Privacy Policy

1. Inleiding & verwerkings­verantwoordelijke

Manify Design ("Manify", "wij", "ons") is verantwoordelijk voor de verwerking van persoons­gegevens zoals beschreven in deze privacy­verklaring. Wij respecteren uw privacy en houden ons aan de Algemene Verordening Gegevens­bescherming (AVG/GDPR), de Nederlandse Uitvoeringswet AVG en de richtlijnen die platform­leveranciers zoals Meta (Facebook/Instagram) en Pinterest stellen aan ontwikkelaars die hun API's gebruiken.

2. Welke gegevens verzamelen wij

Afhankelijk van uw rol (klant, marketeer, beheerder) verwerken wij:

• —Account­gegevens: naam, e-mailadres, bedrijfsnaam, avatar, rol, ingangs­datum, laatst-gezien tijdstip.
• —Briefing-gegevens: huisstijl-kleuren, lettertypes, logo's, voorbeeld­links, doelgroep, taal, deadlines, brief­omschrijvingen.
• —Creatieve assets: uploads, producten, opleveringen — uitsluitend voor uw project, niet hergebruikt voor andere klanten.
• —Communicatie: chat­berichten, comments en activiteits­log binnen het project.
• —Technische gegevens: IP-adres en User-Agent (server-logging, max. 30 dagen), sessie-token (cookie van Supabase Auth).
• —Platform-tokens (alleen na uw expliciete toestemming): Pinterest OAuth tokens, eventuele LinkedIn/Google verbindingen. Zie §7–§9.

3. Doeleinden & rechts­gronden

Wij verwerken uw gegevens uitsluitend voor:

• —Het uitvoeren van de overeenkomst (briefing, productie, oplevering) — rechtsgrond: uitvoering overeenkomst.
• —Communicatie, status­updates en check-in mails — rechtsgrond: gerechtvaardigd belang.
• —Wettelijke verplichtingen (bewaarplicht facturen, fiscale documenten) — rechtsgrond: wettelijke plicht.
• —Inspiratie-zoek­opdrachten naar publieke Meta Ad Library en Pinterest content — rechtsgrond: gerechtvaardigd belang (uitsluitend publieke data) of toestemming waar het uw eigen Pinterest-account betreft.
• —Beveiliging, fraud­preventie en logging — rechtsgrond: gerechtvaardigd belang.

Wij gebruiken uw gegevens nooit voor advertentie-targeting, profilering of doorverkoop.

4. Bewaartermijnen

• —Project­dossiers: tot 12 maanden na de laatste oplevering, tenzij u eerder verwijdering aanvraagt.
• —Account­gegevens: zolang uw account actief is. Na verwijdering ≤ 30 dagen volledig gewist.
• —Facturen & financiële documenten: 7 jaar (fiscale bewaarplicht NL).
• —Platform-tokens (Meta/Pinterest/etc.): tot u de koppeling intrekt of zich uitlogt; uiterlijk binnen 30 dagen daarna uit onze backups verwijderd.
• —Server-logs & analytics: max. 30 dagen.

5. Delen met derden & verwerkers

Wij verkopen of verhuren uw gegevens nooit. Voor de levering van onze dienst delen wij data uitsluitend met de volgende verwerkers, waarmee een verwerkers­overeenkomst is gesloten:

• —Supabase — database & auth (EU regio, hosted op AWS Frankfurt / Ireland).
• —Netlify — frontend hosting & serverless functions (EU regio waar mogelijk).
• —Resend — transactionele e-mailbezorging (EU regio).
• —Google Cloud / Imagen / OpenAI — uitsluitend voor briefing-naar-concept generatie, geen training op uw data.
• —Meta Platforms Ireland Ltd. — wij sturen géén persoonlijke data naar Meta. Wij ontvangen alleen publieke Ad Library data op basis van een App Access Token. Zie §7.
• —Pinterest Europe Ltd. — alleen indien u uw Pinterest-account koppelt; wij sturen géén persoonlijke data naar Pinterest behalve een OAuth-handshake. Zie §8.

6. Internationale doorgifte

Onze infrastructuur draait primair binnen de Europese Unie. In het uitzonderlijke geval dat persoons­gegevens door een verwerker (zoals een AI-leverancier) buiten de EU worden verwerkt, gebeurt dit op basis van Standaard Contractuele Bepalingen (SCC's) van de Europese Commissie en aanvullende technische maatregelen (encryptie in transit en at rest).

7. Externe API — Meta Ad Library (Facebook & Instagram)

Manify maakt gebruik van de Meta Ad Library API om marketeers en designers inspiratie te tonen van advertenties die adverteerders zelf publiek toegankelijk hebben gemaakt. Specifiek:

• —Wat we ontvangen: publieke velden zoals advertentie-creative, paginanaam, looptijd, platform (Facebook/Instagram/Audience Network/Messenger), taal en (waar beschikbaar) impressie- en uitgaven-ranges.
• —Wat we niét doen: wij vragen géén persoonlijke Facebook-/Instagram-account­gegevens op, plaatsen niets namens u, en doen geen advertentie-targeting.
• —Authenticatie: wij gebruiken een server-side App Access Token; gebruikers­tokens van Facebook/Instagram worden hierbij niet uitgewisseld.
• —Opslag: resultaten worden niet permanent opgeslagen. Bookmarks die u maakt staan uitsluitend lokaal in uw eigen browser (localStorage) tot u ze verwijdert of uw browser cache leegt.
• —Cache: antwoorden worden maximaal 60 seconden in-memory aan de serverkant gecached voor performance; daarna verwijderd.
• —Compliance: wij houden ons aan de Meta Platform Terms en de Meta Developer Policies. Conform de platform­regels mogen gebruikers verzoeken indienen om hun gegevens te laten verwijderen — zie §12.
• —Data Deletion Callback: Manify ondersteunt het automatisch ontvangen van Facebook's data-deletion-callback. Het bijbehorende endpoint is https://manify.design/api/auth/data-deletion-callback en de status-pagina is /data-deletion.

