Privacybeleid

Biedradar is een Nederlandse webdienst voor biedanalyses op woningen. De beheerder van het project is de verwerkingsverantwoordelijke in de zin van artikel 4(7) AVG. Omdat Biedradar geen accounts of e-mailregistratie kent, verloopt contact uitsluitend via ons publieke GitHub-project: github.com/chain-xvi/biedradar.

Biedradar verwerkt alleen de gegevens die nodig zijn om een analyserapport te genereren:

• Het adres en de listingprijs die je invoert
• Je IP-adres (uitsluitend voor rate limiting, niet gekoppeld aan rapporten)
• Je taalvoorkeur (opgeslagen als cookie in je browser)
• Geen e-mail, naam, telefoonnummer of andere persoonsgegevens

We zijn bewust minimalistisch met data. Onderstaande gegevens raken we niet aan, vragen we niet uit en slaan we ook niet op:

• Geen naam, voornaam of achternaam
• Geen e-mailadres of telefoonnummer
• Geen betaalgegevens, IBAN of creditcardnummers
• Geen BSN, paspoort- of identiteitsgegevens
• Geen biometrische gegevens of foto's
• Geen bijzondere persoonsgegevens (gezondheid, religie, etniciteit, politieke voorkeur, seksuele geaardheid, vakbondslidmaatschap)
• Geen locatie via GPS of apparaat-sensoren — alleen het adres dat je zelf typt

We verzamelen gegevens uitsluitend wanneer je actief het analyseformulier invult en verzendt. Er is geen scraping, geen achtergrond-tracking, geen fingerprinting, en geen import uit externe bronnen die jou betreffen. Buiten het versturen van het formulier verwerken we niets over jou.

We verwerken gegevens uitsluitend om het door jou opgevraagde analyserapport te genereren en te tonen, en om misbruik van de dienst (bijvoorbeeld scraping of overbelasting) te voorkomen via rate limiting. We gebruiken je gegevens niet voor profilering, marketing, doorverkoop, of enig ander doel. Dit is doelbinding zoals vereist onder artikel 5(1)(b) AVG.

Voor elke verwerking hebben we een specifieke rechtsgrondslag onder artikel 6 AVG en artikel 5(3) ePrivacy-richtlijn:

• Adres en listingprijs: gerechtvaardigd belang (artikel 6(1)(f) AVG) — je vraagt zelf om de analyse
• IP-adres voor rate limiting: gerechtvaardigd belang (artikel 6(1)(f) AVG) — beveiliging en misbruikpreventie
• Functionele opslag taalvoorkeur: noodzakelijk voor de dienst (artikel 5(3) ePrivacy-richtlijn, vrijgesteld van toestemming)

We hanteren strikte, korte bewaartermijnen overeenkomstig artikel 5(1)(e) AVG (opslagbeperking):

• IP-adressen voor rate limiting: maximaal 24 uur in Redis, daarna automatisch verwijderd
• Gecachede analyserapporten: kort gecached in SQLite voor snelheid, daarna automatisch verwijderd
• Onveranderlijke transactiedata van Kadaster: bewaard zolang de dienst draait — bevat geen persoonsgegevens
• Taalvoorkeur in localStorage: blijft tot je je browseropslag wist

Analyseresultaten worden kort gecached in onze database voor snelheid. Alle persistente opslag is versleuteld in rust (AES-256). Na het verlopen van de cache worden gegevens automatisch verwijderd.

We treffen passende technische en organisatorische maatregelen conform artikel 32 AVG:

• Versleuteling tijdens transport via TLS 1.3 op alle endpoints
• Versleuteling at-rest (AES-256) op database- en disk-niveau
• Embedded SQLite met WAL-mode voor consistente, atomische schrijfoperaties
• Rate limiting per IP-adres om scraping en geautomatiseerd misbruik te beperken
• API-sleutels en secrets in environment-variabelen, niet in versiebeheer; geen openbaar admin-paneel

Alle persoonsgegevens worden verwerkt en opgeslagen binnen de Europese Economische Ruimte (EER). Hosting, database en korte-termijn cache draaien bij EU-gevestigde subverwerkers. We gebruiken bewust geen Amerikaanse analytics of trackingplatforms.

We schakelen een beperkt aantal subverwerkers in, allen binnen de EER en met passende AVG-waarborgen (verwerkersovereenkomst, technische beveiliging):

• Hostingprovider — applicatie- en database-hosting binnen de EER, versleuteld at-rest (AES-256)
• Upstash, Inc. — Redis-cache binnen de EU, gegevens versleuteld in transit en at-rest
• Google Places API — uitsluitend voor adres-autocomplete; alleen de getypte adresstring wordt verstuurd, geen IP of overige persoonsgegevens van jou

We delen geen gegevens met derden. De data die we opvragen bij Kadaster, CBS, Politie en EP-Online bevat geen persoonsinformatie van jou — het zijn publieke registraties over woningen en buurten.

