AVG / GDPR Compliance

De Algemene Verordening Gegevensbescherming (AVG, in het Engels GDPR) is de Europese privacywet die sinds 25 mei 2018 in alle EU-lidstaten rechtstreeks van toepassing is. In Nederland wordt de AVG aangevuld door de Uitvoeringswet AVG (UAVG). De wet geeft burgers grip op hun persoonsgegevens en legt organisaties die deze verwerken duidelijke plichten op.

De AVG geldt voor de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens (materieel toepassingsgebied, artikel 2). Het territoriaal toepassingsgebied (artikel 3) omvat verwerkingen door in de Unie gevestigde verwerkingsverantwoordelijken én verwerkingen die diensten aanbieden aan personen in de Unie. Biedradar is in Nederland gevestigd en valt volledig onder de AVG.

Artikel 4 AVG definieert de kernbegrippen die we hieronder kort en in gewone taal weergeven:

• Verwerkingsverantwoordelijke: de partij die het doel en de middelen van de verwerking bepaalt — dat zijn wij.
• Verwerker: een externe partij die in onze opdracht gegevens verwerkt (bijvoorbeeld onze hostingprovider).
• Persoonsgegevens: alle informatie die naar een geïdentificeerde of identificeerbare persoon herleidbaar is, zoals een IP-adres.
• Verwerking: elke handeling met persoonsgegevens, van verzamelen en opslaan tot wissen.
• Betrokkene: de persoon op wie de gegevens betrekking hebben — in ons geval de gebruiker van de tool.

Biedradar is de verwerkingsverantwoordelijke in de zin van artikel 4(7) en draagt de verantwoordelijkheid uit artikel 24 AVG. Dat betekent dat wij passende technische en organisatorische maatregelen nemen om de naleving van de verordening te kunnen aantonen. Onze contactgegevens staan onderaan deze pagina.

Artikel 6 AVG kent zes rechtsgrondslagen voor rechtmatige verwerking. Wij baseren onze verwerking primair op grondslag (f) gerechtvaardigd belang: het aanbieden van een gratis informatiedienst over woningen, met minimale impact op de betrokkene.

• (a) Toestemming — niet van toepassing; we gebruiken geen niet-functionele cookies waarvoor toestemming nodig is.
• (b) Uitvoering van een overeenkomst — niet van toepassing; gebruikers sluiten geen contract met ons af.
• (c) Wettelijke verplichting — niet van toepassing op de kernverwerking.
• (d) Vitale belangen — niet van toepassing.
• (e) Algemeen belang of openbaar gezag — niet van toepassing.
• (f) Gerechtvaardigd belang — onze grondslag voor het tijdelijk verwerken van IP-adressen voor beveiliging en rate limiting.

Artikel 9 verbiedt in principe de verwerking van bijzondere persoonsgegevens, zoals gezondheid, etniciteit, religieuze of politieke overtuigingen en biometrische data. Biedradar verwerkt geen enkele bijzondere categorie gegevens, in welke vorm dan ook.

Artikel 10 stelt strikte voorwaarden aan de verwerking van gegevens over strafrechtelijke veroordelingen of strafbare feiten. Wij verwerken dergelijke gegevens niet. Onze criminaliteitsstatistieken komen uit de geaggregeerde Politie Open Data en bevatten geen tot personen herleidbare informatie.

Biedradar is niet gericht op minderjarigen. We bieden een tool voor (toekomstige) huizenkopers, doorgaans volwassenen. Mocht een minderjarige toch de dienst gebruiken, dan worden er geen extra of andere gegevens verzameld dan bij elke andere bezoeker.

Artikel 5 formuleert zeven kernbeginselen voor rechtmatige verwerking. We passen elk van deze toe op onze dienst:

• Rechtmatigheid, behoorlijkheid en transparantie — verwerking is gebaseerd op een geldige grondslag en uitgelegd in dit beleid.
• Doelbinding — gegevens worden uitsluitend gebruikt voor het opstellen van de gevraagde analyse.
• Minimale gegevensverwerking — alleen adres en listingprijs; geen identificerende contactgegevens.
• Juistheid — bronnen (Kadaster, BAG, CBS) zijn de officiële Nederlandse registraties.
• Opslagbeperking — caches en IP-adressen worden binnen 24 uur gewist.
• Integriteit en vertrouwelijkheid — TLS 1.2+ in transit, AES-256 versleuteling at-rest en bcrypt voor wachtwoorden.
• Verantwoordingsplicht — we documenteren onze verwerkingsactiviteiten en kunnen naleving aantonen.

