Privacybeleid

1. Verwerkingsverantwoordelijke

Hockeystanden.nl (hierna: “wij”, “ons” of “de website”) is de verwerkingsverantwoordelijke voor de persoonsgegevens die via deze website worden verwerkt, in de zin van artikel 4 lid 7 van de Algemene Verordening Gegevensbescherming (AVG / GDPR).

Voor vragen over dit privacybeleid kun je contact met ons opnemen via privacy@hockeystanden.nl.

2. Welke gegevens we verwerken

We verwerken alleen die persoonsgegevens die je zelf aan ons verstrekt of die strikt nodig zijn om de website te laten werken.

2.1 Bij anoniem bezoek

Als je de website bezoekt zonder in te loggen, verwerken we geen persoonsgegevens die naar jou herleidbaar zijn. We gebruiken Cloudflare Web Analytics, een privacyvriendelijke statistiekenoplossing die geen cookies plaatst, geen IP-adressen opslaat en geen device fingerprinting toepast. Het verzamelen van geaggregeerde, niet-herleidbare bezoekersstatistieken (zoals het aantal paginaweergaves per dag) baseren we op ons gerechtvaardigd belang om de kwaliteit en stabiliteit van de website te kunnen beoordelen.

2.2 Bij het aanmaken van een account

Inloggen verloopt via Google (OAuth 2.0). Op het moment dat je voor het eerst inlogt ontvangen wij van Google de volgende gegevens, op basis van het door jou verleende toestemmingsscherm:

• je naam, zoals bekend bij Google;
• je e-mailadres en de bevestiging dat dit door Google geverifieerd is;
• de URL van je profielfoto (deze wordt door ons niet gekopieerd of opgeslagen op onze servers; we verwijzen direct naar de URL van Google);
• een door Google toegekende, voor onze dienst unieke identifier (de zogeheten sub) die wij gebruiken om jouw account aan toekomstige logins te koppelen.

Wij ontvangen geen wachtwoord, geen contactenlijst, geen agenda en geen andere Google-data. We vragen uitsluitend de standaard scopes openid, email en profile.

2.3 Bij volgen van clubs en teams

Wanneer je een club of team volgt (de Volg-knop — voorheen “Favoriet”), slaan we de koppeling tussen jouw gebruikers-ID en de gevolgde club of het gevolgde team op. Op basis daarvan tonen we per club en team een geaggregeerd aantal volgers (“fans”); individuele volgers worden nooit publiek getoond. We verwerken geen interactiedata, geen kliklogs en geen tracking van welke pagina’s je daarna bezoekt.

2.4 Technische sessie-informatie

Voor elke actieve sessie slaan we een willekeurig sessie-token, het aanmaakmoment, de vervaldatum en (optioneel) je IP-adres en user-agent op, zodat we ongebruikelijke activiteit kunnen detecteren en de sessie zo nodig kunnen intrekken.

2.5 Bij claimen van “Mijn club” of “Mijn team”

Naast volgen kun je één primaire club en één primair team kiezen (“Mijn club” / “Mijn team”). Bij een team geef je ook jouw rol op: speler, coach of manager.

We slaan op:

• de gekoppelde club (fed_id), respectievelijk team-ID;
• jouw rol bij een team (player / coach / manager);
• de status van de claim: verified (spelers en clubs zijn meteen geverifieerd; voor coach/manager geldt één verified per team), pending (coach/manager-claim wacht op redactionele verificatie) of rejected (afgekeurd);
• het tijdstip waarop je de claim hebt ingediend en, na verificatie, het tijdstip en de gebruikers-ID van de admin die de claim heeft afgehandeld.

Geen van deze gegevens wordt publiek getoond, tenzij je daar afzonderlijk en uitdrukkelijk toestemming voor geeft (zie §2.6). Je kunt “Mijn club” en “Mijn team” op elk moment verwijderen via mijn.hockeystanden.nl.

2.6 Optionele publicatie van je naam (coach / manager)

Als coach of manager kun je er expliciet voor kiezen om jouw naam — zoals bekend bij Google — zichtbaar te maken op de teampagina, naast de aanduiding Coach of Manager. Standaard staat deze optie uit; we tonen dan alleen dat de rol “aangemeld” is, zonder naam.

Bij het aanvinken leggen we het tijdstip vast (public_consent_at) zodat we conform AVG art. 7 lid 1 kunnen aantonen dat je toestemming is gegeven. Je kunt deze toestemming op elk moment intrekken via mijn.hockeystanden.nl — je naam verdwijnt dan binnen het cache-venster van de website (typisch enkele minuten).

