Concept — nog juridisch te controleren. Dit is een placeholder-privacyverklaring voor Vliegseintje. De inhoud is opgesteld op basis van wat de dienst technisch verwerkt, maar is nog niet door een jurist gecontroleerd. Laat deze tekst nakijken en aanvullen voordat je hem live zet. Plekken waar nog gegevens of afspraken ontbreken, staan gemarkeerd met [TODO: ...].
Privacyverklaring
Bij Vliegseintje houden we het simpel: we verwerken alleen de gegevens die we nodig hebben om jou een seintje te sturen zodra een retourvlucht onder jouw drempel duikt. Niet meer. In deze verklaring lees je welke gegevens dat zijn, waarom we ze verwerken, hoe lang we ze bewaren en welke rechten je hebt.
Laatst bijgewerkt: [TODO: datum invullen bij publicatie]
Wie is verantwoordelijk?
Vliegseintje is verantwoordelijk voor de verwerking van je persoonsgegevens (de "verwerkingsverantwoordelijke" in AVG-termen).
- Naam/entiteit: [TODO: officiële bedrijfs- of handelsnaam]
- KvK-nummer: [TODO: KvK-nummer]
- Btw-nummer: [TODO: btw-identificatienummer]
- Adres: [TODO: vestigings- of correspondentieadres]
- Contact voor privacyvragen: [TODO: e-mailadres, bijv. privacy@jouwdomein.nl]
[TODO: beoordelen of een Functionaris voor Gegevensbescherming (FG) verplicht of wenselijk is; zo ja, contactgegevens vermelden.]
Welke gegevens verwerken we?
We werken volgens dataminimalisatie: zo min mogelijk, alleen wat de dienst echt nodig heeft.
Altijd (om de dienst te kunnen leveren)
- E-mailadres — voor je account, het inloggen via een magic-link, en (als je dat kanaal kiest) het versturen van alerts.
- Je voorkeuren — je vertrekvelden, je prijsdrempel voor de retour-totaalprijs, hoeveel maanden vooruit we scannen, gewenste reisduur (aantal nachten) en eventuele bestemmingsfilters (landen die je wél of niet wilt zien).
- Je gekozen kanalen — welke kanalen je hebt gekoppeld om seintjes te ontvangen (e-mail, Telegram en/of WhatsApp) en of die bevestigd/opt-in zijn.
- Verzendgeschiedenis van alerts — welke deals we je al hebben gestuurd, zodat we je niet telkens hetzelfde seintje sturen.
- Technische sessie- en inloggegevens — tijdelijke inlog-tokens (magic-link) en een sessie-cookie zodat je ingelogd blijft.
Alleen als je het zelf koppelt
- Telegram chat-ID — alleen als je Telegram als kanaal koppelt. Dit is het ID waarmee de Telegram-bot je een bericht kan sturen.
- Telefoonnummer — alleen als je expliciet kiest voor WhatsApp-alerts (Premium) en je daarvoor opt-in geeft. Geen WhatsApp gekozen, dan slaan we geen telefoonnummer op.
Bij Premium (betaling)
- Betaalgegevens — afgehandeld door onze betaalprovider Mollie. Wij bewaren zelf geen volledige betaalkaart- of bankgegevens; we bewaren wel de koppeling naar je abonnement (een klant- en abonnement-ID bij Mollie) en de status ervan.
Wat we bewust níét doen
- We vragen geen geboortedatum, BSN, of onnodige profielgegevens.
- We bouwen geen advertentieprofielen en verkopen je gegevens niet.
- We volgen je niet met tracking-cookies of advertentienetwerken (zie "Cookies en analytics").
Waarom en op welke grondslag?
