Privacybeleid

1. Inleiding

VespaTrace ("wij", "ons", "onze") respecteert uw privacy en is toegewijd aan het beschermen van uw persoonlijke gegevens. Dit privacybeleid legt uit hoe wij uw persoonlijke informatie verzamelen, gebruiken, delen en beschermen.

2. Gegevens die wij verzamelen

Wij verzamelen verschillende soorten informatie om onze diensten te kunnen leveren:

2.1 Accountgegevens

• Verplicht: Naam, email adres, wachtwoord (bcrypt-versleuteld met 12 salt rounds)
• Optioneel: Telefoonnummer, avatar foto, bio
• Reden: Identificatie, authenticatie en accountbeheer
• Rechtsgrond: Uitvoering van overeenkomst (Art. 6(1)(b) AVG)

2.2 Meldingsgegevens

• Verzameld: Foto's van hoornaarnesten, GPS-coördinaten, datum/tijd, notities, soort hornets
• Reden: Nestregistratie, kaartweergave, community-waarschuwingen
• Rechtsgrond: Gerechtvaardigd belang (Art. 6(1)(f) AVG) - volksgezondheid en veiligheid
• Zichtbaarheid: Openbaar voor community-leden in uw regio

2.3 Locatiegegevens

• Verzameld: GPS-coördinaten van nesten, gemeente/regio van gebruiker
• Reden: Kaartweergave, community-matching, geotargeting van waarschuwingen
• Rechtsgrond: Toestemming (Art. 6(1)(a) AVG)
• Opmerking: U kunt locatietoegang intrekken in uw browser/app instellingen

2.4 Gebruiksgegevens

• Verzameld: IP-adres, browser type, apparaatinformatie, pagina's bezocht, tijd besteed
• Reden: Beveiliging, fraude-detectie, platform-analyse, bug-fixing
• Rechtsgrond: Gerechtvaardigd belang (Art. 6(1)(f) AVG)
• Bewaartermijn: 90 dagen, daarna geanonimiseerd

2.5 OAuth Gegevens (Google/Facebook)

• Verzameld: Email, naam, profielfoto (alleen bij toestemming)
• Reden: Vereenvoudigde inloggen zonder apart wachtwoord
• Rechtsgrond: Toestemming (Art. 6(1)(a) AVG)
• Opmerking: Wij ontvangen geen toegang tot andere Google/Facebook gegevens

2.6 Communicatiegegevens

• Verzameld: Berichten aan support, commentaar op meldingen, afspraak-notities
• Reden: Klantenservice, platform-verbetering, communicatie
• Rechtsgrond: Uitvoering van overeenkomst (Art. 6(1)(b) AVG)

3. Hoe wij uw gegevens gebruiken

Wij gebruiken uw gegevens uitsluitend voor de volgende doeleinden:

3.1 Kerndiensten

• Accountcreatie en authenticatie (login/logout)
• Registratie en opvolging van hoornaarnesten
• Kaartweergave van nesten in uw regio
• Community-management en lidmaatschap
• Afspraak-planning met nestverwijderaars
• Real-time notificaties over nieuwe nesten

3.2 Communicatie

• Email-notificaties over uw meldingen en afspraken
• Belangrijke updates over nesten in uw buurt
• Wekelijkse samenvatting van community-activiteit (optioneel)
• Technische mededelingen en beveiligingswaarschuwingen
• Antwoorden op support-vragen

3.3 Beveiliging & Fraude

• Detectie en preventie van misbruik en spam
• Bescherming tegen ongeautoriseerde toegang
• Verificatie van meldingen (AI-analyse van foto's)
• Rate-limiting om overbelasting te voorkomen

3.4 Platform-verbetering

• Analyse van gebruikspatronen (geanonimiseerd)
• Bug-detectie en foutoplossing
• A/B testen van nieuwe features (optioneel)
• Performance monitoring

3.5 Wetgeving & Veiligheid

• Naleving van wettelijke verplichtingen (AVG, e-Privacy)
• Samenwerking met overheidsdiensten (bij wettig verzoek)
• Bescherming van volksgezondheid en veiligheid

Opmerking: Wij gebruiken uw gegevens NOOIT voor marketing van derden, en verkopen uw gegevens nooit aan andere bedrijven.