Voor spelers tonen we momenteel nooit individuele namen publiek; alleen het totaal aantal spelers dat zich met dit team heeft verbonden.

2.7 Bij het indienen van bijdragen (kennis-tekst & foto’s)

Geverifieerde leden van één team of één club kunnen via de betreffende pagina bijdragen indienen: korte verhalen (“kennis”) of foto’s die het profiel verrijken. Bij elke inzending leggen we vast:

• jouw gebruikers-ID en het tijdstip van indienen, om bijdragen aan jouw account te kunnen koppelen en de afhandeling te kunnen auditen;
• de aangeleverde tekst en/of foto, plus de oorspronkelijke bestandsnaam en het MIME-type van foto’s;
• de uitkomst van de geautomatiseerde controle (zie §5, Anthropic, PBC) en, na admin-beoordeling, de uitkomst van de redactionele controle plus eventuele afwijzingsreden;
• op het moment van publicatie: het tijdstip waarop de bijdrage publiek werd gemaakt, en (indien je toestemming voor naamsvermelding hebt gegeven, §2.6) jouw naam naast de bijdrage.

Belangrijke waarschuwing voor foto’s. Door een foto in te dienen bevestig je dat je rechthebbende bent of toestemming hebt van de herkenbaar afgebeelde personen. Foto’s met duidelijk herkenbare minderjarigen (jeugdteams) accepteren we alleen als het een formele teamfoto in tenue betreft — close-ups van individuele minderjarigen worden afgewezen.

Bijdragen worden niet automatisch gepubliceerd. Eerst beoordeelt de AI-moderatieworker (Anthropic) tekst en/of beeld op privacy, veiligheid en geschiktheid; daarna beslist een admin handmatig of de bijdrage wordt gepubliceerd, blijft hangen voor verdere beoordeling, of wordt afgewezen. Afgewezen of niet-gepubliceerde bijdragen zijn nooit publiek zichtbaar.

2.8 Bij het inschakelen van pushmeldingen

Als je via mijn.hockeystanden.nl kiest om pushmeldingen te ontvangen voor uitslagen van teams of poules die je volgt, slaan we per apparaat de volgende technische gegevens op die je browser aan ons verstrekt:

• de unieke endpoint-URL van de pushdienst die jouw browser of besturingssysteem gebruikt (Mozilla, Google, Apple of Microsoft) — nodig om de melding aan jouw apparaat te kunnen bezorgen;
• de twee versleutelingssleutels (p256dh en auth) die jouw browser bij de aanmelding genereert — we gebruiken ze om de inhoud van de melding end-to-end te versleutelen vóór we die naar de pushdienst sturen;
• de User-Agent-string van het apparaat — uitsluitend om jou in een toekomstige “mijn apparaten”-overzichtspagina te helpen herkennen welke browser welke melding ontvangt.

We versturen een melding alleen wanneer een wedstrijd van een door jou gevolgd team of poule een eindstand krijgt. We gebruiken de gegevens niet voor reclame, niet voor tracking en delen ze niet met derden buiten de pushdienst van jouw eigen browser. Je kunt op elk moment uitzetten via dezelfde knop op mijn.hockeystanden.nl; we verwijderen dan zowel de aanmelding bij jouw browser als onze opgeslagen gegevens.

3. Doel en rechtsgrond

We verwerken jouw persoonsgegevens uitsluitend voor de volgende doelen, telkens met de daarbij vermelde grondslag uit artikel 6 lid 1 AVG:

