Privacybeleid — Toveria
Versie 2.0 — Juni 2026
Conform GDPR (EU) 2016/679, de Wet bescherming persoonsgegevens
en de toepasselijke regelgeving voor internationale gegevensoverdrachten
1. Identiteit van de verwerkingsverantwoordelijke
Toveria — eenmanszaak (EI) geëxploiteerd door Kamel DOURA
12 Rue de la Part-Dieu, 69003 Lyon, Frankrijk
SIRET : 978 781 227 00019 — RCS : 978 781 227 R.C.S. Lyon
📧 dpo@toveria.com
Kamel DOURA (EI Toveria) is de verwerkingsverantwoordelijke voor persoonsgegevens die via het Toveria-platform (toveria.com) en de mobiele applicatie worden verzameld, in het kader van een BtoC-, CtoC-, CtoB- en BtoB-marktplaats die vanuit Europa naar de hele wereld opereert.
2. Functionaris voor gegevensbescherming (DPO)
De DPO is uw contactpersoon voor vragen over de bescherming van uw persoonsgegevens.
3. Verzamelde gegevens
3.1 Registratiegegevens — Alle gebruikers
| Gegeven | Verplicht | Doel |
|---|---|---|
| Voornaam en achternaam | Ja | Identificatie, DAC7, facturering |
| Geboortedatum | Ja (particulieren) | Verificatie meerderjarigheid, DAC7 |
| E-mailadres | Ja | Authenticatie, meldingen |
| Telefoonnummer | Ja | Identiteitsverificatie, veiligheid, OTP |
| Volledig postadres | Ja | Levering, facturering, DAC7 |
| Land van woonplaats | Ja | Fiscale naleving, internationale btw |
| Gebruikersnaam | Ja | Weergave op het platform |
| Avatar | Nee | Personalisatie |
| Biografie | Nee | Openbaar verkopersprofiel |
3.2 Aanvullende gegevens — Professionele accounts
| Gegeven | Verplicht | Doel |
|---|---|---|
| Bedrijfsnaam | Ja | Juridische naleving, BtoB-facturering |
| Juridische vorm | Ja | Juridische naleving |
| SIRET / Gelijkwaardig EU-register | Ja | Verificatie bedrijfsidentiteit |
| Intra-communautair btw-nummer | Ja (indien onderworpen) | VIES, BtoB-facturering |
| Land van goedeopslagplaats | Ja | DAC7-naleving, btw |
| Kbis of Europees equivalent | Ja | Verificatie bedrijfsidentiteit |
| IBAN (overboekingsrekening) | Via Stripe | Verkoopbetaling (Stripe Connect) |
| DAC7-certificering | Ja | Regelgevingsverplichting |
| Stripe KYC-documenten | Via Stripe | Verificatie Connect-identiteit |
3.3 Gegevens verzameld bij gebruik
- Advertenties : titel, beschrijving, prijs, foto's, video's, categorie, locatie
- Transacties : aankoop-/verkoopgeschiedenis, bedragen, betalingsreferenties, vervoerders, volgnummers
- Gesprekken : berichten uitgewisseld tussen leden
- Gedrag : bezochte pagina's, zoekopdrachten, bekeken advertenties, favorieten
- Technisch : IP-adres, apparaattype, browser, besturingssysteem, taal, tijdzone
- Douane : informatie uit CN22/CN23-aangiften voor internationale zendingen
3.4 Betalingsgegevens
Uitsluitend verwerkt door Stripe. Toveria slaat geen bankgegevens op. Toveria ontvangt alleen gettokeniseerde identificatoren en transactiebevestigingen.
3.5 Gegevens van internationale kopers
Voor kopers buiten de EU verzamelt Toveria alleen de gegevens die nodig zijn voor de transactie: naam, e-mail, afleveradres, land. Deze gegevens worden verwerkt in overeenstemming met GDPR en, indien van toepassing, lokale gegevensbeschermingswetten (PDPA Thailand, LGPD Brazilië, PIPEDA Canada, enz.).
3.6 Fiscaal identificatienummer (NIF / Tax ID)
Verzameld voor verkopers die de DAC7-drempels overschrijden (30 transacties of € 2.000/jaar). Ook verzameld voor BtoB-transacties waarvoor een factuur met fiscale identificatie nodig is.
