed je een kwetsbaarheid? Mail security@adpage.io — we bevestigen binnen twee werkdagen en werken volgens coordinated disclosure.

9. Geen geautomatiseerde besluitvorming over personen

We nemen geen geautomatiseerde beslissingen met rechtsgevolgen voor personen, ook niet via de Data Assistent of de MCP-server. Modellen geven inzicht; mensen besluiten.

10. Wijzigingen en contact

We werken deze verklaring bij als onze diensten of de regels veranderen. De actuele versie staat altijd op adpage.io/privacy met datum. Materiële wijzigingen kondigen we 30 dagen vooraf aan.

Contact: AdPage B.V., Velmolenweg 54 A, 5404 LD Uden.