Privacyverklaring — Eerlijke Corvee
⚠️ DRAFT — vereist juridische toetsing door een Nederlandse jurist voordat deze wordt gepubliceerd. Dit is geen juridisch advies. Plaatshouders zoals
<...>moeten worden ingevuld voor publicatie. Verifieer alle wettelijke verwijzingen (AVG-artikelen, AP-procedures, KvK-status) voordat deze versie live gaat.
Versie: 0.1 (draft) — 2026-05-02
1. Wie zijn wij?
Eerlijke Corvee (hierna: “wij”, “ons” of de “Dienst”) is een softwaredienst die Nederlandse jeugdsportteams helpt bij het automatisch en eerlijk verdelen van vrijwilligerstaken (corvee) en het automatiseren van wedstrijd- en trainingsbeheer.
Verwerkingsverantwoordelijke:
- Naam:
<NAAM ONDERNEMING — bijv. Eerlijke Corvee B.V. of <Founder Naam> ZZP> - Adres:
<VESTIGINGSADRES> - KvK-nummer:
<KVK NUMMER> - BTW-nummer:
<BTW NUMMER> - Contact:
privacy@<domein>.nl
Voor vragen over je privacy kun je rechtstreeks contact opnemen via bovenstaand e-mailadres. Wij hebben geen Functionaris voor Gegevensbescherming (FG) aangesteld omdat dit niet wettelijk verplicht is voor onze schaal.
2. Welke gegevens verwerken wij en waarvoor?
2.1 Accountgegevens (verplicht om de Dienst te kunnen gebruiken)
- Naam en e-mailadres van teammanagers, trainers, coaches, ouders/verzorgers en (oudere) spelers
- Rol binnen het team (manager, trainer, coach, ouder, etc.)
- Taalvoorkeur (NL/EN) per gebruiker
- Sessie-informatie (cookies, login-tokens) — strikt noodzakelijk voor authenticatie
Doel: het leveren van de Dienst (account aanmaken, inloggen via magic-link, communicatie binnen het team). Wettelijke grondslag: uitvoering van een overeenkomst (artikel 6 lid 1 sub b AVG).
2.2 Spelersgegevens (door teammanagers / verzorgers ingevoerd)
- Naam van de speler
- Leeftijdscategorie (bijv. JO13, MO11)
- Verzorger-relaties: welke ouder/verzorger hoort bij welke speler
- Beschikbaarheid voor wedstrijden en trainingen (door verzorgers / spelers zelf ingevoerd)
Wij verwerken geen contactgegevens van minderjarige spelers rechtstreeks — communicatie loopt altijd via geregistreerde verzorgers met een eigen account. Spelers vanaf 13+ kunnen optioneel een eigen account aanmaken; in dat geval verwerken wij alleen hun naam en e-mailadres met instemming van de verzorger.
Doel: roosterindeling, eerlijke verdeling van corvee, en wedstrijdcommunicatie. Wettelijke grondslag: uitvoering van een overeenkomst.
2.3 Activiteit- en logboekgegevens
- Corveetoewijzingen (wie krijgt welke taak op welke datum) en de geschiedenis daarvan
- Auditlog: wie wijzigt wat, wanneer
- Authenticatielogs: inlogpogingen, IP-adres, browser-user-agent
Doel: dienstverlening, fraudepreventie, geschillen oplossen. Wettelijke grondslag: uitvoering van een overeenkomst en gerechtvaardigd belang (artikel 6 lid 1 sub f AVG).
2.4 Betalingsgegevens
- Betalingsstatus per team per seizoen (betaald / niet-betaald)
- Bedrag en datum van betaling
Wij verwerken geen creditcard- of bankrekeninggegevens zelf. Betalingen lopen via externe betaalproviders (Tikkie, Mollie). Zie de paragraaf “Sub-verwerkers” hieronder.
Doel: facturatie en toegangsbeheer (geblokkeerde teams). Wettelijke grondslag: uitvoering van een overeenkomst en wettelijke verplichting (boekhoudplicht).
2.5 Marketingcommunicatie (optioneel, alleen met toestemming)
- E-mailadres voor opt-in nieuwsbrieven en updates over de Dienst
Doel: marketing en gebruikerscommunicatie. Wettelijke grondslag: toestemming (artikel 6 lid 1 sub a AVG). Je kunt deze toestemming op elk moment intrekken via de uitschrijflink in elke e-mail.
3. Met wie delen wij gegevens? (Sub-verwerkers)
Wij maken gebruik van de volgende sub-verwerkers. Met elk hebben wij een verwerkersovereenkomst conform artikel 28 AVG.
| Sub-verwerker | Doel | Locatie verwerking | Privacy |
|---|---|---|---|
| Microsoft Azure (Container Apps + PostgreSQL) | Hosting, database | EU (North Europe — Ierland) | Azure Trust Center |
| Resend | Transactionele e-mail (magic-links, corvee-meldingen) | <VERIFIEER REGIO> | <LINK> |
| Cloudflare | DNS, statische marketingsite, DDoS-mitigatie | Wereldwijd edge-netwerk | <LINK> |
| Tikkie / ABN AMRO (interim) | Betalingsverwerking | Nederland / EU | <LINK> |
| Mollie (na 50+ betalende teams) | Betalingsverwerking (iDEAL/SEPA) | EU (Nederland) | Mollie privacy |
| Plausible Analytics (optioneel) | Anonieme bezoekersanalyse marketingsite | EU (Duitsland) | Plausible privacy |
Wij geven gegevens niet door aan derden voor marketingdoeleinden. Wij verkopen geen gegevens.