3.7 Gegevens van pushberichten
Als u pushberichten inschakelt, wordt een apparaat-id (FCM-token) gegenereerd door Firebase Cloud Messaging (Google) en bewaard om u berichten te sturen met betrekking tot uw activiteit (berichten, aanbiedingen, verkopen, orderbijhouden). Deze id bevat geen directe persoonsgegevens. Activering is optioneel en gebaseerd op uw expliciete toestemming (toestemming aangevraagd door uw browser, voorafgegaan door informatie in de app); geen id wordt naar Google verzonden vóór deze toestemming. U kunt pushberichten op elk moment uitschakelen via uw apparaat of het app-menu.
4. Juridische grondslag voor verwerkingen
| Verwerking | Juridische grondslag |
|---|---|
| Accountbeheer | Uitvoering van contract (art. 6.1.b) |
| Betalingsverwerking | Uitvoering van contract (art. 6.1.b) |
| Transactionele meldingen | Uitvoering van contract (art. 6.1.b) |
| BtoB-facturering | Uitvoering van contract + wettelijke verplichting |
| DAC7-naleving | Wettelijke verplichting (art. 6.1.c) |
| VIES btw-verificatie | Wettelijke verplichting (art. 6.1.c) |
| Douaneaangiften | Wettelijke verplichting (art. 6.1.c) |
| Naleving internationale sancties | Wettelijke verplichting (art. 6.1.c) |
| Fraudebestrijding | Gerechtvaardigd belang (art. 6.1.f) |
| Serviceverbeteringen | Gerechtvaardigd belang (art. 6.1.f) |
| Marketing-e-mails | Toestemming (art. 6.1.a) |
| Analytische cookies | Toestemming (art. 6.1.a) |
| Gepersonaliseerde aanbevelingen | Toestemming (art. 6.1.a) |
| Pushberichten (Firebase Cloud Messaging) | Toestemming (art. 6.1.a) |
5. Doeleinden van verwerkingen
5.1 Accountbeheer en authenticatie
Accountcreatie, identiteitsverificatie (e-mail OTP, SMS OTP), veilige aanmelding, multi-factor authenticatie (TOTP), accountherstel.
5.2 Werking van de marktplaats
Online plaatsen en beheren van advertenties, realtime messaging tussen leden, transactieverwerking (alle typen: BtoC, CtoC, CtoB, BtoB), lotbeheer, ordergeschiedenis.
5.3 Betalingen en verkoopoverschrijvingen
Veilige betalingsverwerking (Stripe), kwitantiegeneratie, geldoverschrijving naar verkopers (Stripe Connect), abonnementsbeheer Pro, facturering van boosts.
5.4 BtoB-facturering
Automatische generatie van conforme facturen (sequentieel nummer, volledige fiscale gegevens van beide partijen, toepasselijke btw) voor transacties tussen professionele accounts.
5.5 Regelgevingsnaleving
DAC7-aangiften aan de DGFiP, btw-verificatie via VIES, DSA-naleving, verificatie van internationale sanctielijsten (via OpenSanctions, vóór betaling), naleving van douanevoorschriften. Een geografische beperking sluit landen onder embargo uit (registratie en levering geblokkeerd), onder toepasselijke internationale sancties (OFAC, EU, VN) en exportcontrole; het aangegeven land wordt voor dit doel verwerkt.
5.6 Internationale transacties
Beheer van gegevens die nodig zijn voor douaneaangiften (CN22/CN23), berekening van toepasselijke belastingen (IOSS, douanerechten), verificatie van export-/importbeperkingen.
5.7 Veiligheid en fraudebestrijding
Detectie van frauduleus gedrag, verificatie van accountauthenticiteit, bescherming tegen illegale inhoud, anti-fraudecontroles voor verwijzingen, verificatie van internationale sancties.
5.8 Klantenservice en geschillen
Verwerking van ondersteuningsverzoeken, bemiddeling tussen koper en verkoper, archivering van uitwisselingen die nodig zijn voor geschillenbeslechting, ook voor internationale geschillen.
5.9 Commerciële communicatie
Verzending van verplichte transactionele e-mails, verzending van marketing-e-mails met voorafgaande toestemming (op elk moment in te trekken).
