Jouw privacy is onze prioriteit
Hoe we jouw gegevens verzamelen, gebruiken en beschermen wanneer je Postolis gebruikt om je sociale media te beheren.
Korte samenvatting
Welke gegevens verzamelen we?
Je naam, openbare ID, profielfoto en de inhoud die je zelf besluit te publiceren.
Bewaren we je wachtwoord van FB / IG / LinkedIn?
Nee. Nooit. We gebruiken OAuth 2.0.
Verkopen we je gegevens?
Nooit.
Delen we met derden?
Alleen met Meta, LinkedIn en de strikt noodzakelijke infrastructuur.
Hoe lang bewaren we je gegevens?
Zolang je account actief is. Volledige verwijdering op verzoek.
Hoe verwijder ik mijn gegevens?
Sectie 11, of stuur ons een e-mail naar het contactadres.
Wie zijn wij
Postolis ("wij", "het platform", "de dienst") is een toepassing voor beheer en publicatie van sociale media waarmee gebruikers vanuit één enkele interface hun Facebook-, Instagram- en LinkedIn-accounts kunnen koppelen, beheren en er content op kunnen publiceren.
- Verwerkingsverantwoordelijke: Postolis
- Contact-e-mailadres: stefan@postolis.io
- Website: https://postolis.io
- Functionaris voor Gegevensbescherming (FG): stefan@postolis.io
Heb je vragen over je gegevens, je rechten of dit beleid? Schrijf ons naar het bovenstaande e-mailadres.
Beknopt overzicht
| Vraag | Kort antwoord |
|---|---|
| Welke gegevens verzamelen we? | Je naam, openbare ID, profielfoto en de inhoud die je zelf besluit te publiceren. |
| Slaan we je wachtwoord van Facebook/Instagram/LinkedIn op? | Nee. Nooit. We gebruiken OAuth 2.0; jouw inloggegevens komen nooit op onze servers. |
| Verkopen we je gegevens? | Nooit. |
| Delen we met derden? | Alleen met de API-aanbieders (Meta, LinkedIn) en met de strikt noodzakelijke technische infrastructuur (hosting, database). |
| Hoe lang bewaren we je gegevens? | Zolang je account actief is. Je kunt op elk moment volledige verwijdering aanvragen. |
| Hoe verwijder ik mijn gegevens? | Sectie 11 hieronder, of door te schrijven naar het contactadres. |
Welke gegevens we verzamelen en waarom
3.1 Gegevens die je ons rechtstreeks verstrekt
- Accountgegevens: e-mailadres, naam en wachtwoord-hash (als je je registreert met e-mail/wachtwoord).
- Inhoud van publicaties: teksten, afbeeldingen, video's en metagegevens (geplande datum, hashtags, vermeldingen) die je uploadt om te publiceren op je gekoppelde sociale netwerken.
- Communicatie: berichten die je ons stuurt per e-mail of via het ondersteuningsformulier.
3.2 Gegevens die we automatisch verzamelen tijdens het gebruik
- Technische gegevens: IP-adres, sessie-identificator, browsertype, besturingssysteem en tijdzone, verzameld voor beveiliging en misbruikpreventie.
- Gebruiksgegevens: bezochte routes in de applicatie, uitgevoerde handelingen (publiceren, plannen, verwijderen) en optredende fouten. Deze gegevens worden in logs bewaard gedurende maximaal 90 dagen.
3.3 Gegevens verkregen van gekoppelde platforms (Meta en LinkedIn)
Wanneer je een extern account koppelt via OAuth, verzamelen we uitsluitend wat nodig is om de dienst te leveren:
Van Meta (Facebook + Instagram Graph API)
- Facebook-gebruikers-ID en openbare naam.
- Lijst met Facebook-pagina's die je beheert (ID, naam, categorie, foto).
- Lijst met Instagram Business-accounts die aan die pagina's zijn gekoppeld (ID, gebruikersnaam, foto, aantal volgers en publicaties).
