Privacybeleid

Pataluha Ventures S.L. · Laatste update: 22 May 2026 · Versie 2.6

Op zoek naar de privacyverklaring voor onze marketingwebsite? Zie https://solidmaint.com/privacy.

Wij voldoen aan de EU-Algemene Verordening Gegevensbescherming (GDPR) en de Spaanse Organieke Wet inzake de bescherming van persoonsgegevens (LOPDGDD 3/2018).

1. Verwerkingsverantwoordelijke

Pataluha Ventures S.L. ("wij", "ons"), NIF B26627539, geregistreerd in Spanje, exploiteert het SolidMaint-platform (Customer app, Crew app, web-backoffice) en is de verwerkingsverantwoordelijke voor uw persoonsgegevens. SolidMaint S.L. (NIF B27612159, statutaire zetel p/a The Pool, Avda. Bulevar Príncipe Alfonso de Hohenlohe 2, 29602 Marbella, Málaga, Spanje) is een dochteronderneming van Pataluha Ventures S.L., geregistreerd op 7 May 2026. Totdat het platform wordt overgedragen aan SolidMaint S.L., blijft Pataluha Ventures S.L. de enige verwerkingsverantwoordelijke. Contact: privacy@solidmaint.com

2. Persoonsgegevens die wij verzamelen

Wij verzamelen verschillende categorieën gegevens afhankelijk van welke app u gebruikt (Customer of Crew). Waar een categorie uitsluitend op één app van toepassing is, vermelden wij dit.

• Accountgegevens (beide apps) — Naam, e-mailadres, telefoonnummer, profielfoto, taalvoorkeur, rol.
• Authenticatiegegevens (beide apps) — Gehasht wachtwoord, sessietokens, optionele Apple Sign In- of Google Sign In-federatieve identifier, optionele status van biometrische ontgrendeling (Face ID / vingerafdruk blijft op het apparaat en wordt nooit verzonden).
• Vastgoedgegevens (Customer app) — Adres, kadastraal referentienummer, bouwkundige details, apparaten en installaties, geüploade documenten.
• Servicegegevens (beide apps) — Serviceverzoeken, taakgeschiedenis, foto's (voor / tijdens / na het werk), bijschriften, beoordelingen, logboekvermeldingen.
• Betalingsgegevens (Customer app) — SEPA-mandaatreferenties, Stripe-klant-ID's, de laatste vier cijfers van kaarten opgeslagen door Stripe (wij slaan geen volledige kaartnummers op). Uitbetalingen aan Crew verlopen via Stripe Connect; de Crew app verzamelt geen kaartgegevens.
• Geluidsopnamen (Crew app) — Spraakmemo's voor werkrapporten en de AI co-driving-spraakmodus. Transcriptie aan de serverzijde via Google Gemini; het audiobestand wordt 30 dagen na het uploaden verwijderd; de transcriptie wordt bewaard bij de taakregistratie.
• Kassabon-OCR-gegevens (Crew app) — Kassabonafbeeldingen geüpload voor onkostendeclaraties; extractie van regelitems aan de serverzijde (winkelnaam, datum, artikelen, totalen) opgeslagen in de onkostenregistratie.
• Locatiegegevens (Crew app) — Precieze GPS-coördinaten terwijl een taaktimer actief is, gebruikt voor verificatie via een geofence van 100 meter en voor de melding van de voorgrondservice "locatie wordt gevolgd tijdens actieve taak". Achtergrondlocatie wordt uitsluitend gevraagd indien u zich aanmeldt voor de aankomstherinnering van de timer of terwijl een actieve timer loopt met het scherm uitgeschakeld. Coördinaten worden 8 weken na voltooiing van de taak en uitgifte van de factuur verwijderd.
• Communicatiegegevens (beide apps) — Chatberichten tussen u en HQ, Crew, klanten of deelnemers aan een taakgroep. Inkomende WhatsApp-berichten worden doorgegeven via Twilio.
• Push-tokens (beide apps) — FCM (Android) / APNs (iOS) apparaat-push-tokens gekoppeld aan uw gebruikersaccount, gebruikt voor het bezorgen van meldingen over serviceverzoeken, taaktoewijzingen, goedkeuringen en berichten.
• Crashdiagnostiek (beide apps) — Sentry-crashrapporten, breadcrumbs (gebruikersinteractiegebeurtenissen, prestatietraces) en een `userId`-tag, gebruikt voor het diagnosticeren van fouten.
• Gebruiksgegevens (beide apps) — Inloghorodateringen, apparaatinformatie (model, OS-versie), IP-adres (kort gebruikt voor rate-limiting en beveiligingscontroles; niet bewaard als profielveld).
• Door de operator verwerkte gegevens (HQ-backoffice) — Onze medewerkers kunnen uw contact- en vastgoedgegevens namens u invoeren, importeren of anderszins verwerken als onderdeel van interne operationele werkstromen (bijvoorbeeld tijdens onboarding, planning, opvolging of servicecoördinatie). Een dergelijke verwerking kan AI-ondersteuning omvatten — zie §10 voor de AI-verwerkers die wij gebruiken.