4. Delen van gegevens met derden

Wij delen uw persoonlijke gegevens alleen in de volgende gevallen:

4.1 Binnen VespaTrace Platform

• Community-leden: Uw naam en openbare nestmeldingen zijn zichtbaar binnen uw community
• Community-admins: Kunnen uw naam, email en telefoonnummer zien voor afspraak-coördinatie
• Nestverwijderaars: Ontvangen uw contactgegevens bij een bevestigde afspraak
• Rechtsgrond: Uitvoering van overeenkomst (Art. 6(1)(b) AVG)

4.2 Service Providers (Data Processors)

Wij werken samen met betrouwbare serviceproviders die ons helpen de dienst te leveren. Zij mogen uw gegevens alleen verwerken volgens onze instructies:

• Azure/Microsoft: Database hosting (PostgreSQL), cloud infrastructure
• Brevo: Email-verzending (transactioneel, geen marketing)
• GitHub: Code repository en CI/CD pipelines
• Google/Facebook: OAuth authenticatie (alleen bij toestemming)
• Cloudflare: CDN en DDoS-bescherming

Data Processing Agreements: Alle providers hebben een verwerkersovereenkomst ondertekend conform Art. 28 AVG.

4.3 Overheidsdiensten

• Wettelijke verplichting: Bij gerechtelijk bevel of wettelijke plicht (Art. 6(1)(c) AVG)
• Volksgezondheid: Geaggregeerde nestdata kan gedeeld worden met overheidsdiensten voor onderzoek (geanonimiseerd)
• Transparantie: Wij informeren u over dergelijke verzoeken, tenzij wettelijk verboden

4.4 Bedrijfsoverdracht

Bij fusie, overname of verkoop van VespaTrace kunnen uw gegevens worden overgedragen aan de nieuwe eigenaar. U wordt hierover vooraf geïnformeerd en heeft het recht uw account te verwijderen.

⚠️ Wij verkopen of verhuren uw gegevens NOOIT aan derden voor marketing of andere commerciële doeleinden.

5. Gegevensbeveiliging

Wij implementeren industrie-standaard beveiligingsmaatregelen om uw gegevens te beschermen:

• Wachtwoorden worden versleuteld met bcrypt (12 salt rounds)
• HTTPS-versleuteling voor alle gegevensoverdracht
• Regelmatige beveiligingsaudits
• Toegangscontroles en rolgebaseerde permissies
• Automatische sessie-uitloggen na inactiviteit

6. Uw rechten onder de AVG/GDPR

Onder de AVG (Algemene Verordening Gegevensbescherming) heeft u uitgebreide rechten over uw persoonlijke gegevens:

6.1 Recht op inzage (Art. 15 AVG)

• U kunt een kopie opvragen van alle gegevens die wij over u hebben
• U krijgt inzicht in de doeleinden, categorieën en ontvangers van uw gegevens
• Uitvoering: Via uw profielpagina → "Data exporteren" of via privacy@vespatrace.app
• Termijn: Binnen 30 dagen (1 maand)
• Kosten: Gratis (tenzij verzoek kennelijk ongegrond of excessief)

6.2 Recht op rectificatie (Art. 16 AVG)

• U kunt onjuiste of onvolledige gegevens laten corrigeren
• Uitvoering: Via uw profielpagina → "Profiel bewerken" of via privacy@vespatrace.app
• Termijn: Binnen 30 dagen

6.3 Recht op verwijdering / "Recht om vergeten te worden" (Art. 17 AVG)

• U kunt uw account en alle gegevens volledig laten verwijderen
• Uitvoering: Via uw profielpagina → "Account verwijderen" of via privacy@vespatrace.app
• Termijn: Binnen 30 dagen
• Uitzonderingen: Wij mogen gegevens bewaren indien nodig voor:
  • Wettelijke verplichtingen (bijv. boekhoudkundige documenten)
  • Juridische claims (bijv. bij lopende geschillen)
  • Gearchiveerde gegevens voor historisch onderzoek (geanonimiseerd)

