Juridisch
Privacyverklaring
Laatst bijgewerkt: 2026-05-19
Deze privacyverklaring legt uit welke persoonsgegevens FeestForge verwerkt, waarom, op welke grondslag, hoe lang en met wie. Ze is opgesteld conform art. 13 en 14 van de Algemene Verordening Gegevensbescherming (AVG). Vragen, verzoeken of klachten? Stuur een mail naar hallo@feestforge.nl.
1. Verwerkingsverantwoordelijke
Verwerkingsverantwoordelijke in de zin van art. 4 AVG is:
- Van der Helm Studio's (handelsnaam: FeestForge)
- Scharenburgse straat 5, 6647 AC Puiflijk, Nederland
- KvK: [in te vullen na inschrijving 4 juni 2026]
- BTW: [in te vullen]
- E-mail (ook voor privacy-verzoeken): hallo@feestforge.nl
- Telefoon (werkdagen 9–17 uur): 06-83677538
Wij hebben geen Functionaris voor Gegevensbescherming (FG) aangesteld; daartoe zijn wij wettelijk niet verplicht op grond van art. 37 AVG omdat wij geen kernactiviteiten verrichten die regelmatige en stelselmatige grootschalige observatie of grootschalige verwerking van bijzondere categorieën gegevens inhouden.
2. Welke gegevens verwerken wij?
2.1 Contact- en bestelgegevens
- Voor- en achternaam van de besteller (ouder/voogd).
- E-mailadres voor levering en communicatie.
- Telefoonnummer (alleen indien je dit zelf opgeeft, optioneel).
2.2 Inhoudelijke intake-gegevens
- Voornaam van de jarige + leeftijd.
- Namen van gasten (voornamen, voor diploma's en uitnodigingen).
- Feestdatum, gekozen thema, aantal gasten.
- Eventuele specifieke wensen (allergieën, accessibility) — alleen indien jij die zelf vermeldt.
2.3 Foto's van kinderen
- Foto-uploads voor cartoonisering of als referentie voor de schatkaart, uitnodiging of brief.
- Wij verwerken deze foto's uitsluitend voor het maken van jouw feestpakket. Ze worden niet gebruikt voor training van AI-modellen, marketing of profielopbouw, en niet gedeeld met derden anders dan de sub-verwerkers (zie §5) die nodig zijn voor de rendering.
2.4 Betaalgegevens
- Worden volledig door Stripe verwerkt. Wij zien alleen: status (paid/failed), bedrag, datum, en (bij creditcard) de laatste 4 cijfers van het betaalmiddel + uitgevende bank.
- Volledige kaartnummers, CVV en pincodes worden door FeestForge nooit verwerkt of opgeslagen (PCI-DSS Level 1 compliance bij Stripe).
2.5 Technische / loggegevens
- IP-adres, browsertype, besturingssysteem, tijdstempel — vastgelegd in standaard server-logs van Render en Cloudflare.
- Doel: beveiliging, fraudepreventie, foutopsporing.
- Niet gekoppeld aan jouw persoonsprofiel.
3. Doel en rechtsgrondslag
Wij verwerken jouw gegevens op grond van de volgende grondslagen (art. 6 lid 1 AVG):
| Gegevenscategorie | Doel | Rechtsgrondslag |
|---|---|---|
| Contact- en bestelgegevens | Uitvoering van de overeenkomst, levering, factuur, support | Art. 6 lid 1 sub b AVG (uitvoering overeenkomst) |
| Foto's en intake-gegevens | Personalisering van het feestpakket | Art. 6 lid 1 sub a AVG (toestemming) — bij minderjarigen via ouder/voogd (art. 8 AVG) |
| Betaalgegevens (via Stripe) | Verwerking van de betaling | Art. 6 lid 1 sub b AVG |
| Factuurgegevens (NAW, bedrag) | Wettelijke bewaarplicht administratie | Art. 6 lid 1 sub c AVG (juncto art. 52 AWR) |
| Technische logs | Beveiliging, fraudepreventie, debugging | Art. 6 lid 1 sub f AVG (gerechtvaardigd belang) |
4. Bewaartermijnen
- Foto-uploads van kinderen: automatisch verwijderd 30 dagen na levering via een geplande job. Wij houden ze tot 30 dagen vast voor het geval je een revisie aanvraagt of een klacht hebt waarvoor het origineel nodig is.