We vragen uitsluitend een adres en de listingprijs. We vragen geen naam, e-mailadres, telefoonnummer, geboortedatum, BSN of inkomensgegevens. Er zijn geen accounts, geen wachtwoorden en geen profielen. Het IP-adres wordt alleen kortstondig gebruikt voor rate limiting en niet aan analyseresultaten gekoppeld.

De ingevoerde gegevens worden uitsluitend gebruikt om de gevraagde woninganalyse te genereren en kortstondig te cachen. We gebruiken de gegevens niet voor marketing, niet voor profiling, niet voor verkoop aan derden en niet voor enig ander doel dan waarvoor ze zijn verzameld (artikel 5(1)(b)).

We hanteren strikte bewaartermijnen conform artikel 5(1)(e). IP-adressen voor rate limiting worden na maximaal 24 uur automatisch verwijderd. Gecachte analyseresultaten worden na 24 uur ververst of gewist. De taalvoorkeurcookie blijft bewaard tot je je browser leegmaakt; deze bevat geen identificerende gegevens.

De AVG geeft je een aantal rechten ten aanzien van je persoonsgegevens. Hieronder lichten we elk recht toe en geven we aan hoe het in onze context werkt — vaak beperkt, omdat we vrijwel niets opslaan dat tot jou herleidbaar is.

• Artikel 13 — Informatieplicht: we informeren je via dit privacy- en AVG-beleid bij het verzamelen van gegevens.
• Artikel 15 — Recht op inzage: je kunt opvragen welke gegevens wij over jou verwerken; in de praktijk is dat hooguit een tijdelijk IP-adres.
• Artikel 16 — Recht op rectificatie: onjuiste persoonsgegevens kunnen worden gecorrigeerd.
• Artikel 17 — Recht op vergetelheid: je kunt verwijdering verzoeken; doordat IP-adressen na 24 uur automatisch worden gewist is dit feitelijk al de standaard.
• Artikel 18 — Recht op beperking: je kunt verzoeken de verwerking tijdelijk te bevriezen, bijvoorbeeld in afwachting van een juistheidsbeoordeling.
• Artikel 19 — Kennisgevingsplicht: indien wij gegevens met derden zouden delen (wat we niet doen), zouden wij hen op de hoogte stellen van rectificatie of wissing.
• Artikel 20 — Recht op dataportabiliteit: je kunt je gegevens in een gestructureerd, gangbaar formaat ontvangen; gezien de minimale verwerking is dit doorgaans niet relevant.
• Artikel 21 — Recht van bezwaar: je kunt bezwaar maken tegen verwerking op grond van gerechtvaardigd belang.
• Artikel 22 — Geautomatiseerde besluitvorming en profilering: Biedradar maakt geen besluiten met rechtsgevolgen; we leveren niet-bindende schattingen en de eindbeslissing blijft volledig bij jou.

Je kunt je rechten uitoefenen door een issue te openen op ons publieke GitHub-project. We reageren in beginsel binnen een maand na ontvangst van het verzoek, conform artikel 12(3) AVG. Voor identificatie kunnen we beperkte aanvullende informatie vragen, maar nooit meer dan strikt noodzakelijk.

De behandeling van je verzoek is in principe gratis (artikel 12(5)). De standaardtermijn is een maand, eenmalig te verlengen met twee maanden indien het verzoek complex is of er meerdere verzoeken zijn (artikel 12(3)). We informeren je in dat geval binnen de eerste maand over de verlenging en de reden ervan.

Met elke partij die in onze opdracht persoonsgegevens verwerkt, sluiten we een verwerkersovereenkomst conform artikel 28 AVG. Deze overeenkomsten regelen onder meer het doel, de duur, het soort gegevens, de beveiligingsmaatregelen en de verplichting om bij beëindiging gegevens te verwijderen of te retourneren.

