Laatst bijgewerkt: juni 2026
Privacybeleid
Dit Privacybeleid legt uit hoe wij persoonsgegevens verzamelen, gebruiken, delen en beschermen wanneer je myperfectstay.com en de MyPerfectStay mobiele apps voor iOS en Android (de "Dienst") gebruikt. Wij verwerken persoonsgegevens overeenkomstig de Algemene Verordening Gegevensbescherming (AVG) van de EU, de Duitse federale wet bescherming persoonsgegevens (BDSG) en de Duitse wet gegevensbescherming voor telecommunicatie en digitale diensten (TDDDG).
Dit beleid wordt voor het gemak in meerdere talen aangeboden. De Engelse versie is juridisch bindend en prevaleert in geval van discrepanties.
1. Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke voor de Dienst in de zin van art. 4 (7) AVG is:
CloudCops GmbH
Amselweg 20
33758 Schloß Holte-Stukenbrock
Duitsland
E-mail: privacy@myperfectstay.com
Zie ons Colofon voor de volledige bedrijfsgegevens, waaronder het handelsregisternummer en het btw-id.
2. Functionaris voor gegevensbescherming
Wij hebben geen functionaris voor gegevensbescherming aangesteld omdat de wettelijke drempels in art. 37 AVG en § 38 BDSG momenteel niet op ons van toepassing zijn. Je kunt elke gegevensbeschermingsvraag richten aan privacy@myperfectstay.com en wij leiden deze door naar de verantwoordelijke persoon binnen CloudCops GmbH.
3. Onze zusterentiteit in de VAE
De commerciële activiteiten en B2B-partneruitbetalingen van MyPerfectStay in de MENA-regio worden verwerkt door Cloud Cops Technology L.L.C in de Verenigde Arabische Emiraten. Cloud Cops Technology L.L.C is geen verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker van persoonsgegevens van MyPerfectStay-gebruikers. Persoonsgegevens die onder dit beleid worden verwerkt, worden uitsluitend verwerkt door CloudCops GmbH in Duitsland op infrastructuur binnen de Europese Unie (zie § 7 hieronder). Commerciële uitbetalingen aan VAE-partners bevatten geen persoonsgegevens van eindgebruikers van MyPerfectStay.
4. Categorieën persoonsgegevens die wij verwerken
Wij verwerken alleen de gegevens die nodig zijn om de Dienst te laten werken. Wij verkopen nooit persoonsgegevens en wij doen niet aan gedragsadvertenties van derden.
- Accountgegevens — naam, e-mailadres, wachtwoordhash, profielfoto (optioneel), taal- en valutavoorkeuren. Aangemaakt wanneer je je registreert.
- Reisplanningsgegevens — bestemmingen, data, groepslidmaatschap, stemmen, reacties, opgeslagen reisschema's.
- Boekingsgegevens — namen van reizigers, contactgegevens, samenstelling van het gezelschap, speciale verzoeken, boekingsdata. Vereist om boekingen bij de betreffende leverancier uit te voeren.
- Betaalgegevens — voor de eigen betaalflows van MyPerfectStay worden je volledige kaartnummer, CVC en vervaldatum getokeniseerd door onze betalingsverwerker en nooit op onze servers opgeslagen. Voor affiliate-boekingen wordt de betaling rechtstreeks door de leverancier afgehandeld (zie § 6) en zien wij kaartgegevens helemaal niet.
- Communicatie — e-mails die je ons stuurt, supportgesprekken en leadformulierinzendingen op /for-hotels en vergelijkbare marketingpagina's.
- Apparaat en diagnostiek — crashrapporten, geanonimiseerde prestatietraces en session-replay-gegevens waarbij tekst en formulierinvoer automatisch worden gemaskeerd (bijv. e-mail- en wachtwoordvelden worden vastgelegd als een zwarte balk, niet als de waarden die je hebt getypt). Gebruikt om bugs te diagnosticeren en de stabiliteit te verbeteren.
- Gebruiksgegevens — geanonimiseerde tellingen van pagina- en functie-interacties; geaggregeerd voor productanalyse.
- Serverlogs — IP-adres, user agent, opgevraagde URL, tijdstempel; kort bewaard voor beveiliging en fraudepreventie.
