1. Wie wij zijn

SameSubs.com ("SameSubs", "wij") is een online platform waarmee gebruikers de kosten van digitale abonnementen kunnen delen in groepen. Wij zijn verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG/GDPR).

2. Welke persoonsgegevens wij verzamelen

Identificatie- en contactgegevens

Naam, e-mailadres, gebruikersnaam, profielfoto (optioneel).

Account- en authenticatiegegevens

Inloggegevens, wachtwoorden (gehasht en versleuteld), IP-adres, apparaat- en browsergegevens.

Betaal- en financiële gegevens

Transactiegegevens, betaalgeschiedenis. Bank- en kaartgegevens worden uitsluitend verwerkt door Stripe en nooit door SameSubs opgeslagen.

Platformgebruik

Groepslidmaatschappen, transacties, reviews, Trust Score, seat-status en communicatie via het supportformulier.

Verificatiegegevens (alleen Hosts)

Identiteitsdocumenten en geboortedatum, uitsluitend verwerkt via Stripe Connect conform KYC/AML-wetgeving. SameSubs heeft hier geen directe toegang toe.

Technische gegevens

Cookies, sessiegegevens, paginaweergaven en interacties. Zie ons Cookiebeleid voor details.

3. Grondslag voor verwerking

Wij verwerken persoonsgegevens op de volgende rechtsgronden (artikel 6 AVG):

• Uitvoering van de overeenkomst (art. 6(1)(b)): accountbeheer, betalingsverwerking, zeteltoewijzing, toegangsbeheer en refunds.
• Wettelijke verplichting (art. 6(1)(c)): KYC/AML-verificatie voor Hosts, belastingadministratie en wettelijke bewaarplicht.
• Gerechtvaardigd belang (art. 6(1)(f)): fraudepreventie, platformbeveiliging, Trust Score-berekening en verbetering van onze diensten.
• Toestemming (art. 6(1)(a)): niet-essentiële cookies, marketingcommunicatie (indien apart gekozen).

4. Waarvoor wij gegevens gebruiken

• Account aanmaken, beheren en beveiligen.
• Betalingen en uitbetalingen verwerken via Stripe.
• Groepen, zetels en meldingen beheren.
• Trust Score berekenen en reviews tonen.
• Fraude en misbruik opsporen en voorkomen.
• Supportverzoeken afhandelen.
• Het Platform verbeteren op basis van gebruiksanalyses.
• Voldoen aan wettelijke verplichtingen.

5. Delen van gegevens

Met andere gebruikers

• Altijd zichtbaar: naam/gebruikersnaam, profielfoto, Trust Score en reviews.
• Bij invite-groepen: je e-mailadres wordt gedeeld met de Host, uitsluitend om de uitnodiging te sturen. De Host mag dit adres niet voor andere doeleinden gebruiken.
• Bij login-groepen: je e-mailadres wordt niet gedeeld met de Host.
• Nooit gedeeld: wachtwoord, betaalgegevens, adres, identiteitsdocumenten.

Met verwerkers

• Stripe (betalingsverwerking, KYC-verificatie) — VS, met adequaatheidswaarborgen (EU-VS DPF).
• Hosting-provider (STRATO) — servers binnen de EU.
• E-maildienst (voor transactionele e-mails) — conform verwerkersovereenkomst.
• Analytics (Google Analytics / Sourcebuster) — geanonimiseerd of met toestemming.

Met derden

Wij delen persoonsgegevens alleen met derden wanneer dit wettelijk verplicht is (bijv. op last van de rechter of toezichthouder) of noodzakelijk ter voorkoming van fraude.

6. Doorgifte buiten de EU/EER

Stripe is gevestigd in de VS en gecertificeerd onder het EU-VS Data Privacy Framework (DPF). Voor andere verwerkers zorgen wij voor passende waarborgen via Standard Contractual Clauses (SCC) of adequaatheidsbesluiten.

7. Bewaartermijnen

• Accountgegevens: tot verwijdering van het account, plus maximaal 30 dagen voor technische opruiming.
• Transactie- en betaalgegevens: 7 jaar na het boekjaar (wettelijke fiscale bewaarplicht).
• KYC/AML-documenten: 5 jaar na beëindiging relatie (Wwft-verplichting), opgeslagen bij Stripe.
• Supportcorrespondentie: maximaal 2 jaar na afhandeling.
• Logbestanden en IP-adressen: maximaal 12 maanden.

8. Jouw rechten

Op grond van de AVG heb je de volgende rechten:

• Inzage: opvragen welke gegevens wij van je verwerken.
• Rectificatie: onjuiste gegevens laten corrigeren.
• Verwijdering: verzoek tot wissing van je gegevens ("recht om vergeten te worden"), voor zover geen wettelijke bewaarplicht geldt.
• Beperking: verwerking tijdelijk stilzetten.
• Overdraagbaarheid: je gegevens ontvangen in een gestructureerd, gangbaar formaat (dataportabiliteit).
• Bezwaar: bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
• Intrekking toestemming: eerder gegeven toestemming op elk moment intrekken (bijv. cookies, marketing).

Rechten uitoefenen: stuur een e-mail naar support@samesubs.com met vermelding van je naam en e-mailadres. Wij reageren binnen 30 dagen.

9. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen, waaronder:

• Versleutelde verbindingen (TLS/SSL) op alle pagina's.
• Wachtwoorden worden gehasht opgeslagen (bcrypt).
• Betalingsgegevens worden door Stripe verwerkt conform PCI-DSS Level 1.
• Toegang tot gegevens is beperkt tot geautoriseerde medewerkers.
• Regelmatige beveiligingsaudits en software-updates.

10. Cookies

Wij gebruiken cookies en vergelijkbare technieken. Voor een volledig overzicht verwijzen wij naar ons Cookiebeleid.

11. Klachten

Heb je een klacht over de verwerking van je persoonsgegevens? Neem eerst contact op via support@samesubs.com. Je hebt ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl.

12. Wijzigingen

Wij kunnen deze Privacyverklaring van tijd tot tijd aanpassen. Bij belangrijke wijzigingen stellen wij je hiervan op de hoogte via e-mail of een melding op het Platform. De actuele versie is altijd beschikbaar op deze pagina.