Privacybeleid
Laatst bijgewerkt: 15 juni 2026
In dit beleid lees je welke gegevens wij verwerken van bureaus, opdrachtgevers en bezoekers, waarom we dat doen en hoe we ze beschermen.
Wie zijn wij
Marketingburos is een Nederlandse marketplace voor marketingbureaus. De verwerkingsverantwoordelijke is Tawny Owl Holding B.V. (handelend onder de naam Marketingburos). Marketingburos is een joint venture van Thijs Bongertman (via Tawny Owl Holding B.V.) en Olivier Janssen (Bedrijfsdata.nl BV).
- KvK-nummer: 96168285
- Vestigingsadres: Van Ostadelaan 2, 3117XL Schiedam
- Contact voor privacy-vragen: privacy@marketingburos.nl
Wij reageren binnen 48 uur op werkdagen op je bericht en handelen verzoeken formeel af binnen 30 dagen (AVG art. 12).
Welke gegevens verwerken wij
Bureau-gegevens
- Publieke bronnen (KvK opendata, Bedrijfsdata.nl, LinkedIn-bedrijfspagina's, bureau-website): bedrijfsnaam, KvK-nummer, BTW-nummer, vestigingsadres, generiek info@-e-mailadres, telefoonnummer, LinkedIn-bedrijfsprofiel-URL, sector-indeling (SBI), handelsnamen, bedrijfsomschrijving en rechts-/insolventiestatus.
- Afgeleide profielkenmerken (afgeleid uit die publieke bronnen): een werkstijl-/cultural-fit-indicatie, specialismen, doelgroep-segmenten en profielsamenvattingen voor onboarding. Deze kenmerken zijn read-only voor bureaus en betwistbaar (zie "Jouw rechten").
- Interne datakwaliteit-signalen (niet publiek, geen invloed op de volgorde): signalen voor datakwaliteit en misbruikpreventie, zoals bronwijzigingen en dubbel-detectie. Reviews blijven een intern signaal onder de TDM-uitzondering (EU-richtlijn 2019/790 art. 4) en worden niet op profielpagina's gereproduceerd.
- Claim-validatie (bij het claimen van een profiel): KvK- en BTW-controle als eigenaarschapscheck. Wij bewaren alleen een verificatietijdstip, geen namen van bestuurders uit registers.
- Post-claim zelfrapportage (alleen na claim met akkoord op de voorwaarden): verfijning van specialismen, tarievenband, cases-portfolio, doelgroep-correcties en contactvoorkeuren.
- Abonnement-data (alleen actieve abonnees via Mollie): Mollie customer_id, mandate_id, tier, status en betalingshistorie.
Opdrachtgever-gegevens
- Wizard-input: doel, sector, bedrijfsgrootte, bureaugrootte-voorkeur, cultural-fit-voorkeur, budget en timeline.
- Contact bij RFQ-submit: naam, e-mailadres, bedrijfsnaam en telefoonnummer (optioneel).
- Feedback: je respons op de survey na 14 dagen.
Grondslag
Wij verwerken jouw gegevens op basis van drie grondslagen (AVG art. 6.1.a/b/f), afhankelijk van de verwerking. De belangrijkste:
| Verwerking | Grondslag AVG | Toelichting |
|---|---|---|
| Directory-inclusie | art. 6.1.f (gerechtvaardigd belang) | Volledige NL-marketingbureau-directory. Balancing-test gedocumenteerd; sleutelpunten hieronder. |
| Cold-claim-mails | art. 6.1.f | 1-click opt-out in elke mail; geen profielmutatie zonder akkoord. |
| Profiel-edit na claim | art. 6.1.a (toestemming) | Bureau accepteert de voorwaarden bij claim — expliciete toestemming voor zelfrapportage. |
| Abonnement (Mollie) | art. 6.1.b (uitvoering overeenkomst) | Subscription-billing. |
| RFQ-flow (opdrachtgever) | art. 6.1.b | Overeenkomst tussen opdrachtgever en platform. |
| Afgeleide profielkenmerken | art. 6.1.f | Nodig om vraag en aanbod te matchen; read-only voor bureaus, met betwistingsmogelijkheid. |
| Datakwaliteit en misbruikpreventie | art. 6.1.f | Datakwaliteit en fraudepreventie; geen invloed op de volgorde waarin bureaus verschijnen. |
| Analytische / marketing-cookies | art. 6.1.a (toestemming) | Alleen na jouw keuze in de cookiebanner (zie "Cookies"). |
Een samenvatting van de balancing-test voor art. 6.1.f: marketingbureaus profiteren van de geautomatiseerde claim-route en de RFQ-pipeline; opt-out is direct beschikbaar in elke mail; er worden geen bijzondere persoonsgegevens verwerkt; en KvK, Bedrijfsdata en LinkedIn-bedrijfspagina's zijn publieke bronnen. De volledige balancing-test is gearchiveerd en delen wij op verzoek (jurist- of AP-verzoek).
