1. Inleiding

Lucyd B.V. (handelend onder de naam Treffix) ("Treffix", "wij", "ons" of "onze") exploiteert het Treffix-platform, een prestatiegerichte marktplaats voor Creator-marketing. Dit Privacybeleid is van toepassing op alle gegevens die worden verzameld via de Treffix-website, webapplicatie, API's en alle gerelateerde diensten (gezamenlijk het "Platform").

Door een Account aan te maken of het Platform te gebruiken, stemt u in met de gegevenspraktijken zoals beschreven in dit beleid. Dit beleid maakt integraal onderdeel uit van onze Algemene Voorwaarden.

Wij verkopen, verhuren of verhandelen uw persoonsgegevens niet aan derden voor reclame- of marketingdoeleinden.

2. Gegevens die wij verzamelen

2.1 Accountgegevens

Wanneer u een Treffix-Account aanmaakt, verzamelen wij:

• Voornaam en achternaam
• E-mailadres
• Wachtwoord (opgeslagen in gehashte, versleutelde vorm via Supabase Auth — wij hebben nooit toegang tot uw wachtwoord in leesbare tekst)
• Accounttype (Creator of Brand)
• Bedrijfsnaam (alleen Brand-accounts)

2.2 TikTok-integratiegegevens

Wanneer u uw TikTok-account koppelt aan Treffix (alleen Creators), verzamelen en bewaren wij:

• TikTok open_id (een unieke identificatiecode die TikTok aan uw account toewijst binnen onze applicatie)
• TikTok-weergavenaam en gebruikersnaam
• TikTok OAuth access token en refresh token
• Weergaveaantallen voor specifieke TikTok-video's die u indient als onderdeel van campagnedeelname

Belangrijk: Wij slaan uw TikTok OAuth access token en refresh token op in onze database. Deze tokens zijn noodzakelijk om geautomatiseerde, doorlopende synchronisatie van weergaveaantallen mogelijk te maken gedurende het verdienvenster van campagnes. Wij gebruiken deze tokens uitsluitend voor het ophalen van weergaveaantallen van ingediende campagnevideo's. Wij hebben geen toegang tot uw TikTok-berichten, volgerslijst, contactenlijst of enige inhoud buiten hetgeen noodzakelijk is voor weergaveverificatie.

2.3 Instagram-integratiegegevens

Wanneer u uw Instagram-account koppelt aan Treffix (alleen Creators), verzamelen en bewaren wij:

• Instagram-gebruikers-ID (een unieke identificatiecode voor uw Instagram Professional-account)
• Instagram-gebruikersnaam
• Instagram langlevend OAuth access token (geldig voor circa 60 dagen, automatisch vernieuwd)
• Instagram media-ID's en permalinks voor Reels die u indient als onderdeel van campagnedeelname
• Weergaveaantallen en betrokkenheidsstatistieken (weergaven, likes, reacties, shares) voor ingediende Reels, opgehaald via de Instagram API

Belangrijk: Wij vragen slechts twee Instagram-machtigingen aan: instagram_business_basic (om uw account te identificeren) en instagram_business_manage_insights (om weergaveaantallen van uw ingediende Reels te lezen). Wij hebben geen toegang tot uw Instagram-berichten, volgerslijst, verhalen (tenzij ingediend voor een campagne) of enige inhoud buiten hetgeen noodzakelijk is voor verificatie van campagneprestaties.

Uw Instagram-account moet een Professional-account zijn (Business- of Creator-type) om te koppelen aan Treffix. Persoonlijke Instagram-accounts kunnen niet worden gekoppeld vanwege beperkingen van de Instagram API.

