Kaartspot hecht groot belang aan de bescherming van uw persoonsgegevens. In dit privacybeleid informeren wij u over welke gegevens wij verzamelen, waarom, hoe lang wij ze bewaren, met wie wij ze delen en wat uw rechten zijn. Dit beleid is opgesteld in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG / GDPR) en relevante Nederlandse wetgeving waaronder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
1. Wie is verantwoordelijk?
De verwerkingsverantwoordelijke is Kaartspot, een handelsnaam van de eenmanszaak van M.L. Dalderop, ingeschreven bij de Kamer van Koophandel onder nummer 76312062, gevestigd te Gulperberg 59, 3453 RW De Meern. Voor vragen over uw privacy of het uitoefenen van uw rechten kunt u contact opnemen via info@kaartspot.nl.
Kaartspot heeft geen Functionaris voor Gegevensbescherming (FG/DPO) aangewezen. Onze schaal en verwerkingsactiviteiten vallen onder geen van de wettelijke verplichte categorieën van AVG art. 37. Vragen kunt u direct stellen via bovengenoemd e-mailadres.
2. Op wie heeft dit beleid betrekking?
Dit beleid is van toepassing op alle natuurlijke personen wiens persoonsgegevens wij verwerken in het kader van het Kaartspot-platform:
- Kopers: gebruikers die via Kaartspot kaarten of sealed producten aanschaffen
- Verkopers (particulier en zakelijk): gebruikers die via Kaartspot kaarten of sealed producten aanbieden
- Bezoekers: personen die de website bezoeken zonder account
- Contactpersonen: personen die contact opnemen met onze klantenservice
3. Welke gegevens verzamelen wij?
3.1 Accountgegevens
- Naam en e-mailadres (verplicht bij registratie)
- Gebruikersnaam (@username), zichtbaar voor andere gebruikers
- Telefoonnummer (verplicht voor SMS-verificatie van verkopers en account-herstel)
- Profielfoto (optioneel, alternatief: default-avatar)
- Land en stad (optioneel, voor weergave op uw seller-pagina en in zoekresultaten van kopers)
- Wachtwoord, wordt veilig gehasht opgeslagen en is nooit leesbaar voor Kaartspot-medewerkers
3.2 Verkoper-verificatiegegevens (KYC)
Voor verkopers verwerken wij via onze betaalpartner Online Payment Platform (OPP) aanvullende gegevens conform de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft):
- IBAN-rekeningnummer en tenaamstelling (verplicht voor uitbetalingen)
- Volledige naam en geboortedatum
- Geboorteplaats en nationaliteit
- Adresgegevens
- Kopie identiteitsbewijs (paspoort, ID-kaart of rijbewijs), verplicht boven Wwft-drempels (€ 250 per transactie of € 1.500 cumulatief)
- Bij zakelijke verkopers aanvullend: KvK-uittreksel, UBO-register uittreksel, BTW-nummer
- Resultaten van sanctie- en PEP-screening (uitgevoerd door OPP)
- Optioneel: iDIN- of itsme-verificatiegegevens als u kiest voor seamless identiteitsverificatie
De KYC-gegevens worden rechtstreeks door OPP verwerkt. Kaartspot ontvangt alleen de uitkomst (geverifieerd ja/nee, KYC-level) en niet de onderliggende identiteitsdocumenten. Zie verder §8.
3.3 Transactiegegevens
- Aangeboden en gekochte producten (kaartnaam, set, conditie, prijs)
- Transactiebedragen, betaaldata en betaalmethode (iDEAL, Bancontact, etc.)
- Bezorgadressen en track & trace-codes
- Beoordelingen en reviews (zichtbaar op uw publieke profiel)
- Geschillen, retouren en restitutie-historie
3.4 Technische gegevens
- IP-adres (gebruikt voor fraudedetectie, beveiliging en, in geaggregeerde vorm, analyse van platformgebruik)
- Browsertype, besturingssysteem en apparaattype
- Verwijzende URL en bezoektijden
- Bezoekgedrag op het platform (via cookies en analytics, zie ons cookiebeleid)
- Sessie-tokens (voor authenticatie via Supabase Auth)
3.5 Communicatiegegevens
- Berichten via het interne berichtensysteem tussen kopers en verkopers
- Bijlagen in chatberichten (afbeeldingen ter ondersteuning van een gesprek of geschil)
- E-mailcorrespondentie met klantenservice
- Meldingen en notificatievoorkeuren (opt-in per categorie)
- Door gebruikers ingediende meldingen ("reports") tegen berichten, listings, profielen of reviews, inclusief reden en optionele toelichting
3.6 Aanwezigheids- en gedragsgegevens
- Online status (last_seen_at): tijdstip van uw laatste activiteit op het platform, gebruikt om andere gebruikers te tonen dat u online bent. U kunt dit uitschakelen via Instellingen → Privacy & Beveiliging ("invisible mode"); de tijdstempel wordt dan direct gewist en niet langer bijgewerkt.
