Privacybeleid

Ingangsdatum: 16 januari 2026
Laatst bijgewerkt: 1 juli 2026

1. Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke voor je persoonsgegevens is:

NOVA V
Onze Lieve Vrouwestraat 63
8770 Ingelmunster
Belgium
Ondernemingsnummer (KBO): 1026.507.349
btw: BE 1026.507.349

E-mail: hello@briliza.com

We hebben onze verwerking getoetst aan artikel 37 AVG en zijn tot de conclusie gekomen dat we geen functionaris voor gegevensbescherming hoeven aan te stellen: onze kernactiviteiten bestaan niet uit grootschalige verwerking van bijzondere categorieën gegevens, en evenmin uit grootschalige, regelmatige en stelselmatige monitoring van personen. We blijven deze beoordeling herzien naarmate de Dienst groeit. Voor elke vraag over privacy kun je ons contacteren op het e-mailadres hierboven.

2. Toepassingsgebied

Dit privacybeleid is van toepassing op het platform voor persoonlijke financiën BRILIZA (de "Dienst") en beschrijft hoe we je persoonsgegevens verzamelen, gebruiken, delen en beschermen, in overeenstemming met:

  • Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming, "AVG")
  • De Belgische wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
  • Richtlijn 2002/58/EG (ePrivacyrichtlijn) zoals omgezet in Belgisch recht

Deze Dienst is uitsluitend bedoeld voor gebruikers in de Europese Unie en de Europese Economische Ruimte (EU/EER). Door de Dienst te gebruiken bevestig je dat je je binnen de EU/EER bevindt.

3. Categorieën persoonsgegevens die we verzamelen

We verzamelen en verwerken de volgende categorieën persoonsgegevens:

3.1 Accountgegevens

  • E-mailadres
  • Wachtwoord (cryptografisch gehasht; we bewaren je wachtwoord nooit in leesbare vorm en hebben er geen toegang toe)
  • Aanmaakdatum van je account

3.2 Financiële gegevens

  • Identificatiegegevens van bankrekeningen (rekeningnamen, IBAN, BIC)
  • Rekeningsaldo's
  • Transactiegegevens (datums, bedragen, omschrijvingen, namen en IBAN van tegenpartijen, mededelingen)
  • Categorieën en toewijzingen van je uitgavenplan
  • Beleggingen en beleggingstransacties

3.3 Technische gegevens

  • Authenticatietokens (sessiecookies)
  • In de browser bewaarde voorkeuren (localStorage), zie sectie 8.3
  • Geanonimiseerde prestatiegegevens (laadtijden via Web Vitals)
  • Gepseudonimiseerde gebruiks- en interactiegegevens: bezochte pagina's, klikken, scrollen en gemaskeerde sessieopnames (zie sectie 8.2)
  • Bij benadering je locatie (enkel het land), afgeleid uit je IP-adres door onze analyseproviders; het IP-adres zelf bewaren we niet

Gegevens die we NIET verzamelen: We volgen je niet over andere websites, bouwen geen reclame- of marketingprofielen op en gebruiken geen blijvende identificatoren over sites heen. We verzamelen geen precieze (gps-)locatie en geen biometrische gegevens. Onze analyseproviders verwerken je IP-adres slechts kortstondig, om je land bij benadering af te leiden en bezoeken te tellen, maar we bewaren je IP-adres niet en gebruiken het niet om je te identificeren.

4. Doeleinden en rechtsgrond voor de verwerking

We verwerken je persoonsgegevens voor de volgende doeleinden, elk met een specifieke rechtsgrond volgens artikel 6(1) AVG:

