Ga naar inhoud

Privacybeleid

Vertalingsmededeling: Dit is een informele vertaling. Bij twijfel is de Duitse versie bindend; Duits recht is van toepassing.

Privacybeleid van Kithora

Laatste update: maart 2026


Welkom bij Kithora. Wij geloven dat uw privémomenten, plannen en gegevens van u zijn. Daarom hebben wij Kithora ontwikkeld als een Local-First-applicatie. In tegenstelling tot conventionele cloud-apps slaan wij uw persoonlijke gegevens niet op centrale servers op om ze te analyseren of te verkopen. Uw apparaat is uw kluis.

Dit privacybeleid legt uit hoe we gegevens verzamelen, gebruiken en beschermen wanneer u onze mobiele applicatie en onze website gebruikt. De verwerkingsverantwoordelijke in de zin van de AVG is:

Arndt Lehmann
Glück-Auf-Straße 41, 09394 Hohndorf, Duitsland
E-mail: [email protected]


1. Het Local-First-principe en gegevensopslag

Kithora is gebaseerd op een gedecentraliseerde architectuur. Dit betekent:

  • Geen accounts: U hoeft geen gebruikersaccount aan te maken met e-mail of telefoonnummer. We kennen uw identiteit niet.
  • Lokale opslag: Alle inhoud (Kora's, Steps, financiën, foto's) wordt primair lokaal op uw apparaat opgeslagen.
  • Versleutelde back-ups: Uw gegevens worden versleuteld en opgeslagen in onze synchronisatie-infrastructuur, zodat u ze op een nieuw apparaat kunt herstellen. Wij hebben geen toegang tot de onversleutelde inhoud.

Rechtsgrond: Art. 6 lid 1 sub b AVG (uitvoering van een overeenkomst) — lokale opslag en versleutelde synchronisatie zijn essentiële onderdelen van de dienst die u gebruikt.

2. Synchronisatie en versleuteling

Om gegevens uit te wisselen tussen verschillende apparaten (bijv. binnen een groep) maakt Kithora gebruik van een versleutelde synchronisatie-infrastructuur.

  • Alleen versleutelde gegevens: Onze synchronisatieservers fungeren als blinde koeriers. Ze slaan versleutelde gegevenspakketten op en verzenden deze zonder de inhoud te kunnen lezen.
  • End-to-end-versleuteling (E2E): Alle gegevens die uw apparaat verlaten zijn versleuteld. Alleen de apparaten van uw groep (Kith) bezitten de sleutel om ze te ontsleutelen.
  • Persistente opslag: Versleutelde gegevens worden op onze servers opgeslagen om synchronisatie tussen apparaten en herstel op nieuwe apparaten mogelijk te maken. Omdat de gegevens end-to-end versleuteld zijn, kunnen noch wij noch derden de inhoud lezen.

Rechtsgrond: Art. 6 lid 1 sub b AVG (uitvoering van een overeenkomst).

3. Hosting en serverlogs

Onze website en diensten worden beheerd op eigen of gehuurde servers binnen de EU. Telkens wanneer onze website of appdiensten worden bezocht, worden de volgende gegevens automatisch vastgelegd in serverlogbestanden:

  • IP-adres van het toegangsverlenende apparaat
  • Datum en tijdstip van toegang
  • Gevraagde URL/eindpunt
  • Hoeveelheid overgedragen gegevens
  • Browsertype en -versie (bij webtoegang)
  • Besturingssysteem

Deze gegevens worden uitsluitend verwerkt om een probleemloze werking te garanderen, aanvallen te detecteren en te voorkomen en voor technische optimalisatie. Ze worden niet samengevoegd met andere gegevensbronnen. Logbestanden worden na 30 dagen automatisch verwijderd.

Rechtsgrond: Art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij de veiligheid en stabiliteit van de dienst).

Er worden geen externe CDN-diensten (Content Delivery Networks) gebruikt. Alle voor de website benodigde bronnen (lettertypen, scripts, stylesheets) worden direct van onze eigen server geleverd. Er vindt derhalve geen gegevensoverdracht naar servers van derden plaats.

4. Cookies

Onze website gebruikt uitsluitend technisch noodzakelijke cookies:

  • Sessiecookie: Dient voor de koppeling van uw sessie en wordt verwijderd wanneer u uw browser sluit.
  • CSRF-tokencookie: Beschermt formulieren tegen Cross-Site Request Forgery-aanvallen. Wordt verwijderd wanneer u uw browser sluit.
  • Taalcookie: Slaat de door u actief gekozen taal op, zodat de website bij toekomstige bezoeken in dezelfde taal wordt weergegeven. Bewaarduur: 1 jaar. Deze cookie wordt alleen ingesteld wanneer u actief een taal kiest.

