Privacy Policy

PRIVACY POLICY – Tax Portal Assistant

Last updated: 2026-02-05

Version: 1.0

1. Who we are

Controller:

Laura Otto Solutions

Gijsbrecht van Aemstelstraat 26, 2026 VH Haarlem, The Netherlands

Registration (KvK): 94716501

VAT: NL005104012B61

Website: https://taxportalassistant.com

Privacy policy: https://taxportalassistant.com/privacy

Support: https://taxportalassistant.com/support

2. Core message (local-first)

Our Software is designed as local-first. This means the Tool typically operates on your device. We do notreceive or store substantive portal data(such as documents, PDF contents, completed forms, or portal credentials) on our systems. The app may use a persistent browser profile so you can use your browser's password manager if you wish; credentials stay in the browser or on your device, not with us. We do not receive or store portal credentials unless you deliberately and explicitlyprovide them to us (e.g., via support).

3. What personal data we process

Depending on how you use our services, we may process the following categories of personal data:

3.1 Subscription, billing and administration

- name

- email address

- invoicing details

- payment status / transactional metadata (payment provider)

Retention: 7 years (Dutch statutory bookkeeping requirement where applicable).

3.2 License/activation and subscription verification (online checks)

- license key

- activation/verification date and time

- technical metadata (e.g., app version, OS, timestamp)

- device-binding identifier(a pseudonymous device ID or hash) to enforce agreed device limits and prevent misuse

We minimize technical identifiers where possible. Device binding is used for license enforcement and fraud prevention; it is not used to collect portal content.

Retention: Duration of subscription plus 1 year.

3.3 Support and communications

- your support request content

- contact details

- attachments you provide (you control what you share)

Retention: 2 years after resolution; attachments deleted within 90 days after issue closure.

3.4 Website usage and cookies

We process website usage data (e.g., server logs) and, where you consent where required by law, analytics data. We use:

- Strictly necessary cookies: required for the site to function (e.g., session, security, language). Consent is typically not required for these.

- Analytics cookies: We use Google Analytics on our landing and download page. Where required by law (e.g. in the EEA), we obtain your consent before activating analytics. You can manage or withdraw consent via our cookie banner or browser settings.

- Marketing cookies: We do not use marketing/tracking cookies.

You can change cookie preferences and delete cookies via your browser settings.

3.5 Crash reports / diagnostics (optional)

If you enable crash reporting, we may receive technical diagnostic information (such as error codes, stack traces, app version and OS details). We design and configure our tooling to avoid collecting substantive portal data or credentials in crash reports.

4. Legal bases

We process personal data based on:

- performance of a contract (GDPR Art. 6(1)(b)) (subscription delivery, licensing, support)

- legal obligation (GDPR Art. 6(1)(c)) (administration/bookkeeping)

- legitimate interests (GDPR Art. 6(1)(f)) (security, fraud prevention, basic logging)

- consent (GDPR Art. 6(1)(a)) (website analytics/cookies where required; optional crash reporting where offered)

5. Sharing with third parties

We share personal data only with the following service providers:

- Payments:Stripe Payments Europe, Ltd. (Dublin, Ireland). DPA in place. Data may be processed outside the EEA under the EU-US Data Privacy Framework and Standard Contractual Clauses.

- Hosting:Hetzner (EU / Nuremberg region, within the EEA). DPA in place.

- Analytics:Google Ireland Ltd. (Google Analytics), used on our landing and download page with your consent where required. Data may be processed outside the EEA under Standard Contractual Clauses.

- AI-Assisted Development:Claude (Anthropic Inc.) and ChatGPT (OpenAI Ireland Ltd.) were used during the design and development of this Software. During development, example invoice data and company information may have been processed by these AI services to improve the tool. See Section 5.1 below for details.

We do not sell personal data to third parties.

5.1 AI-Assisted Development and Data Processing

Purpose: This Software was built with assistance from Claude (Anthropic Inc.) and ChatGPT (OpenAI Ireland Ltd.). During development, we may have shared example invoice data, company information, or other sample data with these AI services to improve feature design, test extraction logic, and refine user experience.

