CBDviva.nl

Privacybeleid

Wat we verzamelen, waarom, hoe lang we het bewaren — en wat je rechten zijn.

Concept-versie. Deze tekst beschrijft onze huidige verwerkingen feitelijk en correct, maar is nog niet door een externe AVG-/privacyspecialist beoordeeld. Vóór een eventuele formele klacht of toezichthouder-procedure raden we aan de tekst te laten verifiëren op juridische volledigheid.

Wie verwerkt jouw gegevens

Verwerkingsverantwoordelijke:

  • 1337 Media B.V., handelend onder de naam CBDviva
  • Laan ten Roode 2, 5711 GC Someren
  • KvK 72266589 · BTW NL859052540B01
  • E-mail: info@cbdviva.nl
  • Telefoon: +31 493 782 783

Voor privacy-specifieke verzoeken (inzage, correctie, verwijdering) gebruik je hetzelfde e-mailadres met onderwerp "AVG-verzoek". We reageren binnen één maand zoals voorgeschreven door artikel 12 lid 3 AVG.

We hebben geen verplichte Functionaris Gegevensbescherming (FG) — we vallen niet onder een van de drie criteria uit artikel 37 AVG. Vragen worden afgehandeld door de directie.

Welke gegevens verwerken we

We verzamelen alleen wat we nodig hebben voor de afhandeling van een bestelling, je communicatie met ons, en de werking van de site. Concreet:

Bij een bestelling

| Gegeven | Doel | Bewaartermijn | |---|---|---| | Voor- en achternaam | Aflevering en facturatie | 7 jaar (fiscale bewaarplicht) | | Bezorg- en factuuradres | Aflevering en facturatie | 7 jaar | | E-mailadres | Orderbevestiging en klantenservice | 7 jaar | | Telefoonnummer (optioneel) | Bezorgupdates door vervoerder | 7 jaar | | Bestelhistorie (producten, prijzen, datums) | Administratie en klantenservice | 7 jaar | | Betalingsgegevens (alleen transactie-ID) | Aansluiten betaling en facturatie | 7 jaar |

We bewaren geen creditcard- of bankgegevens zelf. Betalingen lopen via Mollie of Viva.com (zie verderop).

Bij gebruik van de website

| Gegeven | Doel | Bewaartermijn | |---|---|---| | cbdviva-cart-token-nl (in browser-localStorage) | Je winkelwagen onthouden tussen sessies | 48 uur, bij browser-wis verdwijnt het meteen | | cbdviva-checkout-nl (in browser-sessionStorage) | Adres invullen bij checkout, alleen op jouw apparaat | Tot je de browser sluit (max 30 min inactief) | | cbdviva-thank-you-<orderId> (in browser-sessionStorage) | Tonen van orderdetails op de bedankpagina | Tot je de browser sluit | | IP-adres (in serverlogs) | Beveiliging, foutopsporing | 30 dagen |

De localStorage- en sessionStorage-items zijn geen cookies in juridische zin, maar worden volgens AVG-best-practice op dezelfde manier behandeld. Zie ook ons Cookiebeleid.

Bij contact opnemen

Wanneer je ons mailt of belt, bewaren we het bericht en de bijhorende contactgegevens zolang nodig om je vraag of klacht af te handelen, en maximaal twee jaar voor administratieve doeleinden.

Waarom verwerken we deze gegevens

| Grondslag (artikel 6 AVG) | Toepassing | |---|---| | Uitvoering overeenkomst (lid 1b) | Bestelling afhandelen, betaling verwerken, leveren, retour afwikkelen | | Wettelijke verplichting (lid 1c) | Fiscale bewaarplicht (7 jaar), btw-administratie, productveiligheidswetgeving | | Gerechtvaardigd belang (lid 1f) | IP-logs voor beveiliging, foutmonitoring, fraude-detectie | | Toestemming (lid 1a) | Op dit moment geen — we hebben geen marketing-tracking, geen newsletter-koppeling |

We doen geen profiling of geautomatiseerde besluitvorming.