Deze cookies zijn strikt noodzakelijk voor de werking van de website. Er worden geen tracking-, analyse- of advertentiecookies gebruikt. Afzonderlijke toestemming is daarom niet vereist.

Let op: Deze cookie-informatie geldt uitsluitend voor onze website. De mobiele app zelf gebruikt geen cookies of trackingtechnologieën.

Rechtsgrond: Art. 6 lid 1 sub f AVG (gerechtvaardigd belang) j° § 25 lid 2 Nr. 2 TDDDG (technisch noodzakelijke cookies).

5. Abonnementen en aankopen (RevenueCat)

Voor het beheren van abonnementen (Kithora Premium, Hero-sponsorschap) en in-app-aankopen gebruiken wij de dienst RevenueCat, Inc., 633 Tarava St Ste 101, San Francisco, CA 94116, VS.

  • Anonieme apparaat-ID: Om uw aankoopstatus (bijv. «Free», «Premium», «Hero») te verifiëren en te herstellen, sturen wij een geanonimiseerde apparaat-ID of een gegenereerde app-gebruikers-ID naar RevenueCat.
  • Geen persoonsgegevens: Wij sturen geen namen, e-mailadressen of inhoud van uw Kora's naar RevenueCat.
  • De betalingsverwerking verloopt volledig via de Google Play Store of Apple App Store. Kithora slaat geen creditcardgegevens op.

Rechtsgrond: Art. 6 lid 1 sub b AVG (uitvoering van een overeenkomst — levering en beheer van uw abonnement).

Doorgifte aan derde landen: RevenueCat is gevestigd in de VS. De gegevensoverdracht vindt plaats op basis van het EU-VS Data Privacy Framework (Art. 45 AVG), voor zover RevenueCat gecertificeerd is, en aanvullend op basis van standaardcontractbepalingen (Art. 46 lid 2 sub c AVG). RevenueCat verwerkt uitsluitend geanonimiseerde apparaat-ID's; een persoonsverwijzing is voor RevenueCat niet mogelijk.

6. Gebruik van Kunstmatige Intelligentie (KI)

Kithora biedt optionele KI-functies aan (bijv. analyse van PDF-bemanningslijsten, reisplanning, budgetoptimalisatie). De verwerking vindt plaats via externe KI-dienstverleners. Kithora selecteert automatisch de geschikte aanbieder voor uw verzoek.

6.1 Gebruikte KI-dienstverleners
  • Google (Alphabet Inc.) — Vestigingsplaats: Mountain View, CA, VS.
  • OpenAI, Inc. — Vestigingsplaats: San Francisco, CA, VS.
  • Anthropic, PBC — Vestigingsplaats: San Francisco, CA, VS.
  • Moonshot AI (Beijing Moonshot Technology Co., Ltd.) — Vestigingsplaats: Peking, China.
  • Z-AI — Vestigingsplaats: China.
6.2 Gegevensverwerking
  • Verwerking: Wanneer u een KI-functie gebruikt, worden de relevante gegevens (bijv. de tekst van een geüploade PDF of uw budgetgegevens) naar de betreffende aanbieder gestuurd voor verwerking.
  • Geen training: De doorgezonden gegevens worden uitsluitend gebruikt om uw verzoek te vervullen. Ze worden niet permanent opgeslagen en niet gebruikt om KI-modellen te trainen (Zero Data Retention bij API-gebruik).
  • Transparantie: KI-analyses vinden alleen plaats wanneer u een bijbehorende functie actief inschakelt (bijv. «Manifest scannen» of «Budget optimaliseren»).
  • Automatische routing: Kithora selecteert automatisch de optimale aanbieder op basis van beschikbaarheid en geschiktheid. U selecteert de aanbieder niet zelf.

Rechtsgrond: Art. 6 lid 1 sub a AVG (toestemming) — u activeert de KI-verwerking elke keer actief en vrijwillig.

6.3 Doorgifte aan derde landen
  • VS (Google, OpenAI, Anthropic): De gegevensoverdracht vindt plaats op basis van standaardcontractbepalingen (Art. 46 lid 2 sub c AVG). Alle drie aanbieders zijn daarnaast onderworpen aan het EU-VS Data Privacy Framework.
  • China (Moonshot AI, Z-AI): De gegevensoverdracht vindt plaats op basis van standaardcontractbepalingen (Art. 46 lid 2 sub c AVG). Wij wijzen erop dat er in China geen door de Europese Commissie erkend adequaat niveau van gegevensbescherming bestaat. De gegevens worden uitsluitend gebruikt voor de verwerking van verzoeken en worden niet permanent opgeslagen.

