Privacy Policy

The Dutch Baseball App respects your privacy and processes data in line with the GDPR and Dutch UAVG. Below you'll read what we keep, why and for how long.

1. Who are we?

Nederlandse Honkbal App, bereikbaar via honkbalapp.nl. Contact voor privacyvragen: admin.honkbalapp@gmail.com.

2. What data do we process?

• Account: voor- en achternaam, e-mail, gehasht wachtwoord, geboortedatum, taalvoorkeur, thema, 2FA-configuratie, tijdstip van privacy-akkoord.
• Spelerprofiel (optioneel): rugnummer, positie, slag-/gooihand, (eventueel) geboorteplaats, lengte, gewicht, profielfoto, statistieken per wedstrijd.
• Betaalgegevens: PayPal transactie-ID, bedrag, datum, tier en periode. Kaartdata zien wij niet - die blijven bij PayPal.
• Notificaties: push-endpoint van je browser, notificatie-voorkeuren.
• Beveiliging (tijdelijk): IP-adres en device-fingerprint bij rolaanvragen (max 6 maanden).
• Consent-audit: geanonimiseerd IP, tijdstempel en je cookie-keuze (max 13 maanden).

3. Data about minors

Voor spelers onder de 16 jaar geldt dat een ouder of wettelijk vertegenwoordiger toestemming moet geven (UAVG art. 5). De ouder ontvangt een bevestigingsmail; het account wordt pas actief na bevestiging. Voor minderjarigen staan de standaardinstellingen op privacy-vriendelijk: naam wordt als "Speler #" getoond en foto is verborgen. Zie ook de kinder-privacyverklaring.

4. Legal basis

• Uitvoering van overeenkomst (art. 6 lid 1b AVG) - account, spelerprofiel-kerndata, betalingen.
• Toestemming (art. 6 lid 1a AVG) - foto, optionele bio-velden, push-notificaties, analytische cookies.
• Gerechtvaardigd belang (art. 6 lid 1f AVG) - misbruikpreventie, kostenmonitoring AI-chat, feedback-afhandeling.
• Wettelijke verplichting (art. 6 lid 1c AVG) - ouder-consent voor minderjarigen, bewaarplicht betaalgegevens (AWR art. 52).

5. Who do we share data with?

We delen gegevens alleen met subverwerkers die namens ons verwerken. Met elke partij is een verwerkersovereenkomst (DPA) gesloten. Actuele lijst:

• Render (hosting, EU-regio)
• Neon (PostgreSQL, EU-regio)
• Brevo (transactionele e-mail, EU-Frankrijk)
• Cloudinary (afbeeldingen, EU-regio waar beschikbaar)
• PayPal Europe S.à r.l. (betalingen, EU-Luxemburg)
• Anthropic (AI, VS - onder EU-US Data Privacy Framework)
• Google (Analytics, VS - alleen met jouw opt-in, onder DPF)

Doorgifte buiten de EU vindt alleen plaats onder het EU-US Data Privacy Framework of onder Standaard Contractuele Bepalingen.

6. How long do we keep data?

• Accountgegevens: zolang je account bestaat; inactief > 24 maanden → waarschuwing + verwijdering na 30 dagen.
• Betaalgegevens: 7 jaar (wettelijke bewaarplicht), daarna verwijderd. Bij account-verwijdering: geanonimiseerd (geen link meer naar jouw persoon).
• Wachtwoord-reset-tokens: 7 dagen.
• 2FA-codes: 1 dag.
• IP/device bij rolaanvragen: 6 maanden.
• Logs: 30 dagen.
• Consent audit-log: 13 maanden.
• Chat-logs (metadata): 13 maanden.

7. Your rights

• Inzage & dataportabiliteit (art. 15, 20): download je data via Mijn account → Data downloaden.
• Correctie (art. 16): via Mijn profiel of e-mail.
• Verwijdering (art. 17): via Mijn account → Account verwijderen (7 dagen bedenktijd).
• Beperking van verwerking (art. 18): mail admin.honkbalapp@gmail.com.
• Bezwaar (art. 21): notificatie-opt-outs in je profiel, of mail ons.
• Intrekken toestemming (art. 7): altijd mogelijk via instellingen of e-mail.
• Klacht bij toezichthouder: Autoriteit Persoonsgegevens.

Reactietermijn: binnen één maand.

8. Security

We nemen passende maatregelen: wachtwoord-hashing (PBKDF2), 2FA standaard aan, HTTPS met HSTS, CSRF-bescherming, rate-limiting, security headers (CSP, X-Frame-Options), versleutelde database-verbinding, logs zonder PII, automatische verwijdering van verlopen tokens.

9. Cookies

Zie de Cookie Policy voor de volledige lijst en om je keuzes te beheren.

10. Contact

Questions? Mail us at admin.honkbalapp@gmail.com. We reageren binnen één maand, meestal binnen een week.