2.4 Campagne- & activiteitsgegevens

Via normaal gebruik van het Platform verzamelen wij:

• Brands: Campagnebriefings, budgetten, uitbetalingsstructuren, vereisten, toonrichtlijnen, hashtagspecificaties en campagnestatusgeschiedenis
• Creators: Video-inzendings-URL's, TikTok-video-ID's, Instagram Reel-permalinks en media-ID's, indieningstijdstippen, prestatiegegevens (weergaveaantallen in de tijd), verdiende uitbetalingsbedragen
• Alle gebruikers: Transactiegeschiedenis, geschil- en beroepsregistraties, accountactiviteitenlogboeken

2.5 Betalingsgegevens

Betalingsverwerking wordt verzorgd door Stripe, Inc. Treffix slaat geen creditcardnummers, bankrekeningnummers of volledige betalingsgegevens op, verwerkt deze niet en heeft hier geen toegang toe. Stripe verzamelt en verwerkt betalingsgegevens rechtstreeks, onderworpen aan het eigen Privacybeleid van Stripe. Wij slaan wel op: transactiebedragen, transactiestatus, uitbetalingsregistraties en verwijzingen naar Stripe-transactie-ID's voor boekhoudkundige en wettelijke nalevingsdoeleinden.

2.6 Technische gegevens

Via uw gebruik van het Platform kunnen onze infrastructuurproviders standaard technische gegevens verzamelen, waaronder:

• IP-adres en geschatte geografische locatie
• Browsertype, versie en apparaatinformatie
• Bezochte pagina's en uitgevoerde acties binnen het Platform
• Sessietijdstippen en -duur

Deze gegevens worden verzameld door Supabase (onze infrastructuurprovider) als onderdeel van de normale database- en authenticatiebewerkingen. Ze worden gebruikt voor beveiliging, fraudepreventie en platformstabiliteit.

3. Hoe wij uw gegevens gebruiken

Wij gebruiken de verzamelde gegevens voor de volgende doeleinden:

• Platformwerking: Om uw Account te authenticeren, platformfuncties te bieden en campagnes en uitbetalingen te faciliteren
• TikTok-weergaveverificatie: Om uw opgeslagen TikTok OAuth-tokens te gebruiken voor het ophalen van weergavegegevens via de TikTok API voor ingediende campagnevideo's
• Instagram-weergaveverificatie: Om uw opgeslagen Instagram OAuth-token te gebruiken voor het ophalen van weergave- en betrokkenheidsgegevens via de Instagram API voor ingediende campagne-Reels
• Fraudedetectie: Om patronen in weergaveaantallen te analyseren en mogelijk frauduleuze activiteit te identificeren met behulp van onze eigen detectiesystemen
• Betalingsverwerking: Om campagnelanceringskosten en Creator-uitbetalingen te verwerken via Stripe
• Geschillenbeslechting: Om geschillen en beroepen te onderzoeken en op te lossen aan de hand van inzendingen en activiteitsgegevens
• Transactionele communicatie: Om accountgerelateerde e-mails te verzenden, zoals uitbetalingsbevestigingen, campagne-updates en beveiligingsmeldingen
• Wettelijke naleving: Om te voldoen aan belastingrapportageverplichtingen, te reageren op rechtmatige verzoeken van autoriteiten en onze Algemene Voorwaarden te handhaven
• Platformverbetering: Om te begrijpen hoe het Platform wordt gebruikt en de functies en prestaties ervan te verbeteren

Op grond van de GDPR zijn onze rechtsgronden voor verwerking:

• Uitvoering van een overeenkomst: Verwerking die noodzakelijk is om de Platformdiensten te leveren waarvoor u zich heeft aangemeld (accountgegevens, campagnegegevens, TikTok- en Instagram-tokens, uitbetalingen)
• Gerechtvaardigde belangen: Fraudedetectie, platformbeveiliging, misbruikpreventie
• Wettelijke verplichting: Belastingregistraties, naleving van regelgeving, reageren op rechtmatige verzoeken
• Toestemming: Wanneer wij uitdrukkelijk om toestemming vragen (bijv. marketingcommunicatie, indien in de toekomst geïntroduceerd)

4. Diensten van derden & gegevensdeling

4.1 TikTok / ByteDance Ltd.

Wij gebruiken de TikTok Open API om Creator-accounts te authenticeren en videoprestatie gegevens op te halen. Wanneer u uw TikTok-account koppelt, vindt de OAuth-tokenuitwisseling rechtstreeks plaats met de servers van TikTok. De verzameling en verwerking van uw gegevens door TikTok tijdens dit proces valt onder het Privacybeleid van TikTok. Wij verkopen of delen uw TikTok-gegevens niet met enige partij anders dan TikTok, voor zover vereist voor API-functionaliteit.