- Intake-gegevens en gepersonaliseerde PDF's: 90 dagen na levering. Daarna verwijderd of geanonimiseerd voor kwaliteitsanalyse.
- Facturen en boekhoudkundige gegevens: 7 jaar (art. 52 lid 4 AWR). Voor btw-administratie m.b.t. onroerend goed geldt 10 jaar — niet van toepassing op ons.
- E-mailcorrespondentie support / klachten: 2 jaar na laatste contact.
- Server-logs Render / Cloudflare: standaard 30 dagen, tenzij gebruikt voor fraudeonderzoek.
- Stripe-transactiegegevens: bewaartermijn conform Stripe's eigen beleid (zie hun privacybeleid).
5. Sub-verwerkers en doorgifte buiten de EU
Wij schakelen de volgende sub-verwerkers in. Met elke partij is een verwerkersovereenkomst (DPA) gesloten op grond van art. 28 AVG. Voor partijen buiten de EER gebruiken wij EU Standard Contractual Clauses (SCC) als doorgiftewaarborg conform art. 46 AVG.
| Sub-verwerker | Doel | Locatie | Doorgiftewaarborg | DPA |
|---|---|---|---|---|
| Stripe Payments Europe Ltd | Betalingen (PCI-DSS Level 1) | Ierland (EER) | Intra-EER | DPA |
| Render Services Inc. | Hosting + servers | VS, instances in Frankfurt | SCC | DPA |
| Cloudflare Inc. | DNS, CDN, DDoS-bescherming | VS, EU edges | SCC | DPA |
| Replicate Inc. | Foto-cartoonisering (Flux Kontext) | VS | SCC | DPA |
| OpenAI Ireland Ltd | Afbeelding-generatie (GPT-Image-1) + tekst | Ierland (modellen in VS) | SCC | DPA |
| Anthropic PBC | Tekstgeneratie (Claude) | VS | SCC + zero-retention | DPA |
| Resend Inc. | E-mailbezorging (transactionele mail) | VS, EU-regio Frankfurt | SCC | DPA |
Een actuele DPA-kopie of de SCC-tekst opvragen kan via hallo@feestforge.nl. Zie ook onze verwerkersovereenkomst.
Wij voegen geen sub-verwerkers toe zonder de privacyverklaring bij te werken. Voor zakelijke afnemers met een actieve DPA bij ons informeren wij minimaal 30 dagen vooraf per e-mail.
6. Beveiliging
Wij nemen passende technische en organisatorische maatregelen om jouw gegevens te beschermen (art. 32 AVG):
- TLS 1.2+ versleuteling op alle verbindingen (HTTPS-only, HSTS-header).
- Encryptie at-rest bij hostingpartij Render.
- Toegang tot productie-data uitsluitend voor de eigenaar (Gijs van der Helm), beveiligd met 2-factor authenticatie en hardware-token.
- Secrets en API-keys beheerd via Render Environment Variables, niet in code.
- Geen gedeelde logins, geen wachtwoord-hergebruik.
- Regelmatige software-updates op afhankelijkheden (Dependabot).
- Geautomatiseerde verwijdering van foto-uploads na 30 dagen.
- Datalek-procedure: zie onze verwerkersovereenkomst §7.
7. Jouw rechten als betrokkene
Je hebt op grond van de AVG (hoofdstuk III) de volgende rechten:
- Inzage (art. 15) — welke gegevens hebben wij van jou.
- Rectificatie (art. 16) — onjuiste gegevens corrigeren.
- Verwijdering / "vergetelheid" (art. 17) — zolang dit niet botst met de wettelijke bewaarplicht (factuur 7 jaar).