Data Processors: Anthropic Inc. (United States) and OpenAI Ireland Ltd. (Ireland). Development-time processing is subject to their respective DPAs. Both may use conversation data to improve their AI models' safety and performance, subject to those DPAs and their privacy policies (https://www.anthropic.com/privacy and https://openai.com/privacy).

Data Minimization: We apply data minimization when sharing examples with AI services during development: we use anonymized, synthetic, or redacted sample data wherever possible, and do not include actual client NIFs, portal credentials, or unredacted financial amounts in development queries. Prior to v1.1, example data may have been shared without full minimization; no such data is retained in the Software.

Data Retention: Example data shared during development is not retained by Anthropic or OpenAI beyond the active development conversation, per their respective DPAs and terms.

Your Consent: By accepting this Privacy Policy and the EULA, you consent to the fact that your example data (if any) may have been processed by Anthropic and/or OpenAI during development, and you acknowledge that no example data is retained in this Software.

No Ongoing Cloud Processing: The currently released version of the Software does notsend your invoices, company data, or Portal credentials to Claude, ChatGPT, or any cloud AI system. Processing is local-first. If future versions include optional AI-powered features (e.g., intelligent invoice description suggestions), a new consent mechanism will be offered.

6. International transfers

Processing by Laura Otto Solutions and Hetzner occurs within the EEA (Netherlands and Germany respectively). Stripe and Google Analytics may process data outside the EEA. For these transfers we rely on Standard Contractual Clauses (SCCs) under GDPR Art. 46(2)(c) and, where applicable, the EU-US Data Privacy Framework. Subprocessor details and applicable safeguards are available on request at lauraottosolutions@gmail.com.

7. Security

We implement appropriate technical and organisational measures (GDPR Art. 32), including:

- TLS encryption in transit

- access controls (least privilege)

- logging and monitoring

- secure release and update processes

8. Your rights

Under the GDPR you have rights, including access, rectification, erasure, restriction, objection and data portability. You can submit requests via https://taxportalassistant.com/support.

9. Complaints

You have the right to lodge a complaint with your supervisory authority (e.g., Autoriteit Persoonsgegevens in the Netherlands).

10. Changes

We may update this Privacy Policy, see https://taxportalassistant.com/privacy for the latest version.

Note: For current contact details and policies, see https://taxportalassistant.com.

POLÍTICA DE PRIVACIDADE – Tax Portal Assistant

Última atualização: 2026-02-05

Versão: 1.0

Esta é uma tradução de cortesia. A versão em inglês é a versão vinculativa.

1. Quem somos

Responsável pelo tratamento:

Laura Otto Solutions

Gijsbrecht van Aemstelstraat 26, 2026 VH Haarlem, Países Baixos

Registo (KvK): 94716501

IVA: NL005104012B61

Website: https://taxportalassistant.com

Política de privacidade: https://taxportalassistant.com/privacy

Suporte: https://taxportalassistant.com/support

2. Mensagem principal (local-first)

O nosso Software foi concebido como local-first. Isto significa que a Ferramenta funciona tipicamente no seu dispositivo. Nãorecebemos nem armazenamos dados substantivos do portal(tais como documentos, conteúdos de PDF, formulários preenchidos ou credenciais de acesso ao portal) nos nossos sistemas. A aplicação pode utilizar um perfil de navegador persistente para que possa usar o gestor de palavras-passe do seu navegador, se o desejar; as credenciais permanecem no navegador ou no seu dispositivo, não connosco. Não recebemos nem armazenamos credenciais do portal, a menos que as forneça deliberada e explicitamente(por exemplo, através do suporte).

3. Que dados pessoais tratamos

Dependendo da forma como utiliza os nossos serviços, podemos tratar as seguintes categorias de dados pessoais:

3.1 Subscrição, faturação e administração

- nome

- endereço de correio eletrónico

- dados de faturação

- estado do pagamento / metadados transacionais (prestador de serviços de pagamento)

Conservação: 7 anos (obrigação legal de escrituração contabilística nos Países Baixos, quando aplicável).

