Privacyverklaring

Verschillende momenten in je gebruik van het platform leiden tot verschillende soorten informatie die bij ons terechtkomen. Wanneer je een account aanmaakt, vragen we om basisinformatie — een e-mailadres waar we je kunnen bereiken, een gebruikersnaam die je in het platform identificeert, en verificatiegegevens om je account te beveiligen. Als je besluit om een profiel in te vullen, komen daar optionele details bij: een weergavenaam die andere spelers zien, voorkeuren voor spelnotificaties, en eventueel een avatar.

Terwijl je het platform gebruikt, registreren onze systemen spelactiviteit. Welke spellen je opent, hoe lang sessies duren, welke functies je gebruikt — dat soort patronen. Technische informatie komt mee met elk bezoek: je IP-adres, browsertype, apparaatkenmerken, besturingssysteem. Die technische gegevens helpen ons het platform stabiel te houden en problemen op te lossen wanneer die zich voordoen.

Communicatie die je met ons hebt — vragen aan onze supportafdeling, feedback die je indient, berichten binnen het platform — wordt opgeslagen zodat we consistent kunnen antwoorden en kwaliteit kunnen bewaken. Wanneer je transacties uitvoert binnen het platform (virtuele valuta kopen of inwisselen), bewaren we die gegevens voor boekhouding en om geschillen te kunnen oplossen.

Het meeste ontvangen we rechtstreeks van jou: wat je invult in formulieren, keuzes die je maakt in instellingen, acties die je onderneemt in spellen. Sommige informatie komt automatisch tot stand door hoe internetverbindingen werken — je IP-adres bijvoorbeeld, of welke browser je gebruikt. Die gegevens stuurt je apparaat mee met elk verzoek aan onze servers.

Af en toe kunnen externe diensten informatie aanleveren. Als je inlogt via een externe authenticatiedienst, ontvangen we beperkte gegevens van die dienst — meestal alleen een unieke identifier en een e-mailadres. We vragen daarbij alleen om minimale toegangsrechten die nodig zijn voor authenticatie.

Elk type informatie dat we ontvangen heeft een specifieke reden voor bestaan. Account-identificatiegegevens maken het mogelijk dat je dezelfde account vanaf verschillende apparaten kunt gebruiken — zonder e-mailadres of gebruikersnaam kunnen we je niet herkennen bij je volgende bezoek. Wachtwoorden en authenticatiegegevens beschermen je account tegen ongeautoriseerde toegang.

Spelactiviteitgegevens dienen meerdere doelen tegelijk. Ze maken het mogelijk om voortgang te bewaren tussen sessies, prestaties bij te houden, en ervoor te zorgen dat beloningen correct worden toegekend. Deze informatie helpt ons ook om te begrijpen welke delen van het platform het meest worden gebruikt en waar verbeteringen het meeste effect zouden hebben.

Technische informatie — IP-adressen, apparaatgegevens, browserinformatie — gebruikt ons technisch team om de platformstabiliteit te bewaken en technische problemen te identificeren. Wanneer iets niet goed werkt, geven deze gegevens aanwijzingen over waar het probleem zich bevindt. Ze helpen ook om ongewone patronen te detecteren die op misbruik kunnen wijzen.

Communicatierecords bewaren we zodat supportmedewerkers de context kunnen zien van eerdere gesprekken. Als je drie maanden geleden contact opnam over een probleem en nu weer schrijft, hoef je niet alles opnieuw uit te leggen. Deze records gebruiken we ook om onze servicekwaliteit te evalueren en medewerkers te trainen.

Transactiegegevens vormen een noodzakelijk administratief archief. Ze maken het mogelijk om vragen over eerdere aankopen te beantwoorden, correcties door te voeren wanneer iets misgaat, en te voldoen aan boekhoudkundige verplichtingen die op bedrijven rusten.

De manier waarop we met gegevens omgaan hangt af van waar die gegevens zich in hun levenscyclus bevinden. Wanneer informatie bij ons aankomt — bijvoorbeeld doordat je een formulier invult — passeert die eerst automatische validatiechecks. Systemen controleren of het formaat klopt, of verplichte velden zijn ingevuld, of er geen verdachte patronen zijn die op geautomatiseerde aanvallen wijzen.