- Beperking van verwerking (art. 18).
- Dataportabiliteit (art. 20) — je gegevens in een gestructureerd formaat ontvangen.
- Bezwaar (art. 21) tegen verwerking op basis van gerechtvaardigd belang.
- Intrekken van toestemming (art. 7 lid 3) — voor verwerking op grond van toestemming (foto's). De intrekking heeft geen terugwerkende kracht.
Een verzoek dien je in via hallo@feestforge.nl. Wij bevestigen binnen 5 werkdagen en reageren binnen 30 dagen inhoudelijk (art. 12 lid 3 AVG). Bij complexe verzoeken kan deze termijn met maximaal 2 maanden worden verlengd; wij melden je dat tijdig.
Wij kunnen om aanvullende identificatie vragen om te voorkomen dat derden ten onrechte jouw gegevens opvragen.
8. Klachten — Autoriteit Persoonsgegevens
Niet tevreden over hoe wij met je gegevens omgaan? Probeer het eerst met ons op te lossen via hallo@feestforge.nl. Je hebt op grond van art. 77 AVG altijd het recht om een klacht in te dienen bij de toezichthouder:
- Autoriteit Persoonsgegevens (AP) — Postbus 93374, 2509 AJ Den Haag.
- Website: autoriteitpersoonsgegevens.nl
- Telefoon: 088 — 1805 250
9. Kinderen onder de 16 — toestemming ouder/voogd
Nederland hanteert de maximale leeftijdsgrens uit art. 8 AVG: kinderen jonger dan 16 jaar kunnen geen rechtsgeldige toestemming geven voor de verwerking van hun persoonsgegevens. Voor het uploaden van foto's en naamgegevens van kinderen geldt daarom:
- De besteller (jij) bevestigt bij intake dat je de ouder of wettelijk vertegenwoordiger bent én dat je toestemming geeft namens de minderjarige.
- Wij verwerken kinderfoto's uitsluitend voor de productie van het feestpakket. Niet voor training, marketing, of profielopbouw.
- Je kunt je toestemming op elk moment intrekken via hallo@feestforge.nl; wij verwijderen de foto's dan onverwijld (de PDF's met gepersonaliseerde naam vallen onder de overeenkomst en blijven gelden).
- Voor gerendabilliseerde cartoons die gebaseerd zijn op een uploaded foto: zodra de cartoon is geleverd, is de gelijkenis vaak abstract genoeg dat het beeld niet meer kwalificeert als een persoonsgegeven van het kind — dat ontslaat ons echter niet van de verplichting de originele foto te verwijderen.
10. Cookies
Cookies en lokale opslag staan apart beschreven in onze cookieverklaring. Korte versie: wij gebruiken alleen functionele opslag (intake-voortgang in jouw browser) en Stripe-sessiecookies tijdens betalen. Geen Google Analytics, geen tracking, geen advertentie-cookies.
11. Geautomatiseerde besluitvorming
Wij gebruiken AI om afbeeldingen, illustraties en teksten te genereren. Dit kwalificeert niet als geautomatiseerde besluitvorming in de zin van art. 22 AVG: er wordt geen besluit genomen dat rechtsgevolgen voor jou heeft of jou anderszins in aanmerkelijke mate treft. Je krijgt de AI-output altijd voor controle, en bij fouten leveren wij kosteloos een revisie.
12. Wijziging van deze verklaring
Wij behouden ons het recht voor deze privacyverklaring te wijzigen, bijvoorbeeld wanneer wij een sub-verwerker toevoegen of als de wetgeving wijzigt. De meest actuele versie staat altijd op deze pagina; de "laatst bijgewerkt"-datum bovenaan geeft aan wanneer de laatste wijziging is doorgevoerd.
Substantiële wijzigingen die jou raken, kondigen wij minimaal 30 dagen vooraf aan via een banner op de site en — indien je een actieve bestelling hebt — per e-mail.