3.2 Licenciamento/ativação e verificação de subscrição (verificações online)

- chave de licença

- data e hora de ativação/verificação

- metadados técnicos (por exemplo, versão da aplicação, sistema operativo, carimbo temporal)

- identificador de associação ao dispositivo(um ID de dispositivo pseudonimizado ou hash) para fazer cumprir os limites de dispositivos acordados e prevenir utilização indevida

Minimizamos os identificadores técnicos sempre que possível. A associação ao dispositivo é utilizada para fins de cumprimento da licença e prevenção de fraude; não é utilizada para recolher conteúdos do portal.

Conservação: Duração da subscrição acrescida de 1 ano.

3.3 Suporte e comunicações

- conteúdo do seu pedido de suporte

- dados de contacto

- anexos que forneça (controla o que partilha)

Conservação: 2 anos após resolução; anexos eliminados no prazo de 90 dias após o encerramento do pedido.

3.4 Utilização do website e cookies

Tratamos dados de utilização do website (por exemplo, registos do servidor) e, quando dá o seu consentimento conforme exigido por lei, dados de análise. Utilizamos:

- Cookies estritamente necessários: necessários para o funcionamento do site (por exemplo, sessão, segurança, idioma). Normalmente não é necessário consentimento para estes.

- Cookies de análise: Utilizamos o Google Analytics na nossa página de apresentação e de descarregamento. Quando exigido por lei (por exemplo, no EEE), obtemos o seu consentimento antes de ativar a análise. Pode gerir ou retirar o consentimento através do nosso banner de cookies ou das definições do navegador.

- Cookies de marketing: Não utilizamos cookies de marketing/rastreamento.

Pode alterar as preferências de cookies e eliminar cookies através das definições do seu navegador.

3.5 Relatórios de falha / diagnósticos (opcional)

Se ativar os relatórios de falha, podemos receber informações técnicas de diagnóstico (tais como códigos de erro, stack traces, versão da aplicação e detalhes do SO). Concebemos e configuramos as nossas ferramentas para evitar a recolha de dados substantivos do portal ou credenciais em relatórios de falha.

4. Bases jurídicas

Tratamos dados pessoais com base em:

- execução de um contrato (RGPD Art. 6.º, n.º 1, alínea b)) (fornecimento da subscrição, licenciamento, suporte)

- obrigação legal (RGPD Art. 6.º, n.º 1, alínea c)) (administração/escrituração contabilística)

- interesses legítimos (RGPD Art. 6.º, n.º 1, alínea f)) (segurança, prevenção de fraude, registos básicos)

- consentimento (RGPD Art. 6.º, n.º 1, alínea a)) (análise do website/cookies quando exigido; relatórios de falha opcionais quando oferecidos)

5. Partilha com terceiros

Partilhamos dados pessoais apenas com os seguintes prestadores de serviços:

- Pagamentos:Stripe Payments Europe, Ltd. (Dublin, Irlanda). DPA em vigor. Os dados podem ser tratados fora do EEE ao abrigo do Quadro de Privacidade de Dados UE-EUA e das Cláusulas Contratuais-Tipo.

- Alojamento:Hetzner (Região UE / Nuremberga, dentro do EEE). DPA em vigor.

- Análise:Google Ireland Ltd. (Google Analytics), utilizado na nossa página de apresentação e de descarregamento com o seu consentimento quando exigido. Os dados podem ser tratados fora do EEE ao abrigo das Cláusulas Contratuais-Tipo.

- Desenvolvimento Assistido por IA:Claude (Anthropic Inc.) e ChatGPT (OpenAI Ireland Ltd.) foram utilizados durante a concepção e o desenvolvimento deste Software. Durante o desenvolvimento, dados exemplificativos de faturas e informações de empresas podem ter sido tratados por estes serviços de IA para melhorar a ferramenta. Consulte a Secção 5.1 abaixo para mais detalhes.

Não vendemos dados pessoais a terceiros.

