SSTr

Juridisch

Privacybeleid

Laatst bijgewerkt: juni 2026

1. Wie we zijn

SSTr is een dienst die server-side tracking oplossingen aanbiedt voor bedrijven. We zijn gevestigd in Nederland en verwerken gegevens in overeenstemming met de AVG (GDPR).

2. Welke gegevens we verzamelen

Accountgegevens: Wanneer je een account aanmaakt, verzamelen we je naam, e-mailadres en bedrijfsgegevens.

Gebruiksgegevens: We verzamelen informatie over hoe je onze dienst gebruikt, zoals inlogmomenten en functiegebruik.

Technische gegevens: IP-adressen, browsertype en apparaatinformatie voor beveiliging en optimalisatie.

3. Hoe we je gegevens gebruiken

We gebruiken je gegevens om:

  • Onze dienst te leveren en te verbeteren
  • Je account te beheren en te beveiligen
  • Support te bieden wanneer je dat nodig hebt
  • Je te informeren over belangrijke updates

4. Gegevensverwerking voor klanten

Als je SSTr gebruikt voor server-side tracking, verwerken we data namens jou. In dit geval ben jij de verwerkingsverantwoordelijke en zijn wij de verwerker. De data van jouw websitebezoekers wordt verwerkt volgens jouw instructies.

5. Google API-gegevens en gebruik van Google-services

Wanneer je je Google-account koppelt aan SSTr, vragen we toegang via OAuth tot specifieke Google API-scopes. Hieronder lichten we toe welke data we ontvangen, waarvoor we het gebruiken en met welke partijen we het delen.

5.1 Welke Google-data we ontvangen

  • Google Tag Manager (scopes: tagmanager.readonly, tagmanager.edit.containers, tagmanager.edit.containerversions, tagmanager.publish): metadata van je containers, workspaces, tags, triggers en variabelen. We lezen deze gegevens om de huidige configuratie te analyseren en schrijven naar je containers om door SSTr beheerde tags aan te maken, bij te werken of te pauzeren.
  • Google Analytics 4 (scopes: analytics.readonly, analytics.edit): metadata van je GA4-properties en data streams om de juiste meting-ID's aan je SSTr-setup te koppelen.
  • Profielgegevens (email, profile, openid): alleen om je Google-account aan je SSTr-gebruiker te koppelen.

We gebruiken deze data uitsluitend voor het leveren van de SSTr-functionaliteit waar je expliciet om hebt gevraagd. We gebruiken Google-data niet voor adverteren, het trainen van AI-modellen, of doorverkoop aan derden.

5.2 Met welke sub-verwerkers we Google-data delen

De volgende sub-verwerkers ontvangen (delen van) de Google-data die we via OAuth binnenkrijgen, uitsluitend voor de hieronder beschreven doelen:

  • Google LLC (Mountain View, VS) — als bron van de data en aanbieder van de API's die we aanroepen. Data blijft gedurende API-calls binnen het Google-platform.
  • Anthropic, PBC (San Francisco, VS) — wanneer je in SSTr expliciet een AI-deployment-analyse uitvoert, sturen we een gesaniteerde versie van je GTM-containerinhoud (namen en types van tags, triggers, variabelen) naar Anthropic's Claude API. Dit gebeurt niet voor pixel-data van je eindbezoekers. Anthropic verwerkt deze data zonder model-training onder hun Commercial Terms of Service.
  • Onze hostingpartner (datacenter in de EU) — slaat je OAuth-tokens (versleuteld at rest) en cached GTM-metadata op om SSTr te kunnen leveren. Geen Google-data wordt buiten de EU opgeslagen behalve via expliciete API-aanroepen naar Google of Anthropic hierboven.

Met al onze sub-verwerkers zijn verwerkersovereenkomsten gesloten die GDPR-conform zijn.

5.3 Met wie we Google-data NIET delen

Onze betalingsverwerker (Mollie) en boekhoudkundige integratie (Moneybird) ontvangen geen Google API-data. Zij krijgen alleen jouw factuur- en bedrijfsgegevens voor de afhandeling van je SSTr-abonnement.

5.4 Bewaartermijn van Google-data

OAuth-tokens worden bewaard zolang je de connectie actief houdt. Bij ontkoppelen worden tokens en alle daaraan gekoppelde cached GTM-metadata binnen 30 dagen verwijderd. Je kunt op elk moment je toegang intrekken via je Google account-machtigingen.

6. Bewaartermijnen

We bewaren accountgegevens zolang je account actief is. Tracking-logs worden bewaard volgens je abonnement (7-30 dagen). Na beëindiging van je account worden gegevens binnen 30 dagen verwijderd.

7. Je rechten

Onder de AVG heb je het recht om:

  • Inzage te vragen in je gegevens
  • Correctie van onjuiste gegevens te vragen
  • Verwijdering van je gegevens te vragen
  • Je gegevens over te dragen naar een andere dienst
  • Bezwaar te maken tegen verwerking

8. Beveiliging

We nemen passende technische en organisatorische maatregelen om je gegevens te beschermen. Dit omvat encryptie van OAuth-tokens at rest, TLS-encryptie voor alle data in transit, toegangscontrole en regelmatige security audits.

9. Contact

Heb je vragen over dit privacybeleid of wil je je rechten uitoefenen? Neem contact met ons op via ons contactformulier of mail naar privacy@sstr.nl.