Privacybeleid
Achter de naam Wild Robin zit een klein operationeel team dat de site dagelijks draaiende houdt. Dit document is geen geadopteerde modeltekst maar een praktijkhandleiding van één operator: ik (Daan) leg in eigen woorden uit wat onze servers logregelen, wat zij stilletjes weggooien en wie er aan onze infrastructuur trekt. De juridische basis is de AVG (Verordening EU 2016/679) en de Nederlandse Uitvoeringswet AVG. Bedrijfsadres: Nieuwezijds Voorburgwal 120, 1012 AB Amsterdam.
Een privacyverklaring schrijven is voor mij geen jaarlijkse rituele exercitie maar een operationeel zelfportret. Wat hieronder staat zijn afspraken die ik tijdens elke sprintplanning afvink: welke logs roteren wanneer, welke sleutel rouleert hoe vaak, welke verwerker krijgt welk verzoek voor verwerkingsovereenkomst. Wijzigt er iets in onze infrastructuur of in een leverancierscontract, dan past dit document mee. Geen schaduw-stack, geen bijlage-praktijken die niet hier staan.
1. Welke datapunten ons bord raken
Iedere bezoeker laat een paar regels achter. Onze servers leggen alleen vast wat ik nodig heb om de site veilig te runnen en om in te grijpen als er iets piept. Concreet:
- Operationele logs: ingekort IPv4-adres (laatste octet weggemaskeerd), HTTP-status, response-tijd, opgevraagde URL en tijdstip op de seconde nauwkeurig.
- Bezoekstatistiek (alleen na opt-in): geanonimiseerde klikvolgorde, browserformaat en herkomstdomein. Loopt via een zelf-gehoste Plausible-instance — bewust geen Google Analytics, om Schrems II-discussies te voorkomen.
- Contactformulier: jouw naam, terugmail-adres, onderwerp en bericht. Daar leest níemand anders dan ik in mee.
2. Wat wij weigeren te verzamelen
Niet alles wat technisch kan, willen we ook. Op deze site staan geen advertentiecookies van derden, geen retargeting-pixel, geen fingerprint-script en geen cross-site-tracking. Ik draai de site zonder advertentie-inkomsten; de boekhouding loopt op vergoedingen voor doorverwijzingen naar gelicenseerde operators. Geen woord van wat je hier doet, wordt doorverkocht aan een data-broker.
Concreet zijn de volgende technieken bewust uitgeschakeld in onze stack: Meta-Pixel, TikTok-Pixel, LinkedIn Insight Tag, Google Tag Manager, Google Analytics 4, Hotjar, FullStory, Mouseflow en de hele familie session-replay-tools. Geen embedded YouTube, geen embedded Twitter-card — in plaats daarvan een lazy-load placeholder die alleen op klik laadt. Dat scheelt jou aan de bezoekerskant zo’n 38 third-party-cookies en mij aan de operationele kant een hoop juridische hoofdpijn rond doorgiften.
3. Cookies in de minimale variant
Twee categorieën cookies, allebei nuttig, geen ervan opdringerig:
- Strikt noodzakelijke cookies: sessie-token, taalkeuze, onthouden van jouw cookie-besluit. Mogen zonder vooraf vragen geplaatst worden op grond van artikel 11.7a lid 3 Telecommunicatiewet.
- Analytische cookies: alleen na expliciete «akkoord»-klik in de cookiebalk. Onder aan deze pagina kun je je keuze altijd herzien.
4. Hoe lang ik gegevens vasthoud
- Inhoud van het contactformulier: maximaal 10 maanden, dan handmatige opschoning.
- Analytics: 24 uur op individueel niveau, daarna geaggregeerd; ruwe records wisselen na 30 dagen automatisch.
- Operationele server-logs: 60 dagen rolling window.
- Cookies in de browser: maximaal 24 maanden levensduur per sleutel.
5. Jouw rechten als bezoeker
De AVG kent je het volgende toe; ik handel ze persoonlijk af:
- Inzage in welke gegevens ik over jou bewaar (artikel 15).
- Rectificatie of verwijdering van onjuiste data (artikel 16 en 17).
- Intrekking van eerder gegeven toestemming (artikel 7 lid 3).
- Dataportabiliteit in een gangbaar machine-leesbaar formaat (artikel 20).
- Klacht bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.
Schrijf naar [email protected] en zet AVG in het onderwerp. Reactie binnen tien werkdagen, complete uitvoering binnen de wettelijke 30-dagentermijn.
6. Beveiligingskeuken op de achtergrond
Alle verkeer naar de site loopt via TLS 1.3. Persistente data ligt in een Falkenstein-rack met ISO 27001-certificering. Ik heb zelf toegang plus één collega die de boekhouding doet; alles daarbuiten loopt over service-accounts die afgekneld zitten met principle of least privilege. Toegangslogging draait permanent, en ik check ze maandelijks op afwijkingen tijdens een vrijdagmiddag-security-uur.
