Privacyverklaring
Stoof is een persoonlijke recepten- en weekplanningsapp voor huishoudens. We hechten veel belang aan de bescherming van jouw persoonsgegevens en verwerken enkel wat strikt noodzakelijk is om de app te laten werken.
1. Wie zijn wij?
Stoof wordt aangeboden via getstoof.eu. Voor vragen over deze privacyverklaring kan je ons bereiken via info@getstoof.eu.
Stoof wordt zelfstandig gehost op een eigen server (Hetzner VPS, Europa). Er is geen externe databaseprovider — jouw gegevens blijven op onze eigen infrastructuur.
2. Welke gegevens verwerken we?
2.1 Gegevens opgeslagen op onze server
| Account | E-mailadres (lowercase), bcrypt wachtwoordhash (cost 12), weergavenaam (optioneel, door gebruiker zelf ingevuld), aanmaakdatum, huishoud-ID |
| Huishouden | Naam van het huishouden, lijst van leden (user-ID's), aanmaakdatum |
| Recepten | Titel, keuken, moeilijkheidsgraad, gezondheidsscore, porties, tags, ingrediënten, bereidingsstappen, huishoud-ID, aanmaakdatum. Recepten zijn standaard openbaar zichtbaar via een unieke URL (getstoof.eu/recepten/[slug]). Je kan een recept te allen tijde onzichtbaar maken via de app. |
| Ingrediënten | Naam (NL/EN), categorie, eenheid, gebruiksfrequentie — gedeeld over alle huishoudens, geen persoonlijke koppeling |
| Weekmenu | Datum, recept-referentie, aantal porties, huishoud-ID |
| Boodschappenlijst | Aanvink-status per ingrediënt, eigen lijstitems (vrije tekst), huishoud-ID |
| Uitnodigingen | Uitgenodigd e-mailadres, uitnodigend gebruiker-ID, huishoud-referentie, beveiligingstoken (32 bytes), status, vervaldatum (7 dagen), aanmaakdatum |
2.2 Gegevens tijdelijk verwerkt (niet opgeslagen)
- IP-adressen — enkel gebruikt voor rate limiting in werkgeheugen, nooit opgeslagen in de database
- Recepttekst en foto-inhoud — doorgestuurd naar de Anthropic Claude API voor AI-verwerking, niet door Stoof opgeslagen
- URL-importinhoud — wanneer je de URL-importfunctie gebruikt, wordt de receptinhoud van de opgegeven URL tijdelijk doorgestuurd naar de Anthropic Claude API voor verwerking. De URL zelf en de website-inhoud worden niet door Stoof opgeslagen.
- Uitnodigingsinhoud — verstuurd via iCloud SMTP, niet opgeslagen buiten het uitnodigingsrecord
2.3 Gegevens opgeslagen op jouw toestel
onboardingCompleted — een eenvoudige boolean (ja/nee) in de lokale opslag van de app, bevat geen persoonsgegevens.
2.4 Authenticatie
Na inloggen ontvang je een JWT-token met een geldigheid van 7 dagen. Dit token bevat je gebruikers-ID en e-mailadres.
- Op web: opgeslagen als HttpOnly cookie (niet toegankelijk via JavaScript)
- Op mobiel (iOS/Android): opgeslagen in AsyncStorage
3. Wat verzamelen we uitdrukkelijk niet?
Stoof heeft geen advertentiemodel, geen analysediensten van derden en geen tracking. Onze app is advertentievrij.