Eenmaal opgenomen in onze databases krijgen gegevens verschillende behandelingen afhankelijk van hun gevoeligheid. Authenticatiegegevens zoals wachtwoorden worden nooit in leesbare vorm opgeslagen — we gebruiken eenrichtingshashing, wat betekent dat zelfs onze eigen systemen je wachtwoord niet kunnen reconstrueren. Bij inlogpogingen wordt wat je invoert gehasht en vergeleken met de opgeslagen hash, niet met het originele wachtwoord.

Toegang tot gegevens binnen onze organisatie volgt een principe van minimale noodzaak. Supportmedewerkers kunnen je accountdetails en communicatiegeschiedenis zien omdat ze die informatie nodig hebben om je te helpen, maar hebben geen toegang tot volledige systeemlogs. Ontwikkelaars kunnen technische gegevens en geanonimiseerde spelpatronen inzien om het platform te verbeteren, maar niet je persoonlijke communicatie.

Veel verwerking gebeurt automatisch zonder menselijke betrokkenheid. Algoritmes analyseren spelpatronen om aanbevelingen te genereren voor spellen die je mogelijk interesseren. Deze systemen kijken naar wat je eerder hebt gespeeld, hoe lang je sessies duren, welke speltypes je verkiest. Ze vergelijken die patronen met die van andere gebruikers om overeenkomsten te vinden.

Beveiligingssystemen monitoren voortdurend technische gegevens op ongewone patronen. Als een account plotseling vanaf een compleet andere locatie probeert in te loggen, of als er ongebruikelijk veel inlogpogingen in korte tijd plaatsvinden, kunnen automatische beschermingsmechanismen in werking treden. Dat kan betekenen dat tijdelijk extra verificatie wordt gevraagd.

De meeste gegevens die we ontvangen blijven binnen onze eigen systemen. Er zijn echter situaties waarin informatie naar externe partijen moet. Die uitwisselingen gebeuren onder strikte voorwaarden en contractuele afspraken die waarborgen bieden over hoe die ontvangers met de gegevens omgaan.

Onze hostingproviders — bedrijven die de fysieke servers beheren waarop onze systemen draaien — hebben technisch gezien toegang tot alle opgeslagen gegevens. We kiezen providers die aan strenge beveiligingseisen voldoen en contractueel verplicht zijn om gegevens uitsluitend voor hostingdoeleinden te gebruiken en niet voor eigen toepassingen.

Betalingsverwerkingsdiensten ontvangen transactie-informatie wanneer je virtuele valuta koopt. Welke specifieke gegevens ze ontvangen hangt af van de betaalmethode die je kiest. Bij creditcardbetalingen bijvoorbeeld gaat je kaartinformatie rechtstreeks naar de betalingsverwerker zonder dat onze systemen die gegevens zien — we ontvangen alleen een bevestiging dat de betaling geslaagd is.

Analytische diensten ontvangen geanonimiseerde gebruiksgegevens. Deze informatie bevat geen directe identificatoren — geen e-mailadressen, geen namen, geen accountnummers. We gebruiken deze diensten om te begrijpen hoe gebruikers door het platform navigeren, waar ze vastlopen, welke functies ze niet kunnen vinden. Die inzichten helpen ons het platform gebruiksvriendelijker te maken.

In uitzonderlijke gevallen kan juridische verplichting ons dwingen om gegevens met autoriteiten te delen. Dat gebeurt alleen wanneer we een rechtsgeldige aanvraag ontvangen via officiële kanalen — geen informele verzoeken. We beoordelen elke aanvraag op rechtmatigheid en delen alleen wat juridisch verplicht is, niet meer.

Onze primaire datacenters bevinden zich in faciliteiten binnen de Europese Economische Ruimte. Sommige technische diensten die we gebruiken worden geleverd door bedrijven met globale infrastructuur, wat betekent dat bepaalde gegevens mogelijk tijdelijk in datacenters buiten Europa worden opgeslagen. Wanneer dat gebeurt, zorgen we ervoor dat er adequate beschermingen zijn — meestal via standaardcontractbepalingen die de Europese Commissie heeft goedgekeurd voor internationale gegevensoverdrachten.