3. Rechtsgrondslag voor verwerking

• Uitvoering van een overeenkomst (Art. 6(1)(b) GDPR) — verwerking die noodzakelijk is voor het verlenen van de onderhoudsdiensten die u aanvraagt en voor de uitbetaling van Crew-leden.
• Gerechtvaardigd belang (Art. 6(1)(f) GDPR) — platformbeveiliging, fraudepreventie, crashdiagnostiek, anonieme analyses van servicekwaliteit.
• Toestemming (Art. 6(1)(a) GDPR) — marketingcommunicaties (uitsluitend opt-in); bewaring van AI-trainingsgegevens (zie §10).
• Wettelijke verplichting (Art. 6(1)(c) GDPR) — belastingadministratie en bewaring van facturen (tot 10 jaar — minimaal 6 jaar op grond van *Código de Comercio* Art. 30, verlengd tot 10 jaar voor zover de gegevens een *base imponible negativa* onderbouwen op grond van *Ley General Tributaria* Art. 66 bis).

4. Hoe wij uw gegevens gebruiken

• Het verlenen en verbeteren van onze vastgoedonderhoudsdiensten.
• Het verwerken van betalingen (klantzijde) en uitbetalingen aan Crew (Crew-zijde via Stripe Connect).
• Communicatie over serviceverzoeken, taken, goedkeuringen en berichten.
• Automatisch vertalen van chatberichten tussen gebruikers die verschillende talen spreken.
• AI-ondersteunde functies: fotoherkenning (Smart Scan), spraaктranscriptie (Crew-spraakrapporten, AI co-driving), kassabon-OCR, agentondersteuning, visuele analyse.
• Verificatie van de aanwezigheid van Crew op het vastgoed via geofence.
• Crashdiagnostiek en productanalyse.
• Meldingen over het verlopen van garanties voor geregistreerde apparaten.

In-app gesprekken zijn NIET privé voor ons

Berichten in serviceverzoek-chats (klant ↔ Crew, klant ↔ HQ, Crew ↔ HQ), in-app AI-chat met onze assistent en WhatsApp-gesprekken die via ons platform worden gerouteerd, zijn zichtbaar voor bevoegde HQ-medewerkers ten behoeve van:

• Bewaking van de servicekwaliteit — steekproefsgewijze controle of het gesprek tussen u en het toegewezen Crew-lid constructief verloopt, of offertes overeenkomen met wat is overeengekomen en of problemen tijdig worden gesignaleerd.
• Routineonderhoud van het systeem en foutopsporing — inzicht in wat gebruikers aan de AI-assistent hebben gevraagd wanneer een interactie mislukt, waarom een vertaling een vreemd resultaat heeft opgeleverd of waarom een melding niet is bezorgd. Wij beperken dit tot het strikt noodzakelijke — maar een melding van het type "het systeem werkt niet" zonder verdere context kan niet worden gediagnosticeerd zonder de betreffende interactie te lezen.
• Geschillenbeslechting — wanneer een klant of Crew-lid meldt dat de andere partij X heeft beloofd maar Y heeft geleverd, beoordeelt HQ de chat om op billijke wijze te bemiddelen op basis van gedocumenteerd bewijs.

Berichten zijn versleuteld tijdens verzending en in rusttoestand (HTTPS tijdens verzending; door AWS beheerde versleuteling op de S3-spiegel en op de Neon Postgres-database). De versleuteling beschermt tegen onderschepping door derden en toegang door infrastructuurproviders — zij maakt gesprekken niet privé voor de operationele medewerkers van SolidMaint. Voor vertrouwelijke aangelegenheden (juridische klachten, HR-gerelateerde bezwaren) kunt u een e-mail sturen naar privacy@solidmaint.com.

