$ cat /etc/internalhost/privacy

Privacybeleid

Versie 1.0 · Laatste update: 2026-05-19 · Geldig per direct

TL;DR

We verzamelen het minimum dat nodig is om je een server te leveren en een factuur te kunnen sturen. Geen tracking, geen ad-networks, geen data-doorverkoop. We zitten in de EU, vallen onder de AVG, en geven je data nooit aan derden tenzij de wet ons daartoe dwingt.

1. Wie zijn wij

InternalHost is een eenmanszaak (KvK 90174720), eigendom van Xaviero Kajafas, gevestigd in Amsterdam. Statutair adres: Bijlmerdreef 910, 1103 DV Amsterdam. Werkadres (op afspraak): Nieuwe Hemweg 26, 1013 CX Amsterdam. Wij zijn de "verwerkingsverantwoordelijke" in AVG-taal voor de persoonsgegevens die je ons toevertrouwt als klant.

2. Welke gegevens we verzamelen

Drie categorieën, niets meer:

  • Accountgegevens: naam, e-mailadres, bedrijfsnaam (optioneel), BTW-nummer (optioneel voor B2B). Verstrekt door jou bij registratie.
  • Facturatiegegevens: factuuradres, betaalmethode (we slaan geen kaartnummers op, die zitten bij Mollie/Revolut), betaalgeschiedenis. Vereist voor de Wet op de Loonbelasting + AVG art. 6 lid 1b (overeenkomst).
  • Technische gegevens: IP-adres van je sessie, browser user-agent, login-tijdstempel. Vereist voor security (CrowdSec, fail2ban) en fraudepreventie. Bewaard volgens artikel 6 lid 1f (gerechtvaardigd belang).

We verzamelen géén: tracking-cookies van derden, social-media-pixels, advertentie-IDs, geolocatie buiten IP, gedragsanalyse, mouse-tracking, of welke andere meuk dan ook.

3. Waarvoor we het gebruiken

  • Je een dienst leveren waarvoor je betaalt (servers provisioneren, mail aan jou sturen, support).
  • Facturen genereren en versturen.
  • Misbruik op onze infrastructuur detecteren en stoppen (zie AUP).
  • Voldoen aan wettelijke bewaarplicht (fiscaal: 7 jaar voor facturen).

We gebruiken het niet voor: profiling, gepersonaliseerde reclame, doorverkoop, training van AI-modellen, of any other side-hustle.

4. Hoe lang we bewaren

  • Accountgegevens: zolang je klant bent + 30 dagen na opheffing voor eventuele claims.
  • Facturen: 7 jaar (Belastingdienst).
  • Login-logs: 90 dagen (security forensics).
  • Server-data (jouw VPS-content): zolang je actief bent. Na opheffing 14 dagen voor recovery, daarna definitief weg.
  • Support-tickets: 2 jaar.

5. Met wie we delen

Een korte lijst. Iedereen op deze lijst is een verwerker in EU-jurisdictie:

  • Mollie (NL): betaalverwerker. Krijgt je naam, factuurbedrag, e-mailadres. Mollie Privacy.
  • Revolut Business (LT, EU): alternatieve betaalverwerker. Zelfde scope als Mollie.
  • Cloudflare (US, met EU data-region): CDN/DDoS-bescherming voor deze website. Verwerkt je IP + browser-fingerprint voor anti-bot. Standard SCC 's. Cloudflare Privacy.
  • Qupra DC (NL): datacenter. Heeft fysieke toegang tot onze hardware maar géén logische toegang tot data.
  • OpenProvider (NL): domeinregistrar. Alleen relevant als je een domein via ons registreert. Krijgt WHOIS-contactgegevens.

Verder: niemand. Geen tracking-pixels, geen advertising-platforms, geen "analytics" SaaS.

6. Jouw rechten (AVG)

Je hebt het recht om:

  • Inzage te krijgen in al je gegevens.
  • Correctie te vragen.
  • Verwijdering te vragen (behalve waar wettelijke bewaarplicht geldt).
  • Een kopie in machine-leesbaar formaat op te vragen (dataportabiliteit).
  • Bezwaar te maken tegen verwerking op basis van gerechtvaardigd belang.
  • Klacht in te dienen bij de Autoriteit Persoonsgegevens.

Stuur een mail naar [email protected]. We reageren binnen 30 dagen, meestal binnen 5.

7. Beveiliging

  • TLS overal (HSTS preloaded).
  • Wachtwoorden in bcrypt opgeslagen, nooit in klare tekst.
  • SSH naar productie alleen via ed25519-keys, password-auth uit.
  • 2FA verplicht voor admin-accounts.
  • CrowdSec + fail2ban op alle publieke endpoints.
  • Dagelijkse encrypted backups van klantgegevens.
  • Beperkte toegang: alleen Nick en Jarreth hebben prod-shell, alleen Xavi heeft Filament-admin.

Datalek? We melden het binnen 72 uur bij de AP én bij de getroffen klanten, conform AVG art. 33-34.

8. Contact + wijzigingen

Vragen, verzoeken of klachten: [email protected] of via Signal (link in footer). Wij behouden ons het recht voor dit beleid te wijzigen. Substantiële wijzigingen melden we per e-mail aan actieve klanten minstens 30 dagen vóór ingang.