4.2 Meta Platforms / Instagram

Wij gebruiken de Instagram API (via Instagram Login) om Creator-accounts te authenticeren en Reel-prestatiegegevens op te halen. Wanneer u uw Instagram-account koppelt, vindt de OAuth-tokenuitwisseling rechtstreeks plaats met de servers van Meta. De verzameling en verwerking van uw gegevens door Meta tijdens dit proces valt onder het Privacybeleid van Meta en de gebruiksvoorwaarden van Instagram. Wij verkopen of delen uw Instagram-gegevens niet met enige partij anders dan Meta, voor zover vereist voor API-functionaliteit.

Wanneer u uw Instagram-account loskoppelt van Treffix, verwijderen wij onmiddellijk uw Instagram access token, gebruikers-ID en gebruikersnaam uit onze database. U kunt ook de toegang intrekken via Instagram's Instellingen → Websitemachtigingen.

4.3 Stripe, Inc.

Alle betalingsverwerking wordt verzorgd door Stripe. Bij het verwerken van betalingen delen wij met Stripe: uw naam, e-mailadres, transactiebedragen en uitbetalingsbestemmingsinformatie. De gegevenspraktijken van Stripe vallen onder het Privacybeleid van Stripe. Als u een Creator bent die uitbetalingen ontvangt, moet u mogelijk een Stripe Connected Account aanmaken, onderworpen aan de Connected Account Agreement van Stripe.

4.4 Supabase, Inc.

Treffix maakt gebruik van Supabase voor databaseopslag, authenticatie en bestandsopslaginfrastructuur. Alle Platformgegevens (accountgegevens, campagnegegevens, transactieregistraties) worden opgeslagen op door Supabase beheerde servers. De gegevenspraktijken van Supabase vallen onder het Privacybeleid van Supabase.

4.5 Wettelijke openbaarmaking

Wij kunnen uw persoonsgegevens openbaar maken indien dit wettelijk verplicht is, op last van een rechterlijk bevel of overheidsinstantie, of indien wij redelijkerwijs van mening zijn dat openbaarmaking noodzakelijk is om: (a) te voldoen aan toepasselijke wetgeving; (b) de rechten, eigendommen of veiligheid van Treffix, onze gebruikers of het publiek te beschermen; of (c) onze Algemene Voorwaarden te handhaven.

4.6 Bedrijfsoverdrachten

In het geval van een fusie, overname, verkoop van activa of reorganisatie van Treffix, kunnen uw persoonsgegevens worden overgedragen aan de verkrijgende entiteit. Wij zullen geregistreerde gebruikers per e-mail op de hoogte stellen voordat een dergelijke overdracht van kracht wordt en de mogelijkheid bieden om uw Account te verwijderen.

4.7 Geen verkoop van gegevens

Treffix verkoopt, verhuurt, least of verhandelt uw persoonsgegevens op geen enkele wijze aan derden voor marketing-, reclame- of commerciële doeleinden.

5. Bewaartermijnen

Wij bewaren uw gegevens gedurende de volgende perioden:

• Accountgegevens (naam, e-mailadres, accounttype): Bewaard gedurende de looptijd van uw Account, plus 2 jaar na accountverwijdering (voor wettelijke auditdoeleinden)
• TikTok OAuth-tokens (access & refresh tokens): Onmiddellijk verwijderd wanneer u de TikTok-toegang intrekt of uw Treffix-Account verwijdert
• Instagram OAuth-tokens (langlevend access token): Onmiddellijk verwijderd wanneer u Instagram loskoppelt of uw Treffix-Account verwijdert
• Transactie- en uitbetalingsregistraties: Bewaard gedurende 7 jaar vanaf de datum van de transactie (fiscale en financiële nalevingsvereisten)
• Video-inzendingsgegevens: Bewaard gedurende 2 jaar na het einde van de betreffende campagne
• Campagnebriefings en -gegevens: Bewaard gedurende 2 jaar na het einde van de campagne
• Geschil- en beroepsregistraties: Bewaard gedurende 3 jaar vanaf de datum van afhandeling

Na afloop van de toepasselijke bewaartermijn worden gegevens verwijderd of geanonimiseerd in overeenstemming met onze interne beleidsregels voor de gegevenslevenscyclus.