DoelRechtsgrondGegevenscategorieën
Account aanmaken en authenticatieUitvoering van de overeenkomst (art. 6(1)(b))Accountgegevens
De dienst voor persoonlijk financieel beheer leverenUitvoering van de overeenkomst (art. 6(1)(b))Financiële gegevens, accountgegevens
Synchronisatie van bankrekeningen via Open BankingUitvoering van de overeenkomst (art. 6(1)(b))Financiële gegevens
Categorisatie en inzichten met AI (een functie die je zelf kiest te gebruiken)Gerechtvaardigd belang (art. 6(1)(f))Geaggregeerde, geanonimiseerde financiële samenvattingen
Prestaties van de Dienst monitorenGerechtvaardigd belang (art. 6(1)(f))Geanonimiseerde technische gegevens
Cookieloze gebruiksstatistieken (paginaweergaven, land, gemaskeerde sessieopnames)Gerechtvaardigd belang (art. 6(1)(f))Gepseudonimiseerde gebruiksgegevens
Uitgebreide statistieken met cookies (paginaweergaven binnen een bezoek koppelen, trechters)Toestemming (art. 6(1)(a))Identificatoren van analysecookies
Reageren op vragen aan de ondersteuningUitvoering van de overeenkomst (art. 6(1)(b))Accountgegevens, inhoud van je vraag
Naleving van wettelijke verplichtingenWettelijke verplichting (art. 6(1)(c))Zoals wettelijk vereist

Afweging van het gerechtvaardigd belang: Voor prestatiemonitoring, cookieloze gebruiksstatistieken (inclusief gemaskeerde sessieopnames) en categorisatie en inzichten met AI is ons gerechtvaardigd belang om te begrijpen hoe de Dienst wordt gebruikt en om je te helpen je financiën te doorgronden, zodat we problemen kunnen vinden en oplossen en de Dienst kunnen verbeteren. We hebben dit afgewogen tegen je privacy en houden de impact zo klein mogelijk: in deze modus worden geen cookies geplaatst voor statistieken, alle tekstinvoer en gevoelige inhoud worden gemaskeerd, opnames zijn gepseudonimiseerd en worden niet over bezoeken heen gekoppeld, enkel geaggregeerde en geanonimiseerde samenvattingen (nooit individuele transacties) gaan naar onze AI-provider, en niets hiervan wordt gebruikt om je te identificeren of om beslissingen te nemen die je raken. Je kunt te allen tijde bezwaar maken: met "Alles weigeren" in de cookie-instellingen stop je de statistieken met sessieopnames voor jezelf, je kunt analysecookies daar weigeren, en je kunt ervoor kiezen de AI-functies niet te gebruiken of ons te contacteren om bezwaar te maken.

5. Verplichting om gegevens te verstrekken

Verplichte gegevens: Je e-mailadres en wachtwoord opgeven is noodzakelijk om een account aan te maken en de Dienst te gebruiken. Zonder deze gegevens kunnen we de Dienst niet leveren.

Optionele gegevens: Bankrekeningen koppelen en financiële gegevens invoeren is vrijwillig. Zonder deze gegevens zijn bepaalde functies van de Dienst (zoals het automatisch inlezen van transacties en inzichten) echter niet beschikbaar.

6. Ontvangers en verwerkers van gegevens

We delen je persoonsgegevens met de volgende categorieën ontvangers, die optreden als verwerkers op basis van schriftelijke overeenkomsten die voldoen aan artikel 28 AVG:

Supabase Inc.

Doel: Databasehosting, gebruikersauthenticatie en gegevensopslag

Verwerkte gegevens: Alle account- en financiële gegevens

Locatie: Europese Unie (Parijs, Frankrijk, eu-west-3)

Waarborgen: Gegevens versleuteld in rust (AES-256) en tijdens verzending (TLS 1.3)

GoCardless Ltd (handelend als Nordigen)

Doel: Open Banking-connectiviteit (Account Information Service Provider onder PSD2)

Verwerkte gegevens: Identificatiegegevens van bankrekeningen, transactiegeschiedenis (geraadpleegd via de API van je bank met jouw toestemming)

Locatie: Verenigd Koninkrijk (GoCardless Ltd, vergund door de Britse Financial Conduct Authority). Het VK geniet een adequaatheidsbesluit van de Europese Commissie.

Opmerking: We ontvangen of bewaren je bankinloggegevens nooit. De authenticatie verloopt rechtstreeks met je bank.

