Privacybeleid
1. Wie zijn wij?
Grace Game Center ("wij", "ons", "onze") is een mobiele applicatie ontwikkeld en beheerd door:
Veniatis
Siriusstraat 4
7622 VZ Borne, Nederland
KvK-nummer: 77149866
E-mail: [email protected]
Website: gracegamecenter.nl
Wij zijn de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG/GDPR) voor de verwerking van uw persoonsgegevens via de Grace Game Center-app.
2. Over dit privacybeleid
Dit privacybeleid is van toepassing op de Grace Game Center mobiele applicatie (beschikbaar voor Android en iOS) en de bijbehorende backend-diensten.
Grace Game Center is een op het christelijk geloof gebaseerd gaming- en sociaal platform met bijbelquizzen, woordzoekers en andere educatieve spellen, geschikt voor gezinnen en organisaties zoals kerken en scholen.
Dit beleid legt uit:
- Welke persoonsgegevens wij verzamelen
- Waarom wij deze gegevens verzamelen
- Hoe lang wij gegevens bewaren
- Met wie wij gegevens delen
- Welke rechten u hebt
- Hoe wij omgaan met gegevens van kinderen
3. Welke gegevens verzamelen wij?
3.1 Gegevens die u aan ons verstrekt
a) Accountgegevens:
- E-mailadres
- Wachtwoord (wordt versleuteld opgeslagen als hash; wij kunnen uw wachtwoord niet inzien)
- Weergavenaam (optioneel)
- Taalvoorkeur
- Bij sociale login (Sign in with Apple / Google Sign-In): naam, e-mailadres en uniek platform-ID zoals ontvangen van Apple of Google. U kunt bij Apple kiezen om uw e-mailadres te verbergen.
b) Abonnementsgegevens:
- Type abonnement (Gratis, Plus, All-in, Gezin, Organisatie)
- Aankoop- en transactiegegevens via Apple App Store of Google Play Store
Opmerking: betalingsgegevens (creditcard, iDEAL, etc.) worden verwerkt door Apple of Google; wij ontvangen geen volledige betaalgegevens.
c) Organisatiegegevens (voor kerk-/schoolaccounts):
- Naam van de organisatie
- Uitnodigingscodes
- Rol binnen de organisatie (eigenaar, beheerder, lid)
3.2 Gegevens die automatisch worden verzameld
a) Spelgegevens:
- Spelscores en voortgang
- Antwoorden op quizvragen
- Spelgeschiedenis (welke spellen gespeeld, wanneer, duur)
- Multiplayersessie-informatie
b) Technische gegevens:
- IP-adres
- Apparaattype en besturingssysteem
- App-versie
- Apparaat-tokens voor pushnotificaties (alleen met uw toestemming)
c) Analytische gegevens:
- Anonieme gebruiksstatistieken (welke functies worden gebruikt)
- Geen tracking over andere apps of websites heen
3.3 Gegevens die wij NIET verzamelen
- Exacte locatiegegevens (GPS)
- Contacten of adresboek
- Foto's of camera-toegang
- Microfoon-opnames
- Biometrische gegevens
- BSN (burgerservicenummer)
- Gegevens van sociale media-accounts
- Creditcard- of bankgegevens (deze worden verwerkt door Apple/Google)
4. Waarom verwerken wij uw gegevens?
Wij verwerken uw persoonsgegevens alleen wanneer wij daar een wettelijke grondslag voor hebben.
4.1 Uitvoering van de overeenkomst (Art. 6(1)(b) AVG)
- Het aanmaken en beheren van uw account
- Het leveren van de spellen en bijbehorende functionaliteit
- Het bijhouden van spelscores en voortgang
- Het verwerken van uw abonnement
- Het verzenden van transactionele e-mails (accountbevestiging, wachtwoordherstel)
- Het beheren van organisatie-accounts en lidmaatschappen
- Het faciliteren van multiplayersessies
4.2 Gerechtvaardigd belang (Art. 6(1)(f) AVG)
- Het waarborgen van de veiligheid van onze dienst (IP-adressen, JWT-tokens, auditlogs)
- Het voorkomen van fraude en misbruik
- Het verbeteren van onze dienst op basis van geaggregeerde, niet-herleidbare gebruiksstatistieken
Ons gerechtvaardigd belang bij deze verwerkingen is het bieden van een veilige, functionele en goed werkende dienst. Wij hebben hierbij een belangenafweging gemaakt en geconcludeerd dat uw privacybelangen niet zwaarder wegen dan ons belang bij deze verwerkingen.