6. Uw privacyrechten

6.1 GDPR-rechten (inwoners van de EER / VK)

Indien u zich in de Europese Economische Ruimte of het Verenigd Koninkrijk bevindt, heeft u de volgende rechten:

• Recht van inzage: Een kopie opvragen van alle persoonsgegevens die wij over u bewaren
• Recht op rectificatie: Correctie verzoeken van onjuiste of onvolledige persoonsgegevens
• Recht op gegevenswissing ("recht om vergeten te worden"): Verwijdering verzoeken van uw persoonsgegevens, met inachtneming van onze wettelijke bewaarverplichtingen
• Recht op gegevensoverdraagbaarheid: Uw persoonsgegevens opvragen in een gestructureerd, machineleesbaar formaat
• Recht op beperking van verwerking: Verzoeken dat wij het gebruik van uw gegevens in bepaalde omstandigheden beperken
• Recht van bezwaar: Bezwaar maken tegen de verwerking van uw persoonsgegevens wanneer wij ons beroepen op gerechtvaardigde belangen als rechtsgrond
• Recht om toestemming in te trekken: Wanneer verwerking gebaseerd is op toestemming, deze toestemming te allen tijde intrekken

U heeft ook het recht om een klacht in te dienen bij uw nationale gegevensbeschermingsautoriteit (bijv. de Nederlandse Autoriteit Persoonsgegevens, of de ICO in het VK).

6.2 CCPA-rechten (inwoners van Californië)

Indien u inwoner bent van Californië, heeft u het recht om:

• Inzage: Openbaarmaking te verzoeken van de categorieën en specifieke persoonsgegevens die wij hebben verzameld, de bronnen, de doeleinden van verzameling en de categorieën van derden met wie wij deze delen
• Verwijdering: Verwijdering te verzoeken van uw persoonsgegevens, met inachtneming van wettelijke uitzonderingen
• Afmelding voor verkoop: Treffix verkoopt geen persoonsgegevens. Wij zullen niet beginnen met het verkopen van uw gegevens zonder een duidelijk afmeldmechanisme te bieden
• Non-discriminatie: Wij zullen u niet discrimineren vanwege het uitoefenen van uw CCPA-rechten

6.3 Hoe u uw rechten kunt uitoefenen

Om een van de bovenstaande rechten uit te oefenen, kunt u ons e-mailen op privacy@treffix.nl met als onderwerp "Privacy Rights Request". Wij reageren binnen 30 dagen (GDPR) of 45 dagen (CCPA) na ontvangst van uw verzoek. Wij kunnen u vragen uw identiteit te verifiëren alvorens het verzoek uit te voeren.

7. Cookies & tracking

7.1 Sessiecookies

Wij gebruiken sessiecookies die strikt noodzakelijk zijn voor authenticatie en het behouden van uw ingelogde status. Deze cookies zijn vereist voor het functioneren van het Platform en kunnen niet worden uitgeschakeld.

7.2 Wat wij niet gebruiken

Treffix maakt momenteel geen gebruik van:

• Advertentie- of trackingcookies van derden
• Analyseplatformen (Google Analytics, Mixpanel, Segment, etc.)
• Trackingpixels van sociale media
• Fingerprinting of cross-site trackingtechnologieën

Indien wij in de toekomst niet-essentiële cookies introduceren, zullen wij dit beleid bijwerken en een cookietoestemmingsmechanisme implementeren.