- Geblokkeerde gebruikers: wij bewaren een lijst van gebruikers die u heeft geblokkeerd, zodat zij u geen berichten kunnen sturen. De geblokkeerde gebruiker ontvangt geen melding van de blokkade.
- Privacy- en notificatievoorkeuren: uw keuzes per categorie (bestellingen, berichten, beoordelingen, prijswaarschuwingen, marketing) worden opgeslagen om uw voorkeuren te respecteren.
- Reputatiescore en seller-tier: wij berekenen automatisch een reputatie- en tier-score op basis van verkopen, reviews en disputes. Zie §9 voor uitleg over deze geautomatiseerde berekening.
3.7 Winactiegegevens
Wanneer u meedoet aan een winactie (giveaway) verwerken wij:
- Uw deelname, gekoppeld aan uw Kaartspot-account
- Uw IP-adres, uitsluitend om dubbele deelnames tegen te gaan bij winacties met een limiet van één deelname per IP-adres
- Bij winst: uw gebruikersnaam en profiel (zichtbaar als winnaar op de winactie) en de gegevens die nodig zijn om de prijs te bezorgen
Wij gebruiken deze gegevens uitsluitend om de winactie eerlijk uit te voeren en de prijs uit te reiken. Zie ook onze actievoorwaarden.
4. Waarom verzamelen wij uw gegevens?
Wij verwerken uw persoonsgegevens voor de volgende doeleinden:
- Uitvoering van de overeenkomst: het verwerken van aankopen, betalingen via OPP, escrow-afhandeling en verzendingen
- Accountbeheer: het aanmaken, beheren en beveiligen van uw account
- Wettelijke verplichtingen (Wwft & AVG): identificatie en verificatie van verkopers, sanctie-screening, fiscale en boekhoudkundige bewaarplichten
- Veiligheid en fraude: het detecteren en voorkomen van fraude, witwassen, misbruik en oplichting
- Klantenservice: het beantwoorden van vragen en afhandelen van klachten en geschillen
- Platform-werking: tonen van seller-profielen, reputatie-systeem, ranglijsten en zoekfunctionaliteit
- Winacties: het eerlijk uitvoeren van winacties (giveaways), het tegengaan van dubbele deelnames en het uitreiken van prijzen
- Marketing (alleen met toestemming): het sturen van nieuwsbrieven, prijswaarschuwingen en aanbiedingen
- Analytische verbetering: begrijpen hoe het platform gebruikt wordt om de dienst te verbeteren
5. Rechtsgrond voor verwerking
- Uitvoering overeenkomst (AVG art. 6.1.b): account- en transactiegegevens, leveringsgegevens, transactionele communicatie
- Wettelijke verplichting (AVG art. 6.1.c):
- KYC/identiteitsverificatie van verkopers: Wwft
- Financiële administratie en transactiehistorie: fiscale bewaarplicht (Algemene wet inzake rijksbelastingen)
- Sanctie- en PEP-screening: internationale sanctieregelgeving
- Gerechtvaardigd belang (AVG art. 6.1.f): fraudepreventie, platformbeveiliging, reputatie-systeem, IT-beveiliging en analytische verbetering. Wij maken hierbij een afweging tussen onze belangen en uw rechten.
- Toestemming (AVG art. 6.1.a): marketingcommunicatie, niet-essentiële cookies en optionele functionaliteit zoals prijsmeldingen.
6. Hoe lang bewaren wij uw gegevens?
- Accountgegevens: zolang uw account actief is, plus 2 jaar na verwijdering (voor heractivatie en geschillen)
- Transactiegegevens en financiële administratie: 7 jaar (wettelijke fiscale bewaarplicht)
- KYC-documenten (bij OPP): 5 jaar na beëindiging van de zakelijke relatie (Wwft art. 33)
- Beoordelingen: permanent zichtbaar, gekoppeld aan transactie
- Berichten: 2 jaar na afronding van de transactie, daarna automatisch gewist
- Marketinggegevens: totdat u uw toestemming intrekt
- Logbestanden en analytische data: 13 maanden, daarna geaggregeerd of gewist
- Cookiedata: per cookietype verschillend, zie ons cookiebeleid
7. Delen van gegevens met derden
Wij delen uw gegevens alleen met derden voor zover noodzakelijk voor de dienstverlening of op grond van een wettelijke verplichting. Met alle verwerkers zijn verwerkersovereenkomsten afgesloten conform AVG art. 28. Wij verkopen uw gegevens nooit aan derden.
