Privacybeleid
Laatst bijgewerkt: 10 juli 2026
Wie we zijn
Wexlo is een handelsnaam van Rybier Consulting, President Allendelaan 263, 1068 VM Amsterdam, ingeschreven bij de Kamer van Koophandel onder nummer 66637694, btw-nummer NL001677588B25. Wij zijn de verwerkingsverantwoordelijke voor de verwerkingen die op deze pagina staan beschreven. Contact: [email protected].
De korte versie
- We verzamelen het minimum dat nodig is om websites te scannen, rapporten te leveren en te factureren — en slaan bewust geen screenshots of HTML van gescande pagina’s op.
- Onze infrastructuur draait in de EU. Eén stap in de rapportpijplijn (de AI-tekstgeneratie) loopt op dit moment via een Amerikaanse leverancier; dat benoemen we hieronder eerlijk in plaats van het te verstoppen.
- Geen advertentiecookies, geen tracking, geen cookiebanner nodig. Eén functionele sessiecookie bij het inloggen, cookieloze analytics.
- U kunt zich met één klik afmelden voor elke e-mail en op elk moment verwijdering van uw gegevens vragen.
Wat we verwerken, en waarom
- Gratis scan. U vult een website-URL en uw e-mailadres in. Wij scannen de publiek bereikbare pagina, slaan de bevindingen op en mailen u de resultaten, gevolgd door maximaal twee opvolgmails over het volledige product. Elke e-mail bevat een afmeldlink; één klik stopt alle verdere e-mails direct. Grondslag: uw toestemming (art. 6 lid 1 sub a AVG), die u op elk moment kunt intrekken.
- Scanresultaten. We slaan alleen gestructureerde bevindingen op: de regel, het WCAG-criterium, de ernst en een CSS-selector. We slaan bewust geen screenshots en geen HTML-fragmenten van gescande pagina’s op, zodat persoonsgegevens die op die pagina’s kunnen staan niet in onze database terechtkomen.
- Klantaccounts en bestellingen. Wanneer u een abonnement afsluit, slaan we uw bedrijfsnaam, contact-e-mailadres, btw-nummer, land en de door u geregistreerde domeinen op, om uw scans te draaien en te factureren. Grondslag: uitvoering van de overeenkomst (art. 6 lid 1 sub b) en wettelijke (fiscale) verplichtingen voor facturen (art. 6 lid 1 sub c).
- Rapporten. Uw scanrapporten en PDF-bestanden worden bewaard zodat u ze in uw portal kunt downloaden. Grondslag: uitvoering van de overeenkomst.
- Betalingen en facturatie. Betalingen lopen via Mollie; wij zien of bewaren uw volledige betaalgegevens nooit. Facturen worden aangemaakt in ons boekhoudsysteem (Jortt) met uw bedrijfsnaam, adres en btw-nummer, zoals de belastingwetgeving vereist.
- Bestel- en akkoordregistratie. Bij het afrekenen leggen we vast met welke versie van onze voorwaarden u akkoord ging, wanneer, en het IP-adres en de browserkenmerken (user agent) van het verzoek. We gebruiken dit alleen om fraude te voorkomen en om betaalgeschillen (chargebacks) te onderbouwen of te weerleggen. Grondslag: gerechtvaardigd belang (art. 6 lid 1 sub f — fraudepreventie en rechtsvorderingen).
- Hoe u ons vond. Komt u binnen via een campagnelink, dan leggen we de campagneparameters (UTM-tags) en de verwijzende pagina vast bij uw lead of bestelling. Dit wordt uit het adres van de pagina gelezen — er komen geen cookies en geen cross-site-tracking aan te pas. Grondslag: gerechtvaardigd belang (meten welke kanalen werken).
- Portal-login. We gebruiken eenmalige inloglinks naar uw e-mailadres en één functionele sessiecookie. Voor klanten worden geen wachtwoorden opgeslagen.
- Misbruikpreventie. We beperken het aantal verzoeken per IP-adres (rate limiting). Deze technische tellers verlopen automatisch en worden alleen gebruikt om de dienst beschikbaar te houden. Grondslag: gerechtvaardigd belang.
