Privacybeleid / Privacy Policy

1. Verwerkingsverantwoordelijke

1. Data controller

De verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) voor de verwerking van persoonsgegevens via Groupr is:

The data controller within the meaning of the General Data Protection Regulation (GDPR) for the processing of personal data through Groupr is:

G

Knotter holding B.V.

Handelsnaam
Trade name: Groupr
Adres
Address: Van Heemstrastraat 22, 2613CE Delft, Nederland
KvK: 42054905
BTW
VAT: NL004717255B26
E-mail
Email: groupr@knotterholding.nl; groupr@knotterholding.com

2. Welke gegevens verwerken wij?

2. What data do we process?

Accountgegevens

Account data

Bij het aanmaken van een account verwerken wij:

When creating an account, we process:

E-mailadres (verplicht, dient als inlognaam)
Weergavenaam (verplicht)
Profielfoto (optioneel, door u geüpload)
Gehashed wachtwoord (wij slaan nooit uw wachtwoord in leesbare tekst op)
Taalvoorkeur (NL/EN)
Abonnementsplan en vervaldatum
Betalingskoppeling via Mollie (geen betaalgegevens opgeslagen bij ons)
Tijdstip van registratie en laatste aanmelding

Email address (required, serves as login name)
Display name (required)
Profile photo (optional, uploaded by you)
Hashed password (we never store your password in plain text)
Language preference (NL/EN)
Subscription plan and expiry date
Payment link via Mollie (no payment card data stored by us)
Registration timestamp and last login time

Groeps- en activiteitengegevens

Group and activity data

Wij verwerken de gegevens die u invoert bij het gebruik van de dienst, waaronder:

We process data you enter while using the service, including:

Groepsnamen, beschrijvingen en instellingen
Beschikbaarheidsgegevens van groepsleden
Wedstrijd- en evenementdetails
Chatberichten (binnen wedstrijden/groepen)
Vriendenrelaties en uitnodigingen
Notificatie-instellingen en push-abonnementen

Group names, descriptions and settings
Availability data of group members
Match and event details
Chat messages (within matches/groups)
Friend relationships and invitations
Notification preferences and push subscriptions

Technische gegevens

Technical data

Voor beveiliging en dienstverlening verwerken wij ook:

For security and service delivery we also process:

IP-adres (voor beveiliging en fraudepreventie)
Sessiegegevens (houdt u ingelogd, maximaal 30 dagen)
Push-meldingsinstellingen (indien u pushberichten heeft ingeschakeld)
Tijdstempels van acties (aanmaken, wijzigen, verwijderen)

IP address (for security and fraud prevention)
Session data (keeps you logged in, up to 30 days)
Push notification settings (if you have enabled push notifications)
Action timestamps (create, modify, delete)

Betalingsgegevens

Payment data

Betaalgegevens (zoals kaartgegevens of IBAN) worden uitsluitend verwerkt door onze betalingsdienstaanbieder Mollie. Wij ontvangen alleen een betalings-ID, abonnementsstatus en datum — geen gevoelige betaalgegevens.

Payment data (such as card details or IBAN) is processed exclusively by our payment provider Mollie. We only receive a payment ID, subscription status and date — no sensitive payment data.

Aanvullend slaan wij de volgende facturerings- en abonnementsgegevens op:

In addition, we store the following billing and subscription data:

Mollie klant-ID (koppelt uw account aan uw betalerprofiel bij Mollie)
Mollie mandaat-ID (machtigt toekomstige automatische incasso's; wordt verwijderd bij opzegging van het abonnement)
Transactiegebeurtenislogboek: betalingstype, bedrag, valuta, status en volledige respons van Mollie per betalingsevenement (bewaard voor de fiscale bewaarplicht — zie sectie 6)
Tijdelijke beveiligingstokens per betaaltransactie (eenmalig geldig; direct ongeldig gemaakt na gebruik en verwijderd bij opzegging van het abonnement)

Mollie customer ID (links your account to your payer profile at Mollie)
Mollie mandate ID (authorises future automatic charges; deleted when the subscription is cancelled)
Transaction event log: payment type, amount, currency, status, and full Mollie response per billing event (retained for statutory bookkeeping — see section 6)
Temporary security tokens per payment transaction (single-use; invalidated immediately after use and deleted upon subscription cancellation)

