Hoe Schaduwplan met jouw gegevens omgaat.

Schaduwplan is een web-applicatie voor bezonningsonderzoek op Nederlandse adressen. De 3D-viewer werkt volledig in je browser: we sturen niets naar een eigen server om wat jij doet vast te leggen. Wat we wel doen, lichten we hieronder per onderdeel toe.

• Geen tracking-cookies, geen advertentie-pixels, geen ad-netwerken. Wat we wél doen op het ingelogde gedeelte van de app: geanonimiseerde productanalytics via PostHog (EU) en error-monitoring via Sentry (EU). Op publieke pagina's geen persistente identifier en geen cookies. Zie Verwerkers hieronder.
• Adres-zoekopdrachten gaan rechtstreeks van je browser naar PDOK (Kadaster). 3D-modellen halen we via onze eigen Cloudflare-cache op bij 3DBAG; hoogtedata bij PDOK en Ellipsis Drive (officiële AHN-distributiepartner). Zie Derden & bronnen.
• Je werk (adressen, projecten, optionele bijlagen, eventuele hoogte-uploads) bewaart de viewer functioneel in je eigen browser — in localStorage en IndexedDB. Niets daarvan komt op onze servers terecht. Zie Cookies & lokale opslag en de cookieverklaring voor de volledige lijst.
• Pas bij rapportaanschaf verwerken we e-mail, factuurgegevens en het adres van het rapport — dan pas verlaat je gegevens je browser.

Verwerkingsverantwoordelijke in de zin van de AVG (artikel 4 lid 7):

• Handelsnaam: Schaduwplan
• Onderneming: Schaduwplan wordt geëxploiteerd als eenmanszaak naar Nederlands recht.
• KvK-nummer: 99118998
• BTW-id: NL005372731B91
• Vestigingsadres: het bij de Kamer van Koophandel geregistreerde vestigingsadres is opvraagbaar via kvk.nl. Voor formele correspondentie en AVG-verzoeken volstaat het e-mailadres hieronder.
• Contact: [email protected] — voor privacy-vragen, support, klachten en alle andere zaken.
• Functionaris voor Gegevensbescherming: Schaduwplan is niet aanmerkelijk als een organisatie waarvoor de AVG (artikel 37) een FG verplicht stelt. Vragen die je bij een FG zou neerleggen kun je rechtstreeks aan [email protected] stellen.

Schaduwplan is bedoeld voor gebruik door personen van 16 jaar of ouder (artikel 8 AVG, Nederlandse uitvoeringspraktijk). De dienst richt zich niet op kinderen jonger dan 16 en wij verzamelen niet bewust persoonsgegevens van minderjarigen.

Vermoed je dat we onbedoeld gegevens van een kind onder de 16 jaar hebben verzameld? Mail [email protected] — wij verwijderen die gegevens zonder onnodige vertraging.

Afhankelijk van hoe je de dienst gebruikt, worden verschillende categorieën gegevens verwerkt. We splitsen ze bewust in "lokaal in jouw browser" (waar Schaduwplan technisch geen toegang toe heeft) en "bij Schaduwplan":

Lokaal in jouw browser (functionele opslag, alleen op jouw apparaat — wij kunnen er niet bij):

• Recent gezochte adressen — maximaal 6, in localStorage, zodat je in de adresbalk snel terug kunt springen. Bevat straat, huisnummer, postcode, woonplaats, RD/WGS84-coördinaten en BAG-id.
• Opgeslagen projecten — in IndexedDB (database schaduwplan, store projects), als je via Projecten → Opslaan een scenario bewaart. Bevat het adres, geplande gebouwen, meetpunten en het gekozen tijdstip. Eventuele afgeleide hoogtes uit een GeoTIFF-upload zitten als meetwaarde mee in het opgeslagen project — wij bewaren nooithet ruwe GeoTIFF zelf ("extract-and-discard").
• Vergunning-bijlagen — in localStorage, als je in "Brondata aanpassen" een PDF of foto van een bouwvergunning of -tekening uploadt om een handmatige hoogtecorrectie te onderbouwen. Maximaal 5 MB in totaal.
• Wachtlijst-e-mail — in localStorage, als je via de "Inloggen / accounts komen eraan"-popover je e-mailadres achterlaat. Die e-mail blijft op jouw apparaat totdat de echte account-functionaliteit live gaat — pas dan vragen we je opnieuw expliciet om hem in te dienen.
• Tijdelijke session-state — in sessionStorage, voor het overdragen van een gekozen adres van de landingspagina naar de viewer en het onthouden van "niet meer tonen"-keuzes binnen één sessie. Wordt gewist zodra je het tabblad sluit.

