Privacybeleid — WK 2026 Pronostiek

1. Wie is verantwoordelijk?

Dit privacybeleid is van toepassing op de website wk2026pronostiek.com, een privé pronostiekspel georganiseerd in het kader van het FIFA WK Voetbal 2026. De website is enkel toegankelijk voor uitgenodigde vrienden en collega's en is niet publiek beschikbaar.

Verwerkingsverantwoordelijke: Kim Vanhaesbrouck
E-mail: admin@wk2026pronostiek.com

Heb je vragen over dit privacybeleid of over hoe we jouw gegevens verwerken? Neem dan contact op via bovenstaand e-mailadres. We reageren binnen 30 dagen.

Functionaris voor gegevensbescherming (DPO)

Gezien de schaal en aard van dit pronostiekspel — een gesloten vriendenkring zonder commerciële activiteit — is er geen DPO aangesteld. Dit is wettelijk niet vereist (artikel 37 AVG). Voor alle vragen rond privacy kan je rechtstreeks de verantwoordelijke contacteren.

2. Welke gegevens verzamelen we?

Gegevens die je zelf invult

Naam — voor weergave in het klassement en in groepschats
E-mailadres — voor inloggen, bevestigingsmails en wachtwoordherstel
Wachtwoord — versleuteld opgeslagen via bcrypt, nooit leesbaar voor ons of derden
Avatar (optioneel) — een profielfoto die je zelf uploadt
Pronostieken — jouw 1/X/2-voorspellingen en doorstoot-keuzes per wedstrijd
Schiftingsantwoord — jouw inschatting van het totaal aantal doelpunten
Groepslidmaatschappen — privé-groepen die je aanmaakt of waaraan je deelneemt
Chatberichten in de groepschat (zichtbaar voor de andere groepsleden)
Aanvragen tot toetreding van een groep, met een optioneel motivatiebericht

Gegevens die automatisch verzameld worden

IP-adres — uitsluitend bij mislukte inlogpogingen, om brute-force aanvallen te blokkeren. Wordt na 1 uur automatisch verwijderd.
Tijdstip van invoer van pronostieken en schifting — gebruikt als tiebreaker bij gelijke punten.
Wachtwoord-resettoken — een tijdelijke, willekeurige code wanneer je je wachtwoord vergeten bent (1 uur geldig, eenmalig bruikbaar).

We verzamelen geen demografische gegevens, geen browse-geschiedenis, geen locatiegegevens en geen gevoelige gegevens (gezondheid, religie, politieke voorkeur enz.).

3. Hoe verzamelen we deze gegevens?

Via formulieren die je zelf invult: registratie, inloggen, accountwijziging, pronostieken, schifting, groep aanmaken/aanvragen, chat.
Via cookies en lokale opslag in je browser (zie sectie 7).
Via je avatar-upload (alleen als je er één kiest).
Via onze webserver, die je IP-adres logt bij een mislukte inlogpoging om misbruik te voorkomen.

4. Waarvoor gebruiken we jouw gegevens en op welke rechtsgrond?

Elke verwerking van persoonsgegevens vereist onder de AVG (GDPR) een rechtsgrond. We gebruiken er drie:

Uitvoering van de overeenkomst (art. 6.1.b AVG) — voor alles wat nodig is om jou te laten deelnemen aan het pronostiekspel: account aanmaken en beheren, pronostieken en schifting opslaan, klassement berekenen, bevestigingsmail bij wijziging, herinneringsmails over openstaande wedstrijden, deelname aan groepen en groepschats.
Gerechtvaardigd belang (art. 6.1.f AVG) — voor de beveiliging van het platform, in het bijzonder het tijdelijk loggen van IP-adressen na mislukte inlogpogingen om brute-force aanvallen te blokkeren. Ons belang (het platform veilig houden) weegt hier zwaarder dan de minimale impact op jou (kortstondige opslag van een IP-adres).
Wettelijke verplichting (art. 6.1.c AVG) — als we bijvoorbeeld door een rechterlijke uitspraak gegevens moeten bewaren of verstrekken. Dit komt in de praktijk niet voor op dit platform.

Jouw gegevens worden niet gebruikt voor commerciële doeleinden, niet doorverkocht, en niet gebruikt voor advertenties of profiling.

5. Hoe lang bewaren we jouw gegevens?

We bewaren persoonsgegevens niet langer dan nodig. Concreet:

Soort gegeven	Bewaartermijn
Account (naam, e-mail, wachtwoord-hash, avatar)	Tot 30 dagen na het einde van het toernooi (19 juli 2026), of eerder als je je account laat verwijderen.
Pronostieken & schifting	Idem — gewist samen met je account.
Groepslidmaatschappen, groepschats, aanvragen	Idem.
IP-adressen van mislukte inlogpogingen	1 uur. Daarna automatisch verwijderd.
Wachtwoord-resettokens	Maximaal 1 uur en éénmalig bruikbaar.
Sessiecookie	Tot je uitlogt of de sessie verloopt (typisch 24 u inactiviteit).