5.1 Desenvolvimento Assistido por IA e Tratamento de Dados

Finalidade: Este Software foi construído com a assistência de Claude (Anthropic Inc.) e ChatGPT (OpenAI Ireland Ltd.). Durante o desenvolvimento, poderão ter sido partilhados dados exemplificativos de faturas, informações de empresas ou outros dados de amostra com estes serviços de IA para melhorar o design de funcionalidades, testar a lógica de extração e aperfeiçoar a experiência do utilizador.

Subcontratantes: Anthropic Inc. (Estados Unidos) e OpenAI Ireland Ltd. (Irlanda). O tratamento durante o desenvolvimento está sujeito aos respetivos DPAs. Ambas podem utilizar dados de conversação para melhorar a segurança e o desempenho dos seus modelos de IA, nos termos desses DPAs e das suas políticas de privacidade (https://www.anthropic.com/privacy e https://openai.com/privacy).

Minimização de Dados: Aplicamos a minimização de dados ao partilhar exemplos com serviços de IA durante o desenvolvimento: utilizamos dados anonimizados, sintéticos ou expurgados sempre que possível, e não incluímos NIFs reais de clientes, credenciais do portal ou montantes financeiros não expurgados em consultas de desenvolvimento. Antes da versão 1.1, os dados exemplificativos poderão ter sido partilhados sem minimização completa; nenhum desses dados é mantido no Software.

Conservação de Dados: Os dados exemplificativos partilhados durante o desenvolvimento não são conservados pela Anthropic ou OpenAI para além da conversação de desenvolvimento ativa, nos termos dos respetivos DPAs e condições.

O Seu Consentimento: Ao aceitar esta Política de Privacidade e o EULA, consente que os seus dados exemplificativos (se aplicável) possam ter sido tratados pela Anthropic e/ou OpenAI durante o desenvolvimento, e reconhece que nenhum dado exemplificativo é mantido neste Software.

Sem Tratamento em Nuvem em Curso: A versão atualmente lançada do Software nãoenvia as suas faturas, dados da empresa ou credenciais do Portal para o Claude, ChatGPT ou qualquer sistema de IA na nuvem. O tratamento é local-first. Se versões futuras incluírem funcionalidades opcionais baseadas em IA (por exemplo, sugestões inteligentes de descrições de faturas), será oferecido um novo mecanismo de consentimento.

6. Transferências internacionais

O tratamento pela Laura Otto Solutions e pela Hetzner ocorre dentro do EEE (Países Baixos e Alemanha, respetivamente). O Stripe e o Google Analytics podem tratar dados fora do EEE. Para estas transferências, recorremos às Cláusulas Contratuais-Tipo (CCT) ao abrigo do RGPD Art. 46.º, n.º 2, alínea c) e, quando aplicável, ao Quadro de Privacidade de Dados UE-EUA. Os detalhes dos subcontratantes e as garantias aplicáveis estão disponíveis mediante pedido para lauraottosolutions@gmail.com.

7. Segurança

Implementamos medidas técnicas e organizativas adequadas (RGPD Art. 32.º), incluindo:

- encriptação TLS em trânsito

- controlos de acesso (privilégio mínimo)

- registo e monitorização

- processos seguros de lançamento e atualização

8. Os seus direitos

Nos termos do RGPD, tem direitos, incluindo acesso, retificação, apagamento, limitação, oposição e portabilidade dos dados. Pode submeter pedidos através de https://taxportalassistant.com/support.

9. Reclamações

Tem o direito de apresentar uma reclamação junto da sua autoridade de controlo local. Para utilizadores em Portugal: Comissão Nacional de Proteção de Dados (CNPD) — www.cnpd.pt. Para utilizadores nos Países Baixos: Autoriteit Persoonsgegevens (AP) — www.autoriteitpersoonsgegevens.nl.

10. Alterações

Podemos atualizar esta Política de Privacidade; consulte https://taxportalassistant.com/privacy para a versão mais recente.

Nota: Para dados de contacto e políticas atuais, consulte https://taxportalassistant.com.