apps/web/src/lib/legal.ts in voordat de site live gaat.Privacyverklaring
Laatst bijgewerkt: 2026-04-24
Run Your Dinner B.V. (“RYD”, “wij”) hecht veel waarde aan de bescherming van jouw persoonsgegevens. In deze privacyverklaring leggen wij uit welke gegevens wij verwerken, waarom, op welke grondslag en hoe lang we ze bewaren. Wij handelen conform de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG.
1. Verwerkingsverantwoordelijke
Run Your Dinner B.V.
{{STRAAT HUISNR}}, {{POSTCODE}} Utrecht, Nederland
KvK: {{KVK}} · BTW: {{BTW-ID}}
E-mail: privacy@{{DOMEIN}}
2. Welke persoonsgegevens verwerken wij?
- Accountgegevens: e-mailadres, voornaam, achternaam, (optioneel) voornaam partner.
- Adresgegevens: straat, huisnummer, postcode, plaats, land, en geografische coördinaten (lat/lng) op basis van het opgegeven adres.
- Dieet- en allergie-informatie (bijzondere persoonsgegevens, art. 9 AVG): optionele dieetvoorkeuren (vegetarisch, veganistisch, glutenvrij, lactosevrij, halal, kosher, pescotarisch) en een vrij tekstveld voor allergieën (max. 1000 tekens).
- Eventdeelname: aanmeldingen, rol (host/gast), groepssamenstelling, betaalstatus, communicatie in eventchat.
- Notificatievoorkeuren: voorkeuren voor push, chat en aankondigingen; webpush-subscription (indien geactiveerd).
- Technische gegevens: sessiecookie, IP-adres in logs, browser/device-informatie, authenticatietokens (Amazon Cognito).
- Betaalgegevens: wij slaan géén kaartgegevens op. Transacties verlopen via Stripe; wij ontvangen van Stripe alleen status en referenties (customer-id, payment-intent-id, factuurnummer, bedrag).
3. Doeleinden en grondslagen
| Doel | Grondslag (art. 6 / 9 AVG) |
|---|---|
| Account aanmaken, inloggen en beheren | Uitvoering overeenkomst (6-1-b) |
| Toewijzen hosts/gasten, routes berekenen op basis van adres | Uitvoering overeenkomst (6-1-b) |
| Transactionele e-mails (bevestigingen, plan, herinneringen) | Uitvoering overeenkomst (6-1-b) |
| Verwerken van betalingen via Stripe | Uitvoering overeenkomst (6-1-b) + wettelijke verplichting (6-1-c) |
| Verwerken dieetwensen en allergieën | Uitdrukkelijke toestemming (9-2-a) |
| Beveiliging, fraudepreventie en misbruikbestrijding | Gerechtvaardigd belang (6-1-f) |
| Naleving wettelijke verplichtingen (bv. fiscale bewaarplicht) | Wettelijke verplichting (6-1-c) |
4. Ontvangers en subverwerkers
Wij schakelen de volgende verwerkers in. Met elk is een verwerkersovereenkomst gesloten (art. 28 AVG). Alle primaire opslag vindt plaats in de Europese Unie (regio's: eu-west-1 (Ierland), eu-central-1 (Frankfurt)).
- Amazon Web Services EMEA SARL— hosting, database (DynamoDB), bestandsopslag (S3), e-mailverzending (SES), authenticatie (Cognito), logging (CloudWatch). Opslag uitsluitend in EU-regio's.
- Stripe Payments Europe, Ltd. (Ierland)— betalingsverwerking. Doorgifte naar Stripe Inc. (VS) vindt plaats op basis van Standaardcontractbepalingen (SCC's) en aanvullende waarborgen.
Wij verkopen jouw gegevens niet en gebruiken geen advertentie- of tracking-cookies van derden.
5. Bewaartermijnen
- Accountgegevens: zolang je account actief is. Na verwijdering worden identificeerbare velden gepseudonimiseerd of verwijderd.
- Sessiecookie (ryd_session): maximaal 30 dagen.
- Refresh-token (ryd_refresh): maximaal 7 dagen.
- Onboarding-cookie (ryd_onboarding): 1 uur, wordt na afronding onboarding gewist.
- Applicatie-logs (CloudWatch): 30 dagen; audit-logs 60 dagen.
- Point-in-time backup (DynamoDB PITR): 35 dagen rollend venster.
- Betaal- en factuurgegevens: 7 jaar, op grond van art. 52 AWR (fiscale bewaarplicht).
- Geanonimiseerde audit-trail van verwijderingen: bewaard voor verantwoording en fraudepreventie.
6. Jouw rechten
Op grond van art. 15 t/m 22 AVG heb je de volgende rechten:
- Inzage — je kunt een kopie van jouw gegevens downloaden via je profiel(“Download mijn gegevens”).
- Rectificatie — corrigeer onjuiste gegevens direct in je profiel of mail ons.
- Verwijdering (“recht op vergetelheid”) — verwijder je account via je profiel; we wissen of pseudonimiseren je gegevens direct, met uitzondering van gegevens waarvoor een wettelijke bewaarplicht geldt.
- Beperking en bezwaar — tegen verwerkingen op grond van gerechtvaardigd belang.
- Gegevensoverdraagbaarheid — je export bevat je gegevens in machineleesbaar formaat (JSON).
- Intrekken toestemming — je kunt toestemming voor dieet- en allergiegegevens, push-notificaties of nieuwsbrief op ieder moment intrekken.
Stuur verzoeken naar privacy@{{DOMEIN}}. We reageren uiterlijk binnen een maand (art. 12 AVG).
7. Klachtrecht
Je hebt het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl. Wij stellen het op prijs als je eerst contact met ons opneemt.
8. Beveiliging
Wij passen passende technische en organisatorische maatregelen toe: versleuteling in transit (TLS) en at rest, strikte IAM-scheiding, audit-logging van toegang en dataverwijderingen, en PII-scrubbing in applicatie-logs. Onze infrastructuur draait uitsluitend in EU-regio's.
9. Geautomatiseerde besluitvorming
Wij gebruiken geen geautomatiseerde besluitvorming met rechtsgevolgen in de zin van art. 22 AVG. De koppeling van deelnemers aan events gebeurt op basis van afstand en groepsgrootte; de uitkomst heeft geen juridische of vergelijkbaar aanmerkelijke impact.
10. Kinderen
Onze dienst is gericht op personen van 16 jaar en ouder (art. 5 Uitvoeringswet AVG). Wij verwerken bewust geen gegevens van personen onder de 16 zonder toestemming van ouders of wettelijk vertegenwoordiger. Vermoed je dat dit toch is gebeurd? Neem direct contact op via privacy@{{DOMEIN}} zodat wij deze gegevens kunnen verwijderen.
11. Cookies
Wij plaatsen uitsluitend strikt noodzakelijke cookies voor login en veiligheid; geen analytics, advertenties of trackers van derden. Zie onze cookieverklaring.
12. Wijzigingen
Wij mogen deze privacyverklaring wijzigen. Bij ingrijpende wijzigingen informeren wij je per e-mail of in-app. De actuele versie staat altijd op deze pagina met de bijgewerkte datum bovenaan.