3.1 Doorgifte buiten de EER
Wij streven ernaar gegevens binnen de Europese Economische Ruimte (EER) te verwerken. Indien doorgifte buiten de EER nodig is, gebeurt dit alleen op basis van:
- Een adequaatheidsbesluit van de Europese Commissie, of
- Standaardcontractbepalingen (Standard Contractual Clauses).
Cloudflare’s wereldwijde edge-netwerk kan tijdelijk content cachen op locaties buiten de EER; dit betreft alleen statische marketinginhoud, geen persoonsgegevens.
4. Bewaartermijnen
| Gegevenstype | Bewaartermijn |
|---|---|
| Actieve account- en teamgegevens | Zolang het account / team actief is |
| Verwijderde accounts | 30 dagen na verwijdering, daarna onomkeerbaar gewist |
| Auditlogs | 12 maanden |
| Authenticatielogs | 12 maanden |
| Magic-link tokens | 15 minuten (60 minuten in dev-modus) |
| Sessie-cookies | Maximaal 90 dagen |
| Betalingsgegevens (boekhouding) | 7 jaar (wettelijke fiscale bewaarplicht) |
| Marketing-opt-in | Tot intrekking van toestemming |
Na verstrijken van de bewaartermijn worden gegevens onomkeerbaar verwijderd of geanonimiseerd.
5. Jouw rechten onder de AVG
Je hebt onder de AVG de volgende rechten:
- Inzage (artikel 15) — een kopie van de gegevens die wij over jou verwerken
- Rectificatie (artikel 16) — onjuiste gegevens laten corrigeren
- Verwijdering (artikel 17, “recht om vergeten te worden”) — verzoek om wissing
- Beperking (artikel 18) — verwerking laten pauzeren bij geschil
- Dataportabiliteit (artikel 20) — gegevens in machineleesbare vorm ontvangen
- Bezwaar (artikel 21) — bezwaar tegen verwerking op basis van gerechtvaardigd belang of marketing
- Toestemming intrekken — voor verwerkingen die op toestemming gebaseerd zijn
Een verzoek doen kan via privacy@<domein>.nl. Wij reageren binnen 30 dagen (verlengbaar met 60 dagen in complexe gevallen, met motivatie).
5.1 Klacht bij de toezichthouder
Je hebt het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP):
- Website: https://autoriteitpersoonsgegevens.nl
- Adres: Postbus 93374, 2509 AJ Den Haag
6. Beveiliging
Wij nemen redelijke technische en organisatorische maatregelen om jouw gegevens te beschermen:
- Encryptie in transit: alle verbindingen via HTTPS (TLS 1.2+)
- Encryptie at rest: database-bestanden encrypted at rest door Azure
- Toegangsbeheer: minimale toegang tot productiegegevens, audit-logging op admin-acties
- Magic-link authenticatie: tokens worden SHA-256-gehashed opgeslagen
- Sessieveiligheid: httpOnly + secure cookies, CSRF-bescherming
- Geheime sleutels: opgeslagen in Azure Key Vault of vergelijkbaar
- Datalekprocedure: bij een datalek melden wij dit binnen 72 uur aan de AP en aan getroffen betrokkenen, conform artikel 33 en 34 AVG
Geen enkele dienst is 100% veilig. Wij volgen industriestandaard practices.
7. Cookies
De applicatie (app.<domein>.nl) gebruikt alleen strikt noodzakelijke cookies voor authenticatie en sessiebeheer:
| Cookie | Doel | Bewaartermijn |
|---|---|---|
session_token | Inloggen / sessie | 1–90 dagen |
locale | Taalkeuze onthouden | 1 jaar |
player_switcher | Welk kind je nu bekijkt | Sessie |
De marketingsite (<domein>.nl) gebruikt:
- Plausible Analytics (cookieloos, AVG-conform — geen toestemming vereist)
- Mogelijk Meta Pixel voor advertenties (alleen na expliciete opt-in via cookiebanner)
Een aparte cookie-melding verschijnt bij eerste bezoek aan de marketingsite indien er optionele cookies actief zijn.
8. Kinderen onder de 16
Wij richten ons op teammanagers en ouders/verzorgers, niet op kinderen direct. Wij verzamelen geen contactgegevens van spelers jonger dan 16 zonder toestemming van een ouder/verzorger.
Spelersnamen en leeftijdscategorieën worden door verzorgers ingevoerd op basis van de behoefte aan team-organisatie. Deze gegevens worden niet gebruikt voor marketing en niet met derden gedeeld voor commerciële doeleinden.
Spelers vanaf 13 jaar kunnen, met instemming van een verzorger, een eigen account aanmaken; in dat geval is hun naam en e-mailadres beschermd onder dit privacybeleid en de AVG.
9. Wijzigingen in deze verklaring
Wij kunnen deze verklaring van tijd tot tijd bijwerken. De laatste versie staat altijd op deze pagina met datum. Bij ingrijpende wijzigingen informeren wij gebruikers per e-mail of via een banner in de Dienst, ten minste 30 dagen voor de wijziging in werking treedt.
10. Contact
Vragen over privacy of een verzoek tot uitoefening van je rechten?
- E-mail:
privacy@<domein>.nl - Post:
<VESTIGINGSADRES>
Laatst bijgewerkt: 2026-05-02 (draft) Versie: 0.1