- Correspondentie. Mailt u ons, dan bewaren we de correspondentie zolang dat nodig is om u te helpen. Grondslag: uitvoering van de overeenkomst of gerechtvaardigd belang.
- Zakelijke contacten. Benaderen wij uw organisatie over Wexlo (business-to-business-prospectie), dan verwerken we zakelijke contactgegevens uit openbare bronnen zoals uw bedrijfswebsite, en bevindingen uit een scan van uw publieke webpagina’s. Grondslag: gerechtvaardigd belang (direct marketing aan bedrijven, binnen de kanaalregels van elk land). U kunt op elk moment bezwaar maken via [email protected]; dan stoppen we direct.
Wat we bewust níét opslaan
Een pagina scannen betekent onvermijdelijk dat onze scanner haar kort laadt, inclusief alles wat erop zichtbaar is. By design bewaren we daar niets van: geen screenshots, geen HTML, geen tekst van uw pagina’s — alleen de gestructureerde bevindingen hierboven. Dit is onze belangrijkste waarborg tegen het verzamelen van persoonsgegevens van mensen die op gescande websites voorkomen.
Verantwoordelijke of verwerker?
Voor uw account, bestellingen, facturen en deze website zijn wij verwerkingsverantwoordelijke. Wanneer we de websites scannen die u onder een betaald abonnement aanwijst, treden we op als uw verwerker voor persoonsgegevens die op die pagina’s voorkomen: u bepaalt wat we scannen, wij verwerken het alleen om uw rapporten te maken. Die verwerking valt onder onze verwerkersovereenkomst (DPA), die onderdeel is van onze voorwaarden — een aparte handtekening is niet nodig.
AI-verwerking
Scanbevindingen worden door een AI-model van Anthropic (Claude) samengevat tot rapporten in gewone taal. We sturen alleen de gestructureerde bevindingen mee, nooit uw accountgegevens. Onder onze API-overeenkomst gebruikt Anthropic deze gegevens niet om zijn modellen te trainen. Anthropic is een Amerikaanse leverancier — zie de doorgiftesectie hieronder. We gebruiken AI niet voor geautomatiseerde besluitvorming over u met rechtsgevolgen of vergelijkbaar significante gevolgen (art. 22 AVG): de scan analyseert websites, geen mensen.
Ontvangers en subverwerkers
- Scalingo — applicatiehosting (Parijs, Frankrijk)
- Fly.io — scanworker (regio Frankfurt, Duitsland; Amerikaans bedrijf)
- Neon — database (regio Frankfurt, Duitsland; Amerikaans bedrijf)
- Cloudflare — rapportopslag (R2, EU-jurisdictie), DNS en firewall (Amerikaans bedrijf)
- Upstash — rate limiting en jobwachtrij (EU-regio; Amerikaans bedrijf)
- Mailjet — e-mailbezorging (Parijs, Frankrijk; Sinch-groep)
- Mollie — betalingsverwerking (Amsterdam, Nederland)
- Jortt — facturatie en boekhouding (Nederland)
- vatverify.dev — btw-nummervalidatie (ontvangt alleen het btw-nummer dat u invult)
- Anthropic — AI-rapporttekst (Verenigde Staten; traint niet op onze gegevens)
- Plausible Analytics — cookieloze, geaggregeerde site-analytics (EU)
- Sentry — foutmonitoring (EU-dataresidentieregio)
We delen persoonsgegevens met deze partijen uitsluitend voor de bovenstaande doeleinden, onder verwerkersovereenkomsten. We verkopen nooit persoonsgegevens. Dezelfde lijst, met de verwerkersrollen uitgeschreven, is onderdeel van onze DPA.