We maken gebruik van een beperkt aantal subverwerkers, allemaal binnen de EER:

• Hostingprovider (EU) — hosting van de applicatie en database, versleuteld at-rest (AES-256).
• Upstash — Redis-cache binnen de EU voor rate limiting; gegevens blijven binnen de EER.
• Google Places — adresautocompletion via een serverside-call; geen gebruikersidentificatie wordt doorgegeven.

Wij geven geen persoonsgegevens door buiten de Europese Economische Ruimte. Al onze subverwerkers zijn binnen de EER gevestigd, waardoor de aanvullende vereisten van Hoofdstuk V AVG (artikel 44 e.v.) en het Schrems II-arrest niet van toepassing zijn op onze verwerking.

We houden een register van verwerkingsactiviteiten bij conform artikel 30 AVG, met daarin de doeleinden, categorieën van betrokkenen en gegevens, ontvangers, bewaartermijnen en beveiligingsmaatregelen. Het register kan op verzoek aan de Autoriteit Persoonsgegevens worden overlegd.

Conform artikel 32 nemen we passende technische en organisatorische maatregelen, afgestemd op het beperkte risico van onze verwerking. Hieronder de belangrijkste:

• TLS 1.3-encryptie op alle verbindingen tussen browser en server.
• WAL-mode SQLite met atomaire schrijfoperaties om datacorruptie te voorkomen.
• Rate limiting per IP om misbruik en geautomatiseerde aanvallen te beperken.
• Hosting bij een EU-gevestigde provider met versleuteling at-rest (AES-256) op infrastructuurniveau.
• Geen openbaar bereikbare admin-interfaces; deploys via versleutelde kanalen.
• API-sleutels en geheimen uitsluitend in environment variables; nooit in code of repository.

Mocht zich een datalek voordoen met een waarschijnlijk risico voor de rechten en vrijheden van betrokkenen, dan melden we dit binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens (artikel 33). Bij een hoog risico informeren we ook de betrokkenen rechtstreeks (artikel 34), voor zover dit redelijkerwijs mogelijk is gegeven dat we geen contactgegevens opslaan.

Een Data Protection Impact Assessment (DPIA, artikel 35) is verplicht bij verwerkingen met een hoog risico. We hebben de aard van onze verwerking beoordeeld en geconcludeerd dat een DPIA niet vereist is: er is geen grootschalige verwerking, geen profilering en geen verwerking van bijzondere categorieën. Bij iedere wezenlijke uitbreiding van het verwerkingsprofiel voeren we de beoordeling opnieuw uit.

Het aanstellen van een Functionaris Gegevensbescherming (FG) is verplicht bij overheidsorganen, grootschalige systematische monitoring of grootschalige verwerking van bijzondere categorieën (artikel 37). Geen van deze drempels is op Biedradar van toepassing. Voor privacyvragen kun je daarom rechtstreeks contact opnemen via de hieronder genoemde kanalen.

De bevoegde toezichthouder voor Biedradar is de Nederlandse Autoriteit Persoonsgegevens (AP). De AP houdt toezicht op de naleving van de AVG en de UAVG en is bereikbaar via autoriteitpersoonsgegevens.nl.

Je hebt op grond van artikel 77 AVG altijd het recht een klacht in te dienen bij een toezichthoudende autoriteit, onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte. In Nederland kan dit bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl. We stellen het op prijs als je ons eerst de kans geeft een eventueel probleem op te lossen.

Artikel 82 AVG geeft betrokkenen recht op vergoeding van materiële of immateriële schade als gevolg van een AVG-inbreuk. Artikel 83 voorziet in administratieve geldboetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. We nemen deze regels uiterst serieus en richten onze processen zo in dat de naleving aantoonbaar is.

We kunnen dit AVG-beleid van tijd tot tijd actualiseren, bijvoorbeeld bij wijzigingen in de wetgeving of in onze dienstverlening. Belangrijke wijzigingen publiceren we op deze pagina, met de datum van inwerkingtreding. Het is raadzaam deze pagina periodiek te raadplegen.

Voor vragen, verzoeken of klachten over de verwerking van persoonsgegevens kun je een issue openen op ons publieke GitHub-project: github.com/chain-xvi/biedradar. We streven ernaar binnen een maand inhoudelijk te reageren, conform artikel 12(3) AVG.