Met wie delen we gegevens

CBDviva deelt alleen gegevens wanneer dat strikt nodig is voor de afhandeling van je bestelling of voor wettelijke verplichtingen. Onze huidige verwerkers:

Hosting en techniek

  • Servebolt (NL/EU): host de WooCommerce-backend van 1337 Media B.V. waar de bestelling wordt verwerkt. Datacenter Amsterdam. Verwerkers- overeenkomst ondertekend.
  • Rocket.net (VS): host de statische frontend van cbdviva.nl. Geen klantgegevens worden hier opgeslagen — alleen de gepubliceerde HTML/CSS/JS.
  • Cloudflare (VS): CDN en bot-bescherming. Verwerkt IP-adressen tijdens routering. Privacy Shield is vervallen, maar Cloudflare biedt Standard Contractual Clauses (SCC) onder artikel 46 AVG.

Betalingen

  • Mollie B.V. (Amsterdam): verwerkt iDEAL- en Bancontact-betalingen. Eigen privacybeleid op mollie.com/privacy.
  • Viva.com Smart Checkout (EU): verwerkt creditcard-betalingen. Eigen privacybeleid op viva.com.

Wij zien jouw kaartgegevens nooit; ze worden direct bij de PSP ingevoerd.

Verzending

  • PostNL (NL): bezorging in Nederland. Krijgt naam, adres, telefoonnummer (indien opgegeven) en e-mail voor track-and-trace. Eigen privacybeleid op postnl.nl/privacy.

Analytics

  • Plausible Insights OÜ (Estland/EU): cookie-loze pageview-statistieken. Plausible verzamelt geen persoonsgegevens, geen IP-adressen permanent, geen cookies. We zien aggregaten als "x bezoekers van x apparaattype op pagina y" — niet wie je bent.

We verkopen nooit gegevens aan derden. We delen geen gegevens voor reclamedoeleinden.

Doorgifte buiten de EU

  • Servebolt: Amsterdam (EU) — geen doorgifte
  • Mollie: Amsterdam (EU) — geen doorgifte
  • Viva.com: Athene (EU) — geen doorgifte
  • Plausible: Frankfurt (EU) — geen doorgifte
  • Cloudflare: gemengd, gebruikt SCC (artikel 46 AVG)
  • Rocket.net: VS — gebruikt SCC. Geen klantgegevens worden hier opgeslagen, alleen de publieke website-bestanden.
  • PostNL: Nederland (EU) — geen doorgifte

Jouw rechten

Onder de AVG heb je recht op:

  1. Inzage (artikel 15) — een overzicht van wat wij over jou bewaren
  2. Rectificatie (artikel 16) — correctie van onjuiste gegevens
  3. Vergetelheid (artikel 17) — verwijdering, onder voorbehoud van wettelijke bewaarverplichtingen
  4. Beperking (artikel 18) — pauze op verwerking
  5. Dataportabiliteit (artikel 20) — een digitale export
  6. Bezwaar (artikel 21) — tegen verwerking op basis van gerechtvaardigd belang
  7. Niet-onderwerping aan geautomatiseerde besluitvorming (artikel 22) — niet van toepassing want we doen dat niet

Hoe uitoefenen: stuur een e-mail naar info@cbdviva.nl met onderwerp "AVG-verzoek". We reageren binnen 30 dagen. Voor identiteitsverificatie kunnen we vragen om een aanvullend gegeven dat matcht met je bestelhistorie (zoals een ordernummer).

Klacht indienen kan bij de Autoriteit Persoonsgegevens — autoriteitpersoonsgegevens.nl.

Beveiliging

We beschermen je gegevens met onder meer:

  • TLS 1.3 voor alle verbindingen tussen jouw browser, onze frontend, en de backend
  • JWT Cart-Tokens met 48-uurs TTL — geen accounts of wachtwoorden in localStorage
  • Geen kaartgegevens of bankrekeningnummers op onze servers
  • Geautoriseerde toegang voor onze interne systemen, geverifieerd via SSH-keys
  • Wachtwoord-vrije betalingsflow (jouw bank/PSP doet de authenticatie)

Mocht ondanks deze maatregelen toch een datalek optreden, melden we dit binnen 72 uur bij de Autoriteit Persoonsgegevens conform artikel 33 AVG, en informeren we jou indien er een hoog risico voor jouw rechten en vrijheden bestaat.

Wijzigingen in dit beleid

We passen dit privacybeleid aan wanneer onze verwerkingsactiviteiten wijzigen, bij nieuwe verwerkers, of wanneer wetgeving het vereist. Bij materiële wijzigingen vermelden we dat bovenaan de pagina; de actuele "Bijgewerkt op"-datum staat in de pagina-header. Eerdere versies kunnen op verzoek worden ingezien.