4.3 Toestemming (Art. 6(1)(a) AVG)
- Het verzenden van pushnotificaties (u kunt dit te allen tijde uitschakelen via uw apparaatinstellingen of in de app)
- Het verwerken van persoonsgegevens van kinderen jonger dan 16 jaar (alleen met toestemming van ouder/voogd — zie sectie 9)
4.4 Wettelijke verplichting (Art. 6(1)(c) AVG)
- Het bijhouden van administratieve gegevens voor belasting- en boekhoudkundige verplichtingen (indien van toepassing)
5. Met wie delen wij uw gegevens?
Wij verkopen uw persoonsgegevens NOOIT aan derden.
Wij delen gegevens alleen met de volgende partijen, voor zover noodzakelijk voor het leveren van onze dienst:
5.1 Verwerkers (met verwerkersovereenkomst)
a) Hetzner Online GmbH (Duitsland)
- Doel: Hosting van onze servers en database
- Gegevens: Alle gegevens die op onze servers worden opgeslagen
- Locatie: Duitsland (EU)
- Verwerkersovereenkomst: Ja
b) Brevo (Sendinblue SAS, Frankrijk)
- Doel: Verzenden van transactionele e-mails (accountbevestiging, wachtwoordherstel)
- Gegevens: E-mailadres, e-mailinhoud
- Locatie: Frankrijk (EU); sub-verwerkers mogelijk buiten EU (met passende waarborgen)
- Verwerkersovereenkomst: Ja
5.2 Derde partijen
c) Apple Inc. / Google LLC (sociale login)
- Doel: Inloggen via Sign in with Apple of Google Sign-In
- Gegevens: Naam, e-mailadres en uniek platform-ID worden door Apple of Google aan ons verstrekt wanneer u kiest voor sociale login. Bij Apple kunt u ervoor kiezen uw e-mailadres te verbergen (Private Relay).
- Locatie: Verenigde Staten
- Waarborg: EU-US Data Privacy Framework
- Apple Privacybeleid: apple.com/legal/privacy
- Google Privacybeleid: policies.google.com/privacy
d) Apple Inc. / Google LLC (betalingen)
- Doel: Verwerking van in-app aankopen en abonnementen
- Gegevens: Transactie-ID, platform-informatie
- Apple en Google zijn zelfstandig verwerkingsverantwoordelijk voor betalingsgegevens
e) Apple Inc. / Google LLC (pushnotificaties)
- Doel: Bezorging van pushnotificaties (APNs / FCM)
- Gegevens: Apparaat-token
- Alleen indien u pushnotificaties hebt ingeschakeld
5.3 Overige situaties
Wij kunnen persoonsgegevens delen:
- Wanneer wij daartoe wettelijk verplicht zijn (bijv. op vordering van justitie of toezichthouder)
- Bij een bedrijfsoverdracht of fusie (u wordt hierover vooraf geinformeerd)
6. Doorgifte buiten de EU
Uw gegevens worden primair verwerkt binnen de Europese Unie (servers in Duitsland).
In de volgende gevallen worden gegevens doorgegeven aan de Verenigde Staten:
- Sociale login: Bij inloggen via Sign in with Apple of Google Sign-In worden identiteitsgegevens uitgewisseld met Apple Inc. respectievelijk Google LLC in de Verenigde Staten. Beide bedrijven zijn gecertificeerd onder het EU-US Data Privacy Framework.
- Apple/Google (App Stores): Bij in-app aankopen en pushnotificaties worden gegevens verwerkt door Apple Inc. respectievelijk Google LLC. Beide bedrijven zijn gecertificeerd onder het EU-US Data Privacy Framework.
- Brevo sub-verwerkers: Brevo maakt gebruik van sub-verwerkers die mogelijk buiten de EU zijn gevestigd. Brevo hanteert hiervoor Standard Contractual Clauses (SCC's) als passende waarborg.
7. Hoe lang bewaren wij uw gegevens?
Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor ze zijn verzameld.
| Gegevenstype | Bewaartermijn |
|---|---|
| Accountgegevens | Zolang u een actief account hebt + 30 dagen na accountverwijdering |
| Spelscores en voortgang | Zolang u een actief account hebt |
| Abonnementsgegevens | Duur van het abonnement + 7 jaar (fiscale bewaarplicht) |
| Transactionele e-mails | 6 maanden |
| Serverlogs (IP-adressen) | 90 dagen |
| Auditlogs | 2 jaar |
| Apparaat-tokens | 90 dagen na laatste gebruik |
| JWT Refresh tokens | 7 dagen na uitgifte (automatisch) |
| Analytische gegevens | 12 maanden, daarna geanonimiseerd |
Na verwijdering van uw account worden uw gegevens binnen 30 dagen definitief verwijderd, tenzij wij wettelijk verplicht zijn deze langer te bewaren.