- Reizigersidentiteits- en reisdocumentgegevens — wanneer een activiteitenleverancier dit vereist om een boeking te bevestigen: voor- en achternaam, geboortedatum, nationaliteit, geslacht, paspoortnummer en vervaldatum van het paspoort van de reiziger. Je verstrekt dit door het in te typen, of door ervoor te kiezen de fotopagina van je paspoort te scannen (wij extraheren de tekst en verwijderen de afbeelding onmiddellijk). Wij verzamelen deze categorie alleen met jouw uitdrukkelijke toestemming en alleen voor activiteiten die dit vereisen. Zie § 16.
5. Doeleinden en rechtsgrondslagen (art. 6 AVG)
Wij verwerken persoonsgegevens op de volgende rechtsgrondslagen:
| Doel | Rechtsgrondslag |
|---|---|
| Aanmaken en exploiteren van je account; groepsreisfuncties | Overeenkomst — art. 6 (1) (b) AVG |
| Verwerken van boekingen en betalingen; verzenden van boekingsbevestigingen | Overeenkomst — art. 6 (1) (b) AVG |
| Belastingadministratie, boekhouding en wettelijke bewaring | Wettelijke verplichting — art. 6 (1) (c) AVG; §§ 147, 257 HGB / § 147 AO |
| Fraudepreventie, beveiliging, misbruikonderzoek | Gerechtvaardigd belang — art. 6 (1) (f) AVG |
| Diagnostiek, crashrapporten, gemaskeerde session replay | Gerechtvaardigd belang — art. 6 (1) (f) AVG |
| Geaggregeerde, geanonimiseerde productanalyse | Gerechtvaardigd belang — art. 6 (1) (f) AVG |
| Marketing-e-mails, nieuwsbrieven, leadformulierreacties | Toestemming — art. 6 (1) (a) AVG; § 7 (2) UWG |
| Verzamelen van paspoort- en identiteitsgegevens van reizigers voor activiteiten die dit vereisen (§ 16) | Toestemming — art. 6 (1) (a) AVG |
| Optische tekenherkenning (OCR) van een paspoortafbeelding die je ervoor kiest te scannen (§ 16) | Toestemming — art. 6 (1) (a) AVG |
6. Ontvangers en verwerkers
Wij delen persoonsgegevens alleen met zorgvuldig geselecteerde verwerkers onder schriftelijke verwerkersovereenkomsten overeenkomstig art. 28 AVG. Wij vertrouwen momenteel op:
| Ontvanger | Doel | Locatie |
|---|---|---|
| Hetzner Online GmbH | Primaire applicatiehosting en database | Duitsland (EU) |
| Microsoft Azure (Microsoft Deutschland GmbH) | Kubernetes-infrastructuur, opslag van geheimen | Duitsland / EU-regio's |
| Cloudflare, Inc. | Levering image-CDN (imagedelivery.net) | VS — SCC + EU-VS DPF |
| Functional Software, Inc. (Sentry) | Crashrapporten en gemaskeerde session replay | VS — SCC + EU-VS DPF |
| Resend, Inc. | Levering van transactionele en leadreactie-e-mail | VS — SCC + EU-VS DPF |
| Stripe Payments Europe Ltd | Betalingsverwerking voor MyPerfectStay-directe flows | Ierland (EU) |
| Tripadvisor LLC (Viator) | Activiteitenleverancier — boeking, betaling en uitvoering voor affiliate-activiteitenverkoop. Wanneer je een Viator-activiteit boekt, geven wij de reizigersgegevens door die nodig zijn om de boeking uit te voeren; de betaling wordt rechtstreeks door Viator afgehandeld. | VS — SCC + EU-VS DPF |
| Google LLC | Google OAuth-aanmelding (alleen als je deze kiest) en Google Maps-tegels | VS — SCC + EU-VS DPF |
| Google Ireland Limited (verwerkingsverantwoordelijke-verwerker, EU) en Google LLC (subverwerker, VS) | Google Analytics 4 — webanalyse voor property G-M0JXP157C3. Alleen geladen met jouw analytics-toestemming. Geconfigureerd met anonymize_ip en ads_data_redaction; advertentiefuncties (Google Signals, remarketing) zijn uitgeschakeld. Zie § 10 voor de volledige gegevensinventaris en je rechten. | VS — SCC + EU-VS DPF |