3. Grondslagen & doeleinden

3. Legal bases & purposes

Wij verwerken uw gegevens uitsluitend op basis van één van de volgende AVG-grondslagen:

We process your data only on one of the following GDPR legal bases:

Doeleinde	Purpose	Grondslag	Legal basis	Gegevens
Accountbeheer & authenticatie	Account management & authentication	Uitvoering overeenkomstContract	E-mail, naam, wachtwoord, sessie	Email, name, password, session
Levering van de dienst	Service delivery	Uitvoering overeenkomstContract	Groepen, beschikbaarheid, chat, vrienden	Groups, availability, chat, friends
Betaling & abonnementsbeheer	Payment & subscription management	Uitvoering overeenkomstContract	Betalingskoppeling, abonnementsplan, vervaldatum	Payment link, subscription plan, expiry date
E-mailmeldingen & uitnodigingen	Email notifications & invitations	Uitvoering overeenkomstContract	E-mailadres, naam	Email address, name
Pushberichten	Push notifications	ToestemmingConsent	Push-abonnementssleutel, apparaat-info	Push subscription key, device info
Beveiliging & fraudepreventie	Security & fraud prevention	Gerechtvaardigd belangLegitimate interest	IP-adres, beveiligingslogboeken	IP address, security logs
Fiscale bewaarplicht	Statutory bookkeeping obligation	Wettelijke verplichtingLegal obligation	Factuurgegevens, betalingsrecords	Invoice data, payment records

Geen profilering of geautomatiseerde besluitvorming. Groupr gebruikt uw gegevens momenteel niet voor profilering, gepersonaliseerde advertenties of geautomatiseerde besluiten die rechtsgevolgen voor u hebben.

No profiling or automated decision-making. Groupr does not currently use your data for profiling, personalised advertising, or automated decisions that have legal effects on you.

4. Ontvangers & verwerkers

4. Recipients & processors

Wij delen uw persoonsgegevens nooit met derden voor commerciële doeleinden. Voor de uitvoering van onze dienst maken wij gebruik van externe verwerkers in de categorieën: betalingsverwerking, transactionele e-mail en hostinginfrastructuur. Met alle verwerkers is een verwerkersovereenkomst gesloten. Alle verwerkers zijn gevestigd binnen de Europese Economische Ruimte (EER).

We never share your personal data with third parties for commercial purposes. To deliver our service we use processors in the following categories: payment processing, transactional email, and hosting infrastructure. Data processing agreements are in place with all processors. All processors are established within the European Economic Area (EEA).

Gegevens die u deelt binnen een groep (naam, avatar, beschikbaarheid) zijn zichtbaar voor andere leden van diezelfde groep. U heeft hierover controle via uw groepslidmaatschappen — u kunt een groep te allen tijde verlaten.

Data you share within a group (name, avatar, availability) is visible to other members of that group. You control this through your group memberships — you can leave any group at any time.

Zelfstandige derde partijen (advertenties & overige diensten)

Independent third parties (advertising & other services)

Wij kunnen gebruik maken van externe dienstverleners die optreden als zelfstandige verwerkingsverantwoordelijke — zij verwerken gegevens op basis van hun eigen privacybeleid en niet op onze instructie. Denk hierbij aan advertentienetwerken die worden getoond aan gebruikers van het gratis abonnement. Voor advertentiecookies vragen wij altijd eerst uw toestemming. Betaalde abonnementen (Personal, Pro) worden nooit blootgesteld aan advertenties of bijbehorende tracking door derden.

We may use third-party services acting as independent data controllers — they process data under their own privacy policies, not under our instruction. This includes advertising networks shown to free plan users. For advertising cookies we will always request your consent first. Paid plan users (Personal, Pro) are never exposed to advertisements or associated third-party tracking.

5. Cookies & lokale opslag

5. Cookies & local storage

Gebruikers van betaalde abonnementen (Personal, Pro) ontvangen uitsluitend technisch noodzakelijke cookies en lokale opslag — geen tracking- of advertentiecookies. Gebruikers van het gratis abonnement kunnen in de toekomst advertenties te zien krijgen van externe advertentienetwerken; voor eventuele cookies die deze netwerken plaatsen, vragen wij vooraf uw toestemming. De onderstaande tabel toont alle cookies die wij momenteel plaatsen.