8. Uw rechten
Op grond van de AVG hebt u de volgende rechten met betrekking tot uw persoonsgegevens:
8.1 Recht op inzage (Art. 15 AVG)
U hebt het recht om te weten welke persoonsgegevens wij van u verwerken. U kunt een kopie opvragen van uw gegevens.
8.2 Recht op rectificatie (Art. 16 AVG)
U hebt het recht om onjuiste of onvolledige gegevens te laten corrigeren. U kunt uw weergavenaam en taalvoorkeur zelf aanpassen in de app.
8.3 Recht op verwijdering (Art. 17 AVG)
U hebt het recht om uw persoonsgegevens te laten verwijderen. U kunt uw account verwijderen via de app (Meer > Account verwijderen) of door een e-mail te sturen naar [email protected]. Na verwijdering worden uw gegevens binnen 30 dagen definitief verwijderd.
Let op: wij zijn wettelijk verplicht bepaalde gegevens (zoals factuurgegevens) langer te bewaren.
8.4 Recht op beperking van verwerking (Art. 18 AVG)
U kunt ons verzoeken de verwerking van uw gegevens tijdelijk te beperken, bijvoorbeeld als u de juistheid van de gegevens betwist.
8.5 Recht op gegevensoverdraagbaarheid (Art. 20 AVG)
U hebt het recht om uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen, zodat u deze kunt overdragen aan een andere dienstverlener.
8.6 Recht van bezwaar (Art. 21 AVG)
U kunt bezwaar maken tegen verwerkingen die gebaseerd zijn op ons gerechtvaardigd belang. Wij zullen de verwerking dan staken, tenzij wij dwingende gerechtvaardigde gronden aanvoeren.
8.7 Recht om toestemming in te trekken (Art. 7(3) AVG)
Wanneer de verwerking is gebaseerd op uw toestemming (bijv. pushnotificaties), kunt u deze toestemming te allen tijde intrekken. Dit doet geen afbreuk aan de rechtmatigheid van de verwerking voor de intrekking.
8.8 Hoe kunt u uw rechten uitoefenen?
Stuur een e-mail naar: [email protected]
Wij reageren binnen 30 dagen op uw verzoek (Art. 12(3) AVG). Bij complexe verzoeken kan deze termijn met maximaal 2 maanden worden verlengd; wij informeren u hierover.
Wij kunnen u vragen om uw identiteit te verifieren voordat wij uw verzoek verwerken. Wij brengen geen kosten in rekening voor het uitoefenen van uw rechten, tenzij verzoeken buitensporig of kennelijk ongegrond zijn.
9. Kinderen en privacy
Grace Game Center biedt spelletjes aan die geschikt zijn voor kinderen, waaronder Junior-varianten voor kinderen van 4 tot 8 jaar.
9.1 Leeftijdsgrens
Op grond van de Nederlandse Uitvoeringswet AVG (UAVG) is de leeftijdsgrens voor digitale toestemming vastgesteld op 16 jaar.
- Gebruikers van 16 jaar of ouder mogen zelfstandig een account aanmaken.
- Voor gebruikers jonger dan 16 jaar is toestemming van een ouder of voogd vereist.
9.2 Hoe gaan wij om met kinderaccounts?
- Leeftijdscontrole: Bij registratie vragen wij naar de geboortedatum. Indien de gebruiker jonger is dan 16 jaar, wordt het e-mailadres van een ouder/voogd gevraagd.
- Ouderlijke toestemming: De ouder/voogd ontvangt een bevestigings-e-mail en moet actief toestemming geven voordat het kinderaccount wordt geactiveerd.
- Gezinsabonnement: Bij het Gezinsabonnement maakt de ouder/voogd het account aan en voegt gezinsleden toe. De ouder geeft hiermee toestemming voor de verwerking van gegevens van minderjarige gezinsleden.
- Organisatie-accounts: Kerken en scholen die een organisatie-account gebruiken zijn zelf verantwoordelijk voor het verkrijgen van ouderlijke toestemming voor minderjarige leden in hun organisatie.