Per soort verwerking de grondslag uit de AVG (artikel 6):
| Wat | Waarom | Grondslag |
|---|---|---|
| Account aanmaken, inloggen (magic-link), voorkeuren opslaan | Om je de dienst te kunnen leveren | Uitvoering van de overeenkomst (art. 6.1.b) |
| Dagelijks scannen op basis van jouw voorkeuren en seintjes sturen | Kern van de dienst | Uitvoering van de overeenkomst (art. 6.1.b) |
| WhatsApp-alerts + opslag telefoonnummer | Alleen op jouw verzoek/opt-in | Toestemming (art. 6.1.a) — intrekbaar |
| Verzendgeschiedenis bijhouden (geen dubbele alerts) | Goede werking en niet spammen | Gerechtvaardigd belang (art. 6.1.f) |
| Betaling en abonnementsbeheer (Premium) | Om Premium te kunnen leveren en te factureren | Uitvoering van de overeenkomst (art. 6.1.b) |
| Bewaren van facturen/betaalgegevens | Wettelijke administratie-/bewaarplicht | Wettelijke verplichting (art. 6.1.c) |
| Cookieloze, geaggregeerde bezoekstatistieken | Inzicht in gebruik, dienst verbeteren | Gerechtvaardigd belang (art. 6.1.f) |
[TODO: laat een jurist bevestigen dat deze grondslagen kloppen voor de definitieve functionaliteit, met name de afweging "gerechtvaardigd belang" voor verzendgeschiedenis en analytics.]
Hoe lang bewaren we je gegevens?
- Account, voorkeuren en kanalen: zolang je account actief is. Verwijder je je account, dan verwijderen we deze gegevens (zie "Account verwijderen").
- Verzendgeschiedenis van alerts: zolang je account actief is, om dubbele seintjes te voorkomen. [TODO: eventueel een kortere bewaartermijn afspreken, bijv. opschonen na X maanden.]
- Inlog-tokens (magic-link): kortstondig — een token verloopt automatisch na korte tijd en wordt na gebruik ongeldig.
- Sessie-cookie: verloopt automatisch (momenteel ingesteld op maximaal 30 dagen) of zodra je uitlogt.
- Telefoonnummer (WhatsApp): zolang je WhatsApp als kanaal gekoppeld houdt. Koppel je het los of trek je je toestemming in, dan verwijderen we het.
- Betaal- en factuurgegevens: zolang nodig voor je abonnement, plus de wettelijke fiscale bewaartermijn. [TODO: bevestigen — in Nederland geldt doorgaans een fiscale bewaarplicht van 7 jaar voor de administratie.]
Met wie delen we gegevens (verwerkers)?
We delen gegevens alleen met dienstverleners die ons helpen de dienst te leveren ("verwerkers"). Zij mogen je gegevens alleen gebruiken voor wat wij hen opdragen.
| Verwerker | Waarvoor | Welke gegevens | Locatie |
|---|---|---|---|
| Resend | Versturen van transactionele e-mail (magic-link, alerts) | E-mailadres, inhoud van de mail | [TODO: serverlocatie/regio bevestigen; mogelijk buiten de EER → doorgiftewaarborgen nodig] |
| Mollie | Betalingen en abonnementen (Premium) | Betaalgegevens, e-mailadres, abonnement-ID's | EU (Nederland) |
| Telegram | Bezorgen van alerts via Telegram | Telegram chat-ID, inhoud van het seintje | [TODO: bevestigen; Telegram verwerkt buiten de EER → doorgiftewaarborgen beoordelen] |
| Meta (WhatsApp Cloud API) | Bezorgen van alerts via WhatsApp (alleen bij opt-in) | Telefoonnummer, inhoud van het seintje | [TODO: bevestigen; verwerking via Meta → doorgiftewaarborgen beoordelen] |
| Hostingpartij | Draaien van de website, database en scan-worker | Alle accountgegevens (opgeslagen in de database) | [TODO: hostingprovider en regio bevestigen — huidige stack draait op Hetzner (Duitsland, EER)] |
| Analytics | Cookieloze, geaggregeerde bezoekstatistieken | Geen direct identificeerbare persoonsgegevens (zie hieronder) | [TODO: gekozen tool (bijv. Plausible) en regio bevestigen] |
Belangrijk — verwerkersovereenkomsten: [TODO: met elke verwerker hierboven een verwerkersovereenkomst (DPA) afsluiten en archiveren. Controleer per verwerker of er sprake is van doorgifte buiten de EER en, zo ja, of er passende waarborgen zijn (bijv. EU-modelcontractbepalingen/SCC's). Pas deze tabel daarna aan op de werkelijke situatie.]
