Privacybeleid

De verwerkingsverantwoordelijke voor uw persoonsgegevens is:

HupHulp B.V.

• Ingeschreven bij de Kamer van Koophandel (KvK)
• E-mail: privacy@huphulp.nl
• Website: huphulp.nl

Als u vragen heeft over hoe wij uw gegevens verwerken, kunt u op elk moment contact met ons opnemen via het bovenstaande e-mailadres. U kunt ook onze Functionaris voor Gegevensbescherming (FG) bereiken via dpo@huphulp.nl.

Wij verzamelen de volgende categorieën persoonsgegevens:

A. Gegevens die u direct verstrekt:

• Accountgegevens: volledige naam, e-mailadres, wachtwoord (opgeslagen in gehashte vorm)
• Profielinformatie: gebruikersnaam, biografie, profielfoto, bannerfoto
• Contactgegevens: telefoonnummer, fysiek adres
• Professionele informatie: bedrijfsnaam, bedrijfsomschrijving, teamgrootte, oprichtingsjaar, KvK-nummer, verzekeringsstatus, certificeringen
• Identiteitsverificatiedocumenten: geldig identiteitsbewijs (voor- en achterkant), selfiefoto, KvK-bewijsdocumenten, verzekeringscertificaten
• Dienstaanbiedingen: titels, omschrijvingen, prijzen, afbeeldingen, categorieën
• Communicatie: berichten tussen gebruikers, ondersteuningstickets, geschillen en bewijs
• Beoordelingen en waarderingen die u achterlaat voor andere gebruikers
• Projectaanvragen en offertes in de Arena

B. Gegevens die automatisch worden verzameld:

• Locatiegegevens: breedte- en lengtegraad afgeleid van uw adres, gebruikt voor lokale zoekfunctionaliteit
• Gebruiksgegevens: bezochte pagina's, gebruikte functies, tijdstempels van activiteit
• Online aanwezigheid: laatst gezien tijdstempel, onlinestatus (afhankelijk van uw privacy-instellingen)
• Apparaatgegevens: browsertype, besturingssysteem, schermresolutie
• IP-adres: verzameld door onze hostinginfrastructuur voor beveiliging en fraudepreventie

C. Gegevens van derden:

• Betalingsgegevens: Stripe-klant-ID en betalingsmethodereferentie. Let op: volledige creditcardnummers worden nooit op onze servers opgeslagen — deze worden uitsluitend verwerkt en opgeslagen door Stripe, onze PCI-DSS-gecertificeerde betalingsverwerker
• Authenticatiegegevens: sessietokens beheerd door onze authenticatieprovider (Supabase Auth)

Op grond van de AVG verwerken wij uw persoonsgegevens op de volgende rechtsgrondslagen:

• Uitvoering van een overeenkomst (Artikel 6(1)(b) AVG): Verwerking die noodzakelijk is om uw account aan te maken, het Platform te leveren, boekingen te verwerken, betalingen via escrow af te handelen, communicatie tussen gebruikers te faciliteren en onze diensten aan u te leveren
• Gerechtvaardigd belang (Artikel 6(1)(f) AVG): Verwerking die noodzakelijk is voor fraudepreventie, platformbeveiliging, verbetering van onze diensten, handhaving van onze Algemene Voorwaarden en interne analyses. Wij hebben belangenafwegingstoetsen uitgevoerd om te waarborgen dat onze gerechtvaardigde belangen niet prevaleren boven uw rechten
• Wettelijke verplichting (Artikel 6(1)(c) AVG): Verwerking die vereist is om te voldoen aan Nederlands belastingrecht, antiwitwaswetgeving, gerechtelijke bevelen en andere toepasselijke wettelijke vereisten
• Toestemming (Artikel 6(1)(a) AVG): Waar vereist, bijvoorbeeld voor optionele marketingcommunicatie. U kunt uw toestemming op elk moment intrekken zonder dat dit de rechtmatigheid van eerdere verwerking aantast

Voor identiteitsverificatiedocumenten die bijzondere categorieën persoonsgegevens bevatten, verwerken wij op basis van uw uitdrukkelijke toestemming en het zwaarwegende algemeen belang bij fraudepreventie (Artikel 9(2)(a) en (g) AVG).