9.3 Welke gegevens verzamelen wij van kinderen?
Wij passen het principe van dataminimalisatie strikt toe voor kinderen:
- Weergavenaam (door ouder ingesteld)
- Spelscores en voortgang
- Taalvoorkeur
- Apparaat-token (alleen voor pushnotificaties, als de ouder hiervoor toestemming geeft)
Wij verzamelen GEEN:
- E-mailadres van het kind zelf (het ouderaccount beheert het kinderaccount)
- Profielfoto's van kinderen
- Locatiegegevens van kinderen
- Vrije-tekstvelden waar kinderen persoonlijke informatie kunnen invoeren
9.4 Rechten van ouders/voogden
Ouders en voogden hebben het recht om:
- De gegevens van hun kind in te zien
- De gegevens van hun kind te laten corrigeren
- De gegevens van hun kind te laten verwijderen
- Hun toestemming in te trekken (waarna het kinderaccount wordt gedeactiveerd)
- Een kopie van de gegevens van hun kind op te vragen
Contact: [email protected]
9.5 Geen profilering van kinderen
Wij voeren geen geautomatiseerde profilering uit op gegevens van kinderen. Er worden geen gedragsprofielen aangemaakt en geen op gedrag gebaseerde aanbevelingen gedaan aan kinderen.
9.6 Geen reclame gericht op kinderen
Grace Game Center bevat geen reclame. Er worden geen advertenties getoond, ook niet aan volwassen gebruikers.
10. Voor gebruikers in de Verenigde Staten (COPPA)
Indien u zich in de Verenigde Staten bevindt, is de Children's Online Privacy Protection Act (COPPA) van toepassing op gebruikers jonger dan 13 jaar.
- Wij verzamelen niet bewust persoonsgegevens van kinderen jonger dan 13 jaar in de Verenigde Staten zonder aantoonbare ouderlijke toestemming.
- Ouders kunnen toestemming verlenen via het ouderlijke toestemmingsproces beschreven in sectie 9.2.
- Ouders kunnen te allen tijde contact opnemen via [email protected] om:
- De gegevens van hun kind in te zien
- Verwijdering van gegevens te verzoeken
- Verdere verzameling te weigeren
11. Beveiliging
Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen:
- Wachtwoorden worden opgeslagen als bcrypt-hash (nooit in leesbare tekst)
- Alle communicatie verloopt via HTTPS/TLS-versleuteling
- JWT-tokens worden veilig opgeslagen (Keychain op iOS, EncryptedSharedPreferences op Android)
- Tweefactorauthenticatie (TOTP 2FA) beschikbaar voor extra beveiliging
- Servers staan in een beveiligd datacenter in Duitsland (Hetzner, ISO 27001-gecertificeerd)
- Toegang tot servers is beperkt tot geautoriseerd personeel
- Regelmatige beveiligingsupdates en monitoring
- Onwijzigbare auditlogs voor het traceren van systeemacties
12. Geautomatiseerde besluitvorming en profilering
Wij maken geen gebruik van geautomatiseerde besluitvorming of profilering in de zin van Art. 22 AVG die rechtsgevolgen heeft voor u of u op vergelijkbare wijze aanmerkelijk treft.
Spelscores en leaderboards zijn gebaseerd op objectieve spelresultaten, niet op profilering.
13. Cookies en vergelijkbare technologieen
Grace Game Center is een mobiele applicatie en maakt geen gebruik van cookies in de traditionele zin.
Wij gebruiken wel:
- JWT-tokens: opgeslagen in beveiligde apparaatopslag voor het in stand houden van uw inlogsessie. Dit zijn technisch noodzakelijke tokens.
- Lokale opslag: spelvoortgang en voorkeuren worden lokaal op uw apparaat opgeslagen.
Geen van deze technologieen wordt gebruikt voor tracking of reclame.
14. Wijzigingen in dit privacybeleid
Wij kunnen dit privacybeleid van tijd tot tijd aanpassen, bijvoorbeeld bij nieuwe functionaliteit of gewijzigde wetgeving.
Bij belangrijke wijzigingen:
- Informeren wij u via een melding in de app
- Wordt de datum "Laatst bijgewerkt" bovenaan aangepast
- Bij wijzigingen die een nieuwe rechtsgrond vereisen, vragen wij opnieuw uw toestemming
De meest recente versie is altijd beschikbaar op gracegamecenter.nl/privacy en in de app onder Meer > Privacybeleid.
15. Klacht indienen bij de toezichthouder
Indien u van mening bent dat wij uw persoonsgegevens niet correct verwerken, kunt u een klacht indienen bij de Nederlandse toezichthouder:
Autoriteit Persoonsgegevens
Bezuidenhoutseweg 30
2594 AV Den Haag
Telefoon: 088 - 1805 250
Wij stellen het op prijs als u eerst contact met ons opneemt zodat wij samen naar een oplossing kunnen zoeken.
16. Contact
Voor vragen over dit privacybeleid of over de verwerking van uw persoonsgegevens kunt u contact opnemen via:
E-mail: [email protected]
Post: Veniatis, Siriusstraat 4, 7622 VZ Borne, Nederland
Wij streven ernaar uw vraag binnen 5 werkdagen te beantwoorden.