| Microsoft Azure — Document Intelligence (Microsoft Deutschland GmbH) | Optische tekenherkenning van een paspoortafbeelding, wanneer je ervoor kiest te scannen, om reizigersgegevens te extraheren. Alleen tekst-OCR — geen gezichtsherkenning of biometrische matching. De afbeelding wordt tijdelijk verwerkt en wordt niet door ons bewaard. Zie § 16. | Duitsland West-Centraal (EU) |
| PostHog, Inc. (EU Cloud) | First-party productanalyse (pagina-/scherm- en functie-interactie-events). Op de website alleen geladen met jouw analytics-toestemming en met sessieopname uitgeschakeld; in de mobiele apps productanalyse-events met session replay uitgeschakeld. Pseudoniem; nooit gebruikt voor advertenties. Zie § 10.8. | EU-regio (Frankfurt) |
| Google (Firebase Cloud Messaging — Google Ireland Limited / Google LLC) | Bezorging van pushmeldingen aan de mobiele apps (bijv. boekings- en reisupdates). Verwerkt alleen een push-token van het apparaat. | VS — SCC + EU-VS DPF |
| Slack Technologies, LLC | Interne teammeldingen, uitsluitend voor B2B-leadformulierinzendingen | VS — SCC + EU-VS DPF |
De bovenstaande lijst is een momentopname. Waar vereist zijn verwerkers gebonden aan de EU-modelcontractbepalingen (Uitvoeringsbesluit (EU) 2021/914 van de Commissie) en gecertificeerd onder het EU-VS Data Privacy Framework. Waar aanvullende waarborgen van toepassing zijn (bijv. aanvullende technische maatregelen), passen wij deze per geval toe.
7. Internationale doorgiften
Wij hosten de primaire applicatie en database binnen de Europese Unie. Sommige in § 6 genoemde verwerkers zijn gevestigd in de Verenigde Staten; in die gevallen vertrouwen wij op:
- een adequaatheidsbesluit van de EU op grond van art. 45 AVG (EU-VS Data Privacy Framework) wanneer de ontvanger zelf gecertificeerd is, en
- de EU-modelcontractbepalingen (SCC's) op grond van art. 46 (2) (c) AVG als secundaire waarborg.
Wij geven persoonsgegevens van MyPerfectStay-gebruikers niet door aan onze zusterentiteit in de VAE, Cloud Cops Technology L.L.C, of aan enige andere ontvanger buiten de EU/EER zonder een waarborg op grond van art. 45 of art. 46.
8. Bewaring
| Categorie | Bewaring |
|---|---|
| Account-, profiel- en reisplanningsgegevens | Zolang je account actief is + 90 dagen na verwijdering |
| Boekingsgegevens en facturen | 10 jaar (§ 147 AO, §§ 257, 238 HGB) |
| Betalingsbewijzen en fiscaal relevante betaalmetadata | 10 jaar (§ 147 AO) |
| Crashrapporten en session replay (gemaskeerd) | 90 dagen |
| Servertoegangslogs | 14 dagen |
| Gebruikers-/eventgegevens van Google Analytics 4 (toestemming vereist) | 14 maanden serverzijdig (geconfigureerd in GA4-beheer); cookies verlopen na 24 uur tot 2 jaar op je apparaat. Zie § 10 voor de volledige inventaris. |
| Marketing-e-maillijst | Totdat je je toestemming intrekt of je afmeldt |
| Support-e-mails | 3 jaar na laatste contact |
| Paspoortafbeelding die je scant (voor OCR) | Alleen tijdelijk bewaard om de tekst te extraheren en daarna verwijderd; nooit opgeslagen. Binnen enkele minuten en in alle gevallen binnen 24 uur uit onze systemen verwijderd, en nooit toegevoegd aan back-ups (§ 16). |
| Opgeslagen reizigersprofielen | Automatisch verwijderd 30 dagen nadat het profiel voor het laatst in een boeking is gebruikt; door jou op elk moment te verwijderen |
| Reizigersgegevens ingediend via een groepsuitnodigingslink | Alleen bewaard zolang nodig om de boeking te voltooien; de reiziger kan deze op elk moment via de link intrekken en verwijderen |
| Toestemmingsregistratie voor paspoortgegevens (niet de paspoortgegevens zelf) | Tot 3 jaar, als bewijs van toestemming (art. 7 (1) AVG) |
9. Je rechten
Je hebt de volgende rechten onder de AVG:
- Inzage — art. 15 AVG — bevestiging van verwerking en een kopie van de gegevens die wij over je bewaren.