Google LLC (Google Generative AI / Gemini)

Doel: Financiële inzichten en transactiecategorisatie met AI

Verwerkte gegevens: Geaggregeerde, geanonimiseerde financiële samenvattingen (geen individuele transacties met identificerende gegevens)

Locatie: Verenigde Staten en andere landen

Waarborgen: Modelcontractbepalingen (SCC's) goedgekeurd door de Europese Commissie

Vercel Inc.

Doel: Applicatiehosting, webstatistieken en prestatiemonitoring

Verwerkte gegevens: Gegevens over paginaweergaven (bezochte pagina's, verwijzer, land bij benadering); prestatiegegevens via Web Vitals (laadtijden). Je IP-adres wordt kortstondig verwerkt om het land af te leiden en unieke bezoeken te tellen, maar wordt niet bewaard of gedeeld, en er worden geen identificatoren over sites heen gebruikt.

Locatie: Wereldwijd met EU-edgenodes

Waarborgen: Modelcontractbepalingen (SCC's)

Microsoft Corporation (Clarity)

Doel: Analyse van websitegedrag (heatmaps, sessieopnames, analyse van scrolldiepte) om de gebruikerservaring te verbeteren

Verwerkte gegevens: Gepseudonimiseerde interactiegegevens (klikken, scrollen, muisbewegingen, navigatie tussen pagina's) en gemaskeerde sessieopnames. Alle tekstinvoervelden, getallen en andere gevoelige inhoud worden automatisch gemaskeerd, zodat opnames interactiepatronen vastleggen in plaats van je financiële gegevens. Het land bij benadering wordt afgeleid uit je IP-adres; het IP-adres wordt niet bewaard.

Locatie: Wereldwijd (Microsoft Azure-infrastructuur)

Waarborgen: Modelcontractbepalingen (SCC's); automatische maskering van alle tekstinvoer en gevoelige inhoud; standaard cookieloos (cookies enkel na toestemming)

Resend Inc.

Doel: Verzending van transactionele e-mail voor meldingen van het contactformulier

Verwerkte gegevens: Naam, e-mailadres en berichtinhoud uit ingevulde contactformulieren

Locatie: Verenigde Staten

Waarborgen: Modelcontractbepalingen (SCC's)

We verkopen, verhuren of verhandelen je persoonsgegevens niet aan derden. We delen je gegevens niet met adverteerders of datahandelaars.

7. Internationale doorgifte van gegevens

Je account- en financiële gegevens worden bewaard binnen de Europese Economische Ruimte (Supabase, EU-regio). Sommige verwerkers verwerken gegevens echter buiten de EER: Google, Vercel, Microsoft en Resend (Verenigde Staten), en GoCardless (Verenigd Koninkrijk).

Voor deze doorgiften steunen we op:

  • Adequaatheidsbesluit: het Verenigd Koninkrijk valt onder een adequaatheidsbesluit van de Europese Commissie, waardoor doorgiften naar GoCardless geen bijkomende waarborgen vereisen
  • Modelcontractbepalingen (SCC's) aangenomen door de Europese Commissie onder Besluit 2021/914, voor doorgiften naar de Verenigde Staten (Google, Vercel, Microsoft, Resend)
  • Bijkomende aanvullende maatregelen waar nodig, waaronder versleuteling en toegangscontroles

Je kunt een kopie van de relevante waarborgen opvragen door ons te contacteren.

8. Cookies en vergelijkbare technologieën

We gebruiken de volgende cookies en opslagmechanismen:

8.1 Strikt noodzakelijke cookies

Deze cookies zijn essentieel om de Dienst te laten werken en kunnen niet worden uitgeschakeld.

CookieDoelDuur
Supabase-authenticatietokenHoudt je aangemeldSessie (beheerd door Supabase)
localeOnthoudt je gekozen taal1 jaar

Rechtsgrond: Deze cookies zijn vrijgesteld van de toestemmingsvereiste op grond van artikel 5(3) van de ePrivacyrichtlijn omdat ze strikt noodzakelijk zijn om de door jou gevraagde dienst te leveren.

