Aller au contenu
wheremyflow
Connexion Démarrer gratuitement
Fonctionnalités Tarifs Comparatif Manifeste Aide Audit Contact Démo Connexion

AVG-conformiteit (en nationale EU-kaders)

wheremyflow is ontworpen om vrijgesteld te zijn van de cookie-toestemmingsbanner krachtens de AVG (Verordening (EU) 2016/679) en de ePrivacy-richtlijn (2002/58/EG zoals gewijzigd). Het kader is uniform van toepassing in de 27 lidstaten + 3 EER; elk land heeft een gegevensbeschermingsautoriteit die de lokale toepassing aansturt (CNIL in Frankrijk, BfDI/DSK in Duitsland, Garante in Italië, AEPD in Spanje, AP in Nederland, enz.).

Dit is geen marketingargument: het is een technisch lastenboek dat van begin tot eind wordt aangehouden. Deze pagina vat samen waarom, en wat als uitgever te uwen laste blijft.

Waarom geen banner?

Artikel 5(3) van de ePrivacy-richtlijn vereist voorafgaande toestemming om op het eindapparaat van de gebruiker te lezen of schrijven (cookie, localStorage, fingerprint enz.). De nationale autoriteiten staan een vrijstelling toe voor strikt noodzakelijke bereikmeting van de dienst, mits precieze technische waarborgen.

De belangrijkste convergente nationale kaders zijn:

  • 🇫🇷 FrankrijkCNIL-referentiekader „Cookies: oplossingen voor bereikmeetinstrumenten" van 4 juli 2025 (15 criteria).
  • 🇩🇪 Duitsland — TDDDG §25 (ePrivacy-omzetting) + DSK-richtsnoeren 2023.
  • 🇮🇹 Italië — Codice Privacy art. 122 + Garante-richtsnoeren „Cookie e altri strumenti di tracciamento" 10 juni 2021.
  • 🇪🇸 Spanje — LSSICE art. 22.2 + AEPD „Guía sobre el uso de las cookies" 2024.
  • 🇳🇱 Nederland — Telecomwet art. 11.7a + AP-richtsnoeren 2023.

wheremyflow voldoet aan deze gemeenschappelijke voorwaarden:

  1. Geen opslag aan de clientzijde — geen cookie, geen localStorage, geen sessionStorage, geen IndexedDB.
  2. Geen persistent opgeslagen persoonsgegevens — geen ruwe IP bewaard, geen stabiele gebruikers-ID, geen fingerprint, geen PII (e-mail, naam enz.).
  3. Beperkt doel — uitsluitend de anonieme bereikmeting van de uitgevers-site, geen marketing, geen cross-site, geen unified reach.

Wat wij verzamelen (en hoe)

Voor elke paginaweergave berekenen wij een _anonieme bezoeker_ via een HMAC-SHA256 waarvan de sleutel combineert:

visitor_id = HMAC(maandelijkse_salt, site_id || IP || user-agent || taal || dag)
  • De salt roteert maandelijks en de oude salt wordt bij rotatie atomisch verwijderd (Plausible/Fathom-doctrine): onmogelijk om een bezoeker tussen maanden te koppelen, en geen mogelijkheid om een historische identifier te re-hashen — zelfs niet door wheremyflow.
  • De temporele component „dag" roteert elke 24 uur: geen ketting tussen dagen.
  • De component site_id isoleert elke client-site strikt: dezelfde bezoeker op twee wheremyflow-sites produceert twee verschillende, niet-koppelbare hashes.
  • De ruwe IP wordt nooit opgeslagen. Hij wordt in het geheugen gebruikt voor de geolokalisatie (land / regio / stad via DB-IP, Frankrijk) en vervolgens onmiddellijk weggegooid.

Deze aanpak is een alternatieve maatregel voor de afkapping van het laatste IP-octet die door meerdere Europese autoriteiten wordt aanbevolen — uitdrukkelijk gedocumenteerd in onze zelfevaluatie. Hij is beschermender: cryptografische onomkeerbaarheid, geen persistentie van de IP zelf, gecontroleerde levensduur.