We linken in onze seintjes door naar de website van de airline of een aggregator om te boeken. We boeken zelf geen tickets. Wanneer je op zo'n link klikt, gelden de privacyvoorwaarden van die externe partij; daar hebben wij geen invloed op.
Cookies en analytics
We houden het cookievriendelijk:
- Functionele cookie: we gebruiken één noodzakelijke cookie om je ingelogd te houden (de sessie-cookie). Die is technisch nodig en valt onder de uitzondering waarvoor geen toestemming vereist is.
- Géén tracking-cookies, géén advertentiecookies.
- Cookieloze analytics: voor bezoekstatistieken gebruiken we (naar verwachting) een privacyvriendelijke, cookieloze tool die geen individuele bezoekers volgt en geen profielen bouwt. De statistieken zijn geaggregeerd en niet tot jou herleidbaar.
[TODO: definitieve analytics-tool en exacte werking vastleggen. Als er tóch niet-essentiële cookies of tracking bijkomen, is een correcte cookiebanner met opt-in vereist en moet deze sectie worden herzien.]
Je rechten
Onder de AVG heb je het recht om:
- Inzage te vragen in de gegevens die we van je hebben.
- Een kopie/export van je gegevens te ontvangen (recht op dataportabiliteit).
- Correctie te vragen van onjuiste gegevens — veel kun je zelf aanpassen in je voorkeuren.
- Verwijdering van je account en gegevens te vragen ("recht op vergetelheid"). Je kunt je account zelf verwijderen in je accountinstellingen; dat verwijdert je gegevens uit onze database. [TODO: bevestigen dat de zelfbediening-verwijdering volledig cascadeert en eventuele back-ups binnen de afgesproken termijn worden opgeschoond.]
- Toestemming in te trekken (bijv. voor WhatsApp) — even makkelijk als geven. Koppel het kanaal los of pas je instellingen aan.
- Bezwaar te maken tegen verwerkingen op grond van gerechtvaardigd belang.
Wil je een van deze rechten uitoefenen en lukt het niet via je account? Mail dan naar [TODO: privacy-e-mailadres]. We reageren zo snel mogelijk en uiterlijk binnen de wettelijke termijn van één maand.
Ben je het niet eens met hoe we met je gegevens omgaan, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). [TODO: voor Belgische gebruikers de Gegevensbeschermingsautoriteit (gegevensbeschermingsautoriteit.be) vermelden.]
Beveiliging
We nemen passende technische en organisatorische maatregelen om je gegevens te beschermen, zoals versleutelde verbindingen (HTTPS), inloggen zonder wachtwoord via tijdelijke magic-links, en het beperken van wie bij de gegevens kan. [TODO: concrete maatregelen beschrijven die je daadwerkelijk treft, bijv. encryptie at rest, toegangsbeheer, back-upbeleid en hoe je een datalek afhandelt/meldt.]
Kinderen
Vliegseintje is niet gericht op kinderen jonger dan 16 jaar. We verzamelen niet bewust gegevens van kinderen. [TODO: leeftijdsgrens en aanpak bevestigen.]
Wijzigingen
We kunnen deze privacyverklaring aanpassen, bijvoorbeeld als we een nieuw kanaal of een nieuwe verwerker toevoegen. De actuele versie staat altijd op deze pagina, met bovenaan de datum van de laatste wijziging. Bij belangrijke wijzigingen laten we het je weten.
Let op: prijzen die we tonen zijn de retour-totaalprijs en kunnen wijzigen. We boeken zelf geen tickets, maar verwijzen door naar de airline of aggregator.
[TODO: voor publicatie laten controleren door een jurist; alle [TODO]-velden invullen; verwerkersovereenkomsten afsluiten en doorgiftewaarborgen vastleggen.]