Privacy Policy

Last updated: April 2026

RecordFlower V.O.F. ("RecordFlower", "we", "us", or "our") operates the https://recordflower.com platform (the "Service") — a B2B SaaS platform that enables vinyl record sellers to build and operate their own branded webshop, powered by their Discogs inventory.

This Privacy Policy explains what personal data we collect from platform users (sellers), how we use it, and your rights under the General Data Protection Regulation (GDPR). It does not cover how tenants process data about their own end customers — that is governed by the tenant's own privacy policy.

1. Who is the data controller?

The data controller for your personal data is:

RecordFlower V.O.F.
The Netherlands
Contact: [email protected]

2. RecordFlower as a data processor for tenant customer data

When tenants use our platform to sell to their end customers (buyers), RecordFlower processes that buyer data as a data processor on behalf of the tenant. The tenant is the data controller for their customer data. RecordFlower processes this data solely to provide the storefront, checkout, and order management functionality.

A Data Processing Agreement (DPA) is available to all Sellers directly in the user dashboard, as required under Art. 28 GDPR.

3. What data do we collect about tenants?

• Account data: name, email address, password (hashed)
• Organisation data: workspace name, address, VAT/KvK number (for invoicing)
• Billing data: subscription plan, payment status, invoices. Full card details are processed by our payment providers — we do not store them.
• Discogs OAuth credentials: OAuth access token and token secret needed to connect your Discogs account. Stored encrypted, used solely to access the Discogs API on your behalf.
• Storefront configuration: branding, shipping settings, legal text, and other settings you configure through the dashboard.
• Usage data: log data, IP address, browser type, dashboard activity, for platform security and improvement.

4. Why do we use your data?

• Providing and maintaining the platform (account management, Discogs sync, storefront hosting)
• Processing subscription payments and issuing invoices
• Sending service communications (account, billing, platform updates)
• Fraud prevention, security monitoring, and abuse prevention
• Complying with legal obligations (Dutch tax and accounting law)
• Improving platform performance and resolving technical issues

5. Legal bases (GDPR Art. 6)

• Performance of contract (Art. 6(1)(b)) — processing is necessary to provide the platform service you subscribed to
• Legal obligation (Art. 6(1)(c)) — we retain financial and invoice records for 7 years as required by Dutch tax law
• Legitimate interest (Art. 6(1)(f)) — platform security, fraud prevention, service improvement, and product communications to existing customers
• Consent (Art. 6(1)(a)) — where applicable, for optional marketing communications

6. Analytics and marketing tools

• Google Analytics — web analytics for recordflower.com. You can opt out via the Google Analytics opt-out browser add-on. See Google's Privacy Policy.
• HubSpot — CRM and marketing platform for tenant communications and onboarding. Data may be processed on HubSpot servers in the US under Standard Contractual Clauses. Unsubscribe via any email we send. See HubSpot's Privacy Policy.

Analytics and marketing cookies on recordflower.com require your consent before being set. The platform dashboard does not use analytics or marketing cookies.

7. Who do we share your data with?

• Stripe Payments Europe Ltd. — subscription payment processing. See stripe.com/privacy.
• Paddle / Lemon Squeezy — alternative payment providers, depending on your subscription plan.
• Discogs (Zink Media, LLC) — your OAuth token is used to call the Discogs API on your behalf. See discogs.com/privacy.
• Google LLC — Google Analytics for marketing website analytics (see section 6).
• HubSpot, Inc. — CRM and marketing communications (see section 6).
• Hosting infrastructure — cloud servers within the EU or under adequate safeguards.
• Email delivery provider — transactional emails (account, billing, notifications).

We do not sell your personal data to any third party.

8. International data transfers

Where sub-processors operate outside the EEA, we ensure adequate safeguards are in place: EU adequacy decisions, Standard Contractual Clauses (Art. 46(2)(c) GDPR), or the EU–US Data Privacy Framework. Discogs is a US-based service; the OAuth token transfer is necessary for performance of the service you requested (Art. 49(1)(b) GDPR).

9. Retention periods

• Account and subscription data: duration of subscription plus 7 years (Dutch statutory tax retention)
• Invoices and financial records: 7 years
• Discogs OAuth credentials: deleted upon disconnection or platform termination
• Log / usage data: up to 90 days
• Support communications: up to 2 years after resolution

10. Cookies

The platform uses only technically necessary cookies (session management, CSRF protection, authentication). The marketing website may use analytics cookies with your consent.

