Privacyverklaring

De Nederlandse Honkbal App respecteert jouw privacy en verwerkt gegevens volgens de AVG en UAVG. Hieronder lees je wat we bewaren, waarom en hoe lang.

1. Wie zijn wij?

Nederlandse Honkbal App, bereikbaar via honkbalapp.nl. Contact voor privacyvragen: privacy@honkbalapp.nl.

2. Welke gegevens verwerken we?

• Account: voor- en achternaam, e-mail, gehasht wachtwoord, geboortedatum, taalvoorkeur, thema, 2FA-configuratie, tijdstip van privacy-akkoord.
• Spelerprofiel (optioneel): rugnummer, positie, slag-/gooihand, (eventueel) geboorteplaats, lengte, gewicht, profielfoto, statistieken per wedstrijd.
• Betaalgegevens: PayPal transactie-ID, bedrag, datum, tier en periode. Kaartdata zien wij niet — die blijven bij PayPal.
• Notificaties: push-endpoint van je browser, notificatie-voorkeuren.
• Beveiliging (tijdelijk): IP-adres en device-fingerprint bij rolaanvragen (max 6 maanden).
• Consent-audit: geanonimiseerd IP, tijdstempel en je cookie-keuze (max 13 maanden).

3. Gegevens van minderjarigen

Voor spelers onder de 16 jaar geldt dat een ouder of wettelijk vertegenwoordiger toestemming moet geven (UAVG art. 5). De ouder ontvangt een bevestigingsmail; het account wordt pas actief na bevestiging. Voor minderjarigen staan de standaardinstellingen op privacy-vriendelijk: naam wordt als "Speler #" getoond en foto is verborgen. Zie ook de kinder-privacyverklaring.

4. Grondslag

• Uitvoering van overeenkomst (art. 6 lid 1b AVG) — account, spelerprofiel-kerndata, betalingen.
• Toestemming (art. 6 lid 1a AVG) — foto, optionele bio-velden, push-notificaties, analytische cookies.
• Gerechtvaardigd belang (art. 6 lid 1f AVG) — misbruikpreventie, kostenmonitoring AI-chat, feedback-afhandeling.
• Wettelijke verplichting (art. 6 lid 1c AVG) — ouder-consent voor minderjarigen, bewaarplicht betaalgegevens (AWR art. 52).

5. Met wie delen we gegevens?

We delen gegevens alleen met subverwerkers die namens ons verwerken. Met elke partij is een verwerkersovereenkomst (DPA) gesloten. Actuele lijst:

• Render (hosting, EU-regio)
• Neon (PostgreSQL, EU-regio)
• Brevo (transactionele e-mail, EU-Frankrijk)
• Cloudinary (afbeeldingen, EU-regio waar beschikbaar)
• PayPal Europe S.à r.l. (betalingen, EU-Luxemburg)
• Anthropic (AI, VS — onder EU-US Data Privacy Framework)
• Google (Analytics, VS — alleen met jouw opt-in, onder DPF)

Doorgifte buiten de EU vindt alleen plaats onder het EU-US Data Privacy Framework of onder Standaard Contractuele Bepalingen.

6. Hoe lang bewaren we gegevens?

• Accountgegevens: zolang je account bestaat; inactief > 24 maanden → waarschuwing + verwijdering na 30 dagen.
• Betaalgegevens: 7 jaar (wettelijke bewaarplicht), daarna verwijderd. Bij account-verwijdering: geanonimiseerd (geen link meer naar jouw persoon).
• Wachtwoord-reset-tokens: 7 dagen.
• 2FA-codes: 1 dag.
• IP/device bij rolaanvragen: 6 maanden.
• Logs: 30 dagen.
• Consent audit-log: 13 maanden.
• Chat-logs (metadata): 13 maanden.

7. Jouw rechten

• Inzage & dataportabiliteit (art. 15, 20): download je data via Mijn account → Data downloaden.
• Correctie (art. 16): via Mijn profiel of e-mail.
• Verwijdering (art. 17): via Mijn account → Account verwijderen (7 dagen bedenktijd).
• Beperking van verwerking (art. 18): mail privacy@honkbalapp.nl.
• Bezwaar (art. 21): notificatie-opt-outs in je profiel, of mail ons.
• Intrekken toestemming (art. 7): altijd mogelijk via instellingen of e-mail.
• Klacht bij toezichthouder: Autoriteit Persoonsgegevens.

Reactietermijn: binnen één maand.

8. Beveiliging

We nemen passende maatregelen: wachtwoord-hashing (PBKDF2), 2FA standaard aan, HTTPS met HSTS, CSRF-bescherming, rate-limiting, security headers (CSP, X-Frame-Options), versleutelde database-verbinding, logs zonder PII, automatische verwijdering van verlopen tokens.

9. Cookies

Zie de Cookieverklaring voor de volledige lijst en om je keuzes te beheren.

10. Contact

Vragen? Mail naar privacy@honkbalapp.nl. We reageren binnen één maand, meestal binnen een week.