Internationale doorgifte
Onze infrastructuur is EU-gehost: applicatie, scanner, database, opslag, wachtrij, e-mail, betalingen en facturatie draaien allemaal in EU-regio’s. Twee eerlijke kanttekeningen. Ten eerste wordt de AI-tekst in onze rapporten op dit moment gegenereerd via de API van Anthropic in de Verenigde Staten; die doorgifte is afgedekt met de EU Standard Contractual Clauses, en we minimaliseren haar door alleen gestructureerde bevindingen te sturen — nooit uw accountgegevens. Ten tweede zijn sommige van onze EU-regio-leveranciers (Neon, Fly.io, Cloudflare, Upstash) Amerikaanse bedrijven; uw gegevens blijven in hun EU-regio’s, maar als Amerikaanse bedrijven kunnen zij onder Amerikaans recht vallen. Waar toch een doorgifte naar de VS plaatsvindt, is die afgedekt met Standard Contractual Clauses of een adequaatheidsmechanisme zoals het EU-VS Data Privacy Framework. Wilt u het volledig precieze beeld, dan benoemt de subverwerkerslijst hierboven elke partij en locatie.
Hoe lang we bewaren
- Bestellingen, facturen en akkoordregistraties: 7 jaar — de Nederlandse wettelijke bewaartermijn voor de administratie.
- Klantaccountgegevens: zolang uw account bestaat. Bij een verwijderverzoek wissen of anonimiseren we alles behalve wat de belastingwetgeving ons verplicht te bewaren.
- Betaalde scanresultaten en rapporten: zolang uw account bestaat, of totdat u ons vraagt ze te verwijderen.
- Gratis-scangegevens (e-mailadres en resultaten): totdat u zich afmeldt of ons vraagt ze te verwijderen, en maximaal 12 maanden na uw laatste scan. Na afmelding bewaren we alleen wat nodig is om de afmelding te respecteren.
- Beveiligings- en auditlogs: maximaal 24 maanden, tenzij een lopend beveiligingsincident of geschil langer vereist.
- Rate-limit-tellers: verlopen automatisch binnen enkele uren.
- Inloglinks: eenmalig, 15 minuten geldig, automatisch opgeschoond.
Cookies
We plaatsen één functionele sessiecookie wanneer u inlogt op de portal. Onze analyticsdienst (Plausible) plaatst helemaal geen cookies, en we gebruiken geen advertentie- of trackingcookies — daarom tonen we geen cookiebanner, en die is ook niet vereist.
Analytics
We gebruiken Plausible Analytics, een cookieloze analyticsdienst die in de EU wordt gehost, om bezoek aan onze marketingpagina’s geaggregeerd te tellen. Er worden geen cookies geplaatst, geen persoonlijke identifiers opgeslagen en geen profielen over sites heen opgebouwd; wij zien alleen totalen per pagina. Grondslag: gerechtvaardigd belang.
Hoe we uw gegevens beschermen
Al het verkeer is versleuteld onderweg (TLS, afgedwongen met HSTS) en gegevens zijn versleuteld in rust bij onze database- en opslagleveranciers. We minimaliseren by design wat we verzamelen, gebruiken eenmalige inloglinks in plaats van wachtwoorden, beperken interne toegang volgens least privilege en loggen beveiligingsrelevante gebeurtenissen. Geen enkel systeem is perfect veilig; raakt een datalek ooit uw rechten, dan informeren we u en de toezichthouder zoals de AVG vereist.
Uw rechten
U heeft recht op inzage in, correctie van, verwijdering van en een kopie (overdraagbaarheid) van uw persoonsgegevens, op beperking van en bezwaar tegen verwerking, en u kunt toestemming op elk moment intrekken zonder gevolgen voor eerdere verwerking. Klanten kunnen verwijdering rechtstreeks vanuit de portal aanvragen; iedereen kan mailen naar [email protected]. We reageren binnen één maand. U kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) of bij de toezichthouder in uw eigen EU-land.
Wijzigingen
Als dit beleid wijzigt, werken we deze pagina en de datum bovenaan bij; bij wezenlijke wijzigingen informeren we klanten per e-mail. De actuele versie staat altijd op https://wexlo.eu/nl/privacy; de Engelse versie op https://wexlo.eu/privacy.