• Inloggen en accountbeheer — uitvoering van de overeenkomst die ontstaat zodra je een account aanmaakt (Art. 6 lid 1 sub b AVG).
• Volgen van clubs/teams en claimen van Mijn club / Mijn team — uitvoering van de overeenkomst (Art. 6 lid 1 sub b AVG). Deze functies zijn alleen toegankelijk voor ingelogde gebruikers en bestaan om jouw account-ervaring te personaliseren.
• Publicatie van je naam als coach of manager — uitsluitend op basis van jouw uitdrukkelijke toestemming (Art. 6 lid 1 sub a AVG). De toestemming is granulair (per team-rol), aantoonbaar (we leggen het tijdstip vast als public_consent_at) en door jou op elk moment intrekbaar via mijn.hockeystanden.nl, zonder afbreuk aan de rechtmatigheid van eerdere verwerking.
• Indienen, modereren en publiceren van bijdragen (UGC) — uitvoering van de overeenkomst die ontstaat zodra je een bijdrage indient (Art. 6 lid 1 sub b AVG): wij zijn redactioneel verantwoordelijk voor wat er op de website verschijnt en mogen daarom een bijdrage modereren, afwijzen en (na goedkeuring) publiceren. Voor de naamsvermelding bij een gepubliceerde bijdrage geldt dezelfde toestemmingsbasis als bij coach/manager-naamsvermelding (Art. 6 lid 1 sub a AVG, zie §2.6). Voor het zenden van een bijdrage naar Anthropic ten behoeve van AI-moderatie baseren we ons op het gerechtvaardigd belang om publicatie pas na een eerste veiligheidscheck toe te staan (Art. 6 lid 1 sub f AVG); je kunt deze verwerking voorkomen door geen bijdrage in te dienen.
• Versturen van pushmeldingen voor uitslagen — uitsluitend op basis van jouw uitdrukkelijke toestemming (Art. 6 lid 1 sub a AVG). De toestemming wordt aantoonbaar gegeven door de browserprompt en is op elk moment intrekbaar via dezelfde knop op mijn.hockeystanden.nl of in de browserinstellingen, zonder afbreuk aan de rechtmatigheid van eerdere verwerking.
• Functionele cookies en sessiebeheer — gerechtvaardigd belang om de dienst veilig en bruikbaar aan te bieden (Art. 6 lid 1 sub f AVG; deze cookies zijn op grond van artikel 11.7a Telecommunicatiewet uitgezonderd van de toestemmingsplicht).
• Beveiliging en fraudebestrijding — gerechtvaardigd belang om misbruik (zoals brute-force loginpogingen) te voorkomen (Art. 6 lid 1 sub f AVG).
• Geaggregeerde statistieken — gerechtvaardigd belang om de prestaties en kwaliteit van de website te meten zonder jouw privacy te schenden (Art. 6 lid 1 sub f AVG).

We gebruiken jouw gegevens niet voor geautomatiseerde besluitvorming of profilering met juridische gevolgen (Art. 22 AVG).

4. Bewaartermijn

• Accountgegevens bewaren we zolang je account bestaat. Verwijder je je account, dan worden alle bijbehorende gegevens (profiel, gevolgde clubs/teams, Mijn club / Mijn team, sessies) binnen 30 dagen definitief verwijderd.
• Mijn club / Mijn team wordt direct verwijderd zodra je het via mijn.hockeystanden.nl opzegt, of wanneer je je account verwijdert. De geclaimde rol verdwijnt dan ook uit het admin-overzicht (afgehandelde queue-items blijven 30 dagen ter audit).
• Inactieve accounts waarmee 24 maanden niet is ingelogd, kunnen automatisch verwijderd worden na een vooraankondiging per e-mail.
• Sessie-tokens verlopen automatisch na maximaal 30 dagen en worden daarna verwijderd.
• Geaggregeerde statistieken (Cloudflare Web Analytics) bevatten geen persoonsgegevens en worden door Cloudflare maximaal zes maanden bewaard.
• Ingediende bijdragen (UGC) — tekst en foto’s. Goedgekeurde en gepubliceerde bijdragen blijven zichtbaar zolang de betreffende club- of teampagina bestaat en we redactioneel achter de inhoud staan; je kunt op elk moment verwijdering aanvragen via privacy@hockeystanden.nl (zie ook de takedown-procedure in onze algemene voorwaarden). Afgewezen of niet-gepubliceerde bijdragen bewaren we maximaal 12 maanden in een afgeschermd auditlog ter verantwoording van onze moderatiebeslissingen, en worden daarna verwijderd. Bij verwijdering van je account worden ook eventuele nog niet gepubliceerde bijdragen verwijderd.

5. Ontvangers en sub-verwerkers

We schakelen alleen partijen in die strikt noodzakelijk zijn om de website te kunnen aanbieden. Met elk van hen is een verwerkersovereenkomst gesloten waarin afspraken zijn vastgelegd over beveiliging, geheimhouding en doelbinding.

We delen jouw persoonsgegevens uitsluitend met deze partijen voor de hierboven genoemde doelen. We verkopen, verhuren of verhandelen jouw gegevens nooit aan derden, ook niet voor reclame- of marketingdoeleinden. Wij verstrekken jouw gegevens uitsluitend aan andere derden als we daar wettelijk toe verplicht zijn (bijvoorbeeld op vordering van politie of justitie).

6. Doorgifte buiten de EER

Cloudflare en Google zijn beide gevestigd in de Verenigde Staten. Beide partijen zijn gecertificeerd onder het EU-US Data Privacy Framework, waardoor doorgifte naar de Verenigde Staten plaatsvindt op basis van een door de Europese Commissie erkend passend beschermingsniveau (Art. 45 AVG). Daarnaast worden Standard Contractual Clauses gebruikt waar van toepassing.