8.2 Statistieken en prestaties

We gebruiken de volgende analysetools om te begrijpen hoe bezoekers onze website gebruiken en om de gebruikerservaring te verbeteren:

  • Vercel Web Analytics: Cookievrije statistieken over paginaweergaven. Verzamelt anonieme gegevens over bezochte pagina's, verwijzer en land. Er worden geen persoonsgegevens of IP-adressen bewaard.
  • Vercel Speed Insights: Verzamelt geanonimiseerde prestatiegegevens (Core Web Vitals) om ons te helpen laadtijden te verbeteren. Identificeert geen individuele gebruikers.
  • Microsoft Clarity: Levert heatmaps, analyse van scrolldiepte en gemaskeerde sessieopnames zodat we kunnen zien hoe mensen de site gebruiken en bruikbaarheidsproblemen kunnen oplossen. Alle tekstinvoer en gevoelige inhoud worden automatisch gemaskeerd. Standaard draait Clarity in een cookieloze modus: het plaatst geen cookies, behandelt elke paginaweergave als een aparte sessie en koppelt je activiteit niet over paginaweergaven of bezoeken heen. Met "Alles aanvaarden" mag Clarity bovendien eigen cookies plaatsen die je paginaweergaven tot één traject koppelen, terugkerende bezoeken herkennen en trechters mogelijk maken. Clarity neemt sessies in beide modi op; de cookies bepalen de koppeling, niet of er een opname wordt gemaakt.

Rechtsgrond (cookieloze statistieken): Gerechtvaardigd belang (art. 6(1)(f) AVG). Vercel Web Analytics, Vercel Speed Insights en de cookieloze modus van Clarity plaatsen geen cookies en verwerken enkel gepseudonimiseerde, gemaskeerde gegevens die niet over bezoeken heen worden gekoppeld, en draaien dus onder ons gerechtvaardigd belang om de Dienst te verbeteren. Bezwaar maken: met "Alles weigeren" in de cookie-instellingen wordt Microsoft Clarity (inclusief sessieopnames) niet voor jou geladen. De statistieken van Vercel zijn cookieloos en geaggregeerd en identificeren je niet individueel; je kunt ze vermijden met een browser of extensie die trackers blokkeert, en je kunt elk bezwaar op grond van artikel 21 bij ons indienen via het e-mailadres hierboven.

Rechtsgrond (cookiegebaseerde statistieken): Toestemming (art. 6(1)(a) AVG en art. 5(3) ePrivacyrichtlijn). De eigen analysecookies van Clarity worden pas geplaatst nadat je toestemming geeft via "Alles aanvaarden". Je kunt je toestemming op elk moment intrekken; intrekken is even eenvoudig als geven.

Geen van deze tools volgt je over andere websites, verzamelt je persoonlijke financiële gegevens of deelt gegevens met adverteerders.

8.3 Lokale opslag

We gebruiken de lokale opslag van je browser om je voorkeuren en keuzes te onthouden. Deze informatie blijft op je toestel, wordt nooit naar adverteerders gestuurd en wordt niet gebruikt om je te volgen. We bewaren het volgende, gegroepeerd per doel:

Wat we bewarenDoelGewist bij afmelden?
Huidige selectieWelke rekeningen, eigenaars en bank je op dit moment bekijktJa
WeergavevoorkeurenHoe de app er voor jou uitziet: avatarstijl, privacy-blur (demo)modus, mobiele navigatieNee
FunctieschakelaarsOptionele functies die je aan- of uitgezet hebtNee
Tool- en weergave-instellingenJe instellingen in de plannings- en rapporteringstools: grafiekopties, gekozen periodes, plannerinvoerNee
CookiekeuzeJe keuze over analysecookies, zodat we het je niet opnieuw vragenNee
Gecachte gegevens en vlaggenInstelvlaggen en gecachte referentiegegevens zodat de app sneller laadtNee

Items die niet bij het afmelden worden gewist, blijven op je toestel tot je je browsergegevens wist. Niets hiervan wordt als persoonsgegeven met ons gedeeld, behalve wat elders in dit beleid wordt beschreven.

