Skip to content
HelpingHands
Terug naar home

Privacyverklaring

Gegevensverwerking via het HelpingHands-platform

Geldig vanaf: 15 mei 2026 Versie 1.8 Uitgegeven door VDGT Consultancy BV

1. Verwerkingsverantwoordelijke en DPO

VDGT Consultancy BV (hierna: "wij"), KBO 1004820426, is verwerkingsverantwoordelijke in de zin van de AVG/GDPR (Verordening (EU) 2016/679) voor alle persoonsgegevens verwerkt via HelpingHands. VDGT Consultancy BV heeft geen formele Functionaris voor Gegevensbescherming aangesteld (art. 37 AVG vereist dit momenteel niet voor onze verwerkingsschaal). Voor privacyvragen, verzoeken tot uitoefening van rechten en elke gegevensbeschermingskwestie is het contactpunt: [email protected]. Lead toezichthoudende autoriteit: Gegevensbeschermingsautoriteit (GBA) — gegevensbeschermingsautoriteit.be

2. Over het platform

HelpingHands is een mobiele marktplaats (iOS/Android) voor videohulpsessies, geëxploiteerd door VDGT Consultancy BV. Aangeboden aan inwoners van de Europese Unie (EU).

3. Welke gegevens verwerken wij?

3.1 Accountgegevens

  • E-mailadres, voornaam, achternaam;
  • Profielfoto (optioneel — base64 in PostgreSQL);
  • Bio, catchphrase, taalvoorkeur, gesproken talen;
  • Accounttype en bedrijfsgegevens (zakelijke helpers: KBO, BTW, naam, adres, factuurmail);
  • Tijdstip en versie van de Voorwaarden die u het laatst hebt aanvaard;
  • Accountstatusinformatie (reden van opschorting, geplande verwijderingsdatum).

3.2 Authenticatie

  • Wachtwoord (gehasht — nooit leesbaar);
  • Google of Apple-account-ID (sociale inlog).

3.3 Financiële gegevens

  • Transactiebedragen en Stripe PaymentIntent-ID's (geen kaartgegevens);
  • Payout-transfer-ID's.

3.4 Platformactiviteit

  • Hulpverzoeken, helper-reacties, reviews, tips, badges, sessiekwaliteitsbeoordelingen;
  • Ondersteuningstickets en antwoorden (berichttekst, auteur, tijdstippen);
  • Blokkades en misbruikmeldingen die u indient of die tegen u worden ingediend (gebruikers-ID's, tijdstip, categorie, optionele reden);
  • Uw helper-vaardigheden (categorie, subcategorie, zelfbeoordeeld vaardigheidsniveau).

3.5 Technische en operationele gegevens

  • FCM device-token (pushmeldingen — geen locatiedata, geen tracking);
  • Meldingsvoorkeuren.

3.5.1 Operationele logging (beveiliging en foutdiagnose)

Voor de beveiliging, stabiliteit en foutdiagnose van het platform worden operationele logboeken bijgehouden. Dit omvat drie lagen:

  • Custom applicatielogs via OpenObserve Cloud (eu1-api.openobserve.ai, EU-regio conform onze deploymentconfiguratie): bevatten uitsluitend gebruikers-ID's (getallen), handelingsbeschrijvingen en foutmeldingen — geen e-mailadressen, namen of andere directe persoonsidentificatoren. Bewaard maximaal 90 dagen.
  • Serverpod-sessielogs (framework-niveau): het backend-framework verwerkt automatisch sessie- en authenticatiedata voor interne foutdiagnose. Bewaard conform de standaardinstelling van het framework.
  • nginx ingress-toegangslogs (reverse proxy): bevatten IP-adressen, request-paden en HTTP-statuscodes. Geen accountgegevens. 30 dagen bewaard in onze logopslag.

Rechtsgrond voor alle operationele logging: gerechtvaardigd belang (art. 6.1.f AVG) — noodzakelijk voor platformbeveiliging, fraudepreventie en technische continuïteit. Er worden geen gebruikersprofielen opgebouwd op basis van logdata en de gegevens worden niet voor marketingdoeleinden gebruikt.