6. Ontvangers van gegevens
6.1 Technische dienstverleners (verwerkers)
| Dienstverlener | Rol | Locatie | Waarborgen |
|---|---|---|---|
| Supabase | Database, auth, opslag | EU (Frankfurt) | GDPR DPA-contract |
| Stripe | Betalingen, KYC, Connect | Verenigde Staten | EU SCC — Privacy Shield 2.0 |
| Resend | Transactionele e-mails | Verenigde Staten | EU SCC |
| Google (Firebase Cloud Messaging) | Pushberichten | Verenigde Staten | EU SCC |
| Anthropic | AI-assistentie (zoeken op afbeelding, generatie advertentiebeschrijvingen, ondersteuningsassistent), op verzoek van de gebruiker | Verenigde Staten | EU SCC |
| Vercel | Applicatiehosting | Verenigde Staten / EU | EU SCC |
| OpenSanctions | Filtering van internationale sanctielijsten (OFAC, VN, EU) vóór betaling | EU (Duitsland) | Gegevens beperkt tot identiteit — GDPR DPA |
6.2 Openbare autoriteiten
- DGFiP (Frankrijk) : jaarlijkse DAC7-aangiften
- ARCOM (Frankrijk) : DSA-verzoeken
- Douaneautoriteiten : gegevens uit CN22/CN23-aangiften
- Bevoegde autoriteiten : reactie op gerechtelijke bevelen
- Regelgevers van derde landen : indien vereist door toepasselijke lokale wetgeving voor de transactie
6.3 Delen tussen leden
Alleen het openbare profiel is zichtbaar: gebruikersnaam, avatar, stad, biografie, beoordeling, aantal verkopen. De echte naam, adres, e-mail en telefoonnummer worden nooit rechtstreeks met andere leden gedeeld (aflevergegevens worden alleen na betalingsbevestiging aan de verkoper doorgegeven, uitsluitend voor verzendingsdoeleinden).
6.4 Kopers buiten de EU
Wanneer een koper buiten de EU een transactie uitvoert, worden de gegevens die nodig zijn voor verzending (naam, afleveradres) gedeeld met de verkoper en, indien van toepassing, met de vervoerder. Deze gegevens kunnen onderworpen zijn aan douanevoorschriften van het bestemmingsland.
7. Overdrachten buiten de Europese Unie
Overdrachten naar derde landen (met name de Verenigde Staten) worden geregeld door:
- Standaardcontractbepalingen (SCC) goedgekeurd door de Europese Commissie (adequaatbesluit 2021/914)
- EU-US Privacy Shield 2.0-kader (Adequaatbesluit van juli 2023) voor overdrachten naar de Verenigde Staten
Voor gegevens van kopers die buiten de EU wonen, past Toveria dezelfde beschermingsnormen toe als voor Europese ingezetenen, voor zover toegestaan door toepasselijke lokale wetten.
8. Bewaarduur van gegevens
Elk gegeven wordt bewaard voor de duur die strikt nodig is voor het doel, en wordt daarna verwijderd of geanonimiseerd. In overeenstemming met aanbevelingen van de CNIL gaan bepaalde gegevens, na hun fase van actief gebruik, door een tussentijdse archivering met beperkte toegang (alleen toegankelijk voor naleving van wettelijke verplichtingen of geschillenbeslechting) voordat ze definitief worden verwijderd.
| Categorie | Bewaarduur |
|---|---|
| Gegevens van actieve account | Levensduur van de account |
| Gegevens na accountsluiting | Verwijdering van persoonsgegevens bij sluiting; gegevens onderworpen aan wettelijke verplichting worden apart bewaard voor hun eigen duur |
| Transactie-/ordergegevens | 10 jaar (Handelsgezetboek, CGI) |
| BtoB-facturen | 10 jaar (Handelsgezetboek) |
| Gesprekken (berichten) | Actieve fase van 6 maanden na het laatste bericht, daarna tussentijdse archivering met beperkte toegang, daarna verwijdering: 24 maanden (gesprek zonder bestelling) of 5 jaar (gesprek gekoppeld aan bestelling) |
| Berichtbijlagen (foto's) | Verwijderd met het bijbehorende bericht |
| Door lid verwijderde advertenties | Media onmiddellijk verwijderd; definitieve verwijdering advertentie 180 dagen daarna |
| Verkochte advertenties / gekoppeld aan bestelling | Bewaard als bewijs van transactie (tot 5 jaar / boekhoudkundige verplichtingen) |
| Beoordelingen en evaluaties | Anonimisering na 5 jaar (beoordeling en opmerking behouden, identiteit auteur losgekoppeld) |
| DAC7- en fiscale gegevens | 10 jaar |
| Douanegegevens | 5 jaar (Douanewetboek) |
| Technische logboeken (API-fouten) | 90 dagen (automatische dagelijkse verwijdering) |
| Logboek betalingspogingen (anti-fraude) | 7 dagen (automatische dagelijkse verwijdering) |
| Overige beveiligingslogboeken | Maximaal 12 maanden |
| Analytische cookies | Maximaal 13 maanden |
| Verwijzingsgegevens | 3 jaar |
| Stripe KYC (identiteitsdocumenten) | Volgens Stripe-verplichtingen / 5 jaar |
| Pushberichttoken (FCM) | Tot uitschakeling of ongeldigmaking; verlopen tokens automatisch verwijderd |
Lopend geschil of wettelijke verplichting (« legal hold ») : elk gegeven dat nodig is voor geschillenbeslechting, naleving van wettelijke verplichting of verzoek van bevoegde autoriteit wordt bewaard tot het einde van deze verplichting, in afwijking van bovenstaande duraties.