7. Cookies en vergelijkbare technieken

We plaatsen alleen strikt noodzakelijke, functionele cookies. Daar is op grond van artikel 11.7a lid 3 Telecommunicatiewet geen toestemming voor vereist. Er staan geen tracking-, advertentie- of analytische cookies van derden op deze website.

Je kunt deze cookies te allen tijde verwijderen via de instellingen van je browser. Het gevolg is dat je opnieuw zult moeten inloggen.

8. Beveiliging

We nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, misbruik en ongeautoriseerde toegang, in lijn met artikel 32 AVG. Concreet betekent dit onder meer:

• al het verkeer verloopt verplicht over HTTPS (TLS 1.3);
• sessie-tokens worden cryptografisch ondertekend met een geheim dat alleen op de server bekend is;
• data-at-rest wordt versleuteld door Cloudflare D1 en R2;
• toegang tot de productieomgeving is beperkt tot een minimaal aantal beheerders met two-factor authenticatie;
• infrastructuurgeheimen worden uitsluitend opgeslagen in Cloudflare Secrets en GitHub Actions Secrets, nooit in code.

Geen enkele beveiligingsmaatregel is 100% sluitend. Mocht er onverhoopt sprake zijn van een datalek, dan handelen wij conform artikel 33 AVG en stellen wij de Autoriteit Persoonsgegevens en (waar vereist) de betrokkenen binnen 72 uur op de hoogte.

9. Jouw rechten

Op grond van de AVG heb je het recht om:

• inzage te krijgen in de persoonsgegevens die wij van jou verwerken (Art. 15 AVG);
• onjuiste gegevens te laten corrigeren (Art. 16 AVG);
• jouw gegevens te laten verwijderen (Art. 17 AVG);
• de verwerking te laten beperken (Art. 18 AVG);
• jouw gegevens in een gestructureerd formaat te ontvangen voor overdracht aan een andere dienst (Art. 20 AVG);
• bezwaar te maken tegen verwerking op grond van gerechtvaardigd belang (Art. 21 AVG);
• een eerder gegeven toestemming in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van eerdere verwerking (Art. 7 lid 3 AVG).

Je kunt deze rechten uitoefenen door een e-mail te sturen naar privacy@hockeystanden.nl. We reageren binnen 30 dagen. Om je identiteit te kunnen verifiëren kunnen we vragen om jouw verzoek te bevestigen vanaf het bij ons bekende e-mailadres.

10. Klacht indienen

Heb je een klacht over hoe wij omgaan met jouw persoonsgegevens? Neem dan eerst contact met ons op — we vinden het belangrijk om er samen uit te komen. Kom je er met ons niet uit, dan heb je het recht om een klacht in te dienen bij de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens.

11. Kinderen

Hockeystanden.nl is bedoeld voor een algemeen publiek. We richten ons niet bewust op kinderen jonger dan 16 jaar. Mocht je vermoeden dat we zonder geldige toestemming gegevens van een kind onder de 16 jaar hebben ontvangen, neem dan contact met ons op zodat we deze gegevens kunnen verwijderen.

Foto’s waarop minderjarigen herkenbaar zijn kunnen privacy-gevoelig zijn. We accepteren foto’s waarop kinderen herkenbaar in beeld zijn alleen wanneer dit een formele teamfoto in officieel tenue betreft — en ook dan alleen voor zover de indiener verklaart toestemming te hebben van de ouders/voogden. Close-ups van individuele minderjarigen worden afgewezen. Ouders, voogden of de afgebeelde personen zelf kunnen op elk moment verwijdering aanvragen via privacy@hockeystanden.nl; we verwijderen de foto dan binnen 7 dagen, conform onze takedown-procedure (zie algemene voorwaarden §6b).

12. Wijzigingen

We kunnen dit privacybeleid van tijd tot tijd aanpassen, bijvoorbeeld wanneer wij nieuwe functionaliteit toevoegen of de wet- en regelgeving wijzigt. De laatst gewijzigde datum staat bovenaan deze pagina. Bij ingrijpende wijzigingen brengen we ingelogde gebruikers per e-mail of via een melding op de website op de hoogte.

13. Contact

Vragen, opmerkingen of verzoeken kun je richten aan:

Hockeystanden.nl
E-mail: privacy@hockeystanden.nl
Algemeen: contact@hockeystanden.nl