3.6 Fiscale gegevens (alleen helpers)

Voor helpers worden bijkomende gegevens verzameld en verwerkt om te voldoen aan EU- en Belgische fiscale rapportageverplichtingen (in het bijzonder DAC7 — Richtlijn (EU) 2021/514, omgezet in Belgisch recht door de wet van 21 december 2022). Wanneer u geen helper bent, zijn deze velden niet op u van toepassing.

  • Geboortedatum (particuliere helpers — voor identiteitsverificatie onder DAC7);
  • Fiscaal identificatienummer (TIN) en het uitgevende land;
  • Land van fiscale woonplaats (ISO-3166-1 alpha-2);
  • Woonadres (particuliere helpers): adresregel 1, adresregel 2, postcode, gemeente, land;
  • Gestructureerd geregistreerd/zetel-adres van de bedrijfsentiteit (zakelijke helpers);
  • BTW-nummer, land van BTW-registratie en BTW-classificatiestatus (zakelijke helpers);
  • VIES-validatiebewijs — de datum waarop het BTW-nummer voor het laatst werd gecontroleerd via het VIES-register van de Europese Commissie, de geregistreerde naam en het geregistreerde adres zoals teruggegeven door VIES, en het ruwe VIES-antwoord (bewaard voor audit en geschillenbeslechting);
  • KYC-status (Know Your Customer) en het tijdstip van de laatste statuswijziging — een platformeigen toestand, los van de eigen controles van Stripe Connect.

Rechtsgrond: wettelijke verplichting (art. 6.1.c AVG) — DAC7-omzetting en Belgische BTW-wetgeving.

3.7 Audittrail van fiscale verklaringsacceptaties (alleen helpers)

Wanneer een helper bij onboarding een fiscale verklaring aanvaardt (bijv. erkenning van persoonlijke fiscale verantwoordelijkheid, of bevestiging van BTW-classificatie), wordt een append-only auditregel aangemaakt:

  • De exacte verklaring en versie die werd aanvaard;
  • Tijdstip (UTC);
  • IP-adres op het moment van aanvaarding;
  • User-Agent string op het moment van aanvaarding;
  • Het woonland van de helper op het moment van aanvaarding.

Deze audit is noodzakelijk om de geldigheid van de helperverklaringen tegenover de Belgische fiscale administratie (FOD Financiën) onder DAC7 aan te tonen. Wezenlijke wijzigingen aan het helperprofiel (bv. wijziging van accounttype, verandering van woonland) doen de versie van de verklaring opnieuw oplopen en vereisen hernieuwde aanvaarding — eerdere regels worden nooit gewijzigd, enkel vervangen. Rechtsgrond: wettelijke verplichting (art. 6.1.c AVG).

3.8 Logboek herinneringscommunicatie (alleen helpers)

Wanneer het platform een helper een e-mailherinnering stuurt voor ontbrekende fiscale gegevens (bv. ontbrekend TIN, ontbrekende geboortedatum, openstaande VIES-validatie), wordt het volgende vastgelegd:

  • De ontvanger (gebruikers-ID), de templatesleutel, de taal en de onderwerpregel van de verzonden e-mail;
  • Tijdstip (UTC).

De inhoud van de e-mail is gestandaardiseerd en herleidbaar uit de templatesleutel en de taal; de uiteindelijke tekst van het bericht wordt niet afzonderlijk bewaard. Dit logboek waarborgt de cooldown per template (zodat helpers niet te vaak gemaild worden) en ondersteunt geschillenbeslechting indien een helper aanvoert nooit te zijn herinnerd. Rechtsgrond: gerechtvaardigd belang (art. 6.1.f AVG) — operationele coördinatie van wettelijke herinneringen.

