Privacybeleid
Laatst bijgewerkt: 24 mei 2026
Welkom bij FestiQuest. Wij vinden privacy belangrijk en gaan zorgvuldig om met je gegevens. In dit privacybeleid leggen we uit welke gegevens we verzamelen, waarom, hoe lang we ze bewaren en welke rechten je hebt. We schrijven dit document in normale taal zodat je het ook echt kunt lezen.
1. Wie zijn wij
FestiQuest is een sociale festival-app die mensen helpt om tijdens festivals samen activiteiten (“sidequests”) te organiseren en nieuwe mensen te ontmoeten. De app wordt aangeboden door:
Het FestiQuest-team — gevestigd in Nederland Contact: via ons contactformulier Website: https://festiquest.app
Wij zijn de verwerkingsverantwoordelijke voor je persoonsgegevens zoals bedoeld in de Algemene Verordening Gegevensbescherming (AVG / GDPR).
Heb je vragen over je privacy, wil je je rechten uitoefenen of heb je een klacht? Stuur een e-mail naar ons contactformulier en je krijgt binnen 30 dagen antwoord.
2. Wanneer is dit beleid van toepassing
Dit privacybeleid geldt voor het gebruik van:
- De FestiQuest-app (iOS, Android en de webversie op festiquest.app)
- Alle gerelateerde diensten zoals account-aanmelding, sidequest-deelname, groepschats en notificaties
De app is bedoeld voor personen van 18 jaar en ouder. We accepteren geen accounts van minderjarigen. Zie sectie 11 voor meer details.
3. Welke gegevens verzamelen we
We verzamelen alleen gegevens die nodig zijn om de app te laten werken. Hieronder per categorie:
3.1 Account- en identiteitsgegevens (verplicht)
- Voornaam — om je herkenbaar te maken in de app
- Geboortedatum — om te verifieren dat je 18+ bent en om je leeftijd aan andere gebruikers te tonen
- Woonplaats — om aan andere gebruikers te tonen waar je vandaan komt
- E-mailadres — voor accountverificatie, beveiligingsmeldingen en (alleen indien nodig) servicemeldingen
3.2 Profielgegevens (optioneel)
- Profielfoto
- Geslacht
- Korte bio
- Instagram-handle (om verbinding leggen met andere festivalgangers makkelijker te maken)
Optioneel betekent: jij kiest of je dit invult. Niet invullen heeft geen gevolgen voor je accounttoegang.
3.3 Activiteitsgegevens
- Festivals die je “pint” — welke festivals je wilt bezoeken
- Sidequests die je hebt aangemaakt of bent gejoind — inclusief titel, omschrijving, plek, tijd, deelnemerslimiet, eventuele foto’s
- Chatberichten binnen de groepschats van sidequests waar je lid van bent (tekst en eventuele foto-bijlagen)
- Notificatie-instellingen en lees-status van meldingen
- QR-scans binnen de app (alleen lokaal verwerkt, niet opgeslagen)
3.4 Inlog- en authenticatiegegevens
Wanneer je inlogt via Google Sign In, Apple Sign In of (later) Meta, ontvangen we van die provider beperkte gegevens:
- Een unieke gebruikers-ID
- Je e-mailadres
- (Indien je dit deelt) je naam en profielfoto
Wij gebruiken deze gegevens alleen om je account aan te maken en in te loggen.
3.5 Technische gegevens
- Sessie-tokens (om je ingelogd te houden)
- Taalvoorkeur (NL/EN)
- IP-adres (tijdelijk verwerkt door onze hostingpartij voor beveiliging en spambestrijding, niet langdurig opgeslagen)
3.6 Wat we niet verzamelen
- Geen tracking voor advertentiedoeleinden
- Geen analytics-cookies (in een latere versie eventueel Plausible voor geanonimiseerde paginastatistieken, alleen na expliciete vermelding hier)
- Geen toegang tot je contactenlijst
- Geen exacte GPS-locatie (we werken met festival-selectie, niet met live-locatie)
- Geen microfoon-toegang
- Geen toegang tot je foto’s tenzij je er actief een uploadt
4. Waarom verwerken we je gegevens en op welke grondslag
Onder de AVG hebben we altijd een wettelijke grondslag nodig om gegevens te verwerken. Voor FestiQuest gebruiken we:
| Doel | Welke gegevens | Grondslag |
|---|---|---|
| Account aanmaken en inloggen | Naam, e-mail, geboortedatum, OAuth-ID | Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG) |
| Leeftijdsverificatie 18+ | Geboortedatum | Gerechtvaardigd belang + wettelijke plicht (geen minderjarigen) |
| Tonen van je profiel aan andere gebruikers | Naam, leeftijd, woonplaats, optionele profielgegevens | Uitvoering overeenkomst + toestemming voor optionele velden |