- Rectificatie — art. 16 AVG — correctie van onjuiste gegevens.
- Wissing — art. 17 AVG — verwijdering wanneer een van de genoemde gronden van toepassing is. Je kunt je account op elk moment verwijderen via de instellingen in de app.
- Beperking — art. 18 AVG — beperking van de verwerking tijdens een geschil.
- Overdraagbaarheid — art. 20 AVG — ontvangst van je gegevens in een gestructureerd, machineleesbaar formaat.
- Bezwaar — art. 21 AVG — bezwaar tegen verwerking op basis van gerechtvaardigd belang, inclusief direct marketing op elk moment.
- Toestemming intrekken — art. 7 (3) AVG — voor elke verwerking op basis van toestemming, zonder afbreuk te doen aan reeds uitgevoerde verwerking.
- Klacht bij een toezichthoudende autoriteit — art. 77 AVG. Onze leidende toezichthoudende autoriteit is de Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, Duitsland.
Om een van deze rechten uit te oefenen, schrijf je naar privacy@myperfectstay.com. Wij reageren binnen 30 dagen (verlengbaar met maximaal twee verdere maanden op grond van art. 12 (3) AVG voor complexe verzoeken).
10. Cookies, trackingtechnologieën en Google Analytics
Wanneer je onze site bezoekt, slaan wij kleine gegevensbestanden op je apparaat op en lezen wij gegevens van je apparaat. Op grond van § 25 TDDDG vereist elke opslag van, of toegang tot, informatie op je apparaat jouw voorafgaande toestemming, tenzij die opslag of toegang strikt noodzakelijk is om een door jou gevraagde dienst te leveren. Wij behandelen alles wat niet strikt noodzakelijk is als toestemmingsplichtig, ongeacht of het technisch gezien een cookie, een localStorage-vermelding, een pixel, een fingerprint of een andere vorm van apparaatgebonden identificator is.
10.1 Hoe je dit beheert
Wanneer je onze site voor het eerst bezoekt, vraagt een banner je te kiezen: Alles accepteren, Alles weigeren, of Aanpassen. De knoppen Accepteren en Weigeren zijn even prominent. Totdat je een keuze maakt, worden er geen analytics- of marketingtechnologieën geladen die gegevens op je apparaat opslaan of ervan lezen, buiten wat strikt noodzakelijk is. Je kunt je keuze op elk moment wijzigen door op “Cookie-instellingen” in de footer van de site te klikken. Intrekking doet geen afbreuk aan de rechtmatigheid van de vóór de intrekking uitgevoerde verwerking (art. 7 (3) AVG).
10.2 Categorieën
| Categorie | Wat het doet | Toestemming? | Rechtsgrondslag |
|---|---|---|---|
| Strikt noodzakelijk | Sessie, authenticatie, CSRF-bescherming, load balancing, je opgeslagen toestemmingskeuze. | Niet vereist | Art. 6 (1) (b) AVG + § 25 (2) TDDDG |
| Voorkeuren / functionaliteit | Onthoudt je taal, thema en andere UI-instellingen. | Vereist | Art. 6 (1) (a) AVG + § 25 (1) TDDDG |
| Analytics | Google Analytics 4 en PostHog — meten het totale sitegebruik. | Vereist | Art. 6 (1) (a) AVG + § 25 (1) TDDDG |
| Marketing | Momenteel niet actief. Gereserveerd voor toekomstig gebruik (bijv. remarketingpixels). | Vereist | Art. 6 (1) (a) AVG + § 25 (1) TDDDG |
10.3 Cookie- en opslaginventaris
| Naam | Type | Doel | Categorie | Bewaring | Ingesteld door |
|---|---|---|---|---|---|
| Sessie-/auth-cookies | First-party | Houdt je ingelogd | Noodzakelijk | Sessie | MyPerfectStay |
| CSRF-token | First-party | Beschermt tegen cross-site request forgery | Noodzakelijk | Sessie | MyPerfectStay |
mps_consent_v1 | localStorage | Slaat je cookievoorkeuren op | Noodzakelijk | Tot gewist of gewijzigd | MyPerfectStay |
_ga | First-party (ingesteld door Google-bibliotheek, gericht op ons domein) | Onderscheidt unieke gebruikers (pseudonieme client-ID) | Analytics | 2 jaar vanaf laatste bezoek | |
