Privacybeleid
Dit beleid legt uit welke persoonsgegevens FritKot.Online verwerkt, waarom, hoelang en hoe je je rechten uitoefent.
Verwerkingsverantwoordelijke en contact
- Uitgever: FritKot.Online, Belgie. De volledige administratieve gegevens van de exploitant (rechtsvorm, postadres, KBO/BTW indien van toepassing) worden toegevoegd voor commerciele exploitatie of betalende verwerking.
- Privacycontact: privacy@fritkot.online. Juridisch contact: legal@fritkot.online. Beveiligingsmeldingen: security@fritkot.online.
Gegevens die we verwerken
- Accountgegevens: pseudo, e-mailadres, telefoonnummer, taal, GDPR-toestemming en datum van aanmaak.
- Verificatiegegevens: gehashte OTP-code, vervaldatum, aantal pogingen en verzendtijd. De code zelf wordt niet in leesbare vorm bewaard.
- Bijdragen: scores, criteria, eventuele commentaar, datum en gekoppeld pseudo.
- Technische beveiligingsgegevens: sessie-ID, rate-limit tellers, gehashte IP- en user-agentgegevens in beveiligingslogs.
Doeleinden en rechtsgronden
- Toegang beheren en e-mail verifiëren via OTP: uitvoering van de gevraagde dienst.
- Stemmen en reacties beveiligen, misbruik beperken en fraude voorkomen: gerechtvaardigd belang.
- Publieke reacties en scores tonen: uitvoering van de dienst en gebruikersbijdrage.
- GDPR-verzoeken en juridische verplichtingen behandelen: wettelijke verplichting.
- Geen marketing zonder afzonderlijke toestemming.
Bewaartermijnen
- OTP-code: 10 minuten geldig; OTP-hash en metadata worden na verval gewist en uiterlijk binnen 24 uur opgeschoond. Eventuele OTP-testlogs worden maximaal 24 uur bewaard.
- Rate-limit bestanden: bewaard tot het einde van het beveiligingsvenster plus maximaal 1 uur.
- Sessies en noodzakelijke sessiebestanden: maximaal 30 dagen.
- Technische logs: Nginx access logs 30 dagen; Nginx error logs, uptime- en operationele logs 90 dagen; beveiligingsgebeurtenissen en incidentalerts 180 dagen. Incidentextracten kunnen maximaal 12 maanden beperkt bewaard worden wanneer nodig voor beveiliging of juridische bewijsvoering.
- Niet-geverifieerde accounts worden na 30 dagen verwijderd. Geverifieerde accounts die 24 maanden niet gebruikt zijn, worden verwijderd/anoniem gemaakt: e-mail, telefoon en accountidentifiers verdwijnen; publieke bijdragen worden losgekoppeld of geanonimiseerd; geaggregeerde scores kunnen anoniem blijven bestaan.
- Geldige verwijderings- of exportverzoeken worden normaal binnen 1 maand behandeld, tenzij GDPR een gemotiveerde verlenging toelaat.
Ontvangers en verwerkers
- Hosting: Hetzner serverinfrastructuur.
- E-mail: lokale mailserver of Brevo SMTP indien geconfigureerd.
- Kaart: OpenStreetMap tegels worden door je browser geladen om de kaart te tonen.
- We verkopen persoonsgegevens niet door.
Cookies en lokale opslag
- Noodzakelijke cookies: sessie en taalvoorkeur.
- Lokale opslag: PWA/splash- en installatiestatus, zonder marketingtracking.
- Er is momenteel geen advertentie- of marketingtrackingcookie.
Jouw rechten
- Je kan toegang, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar vragen via privacy@fritkot.online.
- Je kan klacht indienen bij de Belgische Gegevensbeschermingsautoriteit: https://www.gegevensbeschermingsautoriteit.be.