Volledige sleutels en bewaartermijnen staan in de cookieverklaring.

Bij Schaduwplan (alleen relevant zodra een betaalde flow live gaat — momenteel zijn er nog geen betaalde rapporten geleverd):

• Rapport-aanschaf: je e-mailadres, het adres van het rapport, en (bij Zakelijk) eventueel bedrijfsnaam en KvK-nummer voor facturatie.
• Betalingen: Stripe verwerkt de betaling. Wij ontvangen alleen transactieverwijzing, bedrag en datum — géén kaartnummer.
• Contact: wanneer je mailt naar [email protected] bewaren we die correspondentie.
• Server-logs van onze hosting (Cloudflare Pages): technische toegangsgegevens (IP-adres, tijdstip, opgevraagd pad) zoals elke webserver dat doet. Cloudflare bewaart deze korte tijd voor beveiliging en foutopsporing en deelt ze niet met ons in geaggregeerde of geïdentificeerde vorm.

• Het leveren van het gekochte rapport (PDF via e-mail).
• Het verwerken van betalingen en afgeven van facturen.
• Het beantwoorden van contactverzoeken.
• Wettelijke verplichtingen (fiscale bewaarplicht op facturen).

We gebruiken je gegevens nooit voor marketingdoeleinden buiten het verzoek om, verkopen ze nooit aan derden, en voeren geen profiling uit.

• Uitvoering van de overeenkomst — voor het leveren van het rapport dat je aanschaft.
• Wettelijke verplichting — voor facturatie en fiscale bewaarplicht.
• Gerechtvaardigd belang — voor het behandelen van je contactverzoeken.

Om de 3D-viewer te laten werken verbinden we met een aantal externe diensten. Sommige verbindingen lopen rechtstreeks van je browser naar de bron, andere lopen via onze Cloudflare-cache (zodat we de upstream-API niet platleggen en jij snellere antwoorden krijgt):

• PDOK Locatieserver (Kadaster) — adres-autocomplete en BAG-pand-resolutie. Rechtstreeks vanuit je browser. Overheidsdienst; geen persoonsgegevens vastgelegd buiten de zoekopdracht zelf.
• 3DBAG (TU Delft + 3DGI) — 3D-gebouwmodellen en pand-attributen. Via onze Cloudflare Pages-functie op /api/bag3d/* (24 uur edge-cache, omdat 3DBAG geen CORS-headers stuurt). Open data, CC BY 4.0; geen persoonsgegevens — wel logt Cloudflare standaard toegangsmetadata zoals IP en tijdstip voor beveiliging.
• PDOK (AHN4) — hoogtedata via WCS. Rechtstreeks vanuit je browser. Open data.
• Ellipsis Drive (AHN5 / AHN6) — recentere hoogtedata, alleen wanneer 3DBAG voor jouw pand verouderd is of geen roof-fit heeft kunnen maken. Ellipsis Drive is een Nederlandse SaaS die door AHN is aangewezen als officiële distributiepartner voor AHN5+ (zie ahn.nl/dataroom). Rechtstreeks vanuit je browser. Geen persoonsgegevens.
• Cloudflare Pages — onze hosting. Serveert de website en de 3DBAG-cache vanuit EU-edges. Cloudflare ziet standaard webserver-logs (IP, tijdstip, pad).
• Stripe (Stripe Payments Europe Ltd, Ierland) — bij betalingen (nog niet live op het moment van deze verklaring). EU-verwerker met eigen privacybeleid.

We gebruiken geen Google Analytics, geen Meta Pixel, geen Cloudflare Web Analytics en geen advertentie- of social-tracking. Voor error-monitoring gebruiken we Sentry (EU) met privacy-conservatieve instellingen; voor productanalytics op het ingelogde gedeelte PostHog (EU). Beide worden in detail beschreven onder "Verwerkers" hieronder. Lettertypen (Fraunces, Inter Tight, JetBrains Mono) worden via @fontsource meegebundeld in onze build — er gaat dus géén verzoek naar Google Fonts of een vergelijkbare CDN.