_ga_M0JXP157C3 | First-party | Handhaaft de sessiestatus voor onze GA4-property | Analytics | 2 jaar vanaf laatste bezoek | |
_gid | First-party | Onderscheidt gebruikers (venster van 24 uur) | Analytics | 24 uur | |
ph_* / PostHog-opslag | First-party (localStorage en/of cookie, gericht op ons domein) | Pseudonieme productanalyse-identificator en event-wachtrij | Analytics | Tot 12 maanden | PostHog |
10.4 Door Google Analytics 4 verzamelde gegevens
Als je toestemming voor analytics verleent, verzamelt en verzendt de Google Analytics 4-bibliotheek (gtag.js) de volgende gegevens naar Google ter verwerking namens ons:
- Een pseudonieme client-identificator (de waarde van de
_ga-cookie), die Google gebruikt om je browser over bezoeken heen te herkennen. - Informatie over apparaat, browser en besturingssysteem (bijv. browsernaam en -versie, apparaatcategorie, schermresolutie, OS, ingestelde taal).
- Grove geografische locatie afgeleid van het IP-adres (land en, waar van toepassing, regio of stad). Het IP-adres zelf wordt geanonimiseerd voordat het wordt opgeslagen (wij hebben
anonymize_ipingeschakeld) en wordt door Google niet in identificeerbare vorm bewaard. - Bekeken pagina's en schermen, paginatitels, paginapaden, verwijzende URL, tijd op de pagina en scrollgedrag.
- Interactie-events die automatisch worden vastgelegd door de uitgebreide meting van GA4 (klikken op uitgaande links, bestandsdownloads, video-engagement, sitezoekopdrachten waar van toepassing).
- Sessiemetadata — sessiestart, sessieduur, sessiebron / -medium / -campagne (waar je vandaan kwam).
- Een tijdstempel voor elk event.
Wij hebben Google Signals uitgeschakeld en alle advertentiefuncties in GA4. Wij schakelen geen Google Ads-remarketing, demografische gegevens of interessecategorieën in. Geen gegevens uit Google Analytics worden gebruikt om advertentiedoelgroepen op te bouwen.
10.5 Hoe en waar deze gegevens worden opgeslagen
- Gegevens worden vanuit je browser rechtstreeks naar de servers van Google verzonden (regiogerouteerd door Google; de primaire verwerkingsregio is de Verenigde Staten).
- Google treedt op als onze verwerker onder een verwerkersaddendum (Google Ads Data Processing Terms).
- Grensoverschrijdende doorgifte: persoonsgegevens worden van de EU naar de Verenigde Staten doorgegeven. De doorgifte wordt gedekt door (a) de EU-modelcontractbepalingen in hun huidige vorm (Uitvoeringsbesluit (EU) 2021/914 van de Commissie) en (b) de actieve certificering van Google LLC onder het EU-VS Data Privacy Framework (adequaatheidsbesluit Uitvoeringsbesluit (EU) 2023/1795 van 10 juli 2023). Elk mechanisme volstaat op zichzelf onder hoofdstuk V AVG; wij vertrouwen op beide als extra voorzorgsmaatregel.
- Serverzijdige bewaring: 14 maanden vanaf verzameling, waarna Google automatisch gegevens op gebruikers- en eventniveau verwijdert. Dit is geconfigureerd in ons GA4-beheer en wij verlengen het niet.
- Geen cross-site-profilering: wij koppelen je GA4-client-ID niet aan je MyPerfectStay-account, aan gegevens van databrokers van derden, of aan gegevens van enige andere site of app.
10.6 Je rechten met betrekking tot analytics
Naast de in § 9 (“Je rechten”) beschreven rechten heb je specifiek het recht om:
- Toestemming in te trekken op elk moment door op “Cookie-instellingen” in de footer te klikken. Intrekking stopt verdere gegevensverzameling en instrueert de Google Analytics-bibliotheek om het gebruik van cookies op je apparaat te staken.