- Toegangstokens (User Access Token en Page Access Tokens) uitgegeven door Meta — deze bewaren we versleuteld om in jouw naam te kunnen publiceren wanneer jij dat aanvraagt.
- Identificatoren van de publicaties die je via Postolis aanmaakt (om je geschiedenis te kunnen tonen).
Van LinkedIn (Marketing Developer Platform / OpenID Connect)
- Gebruikers-ID (sub), volledige naam, profielfoto en aan het account gekoppeld e-mailadres.
- Identificator van de organisatie/het bedrijf dat je beheert (urn:li:organization:...) als je het beheer van bedrijfspagina's autoriseert.
- LinkedIn-toegangstoken (doorgaans 60 dagen geldig), versleuteld opgeslagen.
- Identificatoren van de share/ugcPost-items die je via Postolis publiceert.
3.4 Gegevens die we NIET verzamelen
Voor de duidelijkheid: we verzamelen nooit:
- Je wachtwoord van Facebook, Instagram of LinkedIn.
- Je lijst met vrienden, contacten of individuele volgers.
- Privéberichten (DMs) tenzij je die functionaliteit expliciet inschakelt.
- Inhoud van je sociale netwerken die niet door jou via Postolis is gepubliceerd.
- Bijzondere persoonsgegevens volgens de AVG (ras, religie, gezondheid, seksuele geaardheid, enz.).
Rechtsgrond voor de verwerking (AVG)
| Verwerking | Rechtsgrond (Art. 6 AVG) |
|---|---|
| Aanmaken en onderhouden van je account | Uitvoering van een overeenkomst (Art. 6.1.b) |
| Publiceren op je sociale netwerken | Uitdrukkelijke toestemming (Art. 6.1.a) — verleend via OAuth |
| Beveiligingslogs en fraudepreventie | Gerechtvaardigd belang (Art. 6.1.f) |
| Naleving van fiscale en wettelijke verplichtingen | Wettelijke verplichting (Art. 6.1.c) |
| Commerciële communicatie | Toestemming (Art. 6.1.a) — uitdrukkelijke opt-in, herroepbaar |
Hoe we OAuth-tokens beheren
Deze sectie is kritiek omdat hier het grootste risico van de dienst is geconcentreerd.
- De tokens uitgegeven door Meta en LinkedIn worden versleuteld in rust bewaard (AES-256-GCM) in onze database.
- Alleen het applicatieproces dat je publicaties uitvoert kan ze in het geheugen ontsleutelen; ze worden nooit gelogd, geëxporteerd of aan de gebruiker getoond.
- Als je de toegang intrekt vanuit het instellingenpaneel van je Facebook-/Instagram-account (facebook.com/settings?tab=applications) of LinkedIn (linkedin.com/psettings/permitted-services), is het token onmiddellijk niet meer geldig — Postolis kan het niet reactiveren en stopt met het werken op dat account.
- Als je ons vraagt om de koppeling vanuit Postolis te verwijderen, roepen we het herroepingseindpunt van Meta/LinkedIn aan en verwijderen we het versleutelde token binnen 24 uur.
Met wie we je gegevens delen
We verkopen je gegevens niet. We delen ze uitsluitend met:
| Categorie | Doel | Representatieve bedrijven |
|---|---|---|
| Sociale-mediaplatforms | Om de publicaties die je aanvraagt uit te voeren | Meta Platforms Inc. (Facebook, Instagram), LinkedIn Corporation |
| Hosting en infrastructuur | Om de applicatie en database te hosten | (Hostingaanbieder — bv. Vercel, Render, AWS) |
| Betalingsverwerker | Om abonnementen te verwerken | (Aanbieder — bv. Stripe) |
| Transactionele e-mail | Om je meldingen en bevestigingen te sturen | (Aanbieder — bv. Resend, SendGrid) |
| Geaggregeerde analyse | Om productgebruik te begrijpen zonder je te identificeren | (Aanbieder — bv. Plausible, PostHog) |
Alle aanbieders hebben verwerkersovereenkomsten (DPA) met ons getekend en voldoen aan de AVG/GDPR. Wanneer een aanbieder buiten de Europese Economische Ruimte gevestigd is, gebruiken we Modelcontractbepalingen (SCC) goedgekeurd door de Europese Commissie.