4. Rechtsgronden en doeleinden

  • Uitvoering overeenkomst (art. 6.1.b AVG): accountbeheer, sessies, betalingen;
  • Gerechtvaardigd belang (art. 6.1.f AVG): beveiliging, fraudepreventie, pushmeldingen, operationele logging (zie art. 3.5.1), logboek herinneringscommunicatie (zie art. 3.8);
  • Wettelijke verplichting (art. 6.1.c AVG): financiële bewaarplicht van minstens 7 jaar op grond van de Belgische boekhoudwetgeving (art. III.86 Wetboek van economisch recht); voor helpers tevens DAC7-rapportering (Richtlijn (EU) 2021/514, omgezet in Belgisch recht door de wet van 21 december 2022) met betrekking tot fiscale gegevens (art. 3.6) en de audittrail van verklaringsacceptaties (art. 3.7), evenals BTW-naleving onder het Belgische BTW-Wetboek;
  • Toestemming (art. 6.1.a AVG): optionele profielinhoud, marketing.

5. Bewaartermijnen

  • Accountgegevens: tot verwijdering + 30 dagen graceperiode;
  • Transactiegegevens: minstens 7 jaar (Belgische boekhoudverplichting, art. III.86 Wetboek van economisch recht); langer indien vereist door toepasselijk recht;
  • Fiscale gegevens (art. 3.6) en audittrail van verklaringsacceptaties (art. 3.7): 10 jaar te rekenen vanaf het einde van het kalenderjaar waarop de gegevens betrekking hebben, conform de Belgische DAC7-omzetting;
  • VIES-validatie-payload (art. 3.6): bewaard zolang het helperaccount actief is en voor de boekhoudkundige bewaartermijn daarna;
  • Logboek herinneringscommunicatie (art. 3.8): 24 maanden;
  • Hulpverzoekbeschrijvingen: geanonimiseerd bij verwijdering;
  • Serverlogboeken: max. 90 dagen (custom) / 30 dagen (framework/proxy);
  • Data-exports: vervallen na 48 uur.

6. Externe verwerkers en doorgifte

6.1 Verwerkers

  • Stripe, Inc. (VS) — betalingen en Stripe Connect. Doorgifte op basis van SCCs én EU-US Data Privacy Framework (DPF). Stripe DPA van toepassing;
  • Google LLC / Firebase (VS) — uitsluitend FCM-pushnotificaties. Doorgifte op basis van SCCs én DPF. Google DPA van toepassing;
  • Agora, Inc. — videobellen via server-side tokens; geen PII doorgegeven;
  • AWS SES (eu-west-1) — transactionele e-mails. Verwerking in EU. AWS DPA + SCCs;
  • OpenObserve Cloud (eu1-api.openobserve.ai, EU-regio conform onze deploymentconfiguratie) — operationele log-aggregatie. Logs bevatten gebruikers-ID's en IP-adressen, geen e-mailadressen of namen;
  • Amazon Web Services, Inc. (eu-west-1) — versleutelde databaseback-ups (PITR) en opslag van hulpverzoekfoto's via S3. Gegevens blijven binnen de EU-regio. AWS DPA van toepassing.

6.2 Geen analytics of advertenties

HelpingHands gebruikt geen analytics-SDK's, tracking pixels of advertentienetwerken.

6.3 Samenvatting doorgifte buiten EER

Uitsluitend naar verwerkers die voldoen aan: adequaatheidsbesluit, SCCs, of EU-US Data Privacy Framework (DPF).

6.4 Mededelingen aan overheidsinstanties (alleen helpers)

Eénmaal per kalenderjaar, volgens het door de Belgische fiscale administratie vastgestelde tijdschema, bezorgen wij een DAC7/DPI-XML-rapport aan de Federale Overheidsdienst Financiën (FOD Financiën / SPF Finances). Het rapport bevat per rapporteerbare helper identificatiegegevens (naam, TIN, adres, geboortedatum waar van toepassing, BTW-nummer) en de geaggregeerde transactietotalen die aan die helper toerekenbaar zijn voor het rapportagejaar. Helpers ontvangen een kopie van hun jaarlijks overzicht. Deze mededeling is een wettelijke verplichting (art. 6.1.c AVG; Richtlijn (EU) 2021/514 zoals omgezet in Belgisch recht) en berust niet op een verwerkersrelatie — FOD Financiën treedt na ontvangst op als zelfstandige verwerkingsverantwoordelijke.