11. Security

All communication is encrypted via HTTPS/TLS. Sensitive credentials are encrypted at rest. Payments are processed through PCI-DSS certified providers. In the event of a data breach, we will notify you and the Autoriteit Persoonsgegevens in accordance with GDPR Art. 33–34.

12. Your rights (GDPR Arts. 15–21)

• Access (Art. 15) — request a copy of your personal data
• Rectification (Art. 16) — correct inaccurate or incomplete data
• Erasure (Art. 17) — request deletion, subject to legal retention obligations
• Restriction (Art. 18) — limit processing in certain circumstances
• Portability (Art. 20) — receive your data in machine-readable format
• Object (Art. 21) — object to processing based on legitimate interest
• Withdraw consent (Art. 7(3)) — withdraw consent at any time without affecting prior processing

Contact us at [email protected]. We will respond within 30 days.

13. Supervisory authority

Autoriteit Persoonsgegevens
autoriteitpersoonsgegevens.nl

14. Changes to this policy

Material changes will be communicated by email or via a dashboard notice at least 14 days before taking effect.

15. Contact

RecordFlower V.O.F. — KvK: 99565285
The Netherlands
[email protected]

Privacyverklaring

Laatst bijgewerkt: april 2026

RecordFlower V.O.F. ("RecordFlower", "wij", "ons" of "onze") exploiteert het platform op https://recordflower.com — een B2B SaaS-platform waarmee platenzaakhouders een eigen webshop kunnen bouwen en beheren op basis van hun Discogs-inventaris.

Deze privacyverklaring legt uit welke persoonsgegevens wij verzamelen van platformgebruikers (tenants/verkopers), hoe wij deze gebruiken en welke rechten u hebt onder de Algemene Verordening Gegevensbescherming (AVG). Deze verklaring heeft geen betrekking op de verwerking van gegevens van eindklanten door tenants — dat valt onder de eigen privacyverklaring van de tenant.

1. Wie is verantwoordelijk voor uw gegevens?

De verwerkingsverantwoordelijke voor uw persoonsgegevens is:

RecordFlower V.O.F.
Nederland
Contact: [email protected]

2. RecordFlower als verwerker van klantgegevens van tenants

Wanneer tenants ons platform gebruiken om te verkopen aan hun eindklanten (kopers), verwerkt RecordFlower die klantgegevens als verwerker namens de tenant. De tenant is de verwerkingsverantwoordelijke voor de gegevens van hun klanten. RecordFlower verwerkt deze gegevens uitsluitend om de storefront-, checkout- en orderfunctionaliteit te leveren.

Een verwerkersovereenkomst (VOK) is beschikbaar voor alle verkopers in het gebruikersdashboard, zoals vereist op grond van art. 28 AVG.

3. Welke gegevens verzamelen wij over tenants?

• Accountgegevens: naam, e-mailadres, wachtwoord (gehasht)
• Organisatiegegevens: bedrijfsnaam, adres, BTW-/KvK-nummer (voor facturering)
• Factureringsgegevens: abonnementsplan, betalingsstatus, facturen. Volledige kaartgegevens worden verwerkt door onze betalingsproviders — wij slaan deze niet op.
• Discogs OAuth-gegevens: toegangstoken en tokengeheim die nodig zijn om uw Discogs-account te koppelen. Versleuteld opgeslagen, uitsluitend gebruikt om namens u de Discogs API aan te roepen.
• Storefrontconfiguratie: huisstijl, verzendinstellingen, juridische tekst en overige instellingen die u via het dashboard configureert.
• Gebruiksgegevens: loggegevens, IP-adres, browsertype en dashboardactiviteit, voor platformbeveiliging en verbetering.

4. Waarvoor gebruiken wij uw gegevens?

• Het leveren en onderhouden van het platform (accountbeheer, Discogs-synchronisatie, storefronthosting)
• Verwerken van abonnementsbetalingen en het uitsturen van facturen
• Servicemededelingen (account, facturering, platformupdates)
• Fraudepreventie, beveiligingsbewaking en misbruikpreventie
• Naleving van wettelijke verplichtingen (Nederlandse belasting- en boekhoudwetgeving)
• Verbetering van de platformprestaties en oplossen van technische problemen

5. Wettelijke grondslagen (AVG art. 6)

• Uitvoering van een overeenkomst (art. 6 lid 1 sub b) — verwerking is noodzakelijk voor de uitvoering van het abonnement
• Wettelijke verplichting (art. 6 lid 1 sub c) — wij bewaren financiële gegevens en facturen 7 jaar op grond van de Nederlandse belastingwetgeving
• Gerechtvaardigd belang (art. 6 lid 1 sub f) — platformbeveiliging, fraudepreventie, serviceverbetering en productcommunicatie aan bestaande klanten
• Toestemming (art. 6 lid 1 sub a) — voor optionele marketingcommunicatie, indien van toepassing