6. Beveiliging van jouw gegevens

We nemen passende technische en organisatorische maatregelen:

Alle communicatie verloopt via HTTPS (versleutelde verbinding via TLS).
Wachtwoorden worden opgeslagen als bcrypt-hash (cost 12) — nooit als platte tekst.
Sessiecookies zijn HttpOnly, Secure en SameSite=Strict, wat XSS-diefstal en CSRF beperkt.
Alle formulieren zijn beveiligd met een CSRF-token.
Mislukte inlogpogingen worden tijdelijk geblokkeerd op IP-niveau.
Wachtwoord-resettokens zijn willekeurig (256-bit), maar 1 uur geldig en éénmalig bruikbaar.
De database is enkel toegankelijk via de webserver, niet rechtstreeks vanaf het internet.
Gevoelige bestanden (zoals config.php) zijn afgeschermd via .htaccess.

Geen enkel systeem is 100% veilig. Vermoed je een datalek of zwakte? Meld het via admin@wk2026pronostiek.com.

7. Cookies en lokale opslag

Deze website gebruikt geen advertentie- of trackingcookies en geen analytics-tools (geen Google Analytics, geen Facebook Pixel, geen Hotjar enz.). De volgende kleine stukjes informatie worden lokaal in jouw browser bewaard:

Functionele cookie

wk2026_sessie — een sessie-cookie die je ingelogd houdt. Strikt noodzakelijk voor de werking van de website. Vereist geen toestemming onder de cookiewet.

Lokale opslag (localStorage)

Naast cookies bewaart de website twee voorkeuren in localStorage (lokaal in je browser, nooit naar onze server gestuurd):

wk_thema — onthoudt of je de lichte of donkere modus verkiest.
pronostiek_view — onthoudt of je wedstrijden per groep of chronologisch wil zien.

Je kan deze waarden op elk moment wissen via de instellingen van je browser ("Site-gegevens wissen" of vergelijkbaar).

8. Met wie delen we jouw gegevens?

We verkopen en delen jouw persoonsgegevens niet met derden voor marketingdoeleinden. Voor de werking van het platform doen we wel een beroep op de volgende verwerkers:

Hostinger International Ltd. — onze hostingprovider, gevestigd in de Europese Unie (Litouwen). Hostinger host de website, de database en verstuurt onze e-mails. Zij verwerken gegevens uitsluitend volgens onze instructies en hebben hun eigen privacybeleid.

Doorgifte buiten de EER

Jouw gegevens worden uitsluitend binnen de Europese Economische Ruimte verwerkt. We maken bewust geen gebruik van externe CDN's, analytics- diensten of fontproviders die jouw IP-adres naar derde landen zouden kunnen doorsturen. Lettertypen, stijlbestanden en scripts worden volledig op onze eigen server gehost.

9. Jouw rechten

Onder de AVG (GDPR) heb je de volgende rechten:

Recht op inzage — je kan opvragen welke gegevens we van jou bewaren.
Recht op rectificatie — je kan onjuiste of onvolledige gegevens laten aanpassen (je kan naam, e-mail en wachtwoord ook zelf aanpassen via "Mijn account").
Recht op gegevenswissing ("vergetelheid") — je kan vragen om je account en alle bijhorende gegevens definitief te verwijderen.
Recht op beperking van de verwerking — je kan vragen om je gegevens tijdelijk niet te gebruiken, bv. terwijl een geschil loopt.
Recht op overdraagbaarheid — je kan een export van je gegevens opvragen in een gestructureerd, machineleesbaar formaat (JSON of CSV).
Recht van bezwaar — je kan bezwaar maken tegen verwerking op basis van gerechtvaardigd belang (bv. tegen het loggen van je IP).
Recht om toestemming in te trekken — voor zover een verwerking op toestemming berust, kan je die op elk moment intrekken.
Recht om niet onderworpen te worden aan geautomatiseerde besluitvorming — wij nemen zulke besluiten niet over jou.

Voor al deze verzoeken kan je contact opnemen via admin@wk2026pronostiek.com. We behandelen elk verzoek binnen 30 dagen. Bij twijfel over jouw identiteit kunnen we eerst om bevestiging vragen (bv. via een mail naar het geregistreerde e-mailadres).

10. Klachten

Ben je het niet eens met de manier waarop we jouw persoonsgegevens verwerken? We horen het graag eerst rechtstreeks, zodat we het kunnen oplossen. Komen we er samen niet uit, dan heb je het recht om een klacht in te dienen bij de Belgische Gegevensbeschermingsautoriteit (GBA):

Website: gegevensbeschermingsautoriteit.be
E-mail: contact@apd-gba.be
Telefoon: +32 (0)2 274 48 00
Adres: Drukpersstraat 35, 1000 Brussel

11. Wijzigingen aan dit privacybeleid

We kunnen dit privacybeleid van tijd tot tijd aanpassen, bijvoorbeeld bij wetswijzigingen of nieuwe functies op de website. Bij belangrijke wijzigingen brengen we je op de hoogte via e-mail. De datum bovenaan deze pagina geeft aan wanneer het beleid voor het laatst werd bijgewerkt.

🔒 Privacybeleid