Dit geldt evenzeer voor directe chats tussen klant en Crew; het platform wordt geëxploiteerd als een beheerde dienst, niet als een peer-to-peer-berichtentoepassing.

5. Gegevensdeling / Sub-verwerkers

Wij delen uw gegevens uitsluitend met de hieronder vermelde verwerkers en sub-verwerkers. Wij verkopen uw persoonsgegevens niet. De lijst weerspiegelt de feitelijke gegevensstromen in de apps; wij werken deze bij wanneer wij van verwerkers wisselen.

| Ontvanger | Locatie | Wat wij delen | Waarom |

| --- | --- | --- | --- |

| Stripe Payments Europe Ltd | Ierland (moedermaatschappij: Stripe Inc., VS, met SCB's) | Kaartgegevens, SEPA-mandaatreferenties, klant-/contractant-ID's, betalingsmetadata. De Customer app verzamelt kaarten in-app via de Stripe SDK; de Crew app ontvangt uitsluitend uitbetalingen — geen kaartregistratie. | Betalingsverwerking (klant) en uitbetalingen aan Crew via Stripe Connect Express. |

| Neon Inc. | EU (AWS eu-central-1, Frankfurt) | Primaire database — alle relationele gegevens. | Beheerde Postgres-hosting. |

| Fly.io | EU (Frankfurt `fra`-regio) | Runtime van de API-server. | API-hosting. |

| Amazon Web Services (S3 + CloudFront) | S3-buckets in EU (eu-central-1); CloudFront edge-cache wereldwijd | Foto's, geluidsopnamen, kassabonafbeeldingen, geüploade documenten. | Bestandsopslag en CDN-levering. De CloudFront edge-cache kan content buiten de EU cachen; SCB's zijn van toepassing. (Wij zijn in maart 2026 gemigreerd van Cloudflare R2 vanwege blokkades door Spaanse internetproviders op het vorige CDN.) |

| Google LLC — Gemini API | VS, met SCB's | AI-chatinhoud, foto's verzonden voor visuele analyse, geluidsopnamen verzonden voor transcriptie, kassabon- en documentinhoud verzonden voor verwerking/OCR, en persoonsgegevens (zoals naam, e-mail, telefoonnummer, adres) verwerkt door AI-ondersteuning in klantgerichte of operatorgерichte tools. Wij maken gebruik van het betaalde Gemini-abonnement van Google, waarbij Google contractueel toezegt invoer of uitvoer niet te gebruiken voor het trainen van zijn modellen. | AI-ondersteuning voor klantgerichte en operatorgerichte functies. |

| Google LLC — Firebase Cloud Messaging | VS, met SCB's | FCM-apparaat-push-token; minimale meldingspayload (geen persoonsgegevens in de payload zelf). | Push-meldingen voor Android. |

| Google LLC — Google Maps Platform | VS, met SCB's | Vastgoedadressen verzonden voor geocodering; optionele weergave van Street View. | Kaart-UI in de apps. |

| Apple Inc. — APNs | VS, met SCB's | APNs-apparaat-push-token. | Push-meldingen voor iOS. |

| Sentry GmbH (verwerker op AWS VS) | Wenen (verwerkingsverantwoordelijke); VS (verwerking) | Crashrapporten, breadcrumbs (interacties, prestaties), `userId`-tag, apparaattag. | Crashdiagnostiek en prestatiebewaking. |

| Twilio Inc. | VS, met SCB's en EU-sub-verwerkers | Telefoonnummer, SMS-/WhatsApp-berichtinhoud. | SMS-meldingen en inkomende WhatsApp-relay. |

| Resend Inc. | VS, met SCB's | E-mailadres, berichtinhoud. | Transactionele e-mail (accountverificaties, meldingen). |

| Apple Inc. — Sign In with Apple | VS, met SCB's | OAuth-ID-token; optioneel relay-e-mailadres indien u kiest voor het verbergen van uw adres. | Optionele federatieve aanmelding. |

| Google LLC — Sign In | VS, met SCB's | OAuth-ID-token. | Optionele federatieve aanmelding. |

| Toegewezen Crew-leden | EU (werkzaam in Spanje) | Naam van de klant, vastgoedadres, toegangscodes, taakdetails — uitsluitend voor taken die aan het betreffende Crew-lid zijn toegewezen. | Dienstverlening. |

6. Grensoverschrijdende doorgiften

Primaire gegevensopslag (database, bestandsopslag) bevindt zich in de EU. Sommige verwerkers zijn voor specifieke functies actief in de Verenigde Staten (AI-inferentie, push-meldingen, crashdiagnostiek, e-mail, OAuth-identiteit); deze internationale doorgiften zijn gebaseerd op Standaard Contractuele Bepalingen van de Europese Commissie overeenkomstig GDPR Art. 46(2)(c). Waar een verwerker EU-opslagopties aanbiedt die wij hebben geselecteerd, vermeldt de tabel in §5 dit.