8. Gegevensbeveiliging

Wij treffen passende technische en organisatorische beveiligingsmaatregelen om uw persoonsgegevens te beschermen:

• Versleuteling tijdens verzending: Alle gegevens die worden verzonden tussen uw browser en de servers van Treffix worden versleuteld met HTTPS/TLS
• Toegangscontroles: Supabase Row Level Security (RLS)-beleid zorgt ervoor dat gebruikers alleen toegang hebben tot hun eigen gegevens. Beheerderstoegang is beperkt tot geautoriseerd personeel van Treffix
• Wachtwoordbeveiliging: Wachtwoorden worden gehasht met behulp van industriestandaard algoritmen via Supabase Auth. Wachtwoorden in leesbare tekst worden nooit opgeslagen of verzonden
• TikTok-tokenopslag: OAuth-tokens worden opgeslagen in onze database en uitsluitend gebruikt voor weergaveverificatie. Wij raden aan de TikTok-toegang in te trekken via de instellingen van TikTok als u vermoedt dat uw tokens zijn gecompromitteerd
• Instagram-tokenopslag: OAuth-tokens worden opgeslagen in onze database en uitsluitend gebruikt voor Reel-weergaveverificatie. Tokens worden automatisch vernieuwd, ongeveer elke 60 dagen. Koppel Instagram los via uw Treffix-verbindingenpagina als u vermoedt dat uw token is gecompromitteerd

Ondanks deze maatregelen is geen enkele gegevensoverdracht via het internet of elektronische opslag volledig veilig. Wij kunnen de absolute beveiliging van uw gegevens niet garanderen. In het geval van een datalek dat uw rechten en vrijheden aantast, zullen wij getroffen gebruikers en relevante toezichthoudende autoriteiten op de hoogte stellen in overeenstemming met toepasselijke wetgeving.

9. Internationale gegevensoverdrachten

Treffix is gevestigd in Nederland. Uw gegevens kunnen worden verwerkt en opgeslagen in datacenters binnen de Europese Economische Ruimte. Onze infrastructuurproviders (Supabase, Stripe, TikTok, Meta Platforms) kunnen gegevens verwerken op locaties buiten de EER. Wanneer gegevens buiten de EER worden overgedragen, vertrouwen wij op passende waarborgen, waaronder Standaard Contractbepalingen (SCC's) goedgekeurd door de Europese Commissie, of overdrachten naar landen met een adequaatheidsbesluit.

10. Privacy van kinderen

Het Treffix-Platform is uitsluitend bedoeld voor gebruikers van 18 jaar of ouder. Wij verzamelen niet bewust persoonsgegevens van personen jonger dan 18 jaar. Indien wij er kennis van nemen dat wij onbedoeld gegevens van een minderjarige hebben verzameld, zullen wij dat Account en alle bijbehorende gegevens onmiddellijk verwijderen. Indien u meent dat een minderjarige zich op het Platform heeft geregistreerd, neem dan onmiddellijk contact met ons op via privacy@treffix.nl.

11. Links naar derden

Het Platform kan links bevatten naar websites van derden (bijv. TikTok, Instagram, Stripe). Dit Privacybeleid is uitsluitend van toepassing op het Treffix-Platform. Wij zijn niet verantwoordelijk voor de privacypraktijken van websites van derden en moedigen u aan hun privacybeleid te lezen voordat u persoonsgegevens verstrekt.

12. Wijzigingen in dit Privacybeleid

Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken om wijzigingen in onze praktijken, wettelijke vereisten of Platformfuncties weer te geven. Bij wezenlijke wijzigingen zullen wij geregistreerde gebruikers per e-mail ten minste 14 dagen voordat de wijzigingen van kracht worden op de hoogte stellen. De ingangsdatum bovenaan deze pagina geeft altijd de datum van de meest recente update weer.

13. Contact & gegevensverzoeken

Voor vragen over dit Privacybeleid, het uitoefenen van uw gegevensrechten of het melden van een privacykwestie:

• Privacyverzoeken: privacy@treffix.nl (onderwerp: "Privacy Rights Request")
• Juridische vragen: legal@treffix.nl
• GDPR-verzoeken van betrokkenen: reactie binnen 30 dagen

U heeft ook het recht om een klacht in te dienen bij uw nationale toezichthoudende autoriteit. In Nederland is dit de Autoriteit Persoonsgegevens.