Privacy

Laatst bijgewerkt: 20 mei 2026

Wat je deelt blijft van jou. We verkopen je gegevens niet, tonen geen advertenties, gebruiken je foto’s of video’s niet om AI-modellen mee te trainen, en geven niks door aan derden voor marketingdoeleinden. Hieronder staat precies wat we wél doen.

Wat we opslaan

• Account: e-mailadres, naam (optioneel) en een gehashte versie van je wachtwoord.
• Foto’s & video’s: de bestanden zelf plus de bijbehorende EXIF-metadata (camera, datum, GPS als die in het bestand zat). Plus IP-adres en useragent bij elke upload.
• Mappenstructuur en deelinstellingen: de mappen en deelopties die je zelf aanmaakt.
• Reacties en likes: wat je achterlaat op gedeelde foto’s en video’s, zichtbaar voor de andere leden van die kring.
• Afgeleide data: face-clusters (alleen als je gezichtsherkenning op je profiel hebt aangezet — standaard staat 'm uit), automatische tags en thumbnails. Die worden lokaal op onze eigen servers gegenereerd; we sturen je foto’s nooit naar externe AI-API’s.
• Push-notificatie-token: als je notificaties aanzet op je telefoon krijgen we van Apple of Google een anoniem device-token. Dat gebruiken we alleen om jou een melding te sturen als je verwerking klaar is of als iemand iets in jouw kring deelt.
• Betaalgegevens: als je een betaald abonnement neemt verwerken we via Mollie (NL) je betaling. Wij zien alleen of de betaling gelukt is, niet je IBAN, kaartnummer of CVC — die blijven bij Mollie.

Bewaartermijnen

• Foto’s, video’s en albums: zolang je account actief is. Bij opzegging verwijderen we alles direct — in de praktijk binnen enkele minuten uit onze database en object storage. Er is geen herstelvenster.
• Account: je profielgegevens (e-mailadres, naam, gehashte wachtwoord, sessies, push-tokens) worden bij opzegging direct verwijderd.
• Betaalhistorie: factuurgegevens (factuurnummer, plan, bedrag, btw, datum en het e-mailadres dat we als factuuradres hebben gebruikt) bewaren we minstens 7 jaar voor de Nederlandse fiscale bewaarplicht (art. 52 AWR). Het e-mailadres op de factuur wordt niet geanonimiseerd — het hoort fiscaal bij de factuur.
• Security-audit-logs (IP, useragent): we leggen login-, MFA- en accountgebeurtenissen vast met IP-adres en useragent. Deze records worden na 90 dagen automatisch verwijderd.
• Face-embeddings: meteen weg als je gezichts­herkenning uitzet, of bij accountopzegging.

Gezichtsherkenning & biometrie

Face-embeddings vallen onder bijzondere persoonsgegevens (AVG art. 9). We verwerken ze alleen na jouw uitdrukkelijke toestemming via een opt-in op je profielpagina. Toestemming kun je op elk moment intrekken; bij intrekken verwijderen we direct alle bestaande embeddings en clusters.

Waar we het opslaan

Alle data staat op servers binnen de Europese Unie. Foto’s verlaten onze servers niet voor verwerking — ook face-detectie en tagging draaien in onze eigen omgeving, niet via externe AI-API’s.

Wie kan erbij

Alleen jij en de personen die jij op een map uitnodigt. Wij kijken niet mee in jouw foto’s; de enige uitzondering is een beheerder die ingrijpt bij een acuut technisch probleem, en dan loggen we wat is bekeken.

Foutmeldingen en crash-rapporten

Om bugs snel te kunnen vinden en oplossen verzamelen we technische crash-rapporten van de app en website. Een rapport bevat je user-ID, het type fout, de plek in de code en de HTTP-route — geen e-mailadres, geen IP-adres en geen inhoud van foto’s, reacties of upload-requests. De rapporten draaien op onze eigen server (errors.ohhi.nl); geen externe partij ontvangt ze. Bewaartermijn: 90 dagen.

Wat we niet doen

• Geen advertenties of advertentienetwerken
• Geen tracking-cookies of third-party analytics
• Geen training van AI-modellen op jouw foto’s
• Geen verkoop of doorgifte van data aan derden

Cookies

We gebruiken twee strikt noodzakelijke cookies: ohhi_token onthoudt je inlogsessie en ohhi_locale je taalkeuze. Geen tracking, geen analytics, geen toestemming-banner nodig.

Verwerkers (sub-processors)

We schakelen een beperkt aantal partijen in om Ohhi te laten draaien — allemaal met een verwerkers­overeenkomst. De originele opslag van je foto’s en video’s gebeurt bij Hetzner in de EU; de uitlevering loopt via Bunny CDN, dat ze kort kan cachen op edge-locaties wereldwijd. Voor partijen buiten de EU/EER gebruiken we waar nodig de standaard­contract­bepalingen (SCC’s) van de Europese Commissie of een geldig adequaatheids­besluit.

• Opslag & hosting: Hetzner Online GmbH (Duitsland/Finland) — server­hosting en object storage voor je foto’s en video’s.
• Content delivery (CDN): BunnyWay d.o.o. (Slovenië) — Bunny CDN, voor het snel uitleveren van foto’s en video’s; verwerkt IP-adres en de gevraagde URL.
• Betalingen: Mollie B.V. (Amsterdam) — betalings­verwerking voor abonnementen.
• Transactionele e-mail: Brevo (Sendinblue SAS, Frankrijk) — bevestigingen, wachtwoord-reset, notificaties.
• Plaats-zoeken (geocoding): Komoot GmbH (Duitsland) — Photon geocoding voor het taggen van een locatie; ontvangt je zoekterm en IP-adres zodra je begint te typen.
• Kaarttegels & reverse-geocoding: OpenStreetMap Foundation (Verenigd Koninkrijk) — kaartweergave; ontvangt je IP-adres en de regio die je bekijkt.
• Push-notificaties iOS & Sign in with Apple: Apple Inc. (Verenigde Staten) — alleen device-token, geen bericht-inhoud; en Sign in with Apple voor accounts die met een Apple-ID inloggen.
• Push-notificaties Android: Google LLC (Verenigde Staten) — Firebase Cloud Messaging, alleen device-token (geen bericht-inhoud).
• Web-push voor Firefox: Mozilla Corporation (Verenigde Staten) — Mozilla autopush; ontvangt het encrypted bericht en het bezorgings-endpoint, geen inhoud.

Jouw rechten

Onder de AVG heb je het recht op inzage, correctie, verwijdering, beperking, dataportabiliteit en bezwaar tegen verwerking. Voor al deze verzoeken — inclusief een export van je gegevens — Open een support-ticket in je account. We reageren binnen 30 dagen. Niet tevreden met onze reactie? Je kunt een klacht indienen bij de Autoriteit Persoonsgegevens.