Technische bescherming van opgeslagen informatie gebeurt op meerdere lagen. Versleuteling beschermt gegevens tijdens verzending tussen je apparaat en onze servers — dat is die slot-icoon in je browser. Gevoelige informatie wordt ook versleuteld opgeslagen in databases, zodat iemand die fysieke toegang tot opslagmedia krijgt geen leesbare gegevens vindt.

Toegangscontrole beperkt wie bij welke systemen kan. Medewerkers krijgen alleen toegang tot systemen die ze voor hun werk nodig hebben. Administratieve toegang tot productiesystemen is beperkt tot een klein technisch team en wordt gelogd — elk gebruik van bevoorrechte accounts laat sporen na die regelmatig worden gecontroleerd.

Regelmatige beveiligingsevaluaties proberen zwakheden te vinden voordat anderen dat doen. We testen systemen op bekende kwetsbaarheden, beoordelen nieuwe code op beveiligingsrisico's, en houden softwarecomponenten up-to-date met de laatste beveiligingspatches.

Ondanks al deze maatregelen bestaat absoluut risico. Geen enkel systeem is volmaakt onkwetsbaar. We kunnen niet garanderen dat beveiligingsincidenten nooit zullen plaatsvinden. Wat we wel kunnen beloven is dat we serieus werk maken van bescherming, snel reageren wanneer problemen ontstaan, en transparant communiceren over incidenten die gebruikers kunnen raken.

Je hebt verschillende mogelijkheden om invloed uit te oefenen op welke informatie we over je hebben en hoe die wordt gebruikt. Inzage is het meest fundamentele recht — je kunt een kopie opvragen van alle gegevens die we over je bewaren. Dat verzoek verwerken we binnen dertig dagen. Je ontvangt dan een gestructureerd bestand met alle informatie die aan je account gekoppeld is.

Correctie kan wanneer je denkt dat gegevens onjuist zijn. Als je e-mailadres verkeerd is geregistreerd of je profielinformatie niet klopt, kun je die aanpassen via accountinstellingen of door contact met ons op te nemen. Voor bepaalde wijzigingen — zoals je e-mailadres veranderen — vragen we aanvullende verificatie om te voorkomen dat anderen je account kunnen overnemen.

Verwijdering is mogelijk binnen de grenzen van onze wettelijke en contractuele verplichtingen. Je kunt je account sluiten en verwijdering van je gegevens aanvragen. Bepaalde informatie moeten we bewaren — transactierecords voor boekhoudkundige doeleinden bijvoorbeeld, of communicatie gerelateerd aan juridische geschillen. Maar al je spelactiviteit, profielinformatie en andere optionele gegevens worden verwijderd.

Je kunt bezwaar maken tegen bepaalde vormen van verwerking die gebaseerd zijn op legitiem belang. Dat geldt bijvoorbeeld voor het gebruik van je spelgegevens voor platformoptimalisatie of het ontvangen van niet-essentiële communicatie. Wanneer verwerking contractueel noodzakelijk is — bijvoorbeeld het bewaren van je accountgegevens zodat je kunt inloggen — kunnen we zo'n bezwaar niet honoreren zonder de dienstverlening onmogelijk te maken.

Beperking van verwerking is een tussenoptie. Als je betwist dat bepaalde gegevens juist zijn, of de rechtmatigheid van verwerking ter discussie staat, kun je vragen om tijdelijk alleen die gegevens te bewaren maar er niets mee te doen. We onderzoeken dan je bezwaar en nemen een beslissing.

Verschillende gegevenscategorieën hebben verschillende bewaartermijnen gebaseerd op waarom we ze nodig hebben. Accountinformatie bewaren we zolang je account actief is. Wanneer je je account sluit, starten verwijderingsprocessen — niet onmiddellijk, omdat we een korte periode hanteren waarin je van gedachten kunt veranderen zonder alles te verliezen, maar binnen negentig dagen is alles definitief verwijderd.

Spelactiviteitgegevens worden actief bewaard gedurende je gebruik van het platform plus achttien maanden. Die periode maakt het mogelijk om trends te analyseren en langetermijnpatronen te begrijpen zonder onnodig veel historische gegevens bij te houden. Na achttien maanden inactiviteit worden gedetailleerde spelgegevens geanonimiseerd — alle directe koppelingen aan je account worden verwijderd, maar geaggregeerde statistieken kunnen bewaard blijven voor historische analyse.