Voor de hieronder genoemde diensten werken we met een verwerkersovereenkomst (Data Processing Agreement) of de standaard-DPA van de leverancier. Allemaal met EU-vestiging of EU-residency-garantie. Een volledige actuele lijst, inclusief DPA-versies en doorgifte-mechanismen, vind je in ons sub-processor register (AVG art. 30).

• Cloudflare, Inc. — hosting (Cloudflare Pages, Workers, R2-objectopslag, Queues, DNS). EU-edges; R2-bucket in EU-jurisdictie; standaard-DPA en EU SCCs voor eventuele transatlantische sub-processing.
• Supabase Inc. (eu-central-1, Frankfurt) — database (Postgres met Row Level Security), authenticatie en Realtime-broadcasts voor de klant-dashboard. Eigen DPA met EU SCCs Module 2.
• Stripe Payments Europe Ltd (Dublin, Ierland) — betaalverwerker voor de betaalde rapporten: Stripe Checkout voor de transactie, Stripe Tax voor automatische BTW-bereke­ ning en Stripe Invoicing voor de factuurgeneratie. EU-entiteit, PCI DSS Level 1, eigen DPA.
• Resend (eu-west-1, Ierland; Plus Five Five, Inc.) — transactionele e-mail (rapport-gereed, betaalfout) via het subdomein mail.schaduwplan.nl en SMTP-relay voor Supabase Auth-mails (wachtwoord-reset, e-mailverificatie). EU SCCs Module 2 + EU-US DPF.
• Sentry (de.sentry.io, Frankfurt; Functional Software, Inc.) — error-monitoring voor de frontend en de render-Worker. Geen IP-verzameling (sendDefaultPii: false), geen session-replay, sample-rate 10%. Eigen DPA v5.1.0 met EU SCCs Module 2.
• PostHog, Inc.(eu.posthog.com, AWS Frankfurt) — productanalytics. Op publieke pagina's zonder persistente identifier en zonder cookies (disable_persistence: true); op het ingelogde gedeelte gekoppeld aan je account-id voor conversie-funnel-analyse, met opt-in via de gebruiksvoorwaarden bij registratie. Geen session-recording, geen heatmaps, geen autocapture. Eigen DPA + EU SCCs Module 2.
• Zoho Corporation B.V. (EU) — inkomende e-mail voor hello@, privacy@, security@ en vergelijkbare aliassen onder @schaduwplan.nl. Standaard Zoho-DPA op basis van Model Contractual Clauses.

Eventuele toekomstige uitbreiding van de stack wordt vooraf in deze verklaring opgenomen, minimaal 30 dagen voor ingebruikname. Sentry en PostHog zijn op deze datum aangekondigd (2026-05-14) en gaan live met de Schaduwplan paid-backend MVP.

Wij streven ernaar gegevens binnen de Europese Economische Ruimte (EER) te verwerken. Cloudflare en Stripe zijn echter onderdeel van groepen met Amerikaanse moederbedrijven, waardoor incidenteel ondersteunende verwerkingen buiten de EER kunnen plaatsvinden. Voor zover dat het geval is, leunen we op de standaardwaarborgen die de AVG voorschrijft:

• een geldig adequaatheidsbesluit van de Europese Commissie (zoals het EU-VS Data Privacy Framework, voor zover de ontvangende partij daarop is aangesloten); of
• de Europese Standard Contractual Clauses (SCC's), desgewenst aangevuld met aanvullende waarborgen zoals encryptie en gepseudonimiseerde verwerking; of
• een andere passende waarborg conform AVG-hoofdstuk V.

Een actuele lijst van onze verwerkers en hun doorgifte-mechanisme is op verzoek beschikbaar via [email protected].

Bij Schaduwplan:

• Rapport-gerelateerde data: 12 maanden na aanschaf (voor support en iteratie), dan verwijderd tenzij op jouw verzoek langer bewaard.
• Facturen: 7 jaar (wettelijke fiscale bewaarplicht, art. 52 AWR).
• Contactmails: maximaal 24 maanden.
• Hosting-/server-logs: Cloudflare bewaart toegangslogs op edge-niveau standaard maximaal enkele dagen. Wij loggen zelf niets structureel. Foutmeldingen worden 30 dagen bewaard voor debugging.

