Privacybeleid

Laatst bijgewerkt: 6 mei 2026

PokeProvs B.V. ("PokeProvs", "wij") respecteert je privacy en gaat zorgvuldig om met je persoonsgegevens. Dit beleid legt uit welke gegevens we verzamelen wanneer je CardProvs gebruikt (de website, web-app en Telegram-bot), waarom we die verwerken en hoe we ze beschermen. We voldoen aan de AVG (GDPR).

1. Wie zijn wij

• Verwerkingsverantwoordelijke: PokeProvs B.V.
• KvK-nummer: 98483099
• BTW-nummer: NL868514445B01
• Vestigingsadres: Gijzelsestraat 22, 5074 NK Biezenmortel, Nederland
• E-mail: privacy@cardprovs.app

2. Welke gegevens verwerken we

We verwerken alleen wat strikt nodig is om de dienst te leveren:

• Account: e-mailadres, wachtwoord-hash (PBKDF2, niet plain), eventueel TOTP-secret voor 2FA, eventueel Telegram user-ID indien gekoppeld.
• Login-sessies: een willekeurige session-token, IP-adres en login-tijdstip — voor security en fraude-preventie.
• Google login (optioneel): bij gebruik van Google-inloggen ontvangen we je e-mailadres en geverifieerd-status. We slaan geen andere Google-profielgegevens op.
• Abonnement & betaling: tier, status van het abonnement, en een Stripe customer-ID. Betalingsgegevens (kaartnummer, bankgegevens) verlopen rechtstreeks via Stripe — die slaan wij niet op.
• Portfolio & gebruiks-data: kaarten die je toevoegt, inkoop- en verkoopprijzen, drops die je opslaat, en aantallen API-aanroepen voor quota-handhaving.
• Foto-uploads: foto's die je uploadt voor herkenning of grading worden in real-time naar Anthropic (Claude API) gestuurd voor analyse en daarna direct verwijderd — wij bewaren ze niet.
• API-keys: alleen de SHA-256 hash van de key, samen met een door jou opgegeven label en het laatst-gebruikt tijdstip.

3. Waarvoor en op welke grondslag

• Uitvoering van de overeenkomst (art. 6.1.b AVG): account, betaling, portfolio, foto-herkenning, API.
• Wettelijke verplichting (art. 6.1.c): boekhouding rond facturen (Belastingdienst eist 7 jaar bewaarplicht).
• Gerechtvaardigd belang (art. 6.1.f): security-logs, fraude-preventie, misbruik-detectie van de API.

4. Wie zijn onze verwerkers

We delen gegevens alleen met partijen die helpen de dienst te leveren:

• Stripe Payments Europe Ltd. (Ierland) — betalingen + facturatie.
• Resend Inc. (Verenigde Staten) — transactionele e-mails (magic links, wachtwoord-reset). Onder Standard Contractual Clauses.
• Google LLC (Verenigde Staten) — alleen indien je Google login gebruikt.
• Anthropic PBC (Verenigde Staten) — Claude API voor foto-herkenning en AI grading. Foto's worden zonder retentie verwerkt.
• Render Services Inc. (Verenigde Staten) — hosting van de applicatie en database (EU-regio).
• Cardmarket / eBay — alleen anonieme prijs-lookups, geen gebruikersgegevens.

5. Cookies

We gebruiken alleen functionele cookies die strikt nodig zijn voor de werking van de site (sessie-cookie voor login, taalvoorkeur, theme-voorkeur). Hiervoor is geen toestemming vereist onder de AVG. We gebruiken geen tracking-, analytics- of reclame-cookies.

6. Bewaartermijnen

• Account-gegevens: zolang je account actief is + 30 dagen na verwijdering.
• Sessie-tokens: 30 dagen na laatste login.
• Facturen / betalingsgegevens: 7 jaar (fiscale bewaarplicht).
• Server-logs: maximaal 90 dagen.

7. Jouw rechten

Onder de AVG heb je het recht op:

• inzage in welke gegevens we van je hebben;
• correctie van foutieve gegevens;
• verwijdering ("recht om vergeten te worden");
• data-portabiliteit (export van je portfolio & account-data);
• bezwaar tegen verwerking;
• klacht indienen bij de Autoriteit Persoonsgegevens.

Stuur een verzoek naar privacy@cardprovs.app. We reageren binnen 30 dagen.

8. Beveiliging

We versleutelen wachtwoorden met PBKDF2 (200.000 iteraties), bieden 2FA-ondersteuning, en versleutelen al het verkeer met TLS. De database draait op een server in de EU.

9. Wijzigingen

Bij wezenlijke wijzigingen informeren we je via e-mail of een melding in de app vóór ze ingaan. De datum bovenaan deze pagina geeft de laatste update aan.

Algemene voorwaarden · Terug naar home