Ga direct naar de hoofdinhoud
— Concept-walkthrough

AVG voor digitale downloads

Onder de AVG is jouw shop de verwerkingsverantwoordelijke en is Alva Apps de verwerker. Alva bewaart het klantmailadres en de naam die aan elke Shopify-bestelling hangt, het bestelling-ID, licentiecodes die na aankoop zijn toegewezen en een downloadlog per poging (IP, user agent, tijdstempel). Dit artikel is informatief en is geen juridisch advies — overleg met een privacyjurist voor jurisdictie-specifieke details. Hieronder de eerlijke samenvatting van wat we opslaan, waar het staat en hoe je een verzoek van een betrokkene afhandelt.

Laatst bijgewerkt · 6 mei 2026 Leestijd · 4 min Auteur ·

Wat Alva over je klanten opslaat

  • Klantmailadres en naam — gekopieerd uit de Shopify-bestelling wanneer orders/paid wordt afgevuurd.
  • Bestelreferenties — Shopify-bestelling-ID, bestelnummer en de regelitems die zijn gekoppeld aan digitale bestanden of licentiecodes.
  • Downloadgebruikslogs — elke downloadpoging schrijft een rij met IP-adres, user agent, tijdstempel en het opgevraagde bestand. Dit voedt fraudegrenzen en de export van het log per klant.
  • Licentiecode-toewijzingen — de specifieke codewaarde die aan elke klant is uitgegeven, opgeslagen op PurchaseLicenseKey.
  • E-maillogs — welke bezorgmails Alva heeft verstuurd (onderwerp, ontvanger, verzendtijdstempel).

Alva slaat geen betaalgegevens, verzendadressen of iets anders op dat Shopify niet via de bestel-webhook doorstuurt.

Waar de data staat

Klantrijen, aankoopgegevens, licentiecodes, downloadlogs en e-maillogs staan in een PostgreSQL-database die op Heroku draait. Geüploade productbestanden staan in Cloudflare R2. Uitgaande bezorgmails lopen via Postmark of MailerToGo, afhankelijk van het abonnement en de status van het eigen domein. De actuele lijst met subverwerkers en het mechanisme voor internationale doorgifte staan in het privacybeleid van Alva — lees dat naast dit artikel.

Verzoek tot data-export door klant (artikel 15)

Shopify vuurt een customers/data_request-webhook af naar Alva wanneer een merchant een verzoek indient via de Shopify-admin. Alva is geregistreerd voor dat onderwerp (in shopify.app.toml onder compliance_topics) en bevestigt elke afvuring, maar de export zelf wordt handmatig gegenereerd in plaats van automatisch verstuurd. Stuur het klantmailadres en bestelling-ID door naar digitaldownloads@alvaapps.com en we sturen de bijbehorende rijen binnen 30 dagen terug.

In de meeste gevallen is de data al bereikbaar: de besteldetailpagina toont het klantmailadres, licentiecodes en downloadlog; Instellingen → Downloadlog exporteert een CSV per klant. Gecombineerd met Shopify's eigen klantexport voldoe je daarmee meestal aan een artikel 15-verzoek zonder support van Alva nodig te hebben.

Screenshot nodig

Shopify Partners-admin → App-configuratie → paneel met compliance-webhooks dat de drie geregistreerde onderwerpen toont (customers/data_request, customers/redact, shop/redact) voor Alva Digital Downloads. Of als alternatief een geanonimiseerde voorbeeld-CSV-rij uit de export van het downloadlog. Browser-chrome eraf gesneden, geen echte merchantgegevens zichtbaar.

Het paneel met compliance-webhooks van Shopify — Alva is geregistreerd voor alle drie de onderwerpen.

Verzoek tot data-verwijdering door klant (artikel 17)

Het recht op vergetelheid loopt via Shopify's customers/redact-webhook, die Shopify 60 dagen na het markeren van een klant voor anonimisering door de verantwoordelijke afvuurt — een standaard wachttermijn die openstaande chargebacks en refundflows dekt. Alva is geregistreerd voor het onderwerp en bij ontvangst anonimiseren we de bijbehorende Customer-, Purchase-, PurchaseLicenseKey-, DownloadLog- en EmailLog-rijen voor dat klantmailadres.

Wat wordt verwijderd: persoonlijke identifiers, downloadlog-rijen en e-maillog-rijen. Wat blijft staan: geaggregeerde tellers en de onderliggende productbestanden die je hebt geüpload — die zijn jouw data, niet die van de klant. Om buiten de Shopify-flow een redact te starten, mail je support met het klantmailadres en bestelnummers.

Verzoek tot verwijdering van shopdata (uninstall)

Het shop/redact-onderwerp en een volledige uninstall wissen beide alles dat aan de shop hangt. Mechanica, wat blijft staan en hoe je vooraf back-ups maakt, staat in Wat gebeurt er als ik Alva Digital Downloads verwijder.

Veelgestelde vragen

Heeft Alva een verwerkersovereenkomst (DPA)?

Ja. Mail digitaldownloads@alvaapps.com en we sturen een ondertekende DPA waarin Alva Apps als verwerker en jouw shop als verantwoordelijke worden genoemd. De DPA verwijst naar de subverwerkers in het privacybeleid en naar Standard Contractual Clauses voor internationale doorgifte.

Hoe lang bewaart Alva klantgegevens nadat een bestelling is verzonden?

Klantmailadres, bestelmetadata, licentiecode-toewijzingen en downloadgebruikslogs worden bewaard zolang je installatie loopt. Ze worden alleen verwijderd wanneer je de app verwijdert of wanneer je een redact-verzoek voor die klant indient. Er is geen automatische tijdgebonden opschoning.

Waar wordt de data fysiek opgeslagen?

Bestelgegevens en downloadlogs staan in PostgreSQL op Heroku. Geüploade bestanden staan in Cloudflare R2. Uitgaande mails worden verstuurd via Postmark of MailerToGo. De actuele lijst met subverwerkers staat in het privacybeleid op /privacy-policy.html.

Zie ook

Facturatie & abonnementen

Wat gebeurt er als ik Alva verwijder

Het volledige uninstall-pad — wat wordt verwijderd, wat blijft staan en hoe je je voorbereidt.

 Facturatie & abonnementen

Welke functies vereisen een betaald abonnement

DPA's en eigen e-maildomeinen zitten op de betaalde abonnementen — snelle referentie.

 Fraude & beveiliging

Audit fraudebeslissingen met het fraude-actielog

Het downloadlog is niet de enige audit-bron — fraude-acties worden apart gelogd.

Was dit nuttig?

Kom je er niet uit? Mail ons.

Laatst bijgewerkt 2026-05-06