- Geen analysegegevens, trackingpixels of reclame-ID's
- Geen apparaatidentificatoren buiten wat het JWT-token bevat
- Geen locatiegegevens
- Geen betalingsgegevens (Stoof verwerkt momenteel geen betalingen)
4. Waarvoor gebruiken we jouw gegevens?
| Account aanmaken en authenticatie | Uitvoering overeenkomst |
| Recepten en weekmenu bewaren | Uitvoering overeenkomst |
| Huishouden delen met gezinsleden | Uitvoering overeenkomst (op verzoek) |
| Recepten openbaar publiceren | Uitvoering overeenkomst |
| AI-verwerking van recepten | Uitvoering overeenkomst |
| Uitnodigingsmail versturen | Uitvoering overeenkomst (op verzoek) |
| Rate limiting (misbruikpreventie) | Gerechtvaardigd belang |
5. Derde partijen
| Anthropic | AI-verwerking van recepten — uitsluitend recepttekst en/of foto (geen persoonsgegevens) — VS |
| Hetzner | Serverhosting (VPS) — alle serverdata (eigen infrastructuur) — EU (Duitsland) |
| Apple | Transactionele e-mail via iCloud SMTP — e-mailadres ontvanger — VS (SCCs) |
De gegevens die naar Anthropic worden verstuurd (recepttekst en voedingsfoto's) bevatten geen persoonsgegevens. Er is daardoor geen verwerkersovereenkomst vereist. Met Apple zijn de nodige Standard Contractual Clauses afgesloten voor de doorgifte van e-mailadressen buiten de Europese Economische Ruimte.
6. Hoe lang bewaren we jouw gegevens?
| Account en recepten | Zolang je account actief is |
| Uitnodigingen | 7 dagen na aanmaak, daarna automatisch verwijderd |
| IP-adressen (rate limiting) | Enkel in werkgeheugen, verdwijnt bij herstart server |
| JWT-tokens | 7 dagen geldigheid, daarna ongeldig |
Bij verwijdering van je account worden alle aan jou gekoppelde gegevens permanent verwijderd. Je kan je account verwijderen via de app (Over Stoof → Account verwijderen) of via info@getstoof.eu.
7. Jouw rechten
Als betrokkene heb je onder de AVG (GDPR) de volgende rechten:
- Recht op inzage — je kan opvragen welke gegevens we van jou hebben
- Recht op rectificatie — je kan onjuiste gegevens laten corrigeren
- Recht op verwijdering — je kan vragen om al jouw gegevens te wissen
- Recht op beperking van de verwerking
- Recht op dataportabiliteit — je kan een kopie van jouw gegevens opvragen
- Recht van bezwaar tegen verwerking op basis van gerechtvaardigd belang
Stuur je verzoek naar info@getstoof.eu. We reageren binnen 30 dagen.
Je hebt ook het recht om een klacht in te dienen bij de Gegevensbeschermingsautoriteit (GBA): gegevensbeschermingsautoriteit.be.
8. Beveiliging
- Wachtwoorden worden gehashed met bcrypt (cost factor 12) — nooit in leesbare vorm opgeslagen
- Communicatie verloopt uitsluitend via HTTPS (Let's Encrypt TLS)
- JWT-tokens op web worden opgeslagen als HttpOnly cookie, beschermd tegen XSS-aanvallen
- Dagelijkse automatische back-ups van de database met 14 dagen retentie
- IP-gebaseerde rate limiting beschermt tegen brute-force aanvallen
9. Cookies
Stoof gebruikt uitsluitend één cookie, dat strikt noodzakelijk is voor de werking van de app. Op grond van de ePrivacyrichtlijn is voor strikt noodzakelijke cookies geen toestemming vereist.
| Naam | token |
| Doel | Authenticatie — slaat jouw ingelogde sessie op zodat je niet bij elke pagina opnieuw moet inloggen |
| Type | Strikt noodzakelijk (functioneel) |
| Geldigheid | 7 dagen |
| Toegang | HttpOnly — niet toegankelijk via JavaScript, beschermd tegen XSS-aanvallen |
| Scope | Alleen verstuurd naar getstoof.eu (SameSite=Lax) |
Er worden geen analytische, marketing- of tracking-cookies gebruikt. Er zijn geen cookies van derden.
10. Wijzigingen aan deze verklaring
Als we deze privacyverklaring wijzigen, passen we de datum bovenaan aan. Bij ingrijpende wijzigingen ontvang je een melding via e-mail.
11. Contact
Voor vragen of verzoeken over jouw privacy: info@getstoof.eu