Paid plan users (Personal, Pro) receive only technically necessary cookies and local storage — no tracking or advertising cookies. Free plan users may in future see advertisements from third-party ad networks; any cookies set by those networks will only be placed after we have obtained your explicit consent. The table below shows all cookies we currently set.

Naam	Name	Type	Type	Doel	Purpose	Bewaartermijn	Retention
`session`	Inlog-cookie (beveiligd)	Login cookie (secured)	Authenticatie — houdt u ingelogd	Authentication — keeps you logged in	30 dagen of tot uitloggen	30 days or until logout
`theme`	Browseropslag (geen cookie)	Browser storage (not a cookie)	Themavoorkeur (licht/donker) — geen cookie	Theme preference (light/dark) — not a cookie	Tot wissen browserdata	Until browser data cleared

Voor betaalde abonnementen is een cookiebanner wettelijk niet vereist, omdat wij alleen functioneel noodzakelijke cookies plaatsen. Voor gratis gebruikers tonen wij — zodra advertenties worden geïntroduceerd — een cookietoestemmingsbanner conform de ePrivacy-richtlijn, vóórdat enige niet-essentiële cookie wordt geplaatst. U kunt cookies altijd verwijderen via uw browserinstellingen; hierdoor wordt u uitgelogd.

For paid plan users, no cookie consent banner is legally required as we only set functionally necessary cookies. For free users, once advertisements are introduced, we will display a cookie consent banner in accordance with the ePrivacy Directive before any non-essential cookies are set. You can always delete cookies via your browser settings; this will log you out.

6. Bewaartermijnen

6. Retention periods

Categorie	Category	Bewaartermijn	Retention	Reden	Reason
Accountgegevens, groepen, berichten	Account data, groups, messages	Onmiddellijk verwijderd bij accountverwijdering	Deleted immediately upon account deletion	Dataminimalisatie (AVG)	Data minimisation (GDPR)
Sessiegegevens	Session data	30 dagen of tot uitloggen	30 days or until logout	Authenticatie	Authentication
Beveiligingslogboeken (incl. IP-adres)	Security logs (incl. IP address)	Tot 12 maanden	Up to 12 months	Beveiliging & fraudeonderzoek	Security & fraud investigation
Factuurgegevens & betalingsrecords	Invoice data & payment records	7 jaar	7 years	Fiscale bewaarplicht (art. 52 AWR)	Statutory bookkeeping (Dutch Tax Act)
Transactiegebeurtenislogboek (betalingsevenementen van Mollie)	Transaction event log (Mollie billing events)	7 jaar	7 years	Fiscale bewaarplicht (art. 52 AWR)	Statutory bookkeeping (Dutch Tax Act)
Inactieve gratis accounts (geen aanmelding > 24 maanden)	Inactive free accounts (no login > 24 months)	Verwijderd na 30 dagen kennisgeving	Deleted after 30-day notice period	Dataminimalisatie (AVG)	Data minimisation (GDPR)

Na het verstrijken van de bewaartermijn worden gegevens onherroepelijk verwijderd of geanonimiseerd.

After the retention period, data is permanently deleted or anonymised.

7. Uw rechten

7. Your rights

Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

Under the GDPR, you have the following rights regarding your personal data:

Recht op inzageRight of access Art. 15

U kunt opvragen welke gegevens wij van u verwerken.

You can request what data we hold about you.

Recht op rectificatieRight to rectification Art. 16

U kunt onjuiste gegevens laten corrigeren.

You can have incorrect data corrected.

Recht op verwijderingRight to erasure Art. 17

U kunt uw account en alle gegevens direct laten verwijderen via de accountinstellingen.

You can delete your account and all data immediately via account settings.

Recht op beperkingRight to restriction Art. 18

U kunt de verwerking tijdelijk laten beperken.

You can request temporary restriction of processing.

Recht op overdraagbaarheidRight to portability Art. 20

U kunt een kopie van uw gegevens opvragen via legal@knotterholding.nl.

You can request a copy of your data by contacting legal@knotterholding.com.

Recht van bezwaarRight to object Art. 21

U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.

You can object to processing based on legitimate interest.

Intrekken toestemmingWithdraw consent Art. 7(3)

U kunt toestemming (bijv. push) altijd intrekken via de instellingen.

You can withdraw consent (e.g. push) at any time via settings.