7. App-machtigingen

Om Kithora te laten werken, hebben we toegang nodig tot bepaalde functies van uw apparaat:

  • Camera: Voor het scannen en fotograferen van bonnen en documenten. Alleen op uw verzoek.
  • Fotobibliotheek: Voor het uploaden van foto's naar de Chronik of voor KI-analyses. Alleen op uw verzoek.
  • Meldingen: Voor optionele pushmeldingen over groepsactiviteiten.

Rechtsgrond: Art. 6 lid 1 sub a AVG (toestemming) — u verleent de betreffende machtiging actief via uw besturingssysteem.

8. Diensten van derden

Kithora maakt gebruik van de volgende externe aanbieders:

  • RevenueCat, Inc. (San Francisco, VS): Abonnementsbeheer (zie paragraaf 5).
  • Google (Alphabet Inc.) (Mountain View, VS): KI-aanbieder voor optionele KI-functies (zie paragraaf 6).
  • OpenAI, Inc. (San Francisco, VS): KI-aanbieder voor optionele KI-functies (zie paragraaf 6).
  • Anthropic, PBC (San Francisco, VS): KI-aanbieder voor optionele KI-functies (zie paragraaf 6).
  • Moonshot AI (Beijing Moonshot Technology Co., Ltd.) (Peking, China): KI-aanbieder voor optionele KI-functies (zie paragraaf 6).
  • Z-AI (China): KI-aanbieder voor optionele KI-functies (zie paragraaf 6).
  • Apple App Store / Google Play Store: Voor de betalingsverwerking van abonnementen en in-app-aankopen. De privacybeleid van Apple en Google gelden aanvullend.

9. Uw rechten (Art. 15-21, 77 AVG)

U hebt de volgende rechten met betrekking tot uw persoonsgegevens:

  • Recht op inzage (Art. 15 AVG): U hebt het recht om informatie te vragen over de persoonsgegevens die wij verwerken.
  • Recht op rectificatie (Art. 16 AVG): U hebt het recht om correctie van onjuiste gegevens te vragen.
  • Recht op verwijdering (Art. 17 AVG): U hebt het recht om verwijdering van uw gegevens te vragen, voor zover er geen wettelijke bewaarplichten gelden.
  • Recht op beperking van de verwerking (Art. 18 AVG): U hebt het recht om beperking van de verwerking van uw gegevens te vragen.
  • Recht op gegevensoverdraagbaarheid (Art. 20 AVG): U hebt het recht uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen.
  • Recht van bezwaar (Art. 21 AVG): U hebt het recht om te allen tijde bezwaar te maken tegen de verwerking van uw gegevens om redenen die verband houden met uw bijzondere situatie, voor zover de verwerking gebaseerd is op Art. 6 lid 1 sub f AVG.

Omdat Kithora een Local-First-applicatie is en geen persoonsgegevens op centrale servers opslaat die aan u kunnen worden gekoppeld, zijn klassieke inzage- of verwijderingsverzoeken doorgaans zonder praktisch belang. Uw gegevens zijn versleuteld — alleen u en uw groep kunnen ze ontsleutelen. Als u de app verwijdert, worden de lokale gegevens van uw apparaat verwijderd.

Om uw rechten uit te oefenen, neem contact op met: [email protected]

10. Klachtrecht bij de toezichthoudende autoriteit

U hebt op grond van Art. 77 AVG het recht om een klacht in te dienen bij een gegevensbeschermingstoezichthouder indien u van mening bent dat de verwerking van uw persoonsgegevens onrechtmatig plaatsvindt. De voor ons bevoegde toezichthoudende autoriteit is:

Sächsischer Datenschutz- und Transparenzbeauftragter
Devrientstraße 5
01067 Dresden
Telefoon: +49 351 85471-101
Website: www.datenschutz.sachsen.de

11. Kinderen

Kithora richt zich niet op kinderen onder de 16 jaar. Omdat we geen accounts verzamelen, kunnen we de leeftijd van gebruikers niet verifiëren. Het gebruik door minderjarigen valt onder de verantwoordelijkheid van de ouders of wettelijke voogden.

12. Wijzigingen in dit privacybeleid

Wij behouden ons het recht voor dit privacybeleid aan te passen bij wijzigingen in de app of het juridisch kader. De actuele versie vindt u altijd in de app en op onze website.

13. Contact

Arndt Lehmann
Glück-Auf-Straße 41, 09394 Hohndorf
E-mail: [email protected]

Bijgewerkt op: 19 maart 2026