| Sidequests aanmaken, joinen, beheren | Sidequest-data, lidmaatschap | Uitvoering van de overeenkomst |
| Groepschat | Chatberichten, foto-bijlagen | Uitvoering van de overeenkomst |
| Notificaties versturen | E-mail, push-token, lees-status | Uitvoering overeenkomst + toestemming (push-notificaties) |
| App beveiligen tegen misbruik | IP, sessie-info, abuse-rapportages | Gerechtvaardigd belang (veiligheid platform en gebruikers) |
| Voldoen aan wettelijke verplichtingen | Alle relevante | Wettelijke plicht (art. 6 lid 1 sub c AVG) |
| Verbeteren van de app (foutmeldingen) | Geanonimiseerde foutlogs | Gerechtvaardigd belang |
5. Hoe lang bewaren we je gegevens
We bewaren gegevens niet langer dan nodig:
| Categorie | Bewaartermijn |
|---|---|
| Accountgegevens (profiel, e-mail, geboortedatum) | Zolang je een actief account hebt |
| Sidequests (titel, omschrijving, members) | Zolang de sidequest actief is of in de geschiedenis van een gebruiker staat. Bij accountverwijdering: max. 30 dagen |
| Chatberichten | Auto-archief 7 dagen na einde van het festival, hard-delete na 30 dagen |
| Foto’s (profiel + chat-bijlagen) | Idem als bijbehorende data (profielfoto tot accountverwijdering, chatfoto’s volgens chat-retentie) |
| Reports en moderatie-logs | Maximaal 6 maanden voor abuse-onderzoek en herhaling-patronen |
| Foutlogs en technische logs | Maximaal 90 dagen |
| Verwijderde accounts | Maximaal 30 dagen na verzoek volledig verwijderd uit alle systemen (zie sectie 9) |
Na verwijdering houden we eventueel geanonimiseerde, niet-herleidbare data om de app te verbeteren.
6. Met wie delen we je gegevens
We verkopen je gegevens nooit door. We delen alleen met partijen die nodig zijn om de app te laten werken (sub-verwerkers). Met elke sub-verwerker hebben we een verwerkersovereenkomst (DPA) of staan zij onder een gelijkwaardige rechtsregeling.
6.1 Sub-verwerkers
| Partij | Doel | Locatie data |
|---|---|---|
| Supabase | Database, authenticatie, opslag (profielfoto’s, chatfoto’s), realtime chat, server-functies | EU (Frankfurt, Duitsland) |
| Vercel | Hosting van de webversie en API-routes | Wereldwijd edge-netwerk, primaire opslag in EU/US |
| Resend | Versturen van transactionele e-mails (verificatie, notificaties) | US en EU |
| Google (Sign In) | OAuth-inloggen | Wereldwijd |
| Apple (Sign In with Apple) | OAuth-inloggen | Wereldwijd |
| Meta (Sign In) — toekomstige uitbreiding | OAuth-inloggen | Wereldwijd |
6.2 Festival-data
Festival-informatie (namen, datums, afbeeldingen) wordt opgehaald via een geautomatiseerd proces van publieke bronnen, waaronder Festivalfans.nl. Dit betreft geen persoonsgegevens van jou.
6.3 Wettelijke verzoeken
Wij delen gegevens alleen met justitie of toezichthouders als wij daartoe wettelijk verplicht zijn (bijvoorbeeld een geldig bevel van een Nederlandse autoriteit).
7. Internationale doorgifte van gegevens
Onze primaire database (Supabase) staat in Frankfurt, Duitsland (EU). Daarmee blijft je data standaard binnen de Europese Economische Ruimte (EER).
Sommige sub-verwerkers (Vercel, Resend, Google, Apple, Meta) hebben servers in de Verenigde Staten. Doorgifte naar de VS gebeurt op basis van:
- EU-US Data Privacy Framework (adequaatheidsbesluit) voor partijen die zijn gecertificeerd, of
- Standaardcontractbepalingen (SCC’s) van de Europese Commissie, of
- Een andere geldige overdrachtsgrond uit hoofdstuk V van de AVG
We doen ons best het aantal trans-Atlantische overdrachten zo klein mogelijk te houden.
8. Cookies en vergelijkbare technologieën
We gebruiken een minimaal aantal cookies en lokale opslag, alleen voor de werking van de app:
| Type | Doel | Bewaartermijn |
|---|---|---|
| Authenticatie-cookies / session storage | Je ingelogd houden | Tot uitloggen of expiratie |
Taalvoorkeur (sq:lang) | Onthouden of je NL of EN wilt zien | Tot je het wist of opnieuw kiest |
| Lokale cache | Snel laden van profiel en festivals | Tot uitloggen of accountverwijdering |
Wij plaatsen geen tracking-cookies, advertentie-cookies of analytics-cookies. Als wij in de toekomst geanonimiseerde, privacy-vriendelijke statistieken willen verzamelen (bijvoorbeeld via Plausible Analytics), updaten we eerst dit beleid en informeren we je actief.