Aanvullend: tweefactor-authenticatie via hardware-securitykey (YubiKey 5C) is verplicht voor ieder dashboard. Geen wachtwoord-magie zonder fysieke sleutel. Sleutelrotatie volgens 90-dagenkalender, met een dry-run in een staging-omgeving voordat productie wordt aangepast. Backups draaien dagelijks naar Falkenstein-locatie 2 (off-site rack), versleuteld at-rest met LUKS-AES-256 en een restore-test eens per kwartaal. Mocht er ergens een hek breken, dan is de hersteltijd in onze laatste oefening 47 minuten geweest — van detectie tot werkende staging-versie van de site.
7. De sprong via /go — wat er overgaat
Wanneer je op een «Speel nu»-knop klikt, voert de server een redirect uit via het pad /go naar het platform van een gelicenseerde operator. Tijdens die redirect gaat geen persoonsgegeven mee. De ontvangende operator ziet enkel jouw HTTP-referrer (de naam van de pagina waarvandaan je komt). Wat daarna op hun platform gebeurt valt onder hun eigen privacybeleid — lees dat altijd door vóór de eerste storting.
8. Verwerkingsverantwoordelijke
Wild Robin B.V.
Adres: Nieuwezijds Voorburgwal 120, 1012 AB Amsterdam
E-mail: [email protected]
Kamer van Koophandel: 87432190
BTW-nummer: NL863829103B01
9. Rechtsgronden onder artikel 6 AVG
Iedere verwerking heeft een rechtsgrond. De tabel hieronder is mijn werkdocument: het is hoe ik intern toets dat we niet zomaar gegevens hergebruiken voor doelen waarvoor ze niet zijn binnengekomen.
| Verwerking | Doel | Grondslag AVG | Bewaartermijn |
|---|---|---|---|
| Server-logs | Veiligheid en fraudepreventie | Art. 6-1-f (gerechtvaardigd belang) | 60 dagen |
| Strikt noodzakelijke cookies | Sessie-veiligheid en taalkeuze | Art. 6-1-f & Tw. 11.7a lid 3 | Maximaal 24 maanden |
| Analytische cookies | Geaggregeerd inzicht in bezoekpatronen | Art. 6-1-a (toestemming) | 24 uur op individueel niveau |
| Contactformulier | Beantwoorden van jouw vraag | Art. 6-1-b (precontractueel) | 10 maanden na afsluiting |
| Nieuwsbrief (opt-in) | Redactionele en operationele updates | Art. 6-1-a (toestemming) | Tot afmelding |
| Boekhouding | Voldoen aan fiscale bewaarplicht | Art. 6-1-c (wettelijke plicht) | 7 jaar |
Toestemming kun je op ieder moment intrekken zonder gevolgen. Bij verwerkingen op grond van gerechtvaardigd belang heb je een bezwaarrecht onder artikel 21 AVG — wij wegen jouw bezwaar af tegen ons belang en reageren binnen 30 dagen.
10. Onze sub-verwerkers (artikel 28)
Een handvol externe partijen draait taken die binnenshuis te omslachtig zouden worden. Met elk van hen is een artikel-28-overeenkomst getekend. Geen losse cloud-koppelingen, geen onaangekondigde tools, geen ad-hoc SaaS:
| Partij | Dienst | Vestiging | Doorgifte buiten EU |
|---|---|---|---|
| Hetzner Online GmbH | Bare-metal hosting en off-site back-ups | Duitsland (Falkenstein-datacenter) | Nee |
| Mailgun (EU-cluster) | Verzending van formulier-notificaties | EU-endpoint, Frankfurt-region | Nee, EU-only-routing |
| Plausible Insights | Self-hosted, cookieloze webstatistiek | Estland (Tallinn) — gehost op onze eigen Hetzner-node | Nee |
| 1Password Business (EU-tenant) | Toegangsbeheer voor het redactieteam | EU-tenant op Frankfurt | Nee, end-to-end versleuteld |
Geen advertentienetwerken, geen databrokers, geen US-hyperscalers. Onze doorverwijspartners die via /go aangeroepen worden, ontvangen geen persoonsgegevens; zij zien alleen de referrer van de verwijzende pagina.
11. Doorgiften buiten de Europese Unie
Onze hele datapijp staat in Duitsland en Estland. Bewust. AWS, Google Cloud en Azure laten we voor wat ze zijn — de schaduw van de US CLOUD Act en de uitspraak Schrems II (HvJ EU C-311/18, 16 juli 2020) maken structurele afhankelijkheid van Amerikaanse hyperscalers risicovol voor een operator die persoonsgegevens verwerkt. Mocht een verwerker incidenteel buiten de EU routeren, dan dekken de modelcontractbepalingen (SCC’s, uitvoeringsbesluit 2021/914) die uitwijking af.