Internationale doorgiften
Sommige van onze aanbieders (Meta, LinkedIn, hosting) verwerken gegevens in de Verenigde Staten. Deze doorgiften zijn gedekt door:
- Het EU-US Data Privacy Framework wanneer de aanbieder daaraan deelneemt.
- Modelcontractbepalingen (SCC) van de Europese Commissie wanneer dat niet zo is.
- Jouw uitdrukkelijke toestemming bij het accepteren van dit beleid en het koppelen van externe accounts.
Beveiliging
We passen redelijke technische en organisatorische maatregelen toe:
- Versleuteling tijdens transport: al het verkeer verloopt via HTTPS (TLS 1.2+).
- Versleuteling in rust: tokens en gevoelige gegevens zijn versleuteld met AES-256-GCM.
- Wachtwoord-hashing: bcrypt (cost 12) of Argon2id.
- Minimale toegang: alleen geautoriseerd personeel heeft toegang tot productie, met multifactorauthenticatie.
- Auditlogs: elke gevoelige handeling wordt 90 dagen geregistreerd.
- Dagelijkse back-ups versleuteld, 30 dagen bewaard.
- Beveiligingsbeoordelingen en periodieke updates van afhankelijkheden.
Hoe lang we je gegevens bewaren
| Categorie | Bewaartermijn |
|---|---|
| Actief account (profiel, gekoppelde netwerken, geplande inhoud) | Zolang je account actief is |
| OAuth-tokens | Zolang de koppeling bestaat. Intrekking → verwijdering binnen 24 uur |
| Technische en gebruikslogs | 90 dagen |
| Facturatiegegevens | 5 jaar (wettelijke verplichting) |
| Na verwijderingsverzoek | 30 dagen voor volledige verwijdering, behalve bij wettelijke bewaarplicht |
Jouw rechten (AVG / LGPD / CCPA)
Je hebt het recht om:
- Inzage te krijgen in de gegevens die we over jou hebben.
- Rectificatie van onjuiste gegevens te vragen.
- Wissing van je gegevens te vragen ("recht om vergeten te worden").
- Bezwaar te maken tegen verwerking op basis van gerechtvaardigd belang.
- Beperking van de verwerking te vragen.
- Overdraagbaarheid: je gegevens te ontvangen in een gestructureerd JSON-formaat om mee te nemen naar een andere aanbieder.
- Toestemming in te trekken op elk moment.
- Niet onderworpen te zijn aan geautomatiseerde besluiten met juridische gevolgen.
- Klacht in te dienen bij de toezichthoudende autoriteit van je land (in Nederland: Autoriteit Persoonsgegevens).
Om je rechten uit te oefenen, schrijf vanaf het e-mailadres dat aan je account is gekoppeld. We reageren binnen maximaal 30 dagen. stefan@postolis.io
Hoe je je gegevens verwijdert (Data Deletion Request)
Je hebt twee manieren om al je gegevens te verwijderen:
Optie A — Vanuit de applicatie (onmiddellijk)
- Log in op https://postolis.io
- Ga naar Instellingen → Account → Mijn account verwijderen
- Bevestig de actie.
Je account en alle gekoppelde netwerken worden onmiddellijk verwijderd. De versleutelde gegevens worden binnen 30 dagen uit de back-ups gewist.
Optie B — Per e-mail
Stuur een e-mail met als onderwerp "Verzoek tot gegevensverwijdering" vanaf het aan je account gekoppelde e-mailadres. We verwerken het verzoek binnen maximaal 7 werkdagen en sturen je een bevestiging per e-mail. stefan@postolis.io
Automatische verwijdering vanuit Facebook
Wanneer een gebruiker onze app verwijdert vanuit Instellingen Facebook → Apps en websites, stuurt Meta ons een ondertekende Data Deletion Callback. Op dat moment verwijderen we automatisch:
- Het Meta-token en alle Page Access Tokens.