7. Bewaartermijnen

| Gegevenstype | Bewaartermijn |

| --- | --- |

| Accountgegevens | Tot verwijdering van het account + respijtperiode van 30 dagen |

| Geluidsopnamen (Crew) | 30 dagen; transcriptie bewaard bij de taakregistratie |

| Kassabonafbeeldingen (Crew) | Bewaard bij de onkostenregistratie tot verwijdering van het account |

| GPS-coördinaten van voltooide werkzaamheden | 8 weken na voltooiing van de taak en uitgifte van de factuur |

| Chatberichten | Tot verwijdering van het account |

| Sentry-crashgebeurtenissen | 90 dagen (standaard bewaartermijn Sentry-plan) |

| Auditlogboeken (beveiligingsrelevante gebeurtenissen) | 2 jaar |

| Financiële gegevens (transacties, facturen, uitbetalingsontvangstbewijzen, factuur-PDF's, boekhoudkundige onderbouwingsdocumenten) | Tot 10 jaar — minimaal 6 jaar op grond van *Código de Comercio* Art. 30, verlengd tot 10 jaar voor gegevens die een *base imponible negativa* (verliescompensatie) onderbouwen op grond van *Ley General Tributaria* Art. 66 bis |

| AI-trainingsgegevensarchief (uitsluitend op basis van toestemming) | Tot intrekking van toestemming of verwijdering van het account |

| Geanonimiseerde geaggregeerde statistieken | Onbepaalde tijd; kunnen niet aan u worden gekoppeld |

8. Beveiligingsmaatregelen

Wij beschermen uw gegevens met de volgende technische en organisatorische maatregelen:

• TLS tijdens verzending — al het client-serververkeer maakt gebruik van HTTPS met moderne cipher suites; HTTP wordt geweigerd op het niveau van de load balancer.
• Versleuteling in rusttoestand — door AWS beheerde versleuteling op S3-bestandsopslag, door de provider beheerde versleuteling op de Neon Postgres-database en door Sentry beheerde versleuteling op diagnostische gegevens.
• Wachtwoordhashing — wachtwoorden worden opgeslagen als bcrypt-hashes en nooit in leesbare tekst.
• Op rollen gebaseerde toegangscontrole — HQ-backoffice- en Crew-accounts hebben expliciete rollen (admin, supervisor, dispatcher, support, worker, customer) die bepalen welke gegevens elke rol kan inzien.
• Auditlogboeken — beveiligingsrelevante gebeurtenissen (aanmelding, rolwijzigingen, gegevensexports, accountverwijderingen, schakelaars voor AI-trainingsgegevens) worden vastgelegd en gedurende 2 jaar bewaard.
• Incidentrespons — Sentry-bewaking van crashes en fouten met door de operator beheerde toegang; PII-handlers getagd voor snelle triage bij beveiligingsincidenten.

9. Uw rechten (GDPR Artikelen 15–22)

• Inzage (Art. 15) — Download al uw gegevens via Profiel → Mijn gegevens downloaden.
• Rectificatie (Art. 16) — Bewerk uw profiel op elk gewenst moment.
• Wissing (Art. 17) — Verwijder uw account via Profiel → Account verwijderen, of volg de handleiding voor gegevensverwijdering op `/legal/data-deletion`.
• Gegevensoverdraagbaarheid (Art. 20) — Exporteer uw gegevens als een machineleesbaar ZIP-archief.
• Beperking (Art. 18) / Bezwaar (Art. 21) — Stuur een e-mail naar privacy@solidmaint.com.
• Toestemming intrekken (Art. 7(3)) — Schakel de bewaring van AI-trainingsgegevens uit in uw profiel, of meldt u af voor marketinge-mails via de link in een dergelijke e-mail.
• Klacht — U kunt een klacht indienen bij de Spaanse gegevensbeschermingsautoriteit (AEPD) op www.aepd.es of bij de toezichthoudende autoriteit in uw eigen EU/EER-lidstaat.