6. Analyse- en marketingtools

• Google Analytics — webanalyse voor recordflower.com. U kunt zich afmelden via de Google Analytics opt-out browserextensie. Zie het privacybeleid van Google.
• HubSpot — CRM- en marketingplatform voor communicatie met tenants en onboarding. Gegevens kunnen worden verwerkt op HubSpot-servers in de VS op basis van Standaard Contractbepalingen. Afmelden via de uitschrijflink in onze e-mails. Zie het privacybeleid van HubSpot.

Analyse- en marketingcookies op recordflower.com worden pas geplaatst na uw toestemming. Het platformdashboard maakt geen gebruik van analyse- of marketingcookies.

7. Met wie delen wij uw gegevens?

• Stripe Payments Europe Ltd. — verwerking van abonnementsbetalingen. Zie stripe.com/privacy.
• Paddle / Lemon Squeezy — alternatieve betalingsproviders, afhankelijk van uw abonnementsplan.
• Discogs (Zink Media, LLC) — uw OAuth-token wordt gebruikt om namens u de Discogs API aan te roepen. Zie discogs.com/privacy.
• Google LLC — Google Analytics voor websiteanalyse (zie sectie 6).
• HubSpot, Inc. — CRM en marketingcommunicatie (zie sectie 6).
• Hostinginfrastructuur — cloudservers binnen de EU of onder passende waarborgen.
• E-mailleverancier — transactionele e-mails (account, facturering, meldingen).

Wij verkopen uw persoonsgegevens niet aan derden.

8. Internationale gegevensoverdrachten

Waar subverwerkers buiten de EER opereren, zorgen wij voor passende waarborgen: adequaatheidsbesluiten van de EU, Standaard Contractbepalingen (art. 46 lid 2 sub c AVG) of het EU–VS-gegevensprivacyraamwerk. Discogs is een Amerikaanse dienst; de overdracht van het OAuth-token is noodzakelijk voor de uitvoering van de door u gevraagde dienst (art. 49 lid 1 sub b AVG).

9. Bewaartermijnen

• Account- en abonnementsgegevens: duur van het abonnement plus 7 jaar (wettelijke bewaartermijn belastingwetgeving)
• Facturen en financiële gegevens: 7 jaar
• Discogs OAuth-gegevens: verwijderd bij ontkoppeling of beëindiging van het platform
• Log- en gebruiksgegevens: maximaal 90 dagen
• Supportcommunicatie: maximaal 2 jaar na afhandeling

10. Cookies

Het platform gebruikt uitsluitend functioneel noodzakelijke cookies (sessiebeheer, CSRF-bescherming, authenticatie). De marketingwebsite kan analytische cookies plaatsen na uw toestemming.

11. Beveiliging

Alle communicatie is versleuteld via HTTPS/TLS. Gevoelige gegevens zijn versleuteld opgeslagen. Betalingen worden verwerkt via PCI-DSS gecertificeerde aanbieders. Bij een datalek informeren wij u en de Autoriteit Persoonsgegevens conform art. 33–34 AVG.

12. Uw rechten (AVG art. 15–21)

• Inzage (art. 15) — verzoek om een kopie van uw persoonsgegevens
• Rectificatie (art. 16) — correctie van onjuiste of onvolledige gegevens
• Wissing (art. 17) — verzoek om verwijdering, met inachtneming van wettelijke bewaartermijnen
• Beperking (art. 18) — beperking van de verwerking in bepaalde omstandigheden
• Overdraagbaarheid (art. 20) — ontvangst van uw gegevens in een machineleesbaar formaat
• Bezwaar (art. 21) — bezwaar maken tegen verwerking op basis van gerechtvaardigd belang
• Intrekking van toestemming (art. 7 lid 3) — toestemming op elk moment intrekken zonder gevolgen voor eerdere verwerking

Neem contact op via [email protected]. Wij reageren binnen 30 dagen.

13. Toezichthoudende autoriteit

Autoriteit Persoonsgegevens
autoriteitpersoonsgegevens.nl

14. Wijzigingen in deze verklaring

Wezenlijke wijzigingen worden ten minste 14 dagen vóór inwerkingtreding per e-mail of via een dashboardmelding gecommuniceerd.

15. Contact

RecordFlower V.O.F. — KvK: 99565285
Nederland
[email protected]