6.4 Recht op dataportabiliteit (Art. 20 AVG)

• U kunt uw gegevens in een gestructureerd, gangbaar formaat ontvangen (JSON/CSV)
• U kunt uw gegevens rechtstreeks laten overdragen naar een andere dienst (indien technisch haalbaar)
• Uitvoering: Via uw profielpagina → "Data exporteren"
• Formaat: ZIP-bestand met JSON-bestanden + foto's

6.5 Recht op beperking van verwerking (Art. 18 AVG)

• U kunt vragen om tijdelijk geen verdere verwerking van uw gegevens
• Wanneer: Bij betwisting van juistheid, bezwaar tegen verwerking, of wachten op juridische claim
• Uitvoering: Via privacy@vespatrace.app

6.6 Recht op bezwaar (Art. 21 AVG)

• U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang
• Voorbeelden: Profilering, direct marketing (wij doen geen marketing)
• Uitvoering: Via privacy@vespatrace.app
• Gevolg: Wij stoppen de verwerking, tenzij zwaarwegende gronden (bijv. wettelijke verplichting)

6.7 Recht om klacht in te dienen

• U kunt een klacht indienen bij de toezichthoudende autoriteit:
• België: Gegevensbeschermingsautoriteit (GBA) - www.gegevensbeschermingsautoriteit.be
• Nederland: Autoriteit Persoonsgegevens (AP) - www.autoriteitpersoonsgegevens.nl

💡 Hoe uw rechten uitoefenen?
Stuur een email naar privacy@vespatrace.app met:

• Uw volledige naam en email-adres (voor verificatie)
• Duidelijke beschrijving van uw verzoek
• Eventueel: bewijs van identiteit (kopie ID, zwart-maken rijksregisternummer)

7. Bewaartermijn van gegevens

Wij bewaren uw gegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld:

Automatische verwijdering

• Inactieve accounts (>2 jaar geen login): waarschuwing na 18 maanden, verwijdering na 24 maanden
• Niet-geverifieerde accounts: verwijdering na 30 dagen
• Verlopen email-verificatie tokens: verwijdering na 24 uur
• Wachtwoord-reset tokens: verwijdering na 1 uur

Opmerking: Na verwijdering van uw account worden uw persoonlijke gegevens permanent verwijderd binnen 30 dagen. Openbare nestmeldingen worden geanonimiseerd (naam vervangen door "Voormalig lid") om de historische waarde te behouden.

8. Cookies en tracking technologieën

VespaTrace gebruikt cookies om de website te laten functioneren en uw ervaring te verbeteren.

8.1 Wat zijn cookies?

Cookies zijn kleine tekstbestanden die op uw apparaat worden opgeslagen wanneer u onze website bezoekt. Ze helpen de website uw voorkeuren te onthouden en functionaliteit te bieden.

8.2 Welke cookies gebruiken wij?

8.3 Cookies beheren

• Browser-instellingen: U kunt cookies uitschakelen via uw browser-instellingen
• Gevolgen: Essentiële cookies uitschakelen kan ervoor zorgen dat login niet werkt
• Instructies:
  • Chrome: Instellingen → Privacy en beveiliging → Cookies
  • Firefox: Instellingen → Privacy en beveiliging → Cookies en sitegegevens
  • Safari: Voorkeuren → Privacy → Cookies blokkeren
  • Edge: Instellingen → Cookies en sitemachtigingen

8.4 Local Storage & Session Storage

Naast cookies gebruiken wij ook browser storage voor tijdelijke gegevens:

• Session Storage: Tijdelijke UI-state (kaartweergave, filters) - verwijderd bij sluiten tab
• Local Storage: Offline cache voor foto's (max 50MB) - handmatig wissen mogelijk

15. Wijzigingen in dit privacybeleid

Wij kunnen dit privacybeleid van tijd tot tijd aanpassen om wijzigingen in onze diensten, wettelijke vereisten of best practices te weerspiegelen.