6.5 Uitgaande bevragingen van openbare registers (alleen zakelijke helpers)

Wanneer een zakelijke helper een BTW-nummer invoert, voeren wij een synchrone opzoeking uit tegen de VIES-dienst van de Europese Commissie (https://ec.europa.eu/taxation_customs/vies/) om de geldigheid te verifiëren. De opvraging bevat enkel het BTW-nummer en de landcode; geen andere persoonsgegevens worden verzonden. Wij bewaren het resultaat (geldigheidsindicatie, geregistreerde naam, geregistreerd adres, ruwe response-payload, tijdstip) zoals beschreven in art. 3.6. De Europese Commissie kan dergelijke opvragingen zelf loggen; wij hebben geen invloed op die bewaring.

7. Uw rechten

  • Inzage (art. 15 AVG): Instellingen → Mijn gegevens downloaden;
  • Rectificatie (art. 16 AVG): via Instellingen;
  • Wissing (art. 17 AVG): Instellingen → Account verwijderen (30 dagen graceperiode);
  • Overdraagbaarheid (art. 20 AVG): JSON-export;
  • Beperking (art. 18) en bezwaar (art. 21): via [email protected].

Voor verzoeken die niet rechtstreeks via uw account kunnen worden verwerkt (bv. bezwaar, beperking, of inzage namens een ander) kunnen wij uw identiteit verifiëren voordat wij gegevens vrijgeven, rectificeren of wissen. Doorgaans volstaat een bevestiging vanuit het e-mailadres gekoppeld aan uw account; bij twijfel kunnen wij een kopie van een geldig identiteitsdocument opvragen (u mag rijksregisternummer en pasfoto afschermen).

U kunt een eerder gegeven toestemming op elk moment intrekken via [email protected] of de instellingen in de app. Intrekking heeft geen invloed op de rechtmatigheid van verwerking die vóór de intrekking heeft plaatsgevonden. Na intrekking kunnen bepaalde functies die op die toestemming berusten niet langer beschikbaar zijn.

Verzoeken binnen 30 dagen beantwoord.

8. Geautomatiseerde besluitvorming

Het platform past de volgende geautomatiseerde logica toe, zonder beslissingen te nemen die rechtsgevolgen voor u hebben in de zin van art. 22 AVG:

  • Matching van hulpverzoeken aan helpers (zichtbaarheid, ranking, weergave);
  • BTW-classificatie van zakelijke helpers (REVERSE_CHARGE_B2B vs OSS) op basis van het opgegeven land, BTW-status en de uitkomst van VIES-validatie;
  • KYC-statusovergangen op basis van de volledigheid van identiteitsgegevens en signalen vanuit Stripe Connect.

Elk van bovenstaande kan via het admin-dashboard manueel door een beheerder worden beoordeeld en overruled.

9. Beveiliging

  • HTTPS via nginx ingress + cert-manager (TLS 1.2+);
  • Wachtwoorden gehasht; Stripe PCI DSS; export-tokens 64 tekens, 48u geldig;
  • Webhook HMAC-SHA256 + replay-protectie; PostgreSQL PITR-backups naar S3 (EU, 30 dagen).

10. Klacht bij de toezichthouder

Gegevensbeschermingsautoriteit (GBA) — gegevensbeschermingsautoriteit.be — klachtenformulier: https://www.gegevensbeschermingsautoriteit.be/burger/acties/klacht-indienen

11. Wijzigingen

Materiële wijzigingen per e-mail gemeld. Meest recente versie: https://app.helping-hands.world/legal/privacy_nl.pdf

12. Contact

VDGT Consultancy BV — KBO 1004820426 — [email protected]