Cookies
Nog niet actief. Op dit moment draait uitsluitend de cookie-loze Plausible-meting; wij plaatsen geen analytische of marketing-cookies. De cookiebanner en de tags hieronder treden in werking zodra wij Cookiebot aanzetten.
Zodra de banner live is, beheren wij cookie-toestemming via Cookiebot: bij je eerste bezoek vraagt de cookiebanner welke categorieën je toestaat, en pas je je keuze daarna aan via de link "Cookievoorkeuren" in de voettekst.
| Categorie | Toestemming nodig? | Voorbeelden |
|---|---|---|
| Functioneel (strikt noodzakelijk) | Nee | Supabase Auth-sessiecookie (login-sessie in het dashboard); de Cookiebot-cookie die je keuze onthoudt. |
| Analytisch | Ja | Google Analytics 4, geladen via Google Tag Manager. |
| Marketing / bedrijfsidentificatie | Ja | ProspectPro-bedrijfsidentificatie (zie hieronder). |
Onze basis-webanalyse via Plausible is volledig cookie-loos en identificeert je niet; die draait zonder toestemming. Analytische en marketing-cookies plaatsen wij pas nadat je daar via de Cookiebot-banner toestemming voor geeft (Google Consent Mode). Geef je geen toestemming, dan blijft het bij Plausible.
Een volledig en actueel overzicht van alle cookies — met naam, doel en bewaartermijn — verschijnt automatisch in onze Cookiebot-cookieverklaring.
Bezoekeridentificatie
Nog niet actief. Bezoekeridentificatie staat op dit moment uit. Dit gedeelte treedt pas in werking zodra wij deze functie aanzetten — dat gebeurt nooit zonder cookiebanner en jouw expliciete toestemming.
Wanneer je een bureauprofiel bezoekt en via de Cookiebot-banner toestemming geeft voor de categorie "Marketing / bedrijfsidentificatie", identificeren wij het bedrijf achter jouw bezoek via ProspectPro (Bedrijfsdata.nl BV). Het resultaat — bedrijfsnaam, branche en grootteklasse — wordt getoond aan het bureau waarvan je het profiel hebt bezocht.
Wat wij vastleggen
- IP-adres (gehasht): SHA-256 van jouw IP-adres + een server-salt. Wij slaan het ruwe IP-adres nooit op.
- Bezochte pagina + tijdstip: welk bureauprofiel je hebt bezocht en wanneer.
- Opgelost bedrijf (na ProspectPro-matching): bedrijfsnaam, domein, branche, grootteklasse, stad, provincie, aantal bezoeken en datum laatste bezoek.
Wat wij NIET vastleggen
- Persoonsgegevens van individuen bij het bedrijf (geen namen, geen e-mailadressen via de personen-koppeling van ProspectPro).
- Eenmanszaak-gegevens los van het bedrijf: de identificatie is op bedrijfsniveau. Identificeert ProspectPro een eenmanszaak, dan zijn die gegevens persoonsgegevens — jouw toestemming is daarvoor de grondslag.
Grondslag
Zowel de toegang tot jouw apparaat (Telecommunicatiewet art. 11.7a / ePrivacy) als de verwerking van jouw IP-adres (AVG art. 6.1.a) zijn gebaseerd op jouw expliciete toestemming via de cookiebanner. Geen toestemming = geen identificatie, geen vastlegging. Plausible blijft altijd actief (cookie-loos, geen identificatie).
Gezamenlijke verwerkingsverantwoordelijken (art. 26 AVG)
Voor bezoekeridentificatie zijn wij gezamenlijke verwerkingsverantwoordelijken (art. 26 AVG) met Bedrijfsdata.nl BV (ProspectPro). Olivier Janssen is mede-oprichter van Marketingburos én eigenaar van Bedrijfsdata.nl BV — beide partijen bepalen samen de doeleinden en middelen van deze verwerking. Een schriftelijke art. 26-regeling is gearchiveerd. Afspraak: Marketingburos is het enkele contactpunt voor alle privacyrechten van bezoekers — via privacy@marketingburos.nl.