12. Datalek-aanpak in vier stadia
Bij een (vermoedelijke) inbreuk volg ik dit protocol op de minuut:
- Binnen 1 uur: interne melding aan mij plus de techbeheerder, directe containment (account-lock, isolatie van getroffen endpoint, log-freeze).
- Binnen 24 uur: scope-analyse — aantal records, getroffen categorieën, ernst.
- Binnen 72 uur: melding aan de Autoriteit Persoonsgegevens via het officiele meldloket bij meldplicht (artikel 33 lid 1).
- Onverwijld bij hoog risico: persoonlijk bericht aan getroffen betrokkenen onder artikel 34 AVG, met handelingsadvies.
In de afgelopen drie jaar geen meldplichtig datalek voorgekomen. Twee keer een potentieel risico opgemerkt en binnen drie uur gedicht zonder dat data daadwerkelijk is uitgelekt.
13. Toegang vanaf 18 jaar
De site is exclusief voor volwassenen. Wij richten ons niet op minderjarigen en verzamelen niet bewust gegevens van mensen onder de achttien. Komt er per ongeluk toch input van iemand onder die leeftijd binnen, dan wis ik de records binnen vijf werkdagen handmatig en voer er geen vervolgverwerking mee uit.
Een ouder of voogd kan een verwijderverzoek indienen via [email protected]. Bevestiging volgt binnen 48 uur. De definitieve leeftijdscontrole vindt overigens plaats bij de KSA-gelicenseerde operator zelf, via DigiD of identiteitsdocument-scan, conform de Wet Koa.
14. Geen geautomatiseerde besluitvorming
Artikel 22 AVG geeft je het recht niet onderworpen te worden aan volledig geautomatiseerde besluitvorming met juridische gevolgen. Bij Wild Robin speelt dat nul rol: ik rangschik de content handmatig op basis van redactionele criteria. Geen algoritmische profilering, geen risk-score, geen gepersonaliseerde reclame. Interne dashboards bevatten uitsluitend geaggregeerde cijfers zonder herleidbaarheid tot een persoon.
Concreet: er draait geen LLM op de site die jouw browse-pad analyseert, geen recommender-engine die de homepage personaliseert. Wat jij ziet als bezoeker krijgt elke andere bezoeker uit hetzelfde land tegelijk te zien. Voor onze interne kwartaalrapportage tellen wij minimaal 50 anonieme sessies samen voordat een statistiek de dashboard-laag bereikt — de grens onder welke een gebruiker theoretisch nog te identificeren zou zijn ligt voor ons hoog en bewust niet aan de minimumeis.
15. Privacy-aanspreekpunt — ik dus
Wij zijn niet verplicht een Functionaris voor Gegevensbescherming aan te stellen onder artikel 37 AVG — onze schaal en aard van verwerkingen vallen buiten de verplichte categorieën. Maar ik fungeer hier wel als vast aanspreekpunt en behandel privacy-verzoeken zelf:
Privacy-aanspreekpunt: Daan van Bergen (operationeel hoofdredacteur)
E-mail: [email protected]
Bereikbaarheid: maandag tot en met donderdag, 09:00 tot 17:00 uur.
Persoonlijke reactie binnen drie werkdagen.
Voor zwaardere juridische vragen kun je je wenden tot de Autoriteit Persoonsgegevens in Den Haag.
16. Aanpassingen aan dit beleid
Wet- of regelgeving schuift, leveranciers wisselen, processen evolueren — dit document past zich daar in mee. Werkwijze:
- Tekstuele correcties (typfouten, verduidelijkingen): stilzwijgend doorgevoerd, alleen de datum bovenaan beweegt mee.
- Materiële wijzigingen (nieuwe verwerkingen, nieuwe sub-verwerkers, gewijzigde bewaartermijnen): minimaal 14 dagen vooraf gemeld op de homepagina. Newsletter-abonnees ontvangen een persoonlijk bericht.
- Archiefversies: eerdere versies opvraagbaar via [email protected].
Voorgaande versies:
- V3 — 15 maart 2026 (huidige versie, herziening sub-verwerkers en datalek-procedure).
- V2 — 18 oktober 2025 (toevoeging Plausible op self-host, wisseling DNS-leverancier).
- V1 — 14 februari 2024 (eerste publicatie bij lancering).
Dit beleid werd voor het laatst bijgewerkt op 15 maart 2026. Materiële wijzigingen verschijnen vooraf op de homepagina. Versie 3.0.