Privacybeleid
Ingangsdatum: 26 maart 2026 · Laatst bijgewerkt: 26 maart 2026
INCI API („wij”, „ons” of „onze”) exploiteert de website inciapi.com en biedt de INCI API-dienst aan (de „Dienst”). Dit Privacybeleid legt uit hoe we uw informatie verzamelen, gebruiken, openbaar maken en beschermen wanneer u onze Dienst gebruikt. We zetten ons in om uw privacy te beschermen en te voldoen aan de toepasselijke wetgeving inzake gegevensbescherming, waaronder de Algemene verordening gegevensbescherming van de EU (GDPR) en de California Consumer Privacy Act (CCPA).
1. Welke gegevens we verzamelen
1.1 Accountgegevens
Wanneer u een account aanmaakt, verzamelen we uw naam, e-mailadres en wachtwoord (opgeslagen als veilige hash). Als u zich abonneert op een betaald plan, verzamelen we factureringsgegevens via onze betaalprovider (Stripe). We slaan geen volledige creditcardnummers op onze servers op.
1.2 API-gebruiksgegevens
We registreren API-aanvragen automatisch, inclusief tijdstempels, geraadpleegde endpoints, antwoordcodes, aanvraagvolume en de identificatie van uw API-sleutel. Deze gegevens worden gebruikt voor rate limiting, facturering, analyses en serviceverbetering.
1.3 Apparaat- en browserinformatie
Wanneer u onze website bezoekt, kunnen we uw IP-adres, browsertype en -versie, besturingssysteem, verwijzende URL, bezochte pagina's, tijd op pagina's en andere diagnostische gegevens verzamelen.
1.4 Cookies en vergelijkbare technologieën
We gebruiken cookies en vergelijkbare trackingtechnologieën om sessies te onderhouden, voorkeuren te onthouden en gebruik te analyseren. Zie ons Cookiebeleid voor details.
2. Hoe we uw gegevens gebruiken
We gebruiken de verzamelde gegevens om:
- De Dienst te leveren, te beheren en te onderhouden
- Transacties te verwerken en abonnementen te beheren
- API-rate limits en gebruikslimieten te bewaken en af te dwingen
- Transactionele e-mails te verzenden (accountbevestiging, factureringsbewijzen, beveiligingswaarschuwingen)
- Gebruikspatronen te analyseren om de Dienst te verbeteren
- Technische problemen, fraude of misbruik te detecteren, voorkomen en aan te pakken
- Te reageren op uw vragen en supportverzoeken
- Aan wettelijke verplichtingen te voldoen
Wij verkopen uw persoonsgegevens niet aan derden. Wij gebruiken uw gegevens niet voor geautomatiseerde besluitvorming of profilering met rechtsgevolgen.
3. Rechtsgrondslag voor verwerking (GDPR)
Als u zich in de Europese Economische Ruimte (EER) bevindt, verwerken wij uw persoonsgegevens op basis van de volgende rechtsgronden:
- Uitvoering van de overeenkomst: Verwerking nodig om de gevraagde Dienst te leveren (accountbeheer, API-toegang, facturering).
- Gerechtvaardigde belangen: Analyses, fraudepreventie en serviceverbetering, voor zover uw rechten niet zwaarder wegen dan onze belangen.
- Toestemming: Wanneer u uitdrukkelijke toestemming hebt gegeven (bijv. marketing-e-mails, niet-essentiële cookies).
- Wettelijke verplichting: Wanneer verwerking wettelijk vereist is.
4. Gegevensdeling en derden
We kunnen uw gegevens delen met de volgende categorieën derden, uitsluitend voor de beschreven doeleinden:
4.1 Betaalprovider
We gebruiken Stripe om betalingen te verwerken. Wanneer u een betaald plan afsluit, worden uw betalingsgegevens rechtstreeks aan Stripe doorgegeven en vallen onder hun Privacybeleid.
4.2 Analysediensten
We gebruiken Google Analytics en Microsoft Clarity om te begrijpen hoe gebruikers met onze website omgaan. Deze diensten kunnen gegevens verzamelen zoals bekeken pagina's, sessieduur en algemene geografische locatie. Gegevens worden waar mogelijk geaggregeerd en geanonimiseerd.
4.3 Infrastructuurproviders
Uw gegevens worden gehost bij cloudinfrastructuurproviders die voldoen aan industriestandaard beveiligingscertificeringen. We zorgen ervoor dat alle providers gegevens verwerken in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.
4.4 Wettelijke vereisten
We kunnen uw informatie openbaar maken indien wettelijk vereist door wet, regelgeving, juridische procedure of overheidsverzoek, of om onze rechten, veiligheid of eigendom te beschermen.
6. Gegevensopslag en beveiliging
We nemen de beveiliging van uw gegevens serieus en implementeren passende technische en organisatorische maatregelen, waaronder:
- Versleuteling van gegevens tijdens transport (TLS/HTTPS) en in rust
- Veilige wachtwoord-hashing (bcrypt)
- API-sleutel-authenticatie met opslag als hash
- Regelmatige beveiligingsaudits en updates van afhankelijkheden
- Toegangscontroles en het principe van least privilege
- Versleutelde databaseback-ups
Hoewel we ernaar streven uw gegevens te beschermen, is geen enkele transmissie- of opslagmethode 100% veilig. We kunnen geen absolute beveiliging garanderen, maar we werken voortdurend aan het verbeteren van onze beveiligingspraktijken.