Bewaartermijn
| Categorie | Termijn |
|---|---|
| Ruwe bezoeklog (gehasht IP-adres) | 90 dagen |
| Opgelost bedrijf | 12 maanden |
| Na intrekking toestemming | Directe stop van toekomstige verwerking; bestaande records worden op verzoek verwijderd (art. 17) |
Jouw rechten als bezochte partij
| Recht | Hoe uitoefenen |
|---|---|
| Inzage (art. 15) | Mail privacy@marketingburos.nl — wij bevestigen of jouw bedrijf is geïdentificeerd en op welke profielpagina's. |
| Verwijdering (art. 17) | Mail privacy@marketingburos.nl — wij verwijderen jouw bedrijfsrecord uit alle bureau-dashboards. |
| Bezwaar (art. 21) | Trek je toestemming in via "Cookievoorkeuren" in de voettekst (of mail privacy@marketingburos.nl zolang de banner nog niet live is). Toekomstige identificatie stopt direct. |
Engagement-uitkomsten
Accepteert een bureau jouw aanvraag, dan verwerken wij vanaf dat moment de uitkomst van de match: de geplande kennismaking (jullie kiezen samen een moment via een beveiligde link), een terugblik van 2 gesloten vragen na de kennismaking, en 3 gesloten vragen na 90 dagen — aan zowel jou als het bureau. Grondslag: gerechtvaardigd belang (art. 6.1.f) — een eerlijke match en een controleerbaar track record per bureau. Vrije tekstvelden zitten niet in deze vragen.
Concreet:
- Een uitkomst heet pas "geverifieerd" als beide kanten na 90 dagen hetzelfde beeld geven. Eén kant = lager vertrouwen, en wordt nergens als feit getoond.
- Verwijder je je gegevens (art. 17), dan wissen wij de briefing, de agenda-voorstellen en de terugblik-antwoorden. De gesloten 90-dagen-antwoorden (ja/nee plus een cijfer 1–5) en het uitkomst-label blijven als geanonimiseerde statistiek bestaan — daar zit geen persoonsgegeven meer in.
- Afmelden voor feedback-mails kan in elke mail; dat stopt ook de 90-dagen-vraag aan jouw kant.
Met wie wij gegevens delen
Gezamenlijke verwerkingsverantwoordelijke (art. 26 AVG):
Partner Rol Grondslag Bedrijfsdata.nl BV (ProspectPro) Gezamenlijke verwerkingsverantwoordelijke voor bezoekeridentificatie art. 26 AVG — regeling gearchiveerd
Wij delen gegevens met de volgende verwerkers. De volledige DPA-status is op verzoek beschikbaar via privacy@marketingburos.nl.
| Verwerker | Rol | Data-regio |
|---|---|---|
| Supabase Inc. | Postgres-database + Auth + Storage | EU-Frankfurt |
| Postmark (ActiveCampaign) | Transactionele e-mail (claim-mails, RFQ-mails, AVG-bevestigingen) | EU |
| Mollie B.V. | Betalingen (alleen actieve abonnees) | NL |
| Vercel Inc. | Frontend-hosting + edge-functies | EU |
| Railway Corp. | Python-workers + Redis | EU |
| Google Ireland Ltd. | Google Tag Manager + Google Analytics 4 (analytische cookies, alleen na toestemming) | EU / VS (EU-VS Data Privacy Framework) |
| Anthropic PBC | LLM-analyse — alleen op publieke bronnen | VS (model-API) |
| Voyage AI | Embeddings — alleen op publieke bronnen | VS (model-API) |
| OpenAI L.L.C. | Fallback-embeddings — alleen op publieke bronnen | VS (model-API) |
| Plausible Insights OÜ | Cookie-loze analytics | EU-Estland |
| ProspectPro (Bedrijfsdata.nl BV) | IP-naar-bedrijf-koppeling (bezoekeridentificatie) — gezamenlijke verwerkingsverantwoordelijke (art. 26) | NL |
De analyse-pipeline (Anthropic + Voyage + OpenAI) verwerkt uitsluitend publieke bronnen om profielkenmerken af te leiden. Persoonsgegevens van bureau-medewerkers gaan niet naar deze partijen, afgezien van publieke LinkedIn-bedrijfsinformatie.