- De officiële Google Analytics opt-out-browserextensie te installeren op tools.google.com/dlpage/gaoptout, die GA4 blokkeert op elke site die je bezoekt.
- Cookies en localStorage te wissen in je browserinstellingen, waardoor de vermeldingen
_ga,_ga_M0JXP157C3,_gidenmps_consent_v1worden verwijderd en je bij je volgende bezoek opnieuw de toestemmingsbanner krijgt. - Inzage in, correctie van, of verwijdering van je GA4-gegevens aan te vragen via privacy@myperfectstay.com. Omdat GA4-gegevens pseudoniem zijn, hebben wij aanvullende informatie van je nodig (bijv. bij benadering de bezoekdata) om ze te lokaliseren. Wij sturen geldige verwijderingsverzoeken door naar Google.
10.7 Sentry (afzonderlijke grondslag)
Wij gebruiken Sentry voor het monitoren van applicatiefouten en korte session replay. Sentry draait op basis van ons gerechtvaardigde belang bij de beveiliging, integriteit en betrouwbaarheid van de dienst (art. 6 (1) (f) AVG) en is niet afhankelijk van analytics-toestemming. Session replay maskeert standaard alle invoervelden en tekstinhoud; alleen structurele en klik-eventgegevens worden vastgelegd. Sentry-gegevens worden gehost in de EU en worden 90 dagen bewaard. Je kunt bezwaar maken tegen de verwerking op grond van gerechtvaardigd belang via privacy@myperfectstay.com; wij beoordelen dan of jouw belangen zwaarder wegen dan de onze.
10.8 PostHog (productanalyse)
Wij gebruiken PostHog voor first-party productanalyse — bijvoorbeeld welke pagina's en functies worden gebruikt — om de Dienst te verbeteren. PostHog wordt gehost in de EU (eu.i.posthog.com). Op deze website wordt het alleen geladen als je toestemming voor analytics verleent (dezelfde besturing als Google Analytics in § 10.1) en is sessieopname uitgeschakeld; totdat je toestemming geeft, worden er geen PostHog-gegevens verzameld. In de MyPerfectStay mobiele apps registreert PostHog pseudonieme productanalyse-events met session replay uitgeschakeld. Wij gebruiken PostHog-gegevens niet voor advertenties en koppelen ze niet aan databrokers. Je kunt je toestemming op deze website op elk moment intrekken via “Cookie-instellingen” in de footer.
11. Marketingcommunicatie
Wij sturen marketing-e-mails (bijv. productupdates, B2B-nieuwsbrieven) alleen met je voorafgaande opt-in-toestemming. Elke marketing-e-mail bevat een afmeldlink met één klik. Als je een B2B-leadformulier indient (bijv. de omzetcalculator op /for-hotels), gebruiken wij het door jou opgegeven e-mailadres om je het gevraagde rapport te sturen en om op te volgen op je aanvraag; je kunt je toestemming op elk moment intrekken door te antwoorden met het woord “unsubscribe”.
12. Kinderen
De Dienst is niet gericht op kinderen onder de 16. Wij verwerken niet bewust persoonsgegevens van kinderen. Als je vermoedt dat een kind ons persoonsgegevens heeft verstrekt, neem dan contact met ons op en wij zullen deze verwijderen.
13. Geautomatiseerde besluitvorming
Wij gebruiken geen geautomatiseerde besluitvorming of profilering die rechtsgevolgen voor je heeft in de zin van art. 22 AVG.
14. Wijzigingen in dit beleid
Wij zullen dit beleid bijwerken naarmate onze verwerking verandert of de wet evolueert. Wezenlijke wijzigingen worden binnen de Dienst en via e-mail aan actieve gebruikers aangekondigd, ten minste 30 dagen voordat ze van kracht worden. De huidige versie is altijd beschikbaar op myperfectstay.com/privacy; de datum “Laatst bijgewerkt” bovenaan deze pagina geeft de meest recente herziening weer.