Wij gebruiken uw persoonsgegevens voor de volgende doeleinden:

• Platformwerking: Het aanmaken en onderhouden van uw account, het tonen van uw profiel aan andere gebruikers, het mogelijk maken van dienstaanbiedingen en boekingen
• Transacties: Het verwerken van betalingen via Stripe escrow, het beheren van mijlpalen, het vrijgeven van gelden na goedkeuring van levering, het genereren van facturen
• Communicatie: Het faciliteren van berichten tussen kopers en verkopers, het verzenden van bestelbijwerkingen, boekingsbevestigingen en systeemmeldingen
• Vertrouwen en veiligheid: Het verifiëren van gebruikersidentiteiten, het detecteren en voorkomen van fraude, het handhaven van onze Algemene Voorwaarden, het oplossen van geschillen, het modereren van inhoud
• Lokaal zoeken: Het gebruik van locatiegegevens om relevante diensten en professionals in de buurt van de gebruiker te tonen
• Dienstverbetering: Het analyseren van gebruikspatronen om Platformfuncties te verbeteren, technische problemen op te lossen en de gebruikerservaring te verbeteren
• Ondersteuning: Het beantwoorden van ondersteuningstickets, het oplossen van klachten, het bieden van klantenservice
• Wettelijke naleving: Het nakomen van belastingverplichtingen, het beantwoorden van rechtmatige verzoeken van autoriteiten, het bijhouden van administratie zoals vereist door Nederlandse en EU-wetgeving

Wij verkopen uw persoonsgegevens niet aan derden. Wij gebruiken uw gegevens niet voor geautomatiseerde profilering of besluitvorming die rechtsgevolgen heeft voor u.

Wij delen persoonsgegevens alleen voor zover noodzakelijk en met de volgende categorieën ontvangers:

• Andere gebruikers: Uw profielnaam, foto, biografie, beoordelingen, dienstaanbiedingen en locatie (op stadsniveau) zijn zichtbaar voor andere Platformgebruikers. Uw exacte adres wordt nooit openbaar getoond
• Stripe (betalingsverwerking): Wij delen uw naam en e-mailadres met Stripe Inc. en Stripe Payments Europe Ltd. om betalingen veilig te verwerken. Stripe is een PCI-DSS Level 1 gecertificeerde betalingsverwerker. Stripe's privacybeleid: https://stripe.com/privacy
• Supabase (hosting en authenticatie): Uw gegevens worden gehost op Supabase-infrastructuur in de EU (AWS eu-central-1, Frankfurt). Supabase treedt op als onze verwerker onder een Verwerkersovereenkomst (VO). Supabase privacybeleid: https://supabase.com/privacy
• Vercel (contentlevering): Statische assets kunnen worden geleverd via het wereldwijde CDN van Vercel. Vercel treedt op als subverwerker
• Rechtshandhaving: Wij kunnen gegevens openbaar maken wanneer dit wettelijk vereist is, bij gerechtelijk bevel of geldig juridisch proces onder Nederlands of EU-recht
• Bedrijfsovergangen: In het geval van een fusie, overname of verkoop van activa kunnen uw gegevens worden overgedragen. Wij zullen u hiervan op de hoogte stellen voordat uw gegevens onderworpen worden aan een ander privacybeleid

Al onze verwerkers zijn gebonden door Verwerkersovereenkomsten die voldoen aan de vereisten van Artikel 28 AVG. Wij delen uw gegevens niet met datahandelaren of adverteerders.

Uw persoonsgegevens worden primair opgeslagen binnen de Europese Economische Ruimte (EER), specifiek in de EU-regio (Frankfurt, Duitsland) op Supabase/AWS-infrastructuur.

Sommige gegevens kunnen in de volgende gevallen buiten de EER worden overgedragen:

• Stripe: Stripe kan betalingsgegevens verwerken in de Verenigde Staten. Deze overdrachten worden beschermd door Standaardcontractbepalingen (SCC's) goedgekeurd door de Europese Commissie (Besluit 2021/914)
• Contentlevering: Statische inhoud kan worden geleverd vanaf wereldwijde edge-locaties voor prestatie-doeleinden. Er worden geen persoonsgegevens gecacht op edge-locaties

Wij dragen uw persoonsgegevens niet over naar landen zonder adequate gegevensbescherming, tenzij passende waarborgen zijn getroffen zoals vereist door AVG Hoofdstuk V (Artikelen 44-49). Waar Standaardcontractbepalingen worden gebruikt, voeren wij Transfer Impact Assessments uit om het gegevensbeschermingslandschap van het ontvangende land te evalueren.