7.1 Onze huidige verwerkers en zelfstandig verwerkingsverantwoordelijken
- Online Payment Platform (OPP) B.V., Online Betaalplatform: verwerkt betalingen, KYC-verificatie van verkopers, escrow-houden, uitbetalingen en sanctie-screening. OPP treedt op als zelfstandig verwerkingsverantwoordelijke voor de KYC-gegevens (verplicht onder Wwft). Servers in Nederland/EU.
- Supabase (Supabase Inc., EU-regio): databasehosting, authenticatie en realtime-functionaliteit. Wij gebruiken de Frankfurt-regio (Duitsland) voor data-opslag.
- Vercel Inc.: webhosting en front-end infrastructuur. Verwerkt logbestanden in EU-regio.
- Vercel Analytics (Vercel Inc.): geanonimiseerde bezoekersstatistieken via de root-layout van het platform. Vercel Analytics werkt cookieloos en verwerkt geen direct identificerende gegevens.
- Cloudflare (R2 + Turnstile + Workers AI): object-storage voor avatars, listing-foto's en chat-bijlagen via Cloudflare R2; bot-protectie op registratie- en login-formulieren via Cloudflare Turnstile; en geautomatiseerde beeld-moderatie (NSFW/illegale content-detectie) op geüploade afbeeldingen via Cloudflare Workers AI. De beeld-moderatie wordt uitgevoerd in twee lagen (een client-getriggerde pre-flight check vóór opslag in R2 voor directe feedback, en een server-side check op publicatie). Cloudflare verwerkt in EU.
- SendGrid (Twilio Inc.): e-mailverzending (transactioneel en marketing). Bij gebruik van SendGrid kunnen gegevens kortstondig buiten de EER worden verwerkt onder de EU Standard Contractual Clauses.
- Bezorgdiensten (PostNL, DHL en gelijkwaardige koeriers): verwerken adresgegevens voor verzendlabels, bezorging en track & trace.
7.2 Op verzoek van bevoegde autoriteiten
Wij kunnen gegevens delen met opsporings- en handhavingsinstanties (politie, justitie, Belastingdienst, Autoriteit Persoonsgegevens, FIU-Nederland) wanneer wij hiertoe wettelijk verplicht zijn.
8. Onze rol versus die van Online Payment Platform (OPP)
Voor betalingen en KYC-verificatie werken wij samen met OPP. Hierbij is sprake van een gescheiden verwerkingsverantwoordelijkheid:
- Kaartspot is verwerkingsverantwoordelijke voor het marktplaats-platform, account- en transactiegegevens binnen Kaartspot, communicatie tussen gebruikers en de reputatie-functionaliteit.
- OPP is zelfstandig verwerkingsverantwoordelijke voor de verwerking van KYC-gegevens, betaalgegevens en uitbetalingen, omdat OPP hiertoe wettelijk verplicht is onder Wwft als financiële instelling.
Voor OPP's eigen privacybeleid en uw rechten richting OPP verwijzen wij naar onlinepaymentplatform.com/en/privacy.
9. Geautomatiseerde besluitvorming en profilering
Kaartspot maakt op enkele plaatsen gebruik van geautomatiseerde verwerking:
- Reputatiescore en seller-tier: wordt automatisch berekend op basis van uw verkopen, reviews, retourpercentage en disputes. Deze score is zichtbaar op uw publieke profiel en beïnvloedt uw positie in zoekresultaten. U kunt bezwaar maken tegen specifieke onderdelen via support@kaartspot.nl.
- Fraude- en risicodetectie: wij gebruiken regels en patronen om verdachte activiteiten (snelle nieuwe accounts, ongebruikelijke prijspatronen, suspecte IP's) te markeren voor handmatige beoordeling. Geautomatiseerde detectie leidt nooit zelfstandig tot accountblokkade. Een Kaartspot-medewerker beoordeelt altijd handmatig.
- OPP fraude-screening: OPP voert eigen geautomatiseerde sanctie- en PEP-screening uit conform Wwft. Een negatieve uitkomst kan leiden tot afwijzing van uw verkopersregistratie. U heeft recht om bezwaar te maken bij OPP en op een menselijke beoordeling van het besluit (AVG art. 22).
