Privacybeleid
Rasp is gemaakt met privacy als kernwaarde. Dit document legt uit welke
data we verwerken — en waarom. Het beleid geldt voor alle Rasp-producten:
de browserextensie, de webapp op
app.getrasp.com, en de mobiele apps
(Android com.getrasp.app op Google Play; iOS volgt).
De korte versie
- Recepten en collecties blijven primair op jouw apparaat. Cloud-sync gebruiken we alleen om ze te delen tussen jouw eigen devices.
- Geen tracking. Geen analytics. Geen advertenties.
- We verkopen, delen of monetariseren je data niet.
- Onze sub-processors staan onderaan dit document. Allemaal in de EU behalve de stores en betaalpartners (kunnen we niet omheen).
Wie is verantwoordelijk?
Rasp wordt aangeboden door Gosse Westra, gevestigd in Drachten, Nederland. Voor privacy-vragen: privacy@getrasp.com.
Welke data verwerkt Rasp?
Lokaal op je apparaat
De volgende data staat lokaal — in de extensie in
chrome.storage.local, in de mobiele app in
AsyncStorage binnen de app-sandbox van het besturingssysteem.
Verlaat je apparaat niet zonder jouw expliciete actie.
- Recepten die je clipt: titel, ingrediënten, instructies, foto-URL, bron-URL
- Collecties en kookboeken die je aanmaakt
- Voorkeuren: taal, thema, seizoens-box aan/uit
- Bij ingelogde gebruiker: een sessie-token zodat je niet bij elke app-start opnieuw hoeft in te loggen
Cloud-data (alleen als je een Rasp-account aanmaakt)
Wanneer je een Rasp-account aanmaakt, verwerken we het volgende in onze database:
- Account-gegevens: e-mailadres, hashed wachtwoord (bcrypt), display-naam (optioneel), taal-voorkeur
- Recepten en collecties: zodat je ze op al je apparaten ziet
- Pro-status: of je een actief abonnement hebt, wanneer het verloopt, en bij welke betaalprovider je gekocht hebt
- Referral-data: jouw persoonlijke referral-slug, welke vrienden zich via jouw link hebben aangemeld, en hun conversie-status (zonder hun identiteit aan jou te tonen)
- Sync-metadata: timestamps van laatste wijziging voor conflict-resolution
Cloud-data staat bij Supabase, onze database-provider, in hun datacenter in Parijs (Frankrijk) — binnen de EU. Supabase privacybeleid: supabase.com/privacy.
Recept-foto's en AI-extractie
Rasp heeft een feature waarmee je een recept uit een foto kunt halen (bv. een pagina uit een kookboek, handgeschreven receptenkaart of social-media-post). Wat we daarbij doen:
- De foto wordt vanaf je apparaat geüpload naar onze Edge Function (Supabase Frankfurt)
- Vandaaruit wordt de foto één keer doorgestuurd naar de Anthropic Claude API die de tekst extraheert
- Het resultaat (titel, ingrediënten, instructies) wordt opgeslagen bij jouw account
- De foto zelf wordt indien je dat wilt ook bewaard als "hero-image" bij het recept in Supabase Storage (zelfde EU-datacenter)
Anthropic verwerkt de foto's via hun API zonder ze te gebruiken voor modeltraining. Beleid: anthropic.com/legal/privacy. Hetzelfde geldt voor de automatische vertaling (translate-mode) — dezelfde Claude-API, hetzelfde beleid.
Publieke kookboeken
Je kunt eigen kookboeken publiek maken via een share-link
(app.getrasp.com/cb/<slug>). Wat publiek wordt:
- Naam van het kookboek, beschrijving, optionele cover-foto
- De recepten in dat kookboek (titel, ingrediënten, instructies, foto)
- Jouw display-naam als "Door X" — niet je e-mailadres
- Aantal abonnees en aantal keer bekeken (geaggregeerde tellers)
Je kunt het kookboek op elk moment weer privé maken. De share-link wordt dan ongeldig. De link blijft echter wel bewaard zodat je 'm later opnieuw kunt activeren met dezelfde URL — geen broken links voor mensen die ooit een bookmark maakten.
Recepten delen via short-link
Met een "deel-link" voor een enkel recept slaan we een snapshot op,
gekoppeld aan een willekeurige slug op app.getrasp.com/r/<slug>.
Iedereen met die link kan het recept lezen (geen account nodig).
Je kunt de link op elk moment intrekken via de webapp.
Cookies
Rasp gebruikt twee soorten cookies, beide functioneel — geen tracking:
-
Sessie-cookies van Supabase voor authenticatie
(ingelogd blijven). Domein:
app.getrasp.com. -
Referral-attribution cookie (
rasp_inv, TTL 30 dagen). Wordt gezet wanneer je via een uitnodig-link binnenkomt, zodat de uitnodiger credit krijgt als je je aanmeldt en Pro neemt. Domein:.getrasp.com(cross-subdomain).
Gumroad zet bij checkout zijn eigen cookies — die staan onder Gumroad's privacybeleid.