7. Bewaartermijnen
We bewaren uw gegevens volgens de volgende richtlijnen:
- Accountgegevens: Bewaard zolang uw account actief is. Verwijderd binnen 30 dagen na een verzoek tot verwijdering van het account.
- API-gebruikslogs: Bewaard gedurende 90 dagen voor operationele doeleinden, daarna geaggregeerd en geanonimiseerd.
- Factureringsgegevens: Bewaard gedurende de termijn die wordt vereist door de toepasselijke fiscale en financiële regelgeving (doorgaans 7 jaar).
- Analysegegevens: Onbepaald bewaard in geaggregeerde, geanonimiseerde vorm voor trendanalyse.
8. Uw rechten (GDPR)
Als u zich in de EER, het Verenigd Koninkrijk of een rechtsgebied met vergelijkbare privacywetgeving bevindt, hebt u de volgende rechten:
- Recht op inzage: Een kopie aanvragen van de persoonsgegevens die wij over u bewaren.
- Recht op rectificatie: Verzoeken om correctie van onjuiste of onvolledige gegevens.
- Recht op verwijdering: Verzoeken om verwijdering van uw persoonsgegevens („recht om vergeten te worden”).
- Recht op beperking: Verzoeken dat we de verwerking van uw gegevens beperken.
- Recht op overdraagbaarheid: Uw gegevens ontvangen in een gestructureerd, machineleesbaar formaat (JSON of CSV).
- Recht van bezwaar: Bezwaar maken tegen verwerking op basis van gerechtvaardigde belangen, inclusief direct marketing.
- Recht op intrekking van toestemming: Indien verwerking is gebaseerd op toestemming, kunt u deze op elk moment intrekken.
Om een van deze rechten uit te oefenen, neemt u contact met ons op via support@inciapi.com. We reageren binnen 30 dagen. U hebt ook het recht om een klacht in te dienen bij uw lokale toezichthouder voor gegevensbescherming.
9. Privacyrechten in Californië (CCPA)
Als u inwoner bent van Californië, biedt de California Consumer Privacy Act (CCPA) u aanvullende rechten:
- Recht op informatie: Verzoeken om openbaarmaking van de categorieën en specifieke persoonsgegevens die we over u hebben verzameld.
- Recht op verwijdering: Verzoeken om verwijdering van uw persoonsgegevens.
- Opt-outrecht: We verkopen geen persoonsgegevens. Mocht dit veranderen, dan stellen wij een „Do Not Sell My Personal Information”-link beschikbaar.
- Non-discriminatie: Wij zullen u niet discrimineren wegens uitoefening van uw CCPA-rechten.
Om uw CCPA-rechten uit te oefenen, neem contact met ons op via support@inciapi.com.
10. Internationale gegevensoverdracht
Uw gegevens kunnen worden overgedragen aan en verwerkt in andere landen dan uw woonland. Deze landen kunnen wetgeving inzake gegevensbescherming hebben die afwijkt van uw rechtsgebied. Bij internationale overdracht van persoonsgegevens hanteren wij passende waarborgen in overeenstemming met de toepasselijke wetgeving, waaronder Standard Contractual Clauses (SCCs) goedgekeurd door de Europese Commissie of andere wettelijk erkende overdrachtsmechanismen.
11. Privacy van kinderen
Onze Dienst is niet gericht op kinderen jonger dan 13 jaar (of 16 jaar in de EER). We verzamelen niet bewust persoonsgegevens van kinderen. Als we ontdekken dat een kind ons persoonsgegevens heeft verstrekt, zullen we deze direct verwijderen. Als u denkt dat een kind ons persoonsgegevens heeft verstrekt, neem dan contact op via support@inciapi.com.
12. Toepasselijk recht en jurisdictie van de verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke is een autónomo (zelfstandige zonder personeel) gevestigd in Spanje. Dit Privacybeleid wordt beheerst door het Spaanse recht en de EU-GDPR (Regulation 2016/679). Klachten over gegevensbescherming kunnen worden ingediend bij de Spaanse toezichthouder voor gegevensbescherming (Agencia Española de Protección de Datos — AEPD, www.aepd.es). De bevoegde rechtbanken voor geschillen zijn die van de Canarische Eilanden, Spanje.
13. Wijzigingen van dit beleid
We kunnen dit Privacybeleid van tijd tot tijd bijwerken. We informeren u over materiële wijzigingen door het bijgewerkte beleid op deze pagina te plaatsen met een herziene datum „Laatst bijgewerkt”. Voor belangrijke wijzigingen kunnen we ook een melding sturen naar uw geregistreerde e-mailadres. Voortgezet gebruik van de Dienst na inwerkingtreding van wijzigingen vormt aanvaarding van het bijgewerkte beleid.
Zakelijke klanten
Voor zakelijke klanten is onze Verwerkersovereenkomst (DPA) beschikbaar op /dpa. De DPA voldoet aan artikel 28 GDPR en omvat verplichtingen bij gegevensverwerking, beveiligingsmaatregelen, subverwerkers en procedures voor melding van datalekken.
14. Contact
Als u vragen of zorgen hebt over dit Privacybeleid of uw privacyrechten wilt uitoefenen, neem dan contact met ons op: