Legal

Privacyverklaring

Laatst bijgewerkt: 22 mei 2026

YesCheck is een product van Think Ahead B.V. ("YesCheck", "wij", "ons"). In deze verklaring leggen we uit welke persoonsgegevens we verwerken via deze website en via het YesCheck-platform, waarom we dat doen en welke rechten jij hebt. We houden ons aan de Algemene Verordening Gegevensbescherming (AVG/GDPR).

1. Over deze verklaring en onze rollen

Deze verklaring dekt twee situaties:

  • Als bezoeker van deze website (bijv. demo-aanvraag via Cal.com, contact via formulier of mail): YesCheck is de verwerkingsverantwoordelijke voor de gegevens die jij aan ons verstrekt.
  • Als gebruiker van het YesCheck-platform (login, Google Ads-analyse, proposal-review, execution): YesCheck treedt op als verwerker voor de organisatie waarvoor je werkt. Jouw organisatie is de verwerkingsverantwoordelijke. De rollen en verantwoordelijkheden leggen we vast in een verwerkersovereenkomst (DPA) die onderdeel is van het platformcontract.

2. Welke gegevens we verwerken

2a. Via de website

  • Demo-aanvragen en contact: naam, e-mailadres, bedrijfsnaam en eventuele aanvullende informatie die je in het contactformulier of tijdens een demo meegeeft.
  • Agenda-afspraken: wanneer je via Cal.com een demo inplant, ontvangen wij de afspraakgegevens (naam, e-mailadres, gekozen tijdstip).
  • Technische gegevens: basis loggegevens zoals IP-adres en browsertype, voor zover nodig voor beveiliging en het technisch functioneren van de site.

2b. Via het platform

  • Account-gegevens: naam, e-mailadres en rol (admin/editor/viewer) van gebruikers die met het platform werken. Authenticatie verloopt via Google Sign-In.
  • Organisatie-gegevens: tenant-naam, abonnementsstatus en facturatiegegevens via Stripe (wij slaan zelf geen kaartgegevens op).
  • Google Ads-data: campagnes, keywords, zoektermen, advertenties, landing pages, metrics en conversies. Deze worden via de Google Ads API opgehaald na expliciete autorisatie door jouw organisatie. Zoektermen kunnen onbedoeld persoonsgegevens bevatten (bijv. omdat een eindconsument een naam of e-mailadres in een zoekopdracht intypte) — zie §4 voor hoe we daarmee omgaan.
  • Audit-gegevens: wie heeft welke actie op welk moment uitgevoerd, inclusief goedkeuringen en wijzigingen richting Google Ads.

3. Waarom we deze gegevens verwerken

  • Om je demo-aanvraag of vraag te kunnen beantwoorden.
  • Om een demo-afspraak in te plannen en te bevestigen.
  • Om het platform te leveren: accounts aanmaken, authenticatie, Google Ads-data analyseren, AI-voorstellen presenteren, door jou goedgekeurde wijzigingen uitvoeren, en audit-trail bijhouden.
  • Om abonnementen te factureren via Stripe.
  • Om het platform beveiligd, betrouwbaar en werkend te houden (inclusief logging van fouten en monitoring van resourcegebruik).

Grondslag: uitvoering van de overeenkomst met jou of jouw organisatie, jouw expliciete toestemming voor de Google Ads-koppeling, en ons gerechtvaardigd belang bij een goed werkend en veilig platform.

4. Google API-scopes en Google Ads-data

Voor het koppelen van jouw Google Ads-accounts gebruikt YesCheck de Google Ads API. We vragen daarvoor de OAuth-scope https://www.googleapis.com/auth/adwords. Deze scope geeft ons toegang tot lezen en — alleen waar jij expliciet goedkeurt — schrijven op de Google Ads-accounts die jij koppelt.

Wat we met deze toegang doen:

  • Lezen van campagnestructuur, keywords, zoektermen, advertenties, landing page URL's, dagelijkse metrics en conversiedata.
  • Aan jou presenteren van AI-gegenereerde voorstellen (bijv. "markeer deze zoekterm als negative keyword"). Voorstellen worden nooit automatisch uitgevoerd.
  • Na jouw expliciete goedkeuring via de platform-UI: uitvoeren van de door jou goedgekeurde wijziging in Google Ads (keyword toevoegen, advertentie pauzeren, enzovoort).
  • Vastleggen van elke lees-actie en wijziging in een audit-log zodat je later kunt herleiden wie wat wanneer heeft gedaan.

Wat we niet doen:

  • Geen automatische wijzigingen zonder expliciete menselijke goedkeuring (dry-run is de default, auto-approve is uitgeschakeld).
  • Geen doorgifte van jouw Google Ads-data aan derden voor advertising-doeleinden.
  • Geen training van AI-modellen op jouw data. Onze AI-provider (Anthropic) verwerkt jouw data alleen om voor jou een antwoord te genereren; zie onze subverwerkers-pagina voor retentie-details.
  • Geen verkoop van gegevens.

PII-filter vóór AI-verwerking: voordat zoektermen en gerelateerde context naar de AI-provider worden gestuurd, filteren we geautomatiseerd op herkenbare persoonsgegevens (e-mailadressen, telefoonnummers, BSN-nummers en IBAN's) en vervangen die door placeholders ([EMAIL], [TELEFOON], enzovoort). Dit gebeurt fail-closed: als het filter onverwacht een fout geeft, wordt de term alsnog gemaskeerd voordat hij de AI bereikt.

4a. Google API Services User Data Policy & Limited Use

YesCheck's gebruik en overdracht naar enige andere app van informatie die is ontvangen van Google APIs voldoet aan de Google API Services User Data Policy, inclusief de Limited Use-vereisten.

Concreet betekent dit dat we:

  • Google user data (waaronder Google Ads-data en Google Sign-In identiteitsgegevens) uitsluitend gebruiken voor het leveren en verbeteren van features die zichtbaar zijn in de YesCheck-gebruikersinterface — denk aan zoekterm-review, cannibalisatie-detectie, PMAX-overlap, account audits en de bijbehorende uitvoer-stappen die door jou worden goedgekeurd.
  • Google user data uitsluitend overdragen aan derden voor zover noodzakelijk om die user-facing features te leveren of te verbeteren (zie §5 voor de actuele lijst van subverwerkers), om te voldoen aan toepasselijke wetgeving, of als onderdeel van een fusie, overname of activatransactie waarbij gebruikers vooraf worden geïnformeerd.
  • Geen Google user data gebruiken voor advertenties, inclusief gepersonaliseerde, retargeted of interest-based advertenties.
  • Geen Google user data verkopen.
  • Geen menselijke toegang tot Google user data toestaan, behalve: (a) met jouw expliciete toestemming, (b) om security- of fraude-incidenten te onderzoeken, (c) wanneer wettelijk verplicht, of (d) wanneer de data is geaggregeerd en geanonimiseerd zodat individuele records niet meer herleidbaar zijn. Toegang door support-engineers vereist een ticket, dual-approval en wordt vastgelegd in onze audit-log.
  • Geen training van AI- of ML-modellen op jouw Google user data. We sturen prompts naar onze AI-provider (Anthropic) om uitsluitend voor jou een antwoord te genereren; de provider gebruikt jouw data niet om hun modellen te trainen.

5. Subverwerkers

We schakelen verwerkers in die ons helpen bij het leveren van het platform en deze website. Met elk van deze partijen hebben we een verwerkersovereenkomst. De volledige en actuele lijst — inclusief regio, doel en link naar hun privacybeleid — vind je op yescheck.io/subverwerkers.

Bij wijzigingen in de subverwerkers-lijst informeren we bestaande klanten minimaal 30 dagen vooruit, zodat je de gelegenheid hebt om bezwaar te maken.

6. Hoe lang we gegevens bewaren

We bewaren gegevens niet langer dan nodig. Per gegevenstype hanteren we de volgende termijnen:

  • Contact- en demo-aanvragen: maximaal 24 maanden na het laatste contact.
  • Technische loggegevens (webserver, Sentry): maximaal 90 dagen.
  • Account-gegevens (platform): zolang je organisatie een actieve overeenkomst heeft, plus 30 dagen daarna voor afronding.
  • Google Ads-snapshots (zoektermen): tot 180 dagen voor trendanalyse. Hashes van landing-page URL's tot 7 dagen.
  • Audit-log (per event-class): mutaties 12 maanden, Google Ads-uitvoeringen 24 maanden, configuratiewijzigingen 24 maanden, sync-events 6 maanden, auth-events 12 maanden.
  • Refresh tokens: verlopen tokens maximaal 24 uur bewaard voor forensisch onderzoek; gerevokete tokens 7 tot 30 dagen.
  • AI-calls bij Anthropic: standaard 30 dagen bij Anthropic (conform hun Commercial DPA), of korter indien Zero Data Retention voor onze organisatie is geactiveerd.