8. Externe API — Pinterest

Voor Pinterest-inspiratie gebruikt Manify de Pinterest API v5 via OAuth 2.0. U autoriseert deze koppeling zélf binnen Pinterest; Manify ontvangt uitsluitend de scopes die u expliciet goedkeurt.

• —Aangevraagde scopes: user_accounts:read, boards:read, pins:read. Wij vragen géén schrijfrechten.
• —Wat we ophalen: uw publieke profielnaam, uw publieke borden en de pins binnen die borden — uitsluitend om inspiratie binnen het project waaraan u werkt te tonen.
• —Opslag tokens: uw OAuth access en refresh tokens worden versleuteld opgeslagen (Supabase, EU). De refresh wordt automatisch verlopen; we hashen waar mogelijk.
• —Intrekking: u kunt de koppeling op elk moment intrekken via uw Pinterest account (pinterest.com/settings/apps) óf via uw Manify accountpagina. Bij intrekking verwijderen wij alle bijbehorende tokens en gecachte Pinterest data binnen 30 dagen.
• —Compliance: wij volgen de Pinterest Developer Guidelines, de Brand Guidelines en de Pinterest API Terms. Pinterest-data wordt nooit gedeeld met andere klanten, niet gebruikt voor advertentie-targeting en niet doorverkocht.

9. Externe API — Google & YouTube

Indien u inlogt met Google of een YouTube-link insluit, gebruiken wij uitsluitend publieke metadata (titel, beschrijving, thumbnail). Wij houden ons aan de Google API Services User Data Policy inclusief de Limited Use vereisten. Wij gebruiken Google-gegevens niet voor advertentie-doeleinden, geven ze niet door aan derden en gebruiken ze niet voor het trainen van AI-modellen.

10. Cookies & trackers

Manify plaatst uitsluitend functionele cookies die noodzakelijk zijn voor de werking van het platform (sessie-cookie, taalvoorkeur). Wij gebruiken geen reclame-cookies, geen Facebook Pixel, geen Google Analytics-trackers met persoonlijke identifiers, en geen third-party tracking scripts.

11. Uw rechten (AVG / GDPR)

U heeft op elk moment het recht op:

• —Inzage in de persoons­gegevens die wij van u verwerken (art. 15).
• —Correctie van onjuiste gegevens (art. 16).
• —Verwijdering ("recht op vergetel­heid", art. 17). Zie §12.
• —Beperking van de verwerking (art. 18).
• —Dataportabiliteit — een machine-leesbare export van uw gegevens (art. 20).
• —Bezwaar tegen verwerking op grond van gerechtvaardigd belang (art. 21).
• —Intrekking van een eerder gegeven toestemming, op elk moment.

Wij reageren binnen 30 dagen op elk verzoek. Stuur uw verzoek naar privacy@manify.design.

12. Hoe verzoekt u verwijdering van uw gegevens?

U kunt op drie manieren uw data laten verwijderen:

1. Via de officiële instructie­pagina: manify.design/data-deletion.
2. Via e-mail naar privacy@manify.design met onderwerp "Data verwijderen".
3. Indien u via Facebook/Instagram inlogde: door binnen Facebook → Instellingen → Apps en websites → Manify Design → Verwijderen te klikken. Facebook stuurt dan automatisch een data-deletion verzoek naar ons callback-endpoint, waarna wij u binnen 30 dagen een bevestigings­code overhandigen.

Verwijdering vindt plaats binnen 30 dagen, met uitzondering van data die wij wettelijk langer moeten bewaren (zoals facturen).

13. Kinderen

Manify is bedoeld voor zakelijk gebruik door marketeers, ondernemers en designers van 18 jaar en ouder. Wij verzamelen niet bewust gegevens van kinderen onder de 16 jaar. Indien u meent dat een minderjarige toch een account heeft aangemaakt, neem direct contact op zodat wij de gegevens kunnen verwijderen.

14. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om uw gegevens te beschermen, waaronder: TLS-encryptie tijdens transport, AES-256 encryptie at-rest in Supabase Postgres, Row-Level Security policies, twee-staps authenticatie voor admin-accounts, automatische backups, en periodieke security reviews. Toegang tot data is strikt op need-to-know basis voor ons team.

15. Wijzigingen van deze policy

Wij kunnen deze privacy­verklaring aanpassen. Materiële wijzigingen kondigen we vooraf aan via een banner of e-mail. De "Laatst bijgewerkt"-datum bovenaan deze pagina geeft de meest recente versie weer.

16. Klachten & contact

Vragen of klachten over privacy kunt u mailen naar privacy@manify.design of support@manify.design. U heeft daarnaast altijd het recht om een klacht in te dienen bij de Autoriteit Persoons­gegevens in Den Haag.