Transactierecords bewaren we zeven jaar. Die termijn is bepaald door boekhoudkundige wetgeving die van bedrijven vraagt om financiële administratie te bewaren. Dat betekent dat zelfs als je je account sluit, records van virtuele valuta-aankopen bewaard blijven tot die wettelijke bewaartermijn is verstreken.

Communicatiegeschiedenis met onze supportafdeling bewaren we drie jaar na de laatste interactie. Die termijn biedt voldoende context voor eventuele vervolgvragen en maakt het mogelijk om patronen in supportproblemen te analyseren, terwijl oude communicatie niet onbeperkt blijft rondslingeren.

Technische logbestanden die systeemactiviteit registreren hebben kortere bewaartermijnen — meestal negentig dagen. Dat is lang genoeg om patronen te zien en problemen te analyseren, maar niet zo lang dat we enorme hoeveelheden detailgegevens blijven stapelen.

Onze gegevensverwerking vindt plaats onder meerdere juridische gronden afhankelijk van wat precies verwerkt wordt. Contractuele noodzaak rechtvaardigt het grootste deel — zonder je e-mailadres en accountgegevens kunnen we simpelweg geen dienst leveren waar je je voor hebt aangemeld. Die verwerking is noodzakelijk om onze contractuele verplichtingen jegens jou na te komen.

Legitiem belang vormt de basis voor verwerkingen die niet strikt noodzakelijk zijn maar wel redelijke verwachtingen van beide partijen dienen. Het analyseren van spelgegevens om het platform te verbeteren valt hieronder — jij profiteert van een beter werkend platform, wij profiteren van gebruikers die tevreden blijven en terugkomen. Bij legitiem belang moeten we aantonen dat onze belangen opwegen tegen jouw privacyrechten, en dat we niet hetzelfde resultaat kunnen bereiken op minder ingrijpende manieren.

Wettelijke verplichting geldt voor situaties waarin regelgeving ons dwingt om bepaalde gegevens te bewaren of verwerken. Financiële administratie valt hieronder, evenals het voldoen aan rechtsgeldige verzoeken van autoriteiten. Bij wettelijke verplichting hebben we geen discretie — de wet schrijft voor wat we moeten doen.

De primaire regelgeving die onze gegevenspraktijken beheerst is de Algemene Verordening Gegevensbescherming, van toepassing in de Europese Economische Ruimte. Omdat we een aanzienlijk deel van onze gebruikers in die regio hebben, passen we AVG-principes platform-breed toe — niet alleen voor Europese gebruikers, maar voor iedereen. Dat maakt ons systeem eenvoudiger en biedt alle gebruikers dezelfde beschermingen.

De UK GDPR — een variant van de Europese regelgeving die na Brexit in het Verenigd Koninkrijk geldt — stelt vergelijkbare eisen en geeft gebruikers vergelijkbare rechten. Praktisch gezien betekent dit dat onze naleving van de Europese regelgeving ook naleving van de Britse regelgeving met zich meebrengt.

Deze verklaring zal in de loop van de tijd veranderen. Wanneer we nieuwe functies toevoegen die andere soorten gegevensverwerking met zich meebrengen, wanneer we van dienstverleners wisselen, of wanneer regelgeving zich ontwikkelt — al die situaties kunnen aanpassingen noodzakelijk maken.

Substantiële wijzigingen — veranderingen die materiële impact hebben op hoe we met je gegevens omgaan — communiceren we actief. Je ontvangt dan een e-mail naar je geregistreerde adres met uitleg over wat er verandert en wanneer de wijziging ingaat. Voor kleinere aanpassingen — verduidelijkingen van taal, correcties van typefouten, kleine updates die je rechten niet raken — volstaat het bijwerken van deze pagina met een nieuwe datum bovenaan.

We bewaren eerdere versies van deze verklaring zodat je kunt zien hoe ons beleid zich heeft ontwikkeld. Die historische versies zijn op aanvraag beschikbaar als je wilt begrijpen hoe bepaalde aspecten zijn veranderd.