9. Uw rechten
In overeenstemming met GDPR (EU-ingezetenen) en, voor zover van toepassing, lokale gegevensbeschermingswetten (ingezetenen buiten de EU), hebt u de volgende rechten:
9.1 GDPR-rechten (EU-ingezetenen)
- Toegang (art. 15) — ontvang een kopie van uw gegevens
- Rectificatie (art. 16) — corrigeer onjuiste gegevens
- Verwijdering (art. 17) — verwijdering tenzij wettelijke bewaarverplichting
- Beperking (art. 18) — tijdelijke opschorting van verwerking
- Draagbaarheid (art. 20) — export in gestructureerd formaat (JSON/CSV)
- Bezwaar (art. 21) — bezwaar tegen verwerkingen op basis van gerechtvaardigd belang
- Intrekking van toestemming — op elk moment in te trekken
9.2 Rechten van ingezetenen buiten de EU
Toveria breidt, voor zover mogelijk, GDPR-beschermingen uit naar ingezetenen buiten de EU. Ingezetenen van landen met specifieke wetgeving (LGPD Brazilië, PDPA Thailand, PIPEDA Canada, CCPA Californië, enz.) kunnen rechten uitoefenen voorzien door hun wetgeving door contact op te nemen met dpo@toveria.com.
9.3 Uitoefening van rechten
📧 dpo@toveria.com — Onderwerp: [GDPR-rechten] Uw verzoek
Reactietijd: 30 dagen (verlengbaar met 2 maanden voor complexe verzoeken). Een identiteitsbewijs kan worden aangevraagd.
9.4 Beroep
CNIL — cnil.fr/fr/plaintes — CNIL, 3 place de Fontenoy, 75007 Paris
10. Cookies en trackers
Strikt noodzakelijke cookies (geen toestemming vereist)
| Cookie | Doel | Duur |
|---|---|---|
| Sessieauth | Aanmelding behouden | Sessie |
| Gebruikersvoorkeuren | Taal, weergave | 1 jaar |
| Winkelwagen / lot | Selectie onthouden | Sessie |
| Beveiliging | CSRF, anti-fraude | Sessie |
Cookietoestemming (toveria_cookie_consent) | Uw keuze onthouden | 6 maanden |
Analytische cookies (met toestemming)
| Cookie | Doel | Duur |
|---|---|---|
| Publieksanalyse | Serviceverbeteringen | 13 maanden |
Momenteel zijn geen analytische of advertentiecookies actief: deze worden alleen geplaatst na uw expliciete toestemming.
Voor volledige details (categorieën, duraties, intrekking), raadpleeg ons Cookiebeheerbeleid. Beheer is op elk moment beschikbaar via de knop « Cookies beheren » (menu en onderkant van elke juridische pagina).
11. Gegevensbeveiliging
- Versleuteling in transit : HTTPS / TLS 1.3
- Versleuteling in rust : Supabase-database versleuteld
- Authenticatie : e-mail OTP + SMS OTP + TOTP (2FA)
- Toegangscontrole : Row Level Security (RLS) Supabase
- Betalingen : Stripe PCI DSS Level 1
- Beperkte toegang : persoonsgegevens alleen toegankelijk voor bevoegde medewerkers
- Logboekregistratie : beveiligingslogboeken bewaard 12 maanden
- Anti-fraude : Stripe Radar, verwijzingscontroles, sanctieverificatie
In geval van gegevensschending die risico kan opleveren, stelt Toveria u binnen 72 uur in kennis.
12. Gegevens van minderjarigen
Het platform is voorbehouden aan personen van 18 jaar of ouder. Melding: dpo@toveria.com.
13. Wijzigingen
Wezenlijke wijzigingen worden per e-mail medegedeeld met een vooraankondiging van 30 dagen.
14. Contact
📧 dpo@toveria.com — Gegevensbescherming
📧 dpo@toveria.com — Functionaris voor gegevensbescherming
Toveria — Europese BtoC-, CtoC-, CtoB- en BtoB-marktplaats
SIRET : [In te vullen] — CNIL-registratienummer : [In te vullen]
Laatst bijgewerkt: Juni 2026
Nederlandse versie — in geval van afwijking met een vertaling prevaleert de Nederlandse versie.