- Identificatoren van FB/IG-accounts die aan die gebruiker gekoppeld zijn.
- Geschiedenis van publicaties uitgevoerd op die accounts (alleen geanonimiseerde geaggregeerde records blijven behouden voor onze interne metingen).
Het proces wordt binnen 30 dagen voltooid en we sturen bevestiging naar de confirmation_code die Meta ons aanlevert.
Cookies en vergelijkbare technologieën
We gebruiken de volgende cookies:
| Type | Doel | Duur |
|---|---|---|
| Sessie (session_id) | Je ingelogd houden | Tot je uitlogt |
| CSRF (_csrf) | Voorkomen van cross-site request forgery | Sessie |
| Analytics (indien je opt-in geeft) | Geaggregeerd productgebruik meten | 12 maanden |
We gebruiken geen advertentiecookies van derden. Je kunt analytics-cookies uitschakelen via de banner die bij je eerste bezoek verschijnt.
Minderjarigen
Postolis is niet gericht op personen jonger dan 16 jaar (of de minimumleeftijd die in jouw rechtsgebied geldt). We verzamelen niet bewust gegevens van minderjarigen. Als we ontdekken dat een minderjarige zonder ouderlijke toestemming een account heeft aangemaakt, verwijderen we dit.
Specifieke naleving per platform
14.1 Meta Platform Terms en Developer Policies
Postolis voldoet aan de Meta Platform Terms en de Developer Policies van Meta:
- We gebruiken Meta-gegevens niet om profielen van personen op te bouwen voor advertenties buiten je gebruik van de dienst.
- We dragen geen Meta-gegevens over aan brokers, advertentienetwerken of scoring-aanbieders.
- We combineren geen Meta-gegevens met gegevens van andere platforms om een uniform identificatieprofiel op te bouwen.
- We verwijderen Meta-gegevens wanneer de gebruiker de toegang intrekt of verwijdering aanvraagt.
14.2 Instagram Platform Policy
Specifiek voor Instagram bovendien:
- We hebben alleen toegang tot inhoud van Business- of Creator-accounts die de gebruiker ons uitdrukkelijk autoriseert.
- We doen geen scraping noch geautomatiseerde toegang buiten de officiële Graph API-eindpunten.
- We respecteren de rate limits van Instagram.
14.3 LinkedIn API Terms of Use
We voldoen aan de API Terms of Use van LinkedIn:
- We gebruiken LinkedIn-gegevens uitsluitend voor de door de gebruiker geautoriseerde functionaliteit.
- We verkopen of herdistribueren geen uit LinkedIn gehaalde gegevens.
- We respecteren de throttle limits van de API.
- We verwijderen LinkedIn-gegevens bij intrekking van de toegang of verwijdering van het account.
Wijzigingen in dit beleid
We kunnen dit beleid bijwerken om wettelijke of productgerelateerde wijzigingen te weerspiegelen. Bij ingrijpende wijzigingen:
- Stellen we je per e-mail minstens 30 dagen voordat ze van kracht worden op de hoogte.
- Tonen we een opvallende banner in de applicatie.
- Houden we eerdere versies toegankelijk op https://postolis.io/legal/privacy/history.
Voortgezet gebruik van de dienst na de ingangsdatum impliceert aanvaarding van de nieuwe versie.
Contact
Als je denkt dat we je gegevens onjuist verwerken en we je klacht niet oplossen, kun je contact opnemen met de bevoegde gegevensbeschermingsautoriteit:
- Spanje (AEPD): aepd.es
- EU (lijst per land): edpb.europa.eu
- Colombia (SIC): sic.gov.co
- Mexico (INAI): home.inai.org.mx
© 2026 Postolis.io. Alle rechten voorbehouden.
Versie 1.0 · Laatst bijgewerkt: 1 mei 2026