7. Cookies

Deze website plaatst functionele cookies die nodig zijn om de site te laten werken. De demo-pagina embed Cal.com, dat aanvullende cookies kan plaatsen voor het functioneren van de afsprakentool. Als we in de toekomst analytics- of marketingcookies inzetten, vragen we daar eerst jouw toestemming voor via een cookiebanner.

Binnen het YesCheck-platform worden uitsluitend essentiële cookies gebruikt voor authenticatie (onder andere een HttpOnly refresh-token cookie en een CSRF-cookie). Er worden geen tracking- of marketingcookies in het platform gebruikt.

8. Beveiliging

We nemen passende technische en organisatorische maatregelen om je gegevens te beschermen tegen verlies en onbevoegde toegang. Daaronder vallen onder andere: encryptie in transit (TLS), encryptie at rest voor credentials (via Supabase Vault), Row-Level Security op databaseniveau, HttpOnly cookies voor sessies, CSRF-bescherming, rate limiting op authenticatie-endpoints en structurele audit-logging. Voor securityvragen of -meldingen: security@yescheck.io (zie ook onze security.txt).

9. Jouw rechten en data-verwijdering

Je hebt onder de AVG het recht op:

  • inzage in je gegevens;
  • correctie of aanvulling;
  • verwijdering van je gegevens;
  • beperking van of bezwaar tegen de verwerking;
  • gegevensoverdraagbaarheid;
  • het intrekken van eerder gegeven toestemming (zonder terugwerkende kracht).

Een verzoek kun je indienen via privacy@yescheck.io. We handelen verzoeken binnen 30 dagen af. Voor platform-gebruikers geldt dat verzoeken over klantdata in eerste instantie via jouw organisatie lopen (die is verwerkingsverantwoordelijke); wij ondersteunen jouw organisatie bij de afhandeling. Je hebt ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.

9a. Hoe je je Google-gegevens uit YesCheck verwijdert

Wil je dat YesCheck geen toegang meer heeft tot je Google Ads-data, of dat we alle eerder opgehaalde data verwijderen? Je hebt twee onafhankelijke wegen, die je los of samen kunt gebruiken:

  1. Toegang intrekken bij Google. Ga naar myaccount.google.com/permissions, selecteer "YesCheck" en kies Toegang verwijderen. Vanaf dat moment kan YesCheck geen nieuwe data meer ophalen uit jouw Google Ads-account; je refresh token bij Google wordt direct ongeldig.
  2. Bestaande data laten verwijderen. Stuur een mail naar privacy@yescheck.io met als onderwerp "Data-verwijdering" en vermeld de tenant- of accountnaam waarop het verzoek betrekking heeft. We bevestigen het verzoek binnen 2 werkdagen en voeren de verwijdering uit binnen 30 dagen.

Bij een verwijderverzoek doen wij het volgende:

  • We revoken het opgeslagen Google refresh token aan onze kant en verwijderen het uit Supabase Vault.
  • We verwijderen alle gekoppelde Google Ads-snapshots (zoektermen, advertenties, metrics) uit de live database; backups van vóór het verzoek worden volgens een rolling schedule binnen 35 dagen overschreven.
  • We verwijderen openstaande AI-cache entries die jouw Google user data bevatten.
  • Audit-log entries die wettelijk of contractueel bewaard moeten blijven (financieel, security-incident) houden we aan; deze worden geanonimiseerd waar mogelijk en in elk geval gepseudonimiseerd. Het verwijderverzoek zelf en de uitvoering ervan leggen we vast in de audit-log voor traceerbaarheid.
  • Je krijgt een bevestiging per e-mail zodra de verwijdering is voltooid, met opgave van wat is verwijderd en wat (en waarom) is bewaard.

10. Internationale doorgifte

Onze primaire verwerkingsregio is de EU. Sommige subverwerkers (waaronder Anthropic voor AI-analyse en Stripe voor betalingen) kunnen gegevens in de Verenigde Staten verwerken. Voor zulke doorgiftes baseren we ons op de Europese Standaardcontractbepalingen (SCC's) en waar beschikbaar op aanvullende waarborgen zoals Zero Data Retention. De volledige doorgifte-situatie per subverwerker staat op onze subverwerkers-pagina.

11. Wijzigingen

We kunnen deze privacyverklaring aanpassen. De meest actuele versie vind je altijd op deze pagina. Bij significante wijzigingen informeren we actief.

12. Contact

Vragen over deze privacyverklaring? Mail ons op privacy@yescheck.io.