9. Bewaartermijn van gegevens

We bewaren je persoonsgegevens volgens de volgende criteria:

GegevenscategorieBewaartermijn
Account- en financiële gegevensDuur van je account, plus 30 dagen na een verzoek tot verwijdering
AuthenticatielogsEnkel zolang nodig voor beveiliging en fraudepreventie
Back-upkopieënGewist binnen 90 dagen na verwijdering van het account
Correspondentie met ondersteuning2 jaar na afhandeling (voor wettelijke naleving)

Wanneer je verwijdering van je account vraagt (door ons te mailen), trekken we alle bankkoppelingen in en starten we de definitieve verwijdering van je persoonsgegevens. Volledige wissing gebeurt binnen 30 dagen, met back-ups die binnen 90 dagen worden gewist.

10. Je rechten onder de AVG

Je hebt de volgende rechten met betrekking tot je persoonsgegevens:

  • Recht op inzage (art. 15): Bevestiging krijgen of we je gegevens verwerken en een kopie van die gegevens ontvangen.
  • Recht op rectificatie (art. 16): Verzoeken om correctie van onjuiste persoonsgegevens.
  • Recht op gegevenswissing (art. 17): Verzoeken om verwijdering van je persoonsgegevens ("recht om vergeten te worden").
  • Recht op beperking (art. 18): Verzoeken dat we de verwerking van je gegevens beperken.
  • Recht op overdraagbaarheid (art. 20): Je gegevens ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat.
  • Recht van bezwaar (art. 21): Bezwaar maken tegen verwerking op grond van gerechtvaardigde belangen.
  • Recht om toestemming in te trekken (art. 7(3)): Waar de verwerking op toestemming berust, kun je die op elk moment intrekken zonder dat dit afbreuk doet aan de rechtmatigheid van eerdere verwerking.

Je rechten uitoefenen: Contacteer ons op hello@briliza.com. We reageren binnen 30 dagen. Als je verzoek complex is, kunnen we deze termijn met maximaal 60 bijkomende dagen verlengen; in dat geval informeren we je over de verlenging en de redenen.

Identiteitscontrole: Om je privacy te beschermen kunnen we informatie vragen om je identiteit te verifiëren voordat we je verzoek behandelen.

11. Geautomatiseerde besluitvorming en profilering

We gebruiken AI (Google Generative AI) om te helpen bij transactiecategorisatie en het genereren van financiële inzichten. Deze verwerking:

  • Levert enkel suggesties; je kunt elke door AI voorgestelde categorie altijd handmatig overschrijven
  • Heeft geen rechtsgevolgen en raakt je niet op vergelijkbare wijze in aanzienlijke mate
  • Is gebaseerd op geaggregeerde financiële patronen, niet op individuele profilering voor discriminatie of kredietbeslissingen

We doen niet aan geautomatiseerde besluitvorming die rechtsgevolgen voor je heeft of je op vergelijkbare wijze in aanzienlijke mate raakt in de zin van artikel 22 AVG.

12. Gegevensbeveiliging

We nemen passende technische en organisatorische maatregelen om je persoonsgegevens te beschermen tegen ongeoorloofde toegang, wijziging, openbaarmaking of vernietiging, waaronder:

  • Versleuteling tijdens verzending: TLS 1.3 voor alle gegevensoverdracht
  • Versleuteling in rust: AES-256-versleuteling voor opgeslagen gegevens
  • Authenticatie: Veilige wachtwoordhashing (bcrypt), httpOnly-sessiecookies
  • Toegangscontrole: Row-level security die ervoor zorgt dat gebruikers enkel hun eigen gegevens kunnen raadplegen
  • Beveiligingsheaders: Content Security Policy (CSP), XSS-bescherming, bescherming tegen clickjacking
  • Geen opslag van inloggegevens: Bankinloggegevens worden nooit naar ons verzonden of door ons bewaard

Ondanks deze maatregelen is geen enkele methode van verzending via het internet of elektronische opslag 100% veilig. We kunnen absolute veiligheid niet garanderen, maar we verbinden ons ertoe elk beveiligingsincident snel aan te pakken.

