Privacybeleid

1. Inleiding

CollectorsStashMarket.com ("wij", "ons") is een platform voor verzamelaars van trading card games (TCG). Dit privacybeleid beschrijft welke persoonsgegevens we verwerken, waarom, en welke rechten je hebt onder de Algemene Verordening Gegevensbescherming (AVG/GDPR).

Verwerkingsverantwoordelijke: CollectorsStashMarket, gevestigd in Nederland.
Contact: privacy@collectorstashmarket.com

2. Welke gegevens we verwerken

Accountgegevens

• Gebruikersnaam (publiek zichtbaar)
• E-mailadres (privé, voor login en notificaties)
• Wachtwoord (uitsluitend opgeslagen als bcrypt-hash)
• Account-aanmaakdatum

Profielgegevens (optioneel)

• Profielfoto (publiek zichtbaar)
• Bio en locatie (publiek zichtbaar)
• Voor verkopers: adres, postcode, plaats, land, telefoonnummer en gekozen verzendmethoden

Inhoud die jij genereert

• Collectie-items, verlanglijst en prijsalerts
• Decks en deckcards
• Marktplaats-listings inclusief omschrijving en geüploade foto's
• Biedingen op listings
• Privéberichten tussen gebruikers
• Forumposts en reacties
• Kaartherkenningsfoto's (alleen wanneer je actief de scan-functie gebruikt)

Technische gegevens

• IP-adres (voor rate-limiting en misbruikbestrijding; niet aan je account gekoppeld in logs)
• Sessie-cookie (tcg_session) — vereist om ingelogd te blijven
• Taalcookie (cv_lang) — onthoudt je taalvoorkeur
• Browser-user-agent en taalvoorkeur uit Accept-Language
• API-sleutels (alleen als hash) en gebruiksstatistieken voor de developer API

3. App-permissies (Android & iOS)

De CollectorsStashMarket-app vraagt om de onderstaande permissies. Elke permissie wordt enkel gebruikt op het moment dat jij de bijbehorende functie activeert. Je kunt elke permissie op elk moment intrekken in je apparaatinstellingen.

Permissie	Doel
CAMERA	Kaart scannen voor herkenning, foto's maken voor je listings of profielfoto. Alleen op verzoek; nooit op de achtergrond.
READ_MEDIA_IMAGES / READ_EXTERNAL_STORAGE	Foto's selecteren uit je galerij voor profielfoto of listing. We scannen of uploaden geen andere foto's.
POST_NOTIFICATIONS	Pushmeldingen voor prijsalerts, biedingen en berichten.
INTERNET	Beveiligde HTTPS-communicatie met onze backend.
VIBRATE	Korte haptische feedback bij in-app acties.

4. Doelen en grondslag van verwerking

Doel	Grondslag (art. 6 AVG)
Account aanmaken en onderhouden, marktplaats- en collectiefuncties leveren	Uitvoering van de overeenkomst (art. 6 lid 1 sub b)
Misbruik, fraude en spam voorkomen	Gerechtvaardigd belang (art. 6 lid 1 sub f)
Pushmeldingen en e-mailalerts	Toestemming (art. 6 lid 1 sub a) — intrekbaar in je accountinstellingen
Wettelijke verplichtingen (belasting, fraudemelding)	Wettelijke verplichting (art. 6 lid 1 sub c)
Verbeteren van kaartherkenning	Toestemming — alleen scans die jij expliciet bevestigt

We verkopen je persoonsgegevens niet, gebruiken ze niet voor advertentieprofielen en delen ze niet met advertentienetwerken.

5. Met wie we gegevens delen

• Andere gebruikers: bij een marktplaatstransactie zien koper en verkoper elkaars gebruikersnaam en de verzendgegevens die nodig zijn om de transactie af te ronden.
• Hostingprovider in de EU: verwerkt gegevens als verwerker onder een verwerkersovereenkomst conform art. 28 AVG.
• Bevoegde autoriteiten: alleen als we daartoe wettelijk verplicht zijn (gerechtelijk bevel, fraude-onderzoek).

Prijsdata is afkomstig uit publieke en commerciële TCG-bronnen (TCGPlayer, Cardmarket, eBay, PriceCharting, Scryfall, JustTCG en anderen). Het verkeer naar deze bronnen is server-to-server en bevat geen persoonsgegevens van jou.

6. Doorgifte buiten de EER

Onze servers en database staan in de Europese Economische Ruimte (EER). We dragen geen persoonsgegevens over buiten de EER zonder passende waarborgen (modelcontractbepalingen, adequaatheidsbesluit).

7. Bewaartermijnen

• Accountgegevens: zo lang je account actief is. Na verwijdering: definitief gewist binnen 30 dagen, behalve waar bewaarplicht geldt.
• Marktplaatstransacties: maximaal 7 jaar in verband met de fiscale bewaarplicht.
• Server- en API-logs: maximaal 90 dagen.
• Bevestigde kaartherkenningsfoto's: gepseudonimiseerd (geen koppeling met account, gebruikersnaam of e-mail). Je kunt verwijdering aanvragen.
• Forumposts: anonimiseerbaar of verwijderbaar op verzoek.

8. Jouw rechten onder de AVG

Je hebt recht op:

• Inzage in jouw persoonsgegevens.
• Rectificatie van onjuiste of onvolledige gegevens.
• Vergetelheid: verwijdering van je account en gegevens (zie /account-deletion).
• Beperking van de verwerking.
• Dataportabiliteit: een machine-leesbare export.
• Bezwaar tegen verwerking op basis van gerechtvaardigd belang.
• Toestemming intrekken, zonder gevolgen voor eerdere verwerking.

Stuur een verzoek naar privacy@collectorstashmarket.com. We reageren binnen 30 dagen. Ben je niet tevreden? Je hebt het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.

9. Beveiliging

• Al het verkeer verloopt via HTTPS/TLS.
• Wachtwoorden worden uitsluitend opgeslagen als bcrypt-hash.
• Sessies verlopen na 30 dagen inactiviteit.
• API-sleutels zijn alleen als hash opgeslagen.
• De database is alleen vanaf de applicatieserver bereikbaar; geen publieke poorten.

Bij een datalek dat jouw rechten en vrijheden raakt, melden we dit binnen 72 uur aan de Autoriteit Persoonsgegevens en informeren we de betrokkenen, zoals voorgeschreven in art. 33-34 AVG.

10. Kinderen

De dienst is niet bedoeld voor kinderen onder de 13 jaar. We verzamelen niet bewust gegevens van kinderen jonger dan 13. Constateer je dat een kind toch een account heeft? Neem contact met ons op; we verwijderen het account direct.

11. Wijzigingen in dit beleid

Wijzigingen publiceren we op deze pagina met een nieuwe datum bovenaan. Bij ingrijpende wijzigingen sturen we daarnaast een bericht naar je geregistreerde e-mailadres of een in-app notificatie.

12. Contact

Vragen, klachten of verzoeken: privacy@collectorstashmarket.com.