Wij bewaren uw persoonsgegevens slechts zo lang als noodzakelijk om de doeleinden beschreven in dit beleid te vervullen, of zoals vereist door de wet:

• Accountgegevens: Bewaard voor de duur van uw account. Bij accountverwijdering worden persoonsgegevens binnen 30 dagen verwijderd of geanonimiseerd, behalve waar bewaring wettelijk vereist is
• Transactiegegevens: Bewaard voor 7 jaar na de transactiedatum, zoals vereist door Nederlands belastingrecht (Artikel 52 Algemene wet inzake rijksbelastingen — AWR)
• Berichten en communicatie: Bewaard voor de duur van uw account plus 6 maanden na verwijdering voor geschiloplossing
• Identiteitsverificatiedocumenten: Bewaard voor 5 jaar na verificatie, zoals vereist door de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), daarna veilig verwijderd
• Ondersteuningstickets: Bewaard voor 3 jaar na afhandeling
• Serverlogboeken en IP-adressen: Bewaard voor maximaal 90 dagen voor beveiligingsdoeleinden
• Geschilbewijs: Bewaard voor 2 jaar na geschiloplossing

Wanneer gegevens niet langer nodig zijn, worden ze veilig verwijderd of onomkeerbaar geanonimiseerd met behulp van industriestandaard methoden.

Op grond van de AVG en Nederlands gegevensbeschermingsrecht heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

• Recht van inzage (Artikel 15): U kunt een kopie opvragen van alle persoonsgegevens die wij over u bewaren. Wij reageren binnen 30 dagen
• Recht op rectificatie (Artikel 16): U kunt correctie verzoeken van onjuiste of onvolledige persoonsgegevens. U kunt de meeste gegevens ook rechtstreeks bijwerken via uw dashboardinstellingen
• Recht op gegevenswissing / recht op vergetelheid (Artikel 17): U kunt verwijdering van uw persoonsgegevens verzoeken. U kunt uw account verwijderen via Instellingen → Privacy → Account Verwijderen. Let op: wij mogen bepaalde gegevens bewaren waar de wet dit vereist (bijv. belastinggegevens)
• Recht op beperking van verwerking (Artikel 18): U kunt verzoeken dat wij beperken hoe wij uw gegevens gebruiken in bepaalde omstandigheden, bijvoorbeeld terwijl wij de juistheid van uw gegevens verifiëren
• Recht op gegevensoverdraagbaarheid (Artikel 20): U kunt uw gegevens opvragen in een gestructureerd, gangbaar, machineleesbaar formaat (JSON of CSV)
• Recht van bezwaar (Artikel 21): U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang. Wij zullen de verwerking stopzetten, tenzij wij dwingende gerechtvaardigde gronden aantonen
• Recht om toestemming in te trekken (Artikel 7(3)): Waar verwerking is gebaseerd op toestemming, kunt u deze op elk moment intrekken zonder dat dit de rechtmatigheid van eerdere verwerking aantast
• Recht om een klacht in te dienen: U heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) op autoriteitpersoonsgegevens.nl, of bij een andere toezichthoudende autoriteit in de EU

Om een van deze rechten uit te oefenen, kunt u contact met ons opnemen via privacy@huphulp.nl. Wij verifiëren uw identiteit voordat wij uw verzoek verwerken en reageren binnen 30 dagen. Als uw verzoek complex is, kunnen wij deze termijn met 60 dagen verlengen met kennisgeving.

Wij implementeren passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen ongeautoriseerde toegang, wijziging, openbaarmaking of vernietiging:

• Versleuteling tijdens transport: Alle gegevens worden verzonden via HTTPS/TLS 1.2+ versleuteling
• Versleuteling in rust: Databaseopslag is versleuteld met AES-256 versleuteling
• Wachtwoordbeveiliging: Wachtwoorden worden gehashed met bcrypt met salt; wij slaan nooit wachtwoorden op in leesbare tekst
• Toegangscontrole: Strikte rolgebaseerde toegangscontroles (RBAC) beperken wie toegang heeft tot welke gegevens. Row-Level Security (RLS) wordt afgedwongen op databaseniveau
• Betalingsbeveiliging: Alle betalingsverwerking wordt afgehandeld door Stripe (PCI-DSS Level 1 gecertificeerd). Wij slaan nooit volledige creditcardnummers op en hebben hier geen toegang toe
• Verificatiedocumenten: Geüploade identiteitsdocumenten worden opgeslagen in toegangsgecontroleerde opslaglocaties met versleuteling. Toegang is beperkt tot geautoriseerd beheerderspersoneel uitsluitend voor verificatiedoeleinden
• Infrastructuur: Onze database- en authenticatie-infrastructuur wordt gehost op Supabase (AWS) in de EU-regio, met geautomatiseerde back-ups en noodherstel
• Monitoring: Wij monitoren op beveiligingsincidenten en hebben procedures voor incidentrespons. In geval van een datalek melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens conform AVG Artikel 33, en aan getroffen gebruikers zonder onnodige vertraging waar vereist door Artikel 34
• Gegevensbeschermingseffectbeoordelingen: Wij voeren DPIA's uit voor verwerkingsactiviteiten die waarschijnlijk een hoog risico voor betrokkenen met zich meebrengen, zoals vereist door AVG Artikel 35