Voor functionele cookies is geen cookie-banner verplicht, maar door dit beleid weet je waar we ze voor gebruiken.
9. Jouw rechten
Onder de AVG heb je een aantal rechten. Je kunt deze altijd uitoefenen door een e-mail te sturen naar ons contactformulier. Wij reageren binnen 30 dagen.
| Recht | Wat het inhoudt |
|---|---|
| Inzage | Je mag opvragen welke gegevens we van je hebben |
| Rectificatie | Je mag onjuiste gegevens laten corrigeren (de meeste velden kun je zelf in de app aanpassen) |
| Verwijdering (“recht om vergeten te worden”) | Je kunt je hele account verwijderen via de instellingen in de app. Wij verwijderen al je data binnen 30 dagen. |
| Beperking van verwerking | In bepaalde gevallen kun je vragen om de verwerking te beperken |
| Dataportabiliteit | Je kunt een kopie van je gegevens opvragen in een gangbaar formaat (JSON) |
| Bezwaar | Je kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang |
| Toestemming intrekken | Als verwerking op basis van toestemming gebeurt (zoals push-notificaties), kun je die altijd intrekken |
| Geen geautomatiseerde besluitvorming | Wij nemen geen geautomatiseerde beslissingen met juridische gevolgen voor jou |
Account verwijderen
Je kunt je account zelf verwijderen via Profiel → Instellingen → Account verwijderen. Dit verwijdert:
- Je profiel, foto, e-mail en alle persoonlijke velden
- Alle door jou aangemaakte sidequests (of we anonimiseren ze als andere members nog actief zijn)
- Alle chatberichten worden anoniem gemaakt (
Verwijderde gebruiker) of verwijderd - Je uploads in Supabase Storage
Binnen 30 dagen is alles weg. Backup-systemen kunnen tijdelijk nog een kopie hebben, die wordt automatisch overschreven volgens een rolling schema.
10. Beveiliging
We nemen beveiliging serieus. Concrete maatregelen:
- TLS-versleuteling voor alle verbindingen (HTTPS)
- Encryption at rest voor de Supabase-database en opslag
- Row-Level Security (RLS) op database-niveau: gebruikers kunnen alleen data zien waar ze recht op hebben (eigen profiel, eigen sidequests, chats waar ze lid van zijn)
- OAuth-authenticatie via gevestigde providers (Google, Apple, Meta) — wij slaan geen wachtwoorden op
- Sessie-tokens met korte TTL en automatische refresh
- Toegangscontrole op infrastructuur (alleen beheerders, multi-factor authenticatie)
- Logging en monitoring voor verdachte activiteit
- Sub-verwerker DPA’s met alle partijen
Geen enkel systeem is 100% veilig. Mocht er onverhoopt een datalek plaatsvinden dat een hoog risico vormt voor jou, dan informeren we je binnen 72 uur conform de AVG-meldplicht, en melden we dit aan de Autoriteit Persoonsgegevens.
11. Geen kinderen
FestiQuest is een 18+ app. Wij staan geen accounts toe van personen onder de 18 jaar.
Bij accountaanmelding controleren we je geboortedatum op database-niveau (age >= 18-constraint). Als wij ontdekken dat een minderjarige toch een account heeft aangemaakt, verwijderen we dat account direct.
Ben je ouder of voogd en denk je dat een minderjarige onder jouw verantwoordelijkheid een account heeft aangemaakt? Stuur dan een e-mail naar ons contactformulier en we handelen het binnen 7 dagen af.
12. Klachten
Niet tevreden over hoe wij met je gegevens omgaan? Laat het ons eerst weten via ons contactformulier. Wij vinden het belangrijk om dit samen op te lossen.
Komen we er niet uit, dan heb je altijd het recht om een klacht in te dienen bij de Nederlandse toezichthouder:
Autoriteit Persoonsgegevens (AP) Postbus 93374 2509 AJ Den Haag https://autoriteitpersoonsgegevens.nl
Of bij de toezichthouder in je eigen EU-lidstaat.
13. Wijzigingen in dit privacybeleid
Wij kunnen dit privacybeleid van tijd tot tijd aanpassen, bijvoorbeeld omdat we nieuwe functies toevoegen of omdat de wet verandert. Materiële wijzigingen melden we via:
- Een melding in de app
- Een e-mail naar je geregistreerde adres (alleen bij significante wijzigingen)
- Een update van de “Laatst bijgewerkt”-datum bovenaan dit document
We adviseren om dit document af en toe terug te lezen.
14. Contact
Vragen over dit privacybeleid of over je gegevens? Mail ons:
Wij reageren binnen 30 dagen.