10. AI-verwerking en bewaring van trainingsgegevens

Bepaalde gebruikers- en operationele inhoud wordt door AI-modellen verwerkt ter ondersteuning van functies (fotoherkenning, spraaктranscriptie, OCR, agentondersteuning, chatvertaling, documentverwerking en andere klantgerichte of operatorgerichte AI-ondersteuning). Er zijn twee afzonderlijke verwerkingsstromen:

• Inferentie (altijd actief) — Inhoud die relevant is voor de functie die u gebruikt, of voor een operatoractie die namens u wordt uitgevoerd, wordt verzonden naar het betreffende model (doorgaans de Google Gemini API), het model geeft een resultaat terug en het resultaat wordt opgeslagen bij de gerelateerde registratie (taak, bericht, onkosten, vastgoed, enz.). Deze verwerking is noodzakelijk om de door u gevraagde functie te leveren of om onze serviceovereenkomst met u na te komen (Art. 6(1)(b) GDPR). Wij maken gebruik van het betaalde Gemini-abonnement van Google; op grond van de API-voorwaarden van Google worden betaalde invoer en uitvoer niet gebruikt voor het trainen van de modellen van Google, en worden de tijdelijke logs van Google niet langer bewaard dan noodzakelijk voor het bewaken van misbruik.
• Bewaring van trainingsgegevens (uitsluitend op basis van toestemming) — Indien u AI-trainingsgegevens hebt ingeschakeld in uw profiel, bewaren wij aanvullend de invoer en uitvoer van elke AI-aanroep die voortkomt uit uw eigen activiteit in een gepseudonimiseerd archief op onze eigen infrastructuur voor modelverbetering. Dit is gebaseerd op toestemming (Art. 6(1)(a) GDPR) en u kunt uw toestemming op elk moment intrekken. AI-aanroepen die door onze operators worden gedaan in het kader van interne werkstromen, worden niet opgenomen in dit opt-in-archief; zij zijn operationele gegevens en worden uitsluitend bewaard zolang de betreffende operationele registratie bestaat.

Het intrekken van uw toestemming sluit uw toekomstige aanroepen uit van het trainingsarchief en activeert de verwijdering van alle eerder gearchiveerde trainingsregistraties die aan uw account zijn gekoppeld. Gebruik Profiel → AI-trainingsgegevens om in of uit te schakelen, of Profiel → AI-trainingsgegevens wissen voor verwijdering op aanvraag. De verwijderingsroutine is `DELETE /v1/profile/ai-training-data` en wordt ook uitgevoerd als onderdeel van de volledige accountverwijdering (`gdpr-delete.ts`).

Operationele tabellen die de AI-sessiestatus bevatten (`ai_sessions`, `ai_turns`, `ai_tool_calls`) zijn runtime-gegevens, geen trainingsgegevens. Zij bestaan ter ondersteuning van hervatten na verbreking van de verbinding, foutopsporing per gebruiker en audit per aanvraag, en worden verwijderd in dezelfde cascade wanneer u uw account verwijdert of uw toestemming intrekt.

11. Cookies en vergelijkbare technologieën

Wij gebruiken uitsluitend strikt noodzakelijke cookies en opslag. Wij plaatsen geen advertentie-, gedragstracking- of externe analytische cookies.

Meer specifiek: een authenticatiesessietoken in `localStorage` (web) of `expo-secure-store` (mobiel), anonieme service-worker-/push-meldingsregistraties en platform-crashdiagnose-identifiers (Sentry).

Onze overige verwerkers plaatsen geen cookies in onze apps; zij ontvangen uitsluitend aan het verzoek gebonden telemetriegegevens.

12. Privacy van kinderen

Het platform is niet bestemd voor gebruikers jonger dan 18 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen. Indien u vermoedt dat een kind ons persoonsgegevens heeft verstrekt, neem dan contact op via privacy@solidmaint.com.

13. Wijzigingen in dit beleid

Wij stellen u via e-mail en/of een in-app-melding op de hoogte van wezenlijke wijzigingen, ten minste 30 dagen vóórdat deze van kracht worden. Het versienummer en de datum bovenaan deze pagina geven aan wanneer het beleid voor het laatst is bijgewerkt.

14. Contact

Voor alle privacygerelateerde vragen: privacy@solidmaint.com.

Voor het verwijderen van uw account, zie de speciale handleiding op /legal/data-deletion.