Er vindt geen structurele doorgifte van persoonsgegevens plaats buiten de EER. Hosting en cache bevinden zich in Nederland en Duitsland. De Schrems II-problematiek rond Amerikaanse clouddiensten is daarmee voor onze infrastructuur niet van toepassing. De adres-autocomplete via Google Places is een incidentele transactie waarbij alleen de door jou getypte adresstring wordt verstuurd; we sturen geen identificeerbare gegevens mee.

Biedradar gebruikt geen tracking-cookies en geen cookies van derden. We gebruiken een functionele opslag-entry in je browser (localStorage-sleutel "locale") om je taalkeuze te onthouden. Functionele opslag is vrijgesteld van het toestemmingsvereiste onder artikel 5(3) ePrivacy-richtlijn. Je kunt deze opslag op elk moment wissen via je browserinstellingen.

Onze server houdt minimale operationele logs bij (HTTP-statuscodes, foutmeldingen, request-tijden) om problemen te kunnen diagnosticeren. We loggen geen request bodies, geen volledige IP's voor rapportage-doeleinden, en geen identificeerbare informatie buiten wat strikt nodig is voor rate limiting. Logs worden periodiek geroteerd en niet langer bewaard dan nodig voor stabiliteit en beveiliging.

Biedradar gebruikt geen Google Analytics, Facebook Pixel of andere trackingtools. We plaatsen geen advertentiecookies. De enige cookie is je taalvoorkeur (functioneel, geen toestemming vereist onder de AVG).

We sturen geen marketing-e-mails, nieuwsbrieven, push-notificaties of remarketing-advertenties. Omdat we geen e-mailadres of contactgegevens verzamelen, is dit ook niet mogelijk. Er is dus ook geen opt-out nodig.

Biedradar richt zich op volwassen woningkopers en is niet bedoeld voor minderjarigen. We verzamelen niet bewust gegevens van personen onder de 16 jaar (artikel 8 AVG). Omdat we geen identificerende gegevens verwerken, kunnen we de leeftijd van bezoekers ook niet vaststellen — gebruik van de dienst impliceert dat je meerderjarig bent of toestemming hebt van een ouder of voogd.

Onze rapporten zijn algoritmische schattingen op basis van publieke data (Kadaster, CBS, Politie, EP-Online). Het zijn nadrukkelijk geen juridisch bindende waarderingen of taxaties. Er is geen sprake van geautomatiseerde besluitvorming met rechtsgevolgen in de zin van artikel 22 AVG: jij maakt altijd zelf de uiteindelijke biedbeslissing, eventueel met een makelaar of taxateur.

Omdat we geen persoonsgegevens opslaan, zijn de meeste AVG-rechten (inzage, correctie, verwijdering) niet van toepassing. Mocht je vragen hebben, neem contact op via het GitHub-project.

• Recht op inzage (artikel 15 AVG)
• Recht op rectificatie (artikel 16 AVG)
• Recht op wissing / vergetelheid (artikel 17 AVG)
• Recht op beperking van de verwerking (artikel 18 AVG)
• Recht op dataportabiliteit (artikel 20 AVG)
• Recht van bezwaar (artikel 21 AVG)
• Recht niet onderworpen te worden aan uitsluitend geautomatiseerde besluitvorming (artikel 22 AVG)

Omdat we geen account- of contactgegevens van je hebben, kun je deze rechten uitoefenen door een issue te openen op ons GitHub-project. Vermeld duidelijk welk recht je inroept; we reageren binnen een maand zoals vereist onder artikel 12(3) AVG.

Als je vindt dat wij je gegevens niet correct verwerken, heb je het recht een klacht in te dienen bij de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). Dit recht is gegarandeerd onder artikel 77 AVG. We stellen het op prijs als je eerst contact met ons opneemt zodat we het probleem kunnen oplossen.

Bij een datalek volgen we de meldplicht uit artikel 33 AVG: incidenten met risico voor betrokkenen worden binnen 72 uur gemeld bij de Autoriteit Persoonsgegevens. Indien een datalek waarschijnlijk een hoog risico voor jouw rechten en vrijheden oplevert, informeren we ook jou rechtstreeks zodra dat technisch mogelijk is, conform artikel 34 AVG. Omdat we vrijwel geen persoonsgegevens opslaan, is het reële risico op een impactvol datalek beperkt.

We kunnen dit privacybeleid bijwerken wanneer onze dienst, leveranciers of wettelijke verplichtingen veranderen. Wijzigingen kondigen we aan op deze pagina door de "laatst bijgewerkt"-datum aan te passen. Bij ingrijpende wijzigingen plaatsen we een duidelijke melding op de homepage.

Dit privacybeleid is voor het laatst bijgewerkt op 4 mei 2026 en is per die datum van kracht.

Voor privacyvragen kun je een issue openen op ons GitHub-project: github.com/chain-xvi/biedradar. We hebben geen Functionaris Gegevensbescherming (FG) aangesteld omdat de schaal en aard van de verwerking dat onder artikel 37 AVG niet vereist: we verwerken geen bijzondere persoonsgegevens, geen gegevens op grote schaal, en geen gegevens die stelselmatige observatie van betrokkenen vergen.