15. Privacyverklaring van de moedermaatschappij
CloudCops GmbH exploiteert ook een consultancybedrijf onder cloudcops.com. De privacyverklaring voor dat bedrijf is beschikbaar op cloudcops.com/en/privacy-policy. Die verklaring is van toepassing op bezoeken aan de website cloudcops.com en niet op de MyPerfectStay-Dienst.
16. Paspoortscannen en reizigersidentiteitsgegevens
Sommige activiteiten die je via de Dienst kunt boeken, worden geëxploiteerd door leveranciers (momenteel via Viator) die reizigersidentiteitsgegevens vereisen voordat zij een boeking bevestigen — bijvoorbeeld de volledige naam, geboortedatum, nationaliteit, geslacht, paspoortnummer en vervaldatum van het paspoort van de reiziger. Waar een activiteit dit vereist, verzamelen wij dit alleen met jouw uitdrukkelijke toestemming (art. 6 (1) (a) AVG) en geven wij het uitsluitend door aan de betreffende leverancier om die boeking te voltooien. Als je deze gegevens liever niet verstrekt, kun je een andere activiteit kiezen.
- Hoe je het verstrekt. Je kunt de gegevens handmatig intypen of — als je dat liever hebt — de fotopagina van je paspoort scannen zodat wij ze voor je kunnen invullen. Beide opties worden even prominent aangeboden, en het weigeren om te scannen blokkeert nooit een boeking.
- Scannen en OCR. Als je ervoor kiest te scannen, wordt de paspoortafbeelding naar Microsoft Azure Document Intelligence (gehost in de EU, Duitsland West-Centraal) gestuurd om de gedrukte tekst te lezen. Dit is alleen tekstherkenning — wij voeren geen gezichtsherkenning of biometrische matching uit en wij gebruiken de afbeelding alleen om de hierboven genoemde velden te extraheren.
- Wij slaan de afbeelding niet op. De paspoortafbeelding wordt alleen tijdelijk bewaard om de tekst te extraheren en wordt daarna verwijderd. Deze wordt binnen enkele minuten en in alle gevallen binnen 24 uur uit onze systemen verwijderd, en wordt nooit aan onze back-ups toegevoegd. Wij bewaren alleen de geëxtraheerde tekstvelden, en alleen zo lang als uiteengezet in § 8.
- Opgeslagen reizigersprofielen. Als je bent ingelogd, kun je een reizigersprofiel opslaan (voor jezelf en de mensen met wie je reist) zodat je de gegevens de volgende keer niet opnieuw hoeft in te voeren. Opslaan is optioneel. Een opgeslagen profiel wordt automatisch verwijderd 30 dagen nadat het voor het laatst is gebruikt in een boeking, en je kunt elk profiel zelf op elk moment in de app verwijderen.
- Groepsboekingen. Wanneer je een boeking voor een groep organiseert, kun je een beveiligde link voor eenmalig gebruik delen zodat elke medereiziger zijn of haar eigen gegevens rechtstreeks kan invoeren of scannen. Elke persoon geeft via die link zijn of haar eigen toestemming en kan zijn of haar gegevens zelf op elk moment via dezelfde link intrekken en verwijderen.
- Toestemming intrekken en verwijdering. Je kunt je toestemming op elk moment intrekken en deze gegevens verwijderen — door het reizigersprofiel in de app te verwijderen, door de intrekkingsoptie op een groepsuitnodigingslink te gebruiken, of door te schrijven naar privacy@myperfectstay.com. Intrekking doet geen afbreuk aan de rechtmatigheid van de vooraf uitgevoerde verwerking (art. 7 (3) AVG), noch aan een boeking die al bij de leverancier is bevestigd.
Het paspoortnummer wordt behandeld als een nationaal identificatienummer (art. 87 AVG), niet als een bijzondere categorie van persoonsgegevens onder art. 9 AVG; omdat de scan alleen tekst betreft en niet voor gezichtsherkenning wordt gebruikt, vindt er geen verwerking van bijzondere categorieën plaats. Wij bewaren een minimale registratie dat je toestemming hebt gegeven — zonder de paspoortgegevens zelf — zodat wij de naleving kunnen aantonen zoals vereist door art. 7 (1) AVG.
17. Contact
CloudCops GmbH, Amselweg 20, 33758 Schloß Holte-Stukenbrock, Duitsland
privacy@myperfectstay.com