Lokaal in jouw browser — wij bepalen deze termijnen niet, jij wel:

• sessionStorage wordt gewist zodra je het tabblad sluit.
• localStorage en IndexedDBblijven staan totdat jij ze wist via je browser-instellingen, via "Wis recente adressen" / "Verwijder bijlage" in de viewer, of totdat je browser zelf opruimt (bijv. iOS Safari evict bij langdurige inactiviteit).
• Voor projecten kan je optioneel navigator.storage.persist() toestaan, zodat de browser je werk niet zomaar opruimt.

Je hebt recht op:

• Inzage in welke gegevens we van je hebben.
• Correctie van onjuiste gegevens.
• Verwijdering ("recht om vergeten te worden") binnen wat de fiscale bewaarplicht toelaat.
• Beperking van de verwerking.
• Gegevensoverdraagbaarheid.
• Bezwaar tegen verwerking op basis van gerechtvaardigd belang.
• Klachtrecht bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

Vragen over je rechten? Mail [email protected]. We reageren binnen de wettelijke termijn van vier weken.

Je hebt het recht je gegevens en (toekomstige) account te laten verwijderen.

• Lokale gegevens (3D-viewer)kun je zelf wissen via de browser-instellingen voor schaduwplan.nl, of via de "Verwijderen"-knoppen in de viewer.
• Zelfservice op schaduwplan.nl/app/settings — als je een account hebt, kun je daar (a) je account met alle bijbehorende rapport-bytes verwijderen met één knop, en (b) een JSON-export van al je gegevens downloaden (Art. 20 AVG — recht op gegevensoverdraagbaarheid). Bevestiging volgt direct in de UI.
• Per mail kan ook, vanuit het bij ons bekende e-mailadres naar [email protected]. Wij bevestigen de verwijdering binnen de wettelijke termijn van 30 dagen (verlengbaar met 60 dagen bij complexe verzoeken).
• Wat we wettelijk moeten bewaren: facturen blijven onder de fiscale bewaarplicht (Art. 52 AWR — 7 jaar) staan, ook na een verwijderverzoek. Een verzoek tot verwijdering voor deze categorie wordt afgewezen op grond van Art. 17 lid 3 b AVG (wettelijke bewaarplicht). De link met het verwijderde account wordt verbroken (project-rij blijft, user_id wordt NULL).
• Stripe houdt los van Schaduwplan een betalingsverleden bij. Wil je hun kopie ook laten verwijderen, dan kan dat via privacy.stripe.com.

We plaatsen geen tracking-cookies en geen advertentie-cookies. We gebruiken wél functionele lokale browser-opslag (sessionStorage, localStorage en IndexedDB) om je werk tussen sessies te bewaren. Dit valt onder "strikt noodzakelijke" opslag in de zin van artikel 11.7a Telecommunicatiewet — er is dus geen cookie-toestemming voor nodig.

De volledige lijst met sleutels, doel en bewaartermijn staat in de cookieverklaring.

De website draait op Cloudflare Pages met TLS 1.3. Betaalgegevens verwerkt Stripe met PCI DSS Level 1 compliance. E-mails worden versleuteld (TLS) verstuurd en opgeslagen. Rapport-PDF's worden encrypted opgeslagen. Lokale browser-opslag is alleen voor jou toegankelijk — wij hebben er geen leesrechten op.

Mocht zich onverhoopt een datalek voordoen waarbij jouw persoonsgegevens betrokken zijn en dat een risico met zich meebrengt, dan melden we dat conform artikel 33 AVG binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens. Wanneer het datalek waarschijnlijk een hoog risico voor jouw rechten en vrijheden oplevert, informeren we jou daar zonder onnodige vertraging rechtstreeks over (artikel 34 AVG). Vermoed je zelf een lek? Mail [email protected] zo specifiek mogelijk.

Substantiële wijzigingen kondigen we aan via een banner op de website minimaal 30 dagen voordat ze ingaan. Kleine redactionele aanpassingen publiceren we stil, met bijgewerkte "laatst bijgewerkt"-datum bovenaan.

Vragen, klachten of verzoeken: [email protected]. We reageren binnen één werkdag.