Mobile permissions
De Rasp Android- en iOS-app vragen om de volgende rechten:
- Internet — om met onze server te praten. Standaard.
- Camera — alleen wanneer je een foto van een recept wilt maken vanuit de app. Voor delen-vanuit-andere-apps niet nodig.
- Foto-galerij — alleen wanneer je een bestaande foto wilt importeren. We vragen niet om volledige galerij-toegang; je kiest steeds expliciet welke foto's je deelt.
- Delen vanuit andere apps — Rasp registreert zich als deel-doel. Als je in een andere app op "Delen" tikt en Rasp kiest, ontvangt Rasp die URL of tekst via het deel-systeem (Intent/Share Extension).
NIET gevraagd: contacten, agenda, locatie, microfoon, Bluetooth, advertentie-ID, push-notificaties (komt later, opt-in), achtergrond-data.
Betalingen
Wanneer je Rasp Pro koopt, verwerken we daarvoor wat de betaalprovider ons stuurt: e-mailadres, verloop-datum van het abonnement, betaalprovider-ID (zodat we kunnen koppelen aan een eventuele restitutie of cancel-webhook). Geen creditcard-gegevens. Die zien wij nooit; die blijven bij de betaalpartner.
Drie betaalproviders, afhankelijk van waar je koopt:
- Gumroad (Verenigde Staten) — voor aankopen via getrasp.com of de webapp. Merchant of Record. Privacybeleid: gumroad.com/privacy.
- Google Play / RevenueCat — voor in-app aankopen in de Android-app. Google verwerkt de betaling; RevenueCat is onze subscription-broker die de status doorgeeft aan onze server. RevenueCat-beleid: revenuecat.com/privacy.
- Apple App Store / RevenueCat — idem voor iOS-aankopen (zodra de iOS-app live is).
Wat verwerkt Rasp NIET?
- Geen analytics (geen Google Analytics, geen Plausible, niets)
- Geen telemetrie of crashreports anders dan wat de stores zelf verzamelen (Google Play Vitals, Apple TestFlight crash-rapporten)
- Geen advertentie-tracking, geen advertentie-ID
- Geen gegevens delen met derden voor marketing
- Geen IP-adressen of locatiedata vastgelegd
- Geen training van AI-modellen op jouw data
Sub-processors
Een sub-processor is een externe dienst die data namens ons verwerkt. Volledige lijst:
- Supabase (Parijs, EU) — database, authenticatie, Edge Functions, file-storage voor recept-foto's, e-mail-verzending voor signup-confirmation
- Anthropic (VS) — Claude API voor het lezen van recept-foto's en automatische vertaling. Verwerkt foto's en tekst zonder ze te gebruiken voor modeltraining. Alleen actief op de momenten dat jij de feature aanroept.
- Vercel (Frankfurt, EU) — hosting van de webapp op app.getrasp.com
- Namecheap (VS) — hosting van deze website (getrasp.com)
- Gumroad (VS) — betalingen voor extensie en webapp Pro-abonnementen
- RevenueCat (VS) — subscription-broker voor in-app abonnementen op mobile
- Google Play (VS/EU) — distributie en betalingen van de Android-app; verzamelt geaggregeerde install- en crash-statistieken (Android Vitals)
- Apple App Store (VS/EU) — idem voor iOS, zodra live
Je rechten (AVG)
Onder de AVG heb je recht op inzage, correctie, verwijdering en data-portabiliteit.
- Inzage: alles wat we van je hebben staat zichtbaar in de webapp op app.getrasp.com.
- Verwijdering: ga naar Instellingen → Account → "Account verwijderen" in de mobiele app, óf stuur een mail naar privacy@getrasp.com. We verwerken het verzoek binnen 30 dagen.
- Portabiliteit: gebruik de Exporteer-functie (JSON of Markdown) in de extensie.
- Aankoop-data: voor data bij Gumroad / RevenueCat / Google / Apple, neem rechtstreeks contact op met die partij of via ons.
Beveiliging
Alle communicatie gaat via HTTPS (TLS 1.3). Wachtwoorden worden bcrypt- gehashed opgeslagen. Toegang tot je data is afgeschermd met PostgreSQL Row-Level Security: alleen jij kunt jouw eigen recepten zien.
Bewaartermijnen
- Lokale data: zolang je de extensie of app geïnstalleerd hebt
- Cloud-data: zolang je account bestaat. Verwijderde recepten worden 30 dagen lang in een "prullenbak"-staat bewaard zodat je ze kunt herstellen, daarna definitief verwijderd.
- Referral-attribution cookie: 30 dagen, daarna automatisch verlopen
- Inactieve accounts: na 24 maanden zonder login sturen we een waarschuwing per mail. Geen reactie binnen 60 dagen → account en data worden verwijderd.
- Betaal-records: 7 jaar voor fiscale doeleinden (Nederlandse wetgeving)
Wijzigingen
Belangrijke wijzigingen aan dit beleid worden aangekondigd in de extensie, webapp of mobiele app zelf, plus per e-mail aan ingelogde gebruikers. Door Rasp te blijven gebruiken na een wijziging accepteer je het nieuwe beleid.