- Aanbevelingen en gepersonaliseerde content: op het platform tonen wij aanbevelingen op basis van uw zoek- en kijkgedrag. U kunt personalisatie uitzetten via Instellingen → Privacy & Beveiliging.
- Beeld-moderatie: elke geüploade afbeelding (chat-bijlage, listing-foto, profielfoto, ook bij bulk-CSV uploads) wordt automatisch geanalyseerd door Cloudflare Workers AI om expliciete, gewelddadige of illegale content te detecteren. Deze controle gebeurt in twee lagen: een eerste check vóór uw browser de foto naar onze opslag verstuurt (zodat u direct feedback krijgt en de foto bij weigering niet wordt opgeslagen), en een tweede, niet-omzeilbare check server-side op het moment van publiceren. Bij een negatieve uitkomst wordt de upload geblokkeerd en ontvangt u een melding. U kunt bezwaar maken via support@kaartspot.nl als u meent dat de blokkade onterecht is, waarna een Kaartspot-medewerker het verzoek handmatig beoordeelt.
- Listing-kwaliteitsscore: op de pagina "Listing maken" tonen wij in realtime een indicatieve kwaliteitsscore (0-100) op basis van objectieve kenmerken van uw advertentie (aantal foto's, ingevulde velden, lengte van de beschrijving, prijs ten opzichte van marktgemiddelde). Deze score is uitsluitend bedoeld als hulpmiddel voor u tijdens het opstellen en wordt niet opgeslagen, niet gedeeld met kopers en heeft geen invloed op uw zichtbaarheid of ranking in zoekresultaten.
U heeft het recht om niet onderworpen te worden aan een louter geautomatiseerd besluit dat rechtsgevolgen voor u heeft of u in aanmerkelijke mate treft (AVG art. 22). Voor dergelijke gevallen waarborgen wij altijd menselijke tussenkomst.
10. Internationale doorgifte van gegevens
Kaartspot verwerkt uw gegevens in beginsel binnen de Europese Economische Ruimte (EER):
- Database en authenticatie: Supabase Frankfurt (EU)
- Hosting: Vercel EU-regio
- Bestandsopslag: Cloudflare R2 EU
- Betalingen en KYC: OPP (Nederland/EU)
Voor sommige sub-verwerkers (zoals SendGrid voor e-mailverzending) kan gegevensverwerking buiten de EER plaatsvinden. In die gevallen sluiten wij EU Standard Contractual Clauses (SCC's) of werken wij alleen samen met partijen onder een adequaatheidsbesluit van de Europese Commissie.
11. Uw rechten en hoe u ze uitoefent
Op grond van de AVG heeft u de volgende rechten:
- Recht op inzage en overdraagbaarheid: u kunt op elk moment een volledige export van uw accountgegevens (profiel, listings, bestellingen, berichten, reviews, favorieten, meldingen, biedingen, blokkadelijst, adressen) downloaden via Instellingen → Privacy & Beveiliging → Gegevens downloaden. U ontvangt een JSON-bestand dat voldoet aan AVG art. 15 en 20.
- Recht op rectificatie: u kunt uw gegevens zelf wijzigen via Instellingen → Profiel of contact opnemen met de klantenservice.
- Recht op verwijdering (vergetelheid): via Instellingen → Account → Gevarenzone kunt u uw account permanent laten verwijderen. Wij verwijderen al uw gegevens binnen 30 dagen, behalve wanneer een wettelijke bewaarplicht geldt (zie §6). Lopende bestellingen moeten eerst worden afgerond.
- Recht op tijdelijke deactivatie (alternatief): wilt u uw account alleen verbergen zonder data te wissen, kies dan voor "Account deactiveren". Uw profiel en listings worden onzichtbaar maar uw gegevens blijven bewaard zodat u later kunt terugkeren. Reactivatie gebeurt automatisch bij uw volgende login.
- Recht op beperking: u kunt de verwerking laten beperken. Neem hiervoor contact op via e-mail.
- Recht van bezwaar: u kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang, zoals fraudepreventie, platformbeveiliging en de berekening van uw reputatiescore. Marketingcommunicatie vindt bij Kaartspot uitsluitend plaats na uw toestemming en kan op elk moment worden ingetrokken (zie hieronder).
- Recht op menselijke beoordeling: bij geautomatiseerde besluiten heeft u recht op tussenkomst van een medewerker, het uiten van uw standpunt en het aanvechten van het besluit (AVG art. 22).