Hoe wij u informeren

• Kleine wijzigingen: Bijgewerkte datum bovenaan + melding op website (30 dagen zichtbaar)
• Belangrijke wijzigingen: Email-notificatie naar alle gebruikers + in-app melding
• Belangrijke wijzigingen omvatten:
  • Nieuwe verwerkingsdoeleinden
  • Nieuwe categorieën ontvangers (derden)
  • Internationale gegevensoverdracht naar nieuwe landen
  • Langere bewaartermijnen
  • Nieuwe geautomatiseerde besluitvorming

Uw rechten bij wijzigingen

Als u niet akkoord gaat met de wijzigingen, kunt u uw account verwijderen binnen 30 dagen na de melding. Na deze termijn wordt aangenomen dat u akkoord gaat met het nieuwe beleid door verder gebruik te maken van VespaTrace.

Versiegeschiedenis

• v3.0 - 10 oktober 2025: Uitgebreide AVG-sectie, AI-gebruik, internationale overdracht
• v2.0 - 25 januari 2025: Community-functies, OAuth toevoegingen
• v1.0 - 15 december 2024: Initiële versie

Eerdere versies zijn beschikbaar op verzoek via privacy@vespatrace.app

10. Internationale gegevensoverdracht

Uw gegevens worden voornamelijk verwerkt binnen de Europese Economische Ruimte (EER):

• Database: Azure PostgreSQL in West-Europa (Nederland)
• Applicatie hosting: Azure Web Apps in West-Europa
• Backup storage: Azure Blob Storage in West-Europa met geo-redundantie

Overdracht buiten de EER

Sommige serviceproviders zijn gevestigd buiten de EER. In dat geval zorgen wij voor passende waarborgen:

• Brevo (FR): Volledig EU-gebaseerd bedrijf, data opgeslagen in EU datacenters - geen internationale doorgifte nodig
• GitHub (VS): EU-US Data Privacy Framework certified + GDPR-compliant DPA
• Google OAuth (VS): Alleen bij expliciete toestemming + EU-US Data Privacy Framework

Meer informatie: EU Data Protection

11. Beveiliging van minderjarigen

VespaTrace is niet bedoeld voor kinderen onder de 16 jaar. Wij verzamelen niet bewust gegevens van minderjarigen zonder ouderlijke toestemming.

• Gebruikers moeten bevestigen dat ze 16+ jaar zijn bij registratie
• Als wij ontdekken dat gegevens van een minderjarige zijn verzameld, verwijderen wij deze onmiddellijk
• Ouders kunnen contact opnemen via privacy@vespatrace.app om gegevens te verwijderen

12. Geautomatiseerde besluitvorming & AI

VespaTrace gebruikt AI voor bepaalde functies:

AI-gebruik

• Foto-analyse (ML.NET): Automatische herkenning van hoornaartypes op foto's
  • Doel: Snellere verificatie en betere data-kwaliteit
  • Impact: Suggestie (GEEN automatische afwijzing)
  • Menselijke review: Altijd mogelijk via admin-interface
• Spam-detectie: Automatische filtering van spam-meldingen
  • Doel: Bescherming tegen misbruik
  • Impact: Melding wordt gemarkeerd voor review (GEEN automatische verwijdering)
  • Bezwaar: Mogelijk via privacy@vespatrace.app

⚠️ Wij nemen GEEN geautomatiseerde beslissingen met rechtsgevolgen of aanzienlijke impact zonder menselijke tussenkomst (Art. 22 AVG).

13. Datalek-procedure

In het onwaarschijnlijke geval van een datalek volgen wij een strikte procedure:

• Detectie: 24/7 monitoring met automatische alerts
• Melding toezichthouder: Binnen 72 uur bij de Gegevensbeschermingsautoriteit (GBA/AP)
• Melding getroffen personen: Binnen 72 uur indien hoog risico voor uw rechten
• Maatregelen: Onmiddellijke beveiliging, onderzoek en herstel
• Transparantie: Openbare melding op website indien grootschalig lek

Datalek melden? security@vespatrace.app (PGP-sleutel beschikbaar op verzoek)

14. Contact & Functionaris Gegevensbescherming

Contact voor privacy-vragen

• Algemene vragen: privacy@vespatrace.app
• Datalekmeldingen: security@vespatrace.app
• Klachten: complaints@vespatrace.app
• Reactietijd: Binnen 5 werkdagen eerste reactie, binnen 30 dagen definitief antwoord

Toezichthoudende autoriteiten