HupHulp is niet gericht op kinderen jonger dan 16 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen jonger dan 16 jaar, in overeenstemming met AVG Artikel 8 en de Nederlandse uitvoeringswet (die de leeftijd van digitale toestemming op 16 jaar stelt).

Als wij ontdekken dat wij per ongeluk persoonsgegevens van een kind jonger dan 16 jaar hebben verzameld, zullen wij deze gegevens onverwijld verwijderen en het bijbehorende account beëindigen. Als u van mening bent dat een kind jonger dan 16 jaar ons persoonsgegevens heeft verstrekt, neem dan onmiddellijk contact met ons op via privacy@huphulp.nl.

HupHulp maakt gebruik van bepaalde geautomatiseerde systemen om het Platform te bedienen:

• Zoekrangschikking: Dienstaanbiedingen worden gerangschikt op basis van algoritmische factoren zoals relevantie, beoordelingen, responstijd en locatie. Dit heeft geen rechtsgevolgen voor gebruikers
• Pro Score: Professionals ontvangen een berekende score op basis van beoordelingen, responstijd, voltooiingspercentage en profielvolledigheid. Deze score beïnvloedt de zoekzichtbaarheid maar beperkt de toegang tot het Platform niet
• Fraudedetectie: Onze betalingsverwerker (Stripe) maakt gebruik van geautomatiseerde fraudedetectiesystemen

Wij nemen geen volledig geautomatiseerde besluiten die rechtsgevolgen hebben of u op vergelijkbare wijze aanzienlijk treffen zoals gedefinieerd in AVG Artikel 22. U heeft het recht om menselijke beoordeling te verzoeken van elk geautomatiseerd besluit dat u treft.

Het Platform kan links bevatten naar websites of diensten van derden die niet door ons worden beheerd. Wij zijn niet verantwoordelijk voor de privacypraktijken van deze derden. Wij moedigen u aan om het privacybeleid te lezen van alle diensten van derden waarmee u interactie heeft.

Dit Privacybeleid is uitsluitend van toepassing op gegevens die door HupHulp worden verzameld via ons Platform op huphulp.nl.

Do Not Track-signalen: Sommige browsers verzenden "Do Not Track"-signalen (DNT). Aangezien HupHulp geen tracking-, analyse- of advertentiecookies gebruikt, respecteert ons Platform inherent uw privacy ongeacht uw DNT-instelling. Wij volgen uw activiteit niet over websites van derden.

Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken om wijzigingen in onze praktijken, technologie, wettelijke vereisten of andere factoren weer te geven. Wanneer wij materiële wijzigingen aanbrengen:

• Plaatsen wij het bijgewerkte beleid op deze pagina met een nieuwe datum van "Laatst bijgewerkt"
• Voor significante wijzigingen stellen wij geregistreerde gebruikers ten minste 30 dagen voor de inwerkingtreding op de hoogte via e-mail of een melding op het Platform
• Uw voortgezet gebruik van het Platform nadat het bijgewerkte beleid van kracht wordt, vormt uw erkenning van de wijzigingen

Wij raden aan dit beleid periodiek te raadplegen. Eerdere versies zijn op verzoek beschikbaar.

Als u vragen, zorgen of verzoeken hebt met betrekking tot dit Privacybeleid of uw persoonsgegevens, kunt u contact met ons opnemen:

• E-mail: privacy@huphulp.nl
• Bedrijf: HupHulp B.V.
• Toezichthouder: Als u niet tevreden bent met onze reactie, kunt u een klacht indienen bij de Autoriteit Persoonsgegevens op https://autoriteitpersoonsgegevens.nl