Privacyverklaring — CONCEPT

Let op: concept om mee te beginnen, geen door een jurist goedgekeurd document. Vul de [INVULLEN]-velden in. De AVG is dwingend recht; laat dit vóór livegang nakijken. Er bestaan ook betrouwbare generatoren (bijv. via een ICT-jurist of brancheorganisatie) als basis.

1. Wie zijn wij

Lucien Digital Systems [rechtsvorm bevestigen, bv. B.V.], gevestigd te [PLAATS], KvK [NUMMER], is de verwerkingsverantwoordelijke voor de gegevens die via [DOMEIN] worden verwerkt. Aeruga is een merk van Lucien Digital Systems. Contact: [E-MAIL].

2. Welke gegevens wij verwerken

  • Accountgegevens: e-mailadres, eventueel naam (voor inloggen en levering).
  • Aankoopgegevens: welke werken je kocht, bedrag, betaal-id van de betaaldienst (Mollie). Wij ontvangen geen volledige betaalkaartgegevens; die verwerkt de betaaldienst.
  • Gebruiksgegevens: een log van downloads (voor misbruikdetectie en verantwoording).
  • Technische gegevens: beperkt, via privacyvriendelijke statistieken (zie punt 7).

3. Waarvoor en op welke grondslag (art. 6 AVG)

  • Uitvoering van de overeenkomst (art. 6 lid 1 sub b): account aanmaken, betaling verwerken, toegang tot gekochte content geven.
  • Toestemming (art. 6 lid 1 sub a): de nieuwsbrief — alleen als je je aanmeldt; je kunt je altijd afmelden.
  • Gerechtvaardigd belang (art. 6 lid 1 sub f): beveiliging en misbruikpreventie (het downloadlog).
  • Wettelijke plicht (art. 6 lid 1 sub c): fiscale bewaarplicht van factuurgegevens.

4. Bewaartermijnen

  • Account- en aankoopgegevens: zolang je een account hebt en daarna conform de fiscale bewaarplicht (in beginsel 7 jaar voor factuurgegevens).
  • Nieuwsbrief: tot je je afmeldt.
  • Downloadlog: [TERMIJN — bijv. 12 maanden].

5. Met wie wij gegevens delen (verwerkers)

Wij gebruiken externe diensten die namens ons gegevens verwerken, op basis van een verwerkersovereenkomst:

  • Supabase — database, authenticatie en bestandsopslag.
  • Vercel — hosting.
  • Mollie — betalingsverwerking (eigen verwerkingsverantwoordelijke voor de betaling zelf).
  • [E-maildienst] — verzending van transactionele e-mail en nieuwsbrief. Met elk van hen is een verwerkersovereenkomst (DPA) gesloten. Wij verkopen je gegevens nooit.

6. Doorgifte buiten de EU

Sommige diensten kunnen gegevens buiten de EU verwerken. In dat geval steunen wij op passende waarborgen (standaardcontractbepalingen). [VERIFIEER per dienst waar de data staat; kies waar mogelijk EU-regio's.]

7. Cookies en statistieken

Wij gebruiken [privacyvriendelijke statistiek zonder tracking-cookies, bijv. Plausible — geen toestemmingsbanner nodig] / [OF: een cookiebanner met voorafgaande toestemming, indien je tracking-cookies inzet]. Functionele cookies voor inloggen zijn noodzakelijk en vallen buiten de toestemmingsplicht.

8. Lettertypen

Lettertypen worden lokaal gehost (self-hosted), zodat je IP-adres niet aan externe lettertypeservers wordt doorgegeven. [Pas de globals.css hierop aan vóór productie — zie de opmerking in dat bestand.]

9. Jouw rechten

Je hebt recht op inzage, correctie, verwijdering, beperking, bezwaar en dataportabiliteit. Stuur een verzoek naar [E-MAIL]; wij reageren binnen de wettelijke termijn. Je kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens.

10. Datalekken

Bij een datalek met risico voor jouw rechten en vrijheden melden wij dit binnen 72 uur bij de Autoriteit Persoonsgegevens, en indien vereist aan jou.

11. Beveiliging

Toegang tot content verloopt via beveiligde, tijdelijke links; gevoelige sleutels staan uitsluitend server-side; de database gebruikt toegangsbeperking op rijniveau (RLS).

Concept versie [DATUM]. Niet gebruiken vóór juridische controle.