Skip to content
HelpingHands
Terug naar home

Privacyverklaring

Gegevensverwerking via het HelpingHands-platform

Geldig vanaf: 20 april 2026 Versie 1.6 Uitgegeven door VDGT Consultancy BV

1. Verwerkingsverantwoordelijke en DPO

VDGT Consultancy BV (hierna: "wij"), KBO 1004820426, is verwerkingsverantwoordelijke in de zin van de AVG/GDPR (Verordening (EU) 2016/679) voor alle persoonsgegevens verwerkt via HelpingHands. VDGT Consultancy BV heeft geen formele Functionaris voor Gegevensbescherming aangesteld (art. 37 AVG vereist dit momenteel niet voor onze verwerkingsschaal). Voor privacyvragen, verzoeken tot uitoefening van rechten en elke gegevensbeschermingskwestie is het contactpunt: [email protected]. Lead toezichthoudende autoriteit: Gegevensbeschermingsautoriteit (GBA) — gegevensbeschermingsautoriteit.be

2. Over het platform

HelpingHands is een mobiele marktplaats (iOS/Android) voor videohulpsessies, geëxploiteerd door VDGT Consultancy BV. Aangeboden aan inwoners van de Europese Economische Ruimte (EER: de 27 EU-lidstaten plus IJsland, Liechtenstein en Noorwegen).

3. Welke gegevens verwerken wij?

3.1 Accountgegevens

  • E-mailadres, voornaam, achternaam;
  • Profielfoto (optioneel — base64 in PostgreSQL);
  • Bio, catchphrase, taalvoorkeur, gesproken talen;
  • Accounttype en bedrijfsgegevens (zakelijke helpers: KBO, BTW, naam, adres, factuurmail);
  • Tijdstip en versie van de Voorwaarden die u het laatst hebt aanvaard;
  • Accountstatusinformatie (reden van opschorting, geplande verwijderingsdatum).

3.2 Authenticatie

  • Wachtwoord (gehasht — nooit leesbaar);
  • Google of Apple-account-ID (sociale inlog).

3.3 Financiële gegevens

  • IBAN en rekeninghoudersnaam (voor Stripe Connect-onboarding);
  • Transactiebedragen en Stripe PaymentIntent-ID's (geen kaartgegevens);
  • Payout-transfer-ID's.

3.4 Platformactiviteit

  • Hulpverzoeken, helper-reacties, reviews, tips, badges, sessiekwaliteitsbeoordelingen;
  • Ondersteuningstickets en antwoorden (berichttekst, auteur, tijdstippen);
  • Blokkades en misbruikmeldingen die u indient of die tegen u worden ingediend (gebruikers-ID's, tijdstip, categorie, optionele reden);
  • Uw helper-vaardigheden (categorie, subcategorie, zelfbeoordeeld vaardigheidsniveau).

3.5 Technische en operationele gegevens

  • FCM device-token (pushmeldingen — geen locatiedata, geen tracking);
  • Meldingsvoorkeuren.

3.5.1 Operationele logging (beveiliging en foutdiagnose)

Voor de beveiliging, stabiliteit en foutdiagnose van het platform worden operationele logboeken bijgehouden. Dit omvat drie lagen:

  • Custom applicatielogs via OpenObserve Cloud (eu1-api.openobserve.ai, EU-regio conform onze deploymentconfiguratie): bevatten uitsluitend gebruikers-ID's (getallen), handelingsbeschrijvingen en foutmeldingen — geen e-mailadressen, namen of andere directe persoonsidentificatoren. Bewaard maximaal 90 dagen.
  • Serverpod-sessielogs (framework-niveau): het backend-framework verwerkt automatisch sessie- en authenticatiedata voor interne foutdiagnose. Bewaard conform de standaardinstelling van het framework.
  • nginx ingress-toegangslogs (reverse proxy): bevatten IP-adressen, request-paden en HTTP-statuscodes. Geen accountgegevens. Bewaard maximaal 30 dagen.

Rechtsgrond voor alle operationele logging: gerechtvaardigd belang (art. 6.1.f AVG) — noodzakelijk voor platformbeveiliging, fraudepreventie en technische continuïteit. Er worden geen gebruikersprofielen opgebouwd op basis van logdata en de gegevens worden niet voor marketingdoeleinden gebruikt.

4. Rechtsgronden en doeleinden

  • Uitvoering overeenkomst (art. 6.1.b AVG): accountbeheer, sessies, betalingen;
  • Gerechtvaardigd belang (art. 6.1.f AVG): beveiliging, fraudepreventie, pushmeldingen, operationele logging (zie art. 3.5.1);
  • Wettelijke verplichting (art. 6.1.c AVG): financiële bewaarplicht van minstens 7 jaar op grond van de Belgische boekhoudwetgeving (art. III.86 Wetboek van economisch recht);
  • Toestemming (art. 6.1.a AVG): optionele profielinhoud, marketing.