13. Melding van datalekken

Bij een inbreuk in verband met persoonsgegevens die waarschijnlijk een risico voor je rechten en vrijheden inhoudt, melden we dit binnen 72 uur na kennisname aan de Belgische Gegevensbeschermingsautoriteit, zoals vereist door artikel 33 AVG. Als de inbreuk waarschijnlijk een hoog risico voor je rechten en vrijheden inhoudt, brengen we ook jou rechtstreeks en zonder onnodige vertraging op de hoogte, zoals vereist door artikel 34 AVG.

14. Privacy van kinderen

De Dienst is niet bedoeld voor personen jonger dan 18 jaar. We verzamelen niet bewust persoonsgegevens van kinderen. Als je denkt dat we per ongeluk gegevens van een kind hebben verzameld, contacteer ons dan onmiddellijk zodat we ze kunnen verwijderen.

15. Wijzigingen aan dit privacybeleid

We kunnen dit privacybeleid bijwerken om wijzigingen in onze werkwijze, wettelijke vereisten of andere operationele redenen weer te geven. Wanneer we wezenlijke wijzigingen aanbrengen:

  • Werken we de datum "Laatst bijgewerkt" boven aan dit beleid bij
  • Voor belangrijke wijzigingen die je rechten raken, brengen we je minstens 30 dagen vooraf per e-mail op de hoogte
  • Waar de wet dit vereist, vragen we je toestemming voor wezenlijke wijzigingen

We raden je aan dit beleid regelmatig na te lezen. Als je de Dienst blijft gebruiken nadat wijzigingen van kracht worden, geldt dat als aanvaarding van het herziene beleid, behalve waar toestemming vereist is.

16. Recht om een klacht in te dienen

Als je vindt dat onze verwerking van je persoonsgegevens de AVG schendt, heb je het recht om een klacht in te dienen bij een toezichthoudende autoriteit.

Voor België is de bevoegde autoriteit:

Gegevensbeschermingsautoriteit (GBA)
Drukpersstraat 35
1000 Brussels
Belgium

Website: www.gegevensbeschermingsautoriteit.be
E-mail: contact@apd-gba.be

Je kunt ook een klacht indienen bij de toezichthoudende autoriteit in de EU-lidstaat van je gewone verblijfplaats of werkplek.

17. Diverse bepalingen

17.1 Toepasselijk recht

Dit privacybeleid en elk geschil dat eruit voortvloeit, worden beheerst door het Belgische recht, zonder rekening te houden met de beginselen van rechtsconflicten. Deze rechtskeuze ontneemt je niet de bescherming van bepalingen waarvan niet bij overeenkomst kan worden afgeweken volgens het recht van je land van gewone verblijfplaats.

17.2 Deelbaarheid

Als een bepaling van dit privacybeleid door een bevoegde rechtbank ongeldig of niet-afdwingbaar wordt bevonden, wordt die bepaling beperkt of geschrapt tot het minimum dat nodig is, en blijven de overige bepalingen onverkort van kracht.

17.3 Geen afstand

Het niet afdwingen van een recht of bepaling van dit privacybeleid houdt geen afstand van dat recht of die bepaling in.

17.4 Taal

Dit privacybeleid is beschikbaar in het Engels, het Nederlands en het Spaans. Bij elk conflict tussen de Engelse versie en een vertaling heeft de Engelse versie voorrang, onverminderd elk dwingend recht dat je hebt om je te beroepen op de versie in je eigen taal onder de wetgeving inzake gegevensbescherming en consumentenbescherming van je land van verblijf.

18. Contacteer ons

Voor vragen over dit privacybeleid of onze gegevenspraktijken kun je contact opnemen met:

NOVA V
Onze Lieve Vrouwestraat 63
8770 Ingelmunster
Belgium
Ondernemingsnummer (KBO): 1026.507.349
btw: BE 1026.507.349

E-mail: hello@briliza.com