KlachtrechtRight to complain Art. 77

U kunt een klacht indienen bij de Autoriteit Persoonsgegevens.

You can lodge a complaint with the Dutch Data Protection Authority.

Veel rechten kunt u direct uitoefenen via uw accountinstellingen in de app. Voor overige verzoeken kunt u contact opnemen via legal@knotterholding.nl. Wij reageren binnen 30 dagen op uw verzoek.

Many rights can be exercised directly through your account settings in the app. For other requests, please contact us at legal@knotterholding.com. We will respond to your request within 30 days.

8. Beveiliging

8. Security

Wij treffen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen, waaronder:

We implement appropriate technical and organisational measures to protect your personal data, including:

Versleutelde verbindingen (HTTPS) voor alle communicatie
Wachtwoorden worden versleuteld opgeslagen en nooit als leesbare tekst bewaard
Inlogcookies zijn beveiligd tegen onderschepping en misbruik
Beveiliging tegen kwaadaardige formulierverzoeken
Geüploade bestanden worden gecontroleerd op inhoud
Gebruikersinvoer wordt gecontroleerd op schadelijke inhoud
Servers staan in de Europese Unie (EER)
Logboeken van beheerdersacties voor intern toezicht
Bescherming tegen geautomatiseerde aanvallen op inloggen

Encrypted connections (HTTPS) for all communications
Passwords are stored encrypted and never kept as readable text
Login cookies are protected against interception and misuse
Protection against malicious form submissions
Uploaded files are verified for content type
User input is checked for malicious content
Servers are located within the European Union (EEA)
Logs of administrative actions for internal oversight
Protection against automated login attacks

Bij een datalek melden wij dit binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens, conform AVG artikel 33. Betroffen gebruikers worden zonder onnodige vertraging geïnformeerd indien het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden (AVG artikel 34).

In the event of a data breach, we will notify the Dutch Data Protection Authority within 72 hours of becoming aware of it, in accordance with GDPR Art. 33. Affected users will be informed without undue delay where the breach is likely to result in a high risk to their rights and freedoms (GDPR Art. 34).

9. Internationale doorgifte

9. International transfers

Alle servers van Groupr zijn gevestigd in de Europese Unie (EER). Al onze verwerkers zijn eveneens gevestigd binnen de EER. Er worden geen persoonsgegevens doorgegeven aan landen buiten de EER.

All Groupr servers are located within the European Union (EEA). All our processors are also established within the EEA. No personal data is transferred to countries outside the EEA.

10. Wijzigingen

10. Amendments

Wij kunnen dit privacybeleid van tijd tot tijd wijzigen. Bij wezenlijke wijzigingen informeren wij u ten minste 30 dagen van tevoren per e-mail of via de applicatie. De ingangsdatum bovenaan dit document geeft aan wanneer de meest recente versie van kracht is gegaan.

We may update this privacy policy from time to time. For material changes, we will notify you at least 30 days in advance by email or via the application. The effective date at the top of this document indicates when the most recent version took effect.

11. Contact & klachten

11. Contact & complaints

Voor vragen of verzoeken over de verwerking van uw persoonsgegevens kunt u contact opnemen met:

For questions or requests about the processing of your personal data, please contact:

G

Knotter holding B.V. — Groupr

Adres
Address: Van Heemstrastraat 22, 2613CE Delft, Nederland
E-mail
Email: groupr@knotterholding.nl; groupr@knotterholding.com
Reactietermijn
Response time: Binnen 30 dagen; Within 30 days

Klacht indienen bij de toezichthouder

Lodging a complaint with the supervisory authority

Indien u van mening bent dat wij uw persoonsgegevens niet conform de AVG verwerken, kunt u een klacht indienen bij de Autoriteit Persoonsgegevens:

If you believe we are not processing your personal data in accordance with the GDPR, you can lodge a complaint with the Dutch Data Protection Authority (Autoriteit Persoonsgegevens):

Autoriteit Persoonsgegevens

Adres
Address: Hoge Nieuwstraat 8, 2514 EL Den Haag, Nederland
Website
Website: autoriteitpersoonsgegevens.nl
Klachtenportaal
Complaints portal: Klacht indienen bij de AP File a complaint with the AP

Privacybeleid Privacy Policy

Inhoudsopgave

Table of Contents