- Recht om toestemming in te trekken: indien wij verwerken op grond van uw toestemming, kunt u deze op elk moment intrekken zonder dat dit afbreuk doet aan eerdere verwerking.
Voor de meeste rechten kunt u terecht in uw accountinstellingen. Voor overige verzoeken: info@kaartspot.nl. Wij reageren binnen 30 dagen. Voor verzoeken betreffende KYC-gegevens kunt u zich rechtstreeks tot OPP wenden.
12. Marketingcommunicatie (opt-in)
Wij sturen u alleen marketing-e-mails (nieuwe sets, deals, aanbevelingen) wanneer u daar expliciet toestemming voor geeft. U kunt deze toestemming op elk moment intrekken via Instellingen → Meldingen → Marketing of via de afmeldlink onderaan elke marketingmail. Transactionele e-mails (orderbevestigingen, wachtwoordreset, beveiligingsmeldingen) blijven verstuurd worden zolang uw account actief is. Deze zijn noodzakelijk voor de uitvoering van de overeenkomst.
13. Notificaties op het platform
Binnen het platform tonen wij u meldingen over uw activiteit (bestellingen, berichten, beoordelingen, biedingen, prijsdalingen op favorieten, listing-publicaties). U kunt per categorie aangeven of u meldingen wilt ontvangen via Instellingen → Meldingen. Rechtsgrond: voor transactionele meldingen (bestellingen, berichten) baseren wij ons op de uitvoering van de overeenkomst; voor optionele meldingen (prijsdalingen, marketing) op uw toestemming.
14. Online status en blokkeerlijst
Standaard tonen wij uw online status aan andere gebruikers (last seen). Via Instellingen → Privacy & Beveiliging → Online status tonen kunt u dit uitschakelen. De tijdstempel wordt dan onmiddellijk gewist en niet langer bijgewerkt. Andere gebruikers zien u dan altijd als "niet online". Uw blokkadelijst is privé en wordt niet gedeeld met de geblokkeerde gebruiker.
15. Cookies
Wij gebruiken cookies en vergelijkbare technologieën om het platform te laten werken, uw voorkeuren te onthouden en het gebruik te analyseren. Onderscheid:
- Strikt noodzakelijke cookies: sessie-authenticatie, winkelmandje, taalkeuze. Geen toestemming vereist.
- Functionele cookies: voorkeuren zoals thema (dark/light), filterinstellingen.
- Analytische cookies: geanonimiseerde gebruiksstatistieken (alleen met toestemming).
- Marketing cookies: alleen na expliciete opt-in via de cookie-banner.
Voor een volledig overzicht en het beheren van uw voorkeuren zie ons cookiebeleid en de cookie-instellingen onderaan elke pagina.
16. Beveiliging
Kaartspot treft passende technische en organisatorische maatregelen ter beveiliging van uw persoonsgegevens tegen verlies, onrechtmatige toegang en misbruik:
- Alle verbindingen zijn beveiligd met HTTPS/TLS-encryptie
- Wachtwoorden worden gehashed (bcrypt) en nooit in leesbare tekst opgeslagen
- Database-toegang via Row-Level Security (RLS) zodat gebruikers alleen hun eigen data zien
- Tweefactor-authenticatie beschikbaar voor accounts
- Rate-limiting tegen brute-force aanvallen
- Server-side input-sanitisatie en magic-bytes controle voor bestandsuploads
- Periodieke security audits en monitoring op verdachte activiteit
- Beperkte toegang voor medewerkers, alleen op need-to-know basis
Een uitgebreidere beschrijving van onze maatregelen tegen fraude, witwassen en misbruik vindt u in ons fraude preventie beleid.
17. Datalekken
Indien er sprake is van een datalek dat een hoog risico inhoudt voor uw rechten en vrijheden, melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens en informeren wij u zo spoedig mogelijk per e-mail (AVG art. 33 en 34). U kunt vermoedelijke datalekken melden via security@kaartspot.nl.
18. Klacht indienen
Bent u niet tevreden met de manier waarop wij uw gegevens verwerken? Wij stellen het op prijs als u dat eerst met ons bespreekt via support@kaartspot.nl. U kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens via www.autoriteitpersoonsgegevens.nl.
19. Wijzigingen
Dit privacybeleid kan worden gewijzigd. Bij wezenlijke wijzigingen informeren wij u per e-mail en via een melding op het platform. De meest actuele versie is altijd beschikbaar op kaartspot.nl/privacybeleid. Het versienummer en de ingangsdatum staan bovenaan dit document.