Resultaat: we weten dat een bezoeker op dezelfde dag is teruggekeerd (handig voor unieke bezoeken), maar niet de volgende dag, noch op een andere site. Voldoende voor eerlijke KPI's; onvoldoende om te volgen.

Wat wij nooit verzamelen

  • IP-adres (omgezet, dan uit het geheugen verwijderd).
  • E-mails, namen, gebruikers-identifiers.
  • Browser-fingerprint (canvas, audio, fonts, WebGL).
  • Advertentie-ID's (IDFA, AAID).
  • GPS-coördinaten.
  • Forminhoud.
  • UTM-parameters, campagne-identifiers.
  • Unified reach, cohorten, cross-site funnels.

Europese soevereiniteit

Geen overdracht buiten de EU. Geen Amerikaanse afhankelijkheid. De oplossing wordt noch door de Schrems II-rechtspraak, noch door het Data Privacy Framework van 10 juli 2023 geraakt.

  • Hosting: Clever Cloud SAS (zetel: Nantes, Frankrijk) — datacenters in Frankrijk (regio's Parijs en Roubaix). ISO/IEC 27001:2022; Healthcare Data Hosting (HDS); ISO 9001.
  • Geolokalisatie: DB-IP, Eris Networks SAS, Perros-Guirec, Frankrijk — ingebed statisch bestand (geen netwerkoproep; MaxMind niet gebruikt).
  • AI: Mistral (Frankrijk) voor geaggregeerde samenvattingen en inzichten.
  • Transactionele e-mail: Brevo (Frankrijk).
  • AVG-auditscans (alleen publieke /audit-pagina, lead magnet): Scaleway SAS (zetel Parijs, Frankrijk) — Serverless Jobs op FR-datacenters (Parijs DC2/DC3/DC5) en NL (Amsterdam). ISO/IEC 27001 / 27017 / 27018, HDS, SecNumCloud (toegewijde aanbiedingen). NIET betrokken in de keten van klantbereikmeting.

Uw verplichtingen als uitgever

Zelfs zonder banner blijft u verantwoordelijk voor:

  1. Vermelding in het privacybeleid — vermelden dat u wheremyflow gebruikt voor bereikmeting, zonder cookie of tracker. Voorinvulbaar sjabloon in het tabblad Conformiteit van het dashboard.
  2. Bezwaarknop of -link — in het privacybeleid een aanklikbare knop of link „Bereikmeting weigeren" integreren die de door wheremyflow geleverde opt-out-snippet uitvoert. Gemeenschappelijke verplichting van alle nationale EU-kaders; de technische uitvoering is uw verantwoordelijkheid als uitgever van de site.
  3. Informatie in de footer of de juridische vermeldingen — een eenvoudig „Bereikmeting door wheremyflow (zonder cookie)" volstaat.
  4. Recht op verwijdering (AVG art. 17) — als een bezoeker zijn recht op verwijdering uitoefent, kunt u zijn gegevens vanuit het tabblad Conformiteit verwijderen. Aangezien wij geen stabiele identifier hebben, verloopt de verwijdering via de verwijdering van een tijdsspanne.

Beschikbare documenten

Het tabblad Conformiteit van het dashboard biedt:

  • Voorinvulbaar privacy-vermeldingssjabloon (meertalig EU).
  • Zelfevaluatie afgestemd op het CNIL-referentiekader van 4 juli 2025 (overdraagbaar op de 4 andere nationale kaders aangezien de criteria convergeren).
  • Verwerkingsregister (uitgevers-versie, AVG art. 30).
  • DPA voorgeprefilled met het domein van uw site, AVG art. 28.
  • Export- en verwijderingsprocedure.
  • Contactgegevens van de DPO (dpo@wheremyflow.com) en van het aanspreekpunt leverancier (contact@wheremyflow.com).
De toestemmingsvrijstelling wordt geclaimd via zelfevaluatie, zoals alle geldende nationale EU-kaders voorzien. wheremyflow publiceert deze zelfevaluatie en werkt deze bij elke regelgevende evolutie bij.