Beveiliging
Wij beschermen je gegevens met passende technische en organisatorische maatregelen:
- Versleuteling van de database en row-level security (RLS) — elk account ziet uitsluitend eigen data.
- Tweefactorauthenticatie (2FA) op beheeraccounts en periodieke wachtwoordrotatie (minimaal elke zes maanden).
- Opslag in EU-datacenters; verwerkers buiten de EU alleen onder een passend overdrachtsmechanisme (zie de tabel hierboven).
Bij een datalek informeren wij de betrokkenen en de Autoriteit Persoonsgegevens conform AVG art. 33–34.
Bewaartermijn
| Categorie | Termijn | Waarom |
|---|---|---|
| Actieve bureau-data | Zolang het bureau actief is | — |
| Soft-deleted bureau-data | 30 dagen → daarna definitieve verwijdering | — |
| Interne datakwaliteit-signalen | Met de bureau-data — verwijderd bij soft-delete + 30 dagen | Operator-curatie |
| Claim-validatie-stempels | Met de claim-rij — verwijderd bij soft-delete + 30 dagen | Alleen verificatietijdstip, geen registerpersonen |
| Soft-deleted opdrachtgever-data | 30 dagen → daarna definitieve verwijdering | — |
| Audit-log (algemeen) | 60 dagen | — |
| Audit-log (deletion-chain) | 7 jaar | wettelijke bewaarplicht financiële administratie |
| RFQs + responses | 5 jaar (bewijslast bij geschil + feedback-loop) | — |
| Financiële records (Mollie) | 7 jaar | wettelijke bewaarplicht |
| Betwistingen profielkenmerken | Met de bureau-data — verwijderd bij soft-delete + 30 dagen | — |
| Bezoeklog (gehasht IP-adres) | 90 dagen | — |
| Opgelost bedrijf | 12 maanden | — |
Jouw rechten
Onder AVG art. 15–22 heb je de volgende rechten. Wij reageren binnen 30 dagen (AVG art. 12) op elk verzoek.
| Recht | Hoe uitoefenen | Notitie |
|---|---|---|
| Inzage (art. 15) | Bureau: dashboard → AVG-rechten → "Exporteer mijn gegevens". Opdrachtgever: vul je e-mailadres hieronder in en kies "Data exporteren". | ZIP-export (JSON) per e-mail. |
| Rectificatie (art. 16) | Bureau: dashboard-edit voor zelfrapportage; betwisting via de dispute-flow voor afgeleide profielkenmerken. Opdrachtgever: mail privacy@marketingburos.nl. | Afgeleide profielkenmerken zijn read-only en alleen via betwisting corrigeerbaar; zelf-gerapporteerde velden via het dashboard. |
| Vergetelheid (art. 17) | Bureau: dashboard → "Verwijder mijn bureau" (typ VERWIJDER). Opdrachtgever: gebruik het formulier hieronder en kies "Verwijderen". | Soft-delete direct + definitieve verwijdering na 30 dagen. |
| Beperking (art. 18) | Bureau: dashboard → "Stop profilering". Opdrachtgever: gebruik het formulier hieronder en kies "Stop met profilering". | Bureau verschijnt niet meer in RFQ-shortlists; opdrachtgever wordt niet meer geprofileerd. |
| Dataportabiliteit (art. 20) | Idem als inzage (de ZIP-export is machine-readable JSON). | — |
| Bezwaar (art. 21) | Idem als beperking. | — |
| Toestemming intrekken | Pas je cookiekeuze aan via "Cookievoorkeuren" in de voettekst (of mail privacy@marketingburos.nl zolang de banner nog niet live is). | Stopt analytische en marketing-cookies direct. |
Oefen je rechten direct uit:
Bezoekers (niet ingelogd): Stuur een mail naar privacy@marketingburos.nl voor inzage (art. 15), verwijdering (art. 17), of bezwaar (art. 21) met betrekking tot bezoekeridentificatie. Wij reageren binnen 30 dagen.
Klachtrecht
Ben je niet tevreden over onze afhandeling, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens — zelf een klacht indienen.
Wijzigingen
Substantiële wijzigingen kondigen we aan via e-mail aan geclaimde bureaus en publiceren we op deze pagina met een nieuwe ingangsdatum.
Vragen over dit beleid of over een specifieke verwerking? Neem contact op via privacy@marketingburos.nl.