5. Bewaartermijnen

  • Accountgegevens: tot verwijdering + 30 dagen graceperiode;
  • Transactiegegevens: minstens 7 jaar (Belgische boekhoudverplichting, art. III.86 Wetboek van economisch recht); langer indien vereist door toepasselijk recht;
  • Hulpverzoekbeschrijvingen: geanonimiseerd bij verwijdering;
  • Serverlogboeken: max. 90 dagen (custom) / 30 dagen (framework/proxy);
  • Data-exports: vervallen na 48 uur.

6. Externe verwerkers en doorgifte

6.1 Verwerkers

  • Stripe, Inc. (VS) — betalingen en Stripe Connect. Doorgifte op basis van SCCs én EU-US Data Privacy Framework (DPF). Stripe DPA van toepassing;
  • Google LLC / Firebase (VS) — uitsluitend FCM-pushnotificaties. Doorgifte op basis van SCCs én DPF. Google DPA van toepassing;
  • Agora, Inc. — videobellen via server-side tokens; geen PII doorgegeven;
  • AWS SES (eu-west-1) — transactionele e-mails. Verwerking in EU. AWS DPA + SCCs;
  • OpenObserve Cloud (eu1-api.openobserve.ai, EU-regio conform onze deploymentconfiguratie) — operationele log-aggregatie. Logs bevatten gebruikers-ID's en IP-adressen, geen e-mailadressen of namen;
  • Amazon Web Services, Inc. (eu-west-1) — versleutelde databaseback-ups (PITR) en opslag van hulpverzoekfoto's via S3. Gegevens blijven binnen de EU-regio. AWS DPA van toepassing.

6.2 Geen analytics of advertenties

HelpingHands gebruikt geen analytics-SDK's, tracking pixels of advertentienetwerken.

6.3 Samenvatting doorgifte buiten EER

Uitsluitend naar verwerkers die voldoen aan: adequaatheidsbesluit, SCCs, of EU-US Data Privacy Framework (DPF).

7. Uw rechten

  • Inzage (art. 15 AVG): Instellingen → Mijn gegevens downloaden;
  • Rectificatie (art. 16 AVG): via Instellingen;
  • Wissing (art. 17 AVG): Instellingen → Account verwijderen (30 dagen graceperiode);
  • Overdraagbaarheid (art. 20 AVG): JSON-export;
  • Beperking (art. 18) en bezwaar (art. 21): via [email protected].

Voor verzoeken die niet rechtstreeks via uw account kunnen worden verwerkt (bv. bezwaar, beperking, of inzage namens een ander) kunnen wij uw identiteit verifiëren voordat wij gegevens vrijgeven, rectificeren of wissen. Doorgaans volstaat een bevestiging vanuit het e-mailadres gekoppeld aan uw account; bij twijfel kunnen wij een kopie van een geldig identiteitsdocument opvragen (u mag rijksregisternummer en pasfoto afschermen).

U kunt een eerder gegeven toestemming op elk moment intrekken via [email protected] of de instellingen in de app. Intrekking heeft geen invloed op de rechtmatigheid van verwerking die vóór de intrekking heeft plaatsgevonden. Na intrekking kunnen bepaalde functies die op die toestemming berusten niet langer beschikbaar zijn.

Verzoeken binnen 30 dagen beantwoord.

8. Geautomatiseerde besluitvorming

Matching-algoritmen voor hulpverzoeken en helpers. Geen beslissingen met rechtsgevolgen zonder menselijke tussenkomst.

9. Beveiliging

  • HTTPS via nginx ingress + cert-manager (TLS 1.2+);
  • Wachtwoorden gehasht; Stripe PCI DSS; export-tokens 64 tekens, 48u geldig;
  • Webhook HMAC-SHA256 + replay-protectie; PostgreSQL PITR-backups naar S3 (EU, 30 dagen).

10. Klacht bij de toezichthouder

Gegevensbeschermingsautoriteit (GBA) — gegevensbeschermingsautoriteit.be — klachtenformulier: https://www.gegevensbeschermingsautoriteit.be/burger/acties/klacht-indienen

11. Wijzigingen

Materiële wijzigingen per e-mail gemeld. Meest recente versie: https://app.helping-hands.world/legal/privacy_nl.pdf

12. Contact

VDGT Consultancy BV — KBO 1004820426 — [email protected]