Privacybeleid
Versie: 1.1, launch-min (dual-subject)
Laatst bijgewerkt: 2026-05-16
Status: Last reviewed by founder, lawyer review pending.
Launch-min versie. Volledige GDPR-audit en DPA-overeenkomsten met sub-processors worden later met een jurist gefinaliseerd. Deze tekst dekt de dagelijkse werking en de unieke ColdCake-situatie: een bestelling = twee betrokkenen.
0. Waarom dit beleid anders is
ColdCake verwerkt bij elke bestelling persoonsgegevens van twee verschillende personen:
- De koper (afzender) - een professional die een taart bestelt om naar iemand te sturen. Zij geven hun gegevens zelf, in onze checkout. Rechtsbasis: contract.
- De ontvanger (prospect) - de persoon naar wie de taart gestuurd wordt. Zij geven hun gegevens niet zelf aan ons; de koper geeft die door. Rechtsbasis: gerechtvaardigd belang (B2B prospectie, GDPR art. 6(1)(f)), met direct uitschrijfrecht.
We behandelen deze twee groepen apart hieronder. Lees Sectie 2 als je een bestelling plaatste; Sectie 3 als je een taart hebt ontvangen.
1. Verwerkingsverantwoordelijke
Mytouka Enterprise - KBO BE1027149628 - BTW BE1027149628 - Jules Moretuslei 347, 2610 Wilrijk, Belgie.
Contact voor privacy-vragen: info@coldcake.be. Geen aparte DPO aangesteld - niet wettelijk verplicht voor onze omvang. Founder treedt op als aanspreekpunt.
2. Als koper (afzender)
2.1 Welke gegevens we van jou verwerken
| Categorie | Voorbeelden | Bron |
|---|---|---|
| Account | Naam, e-mail, telefoon, factuuradres, bedrijfsnaam, BTW-nummer | Jij, via Shopify checkout |
| Bestelling | Wat je bestelde, leverdatum, bedrag, betaalmethode (alleen laatste 4 cijfers van de kaart) | Shopify + Stripe |
| Communicatie | E-mails die je ons stuurt, antwoorden, voorkeuren | Klaviyo + Gmail-inbox |
| Web-gebruik | Pagina-bezoeken, klik-events (na cookie-consent) | Google Analytics 4 (geanonimiseerd) + Klaviyo onsite |
| Marketing | Open/click rates, segmenten, lijst-lidmaatschap | Klaviyo |
Gevoelige categorieen (etniciteit, religie, gezondheid, politiek, vakbond, seksuele orientatie, biometrie) verwerken we niet.
2.2 Waarom
| Doel | Rechtsbasis (GDPR art. 6) |
|---|---|
| Bestelling uitvoeren (productie, levering, factuur, klantenservice) | Uitvoering van de overeenkomst |
| Factuur opmaken en bewaren | Wettelijke verplichting (Belgische boekhouding, 7 jaar) |
| Marketing-e-mails (nieuwsbrief, productupdates) | Toestemming, opt-in via newsletter-formulier |
| Abonnement-e-mails (briefing, renewal, dunning) | Uitvoering van de overeenkomst |
| Analytics + onsite tracking | Toestemming via cookie-banner |
| Anti-fraude + IT-veiligheid | Gerechtvaardige belang |
2.3 Bewaartermijnen
- Order + factuurdata: 7 jaar (wettelijke boekhoudverplichting)
- Account + contactgegevens: zolang het account actief is + 3 jaar (klacht/garantie-window)
- Marketing-toestemming: tot uitschrijving + 1 jaar (audit-trail)
- GA4-analytics: max 14 maanden (Google-default)
- Web-logs: 12 maanden
2.4 Jouw verantwoordelijkheid bij het invullen van ontvanger-gegevens
Wanneer jij een naam, bedrijf en werkadres van een ander persoon invoert om hen een taart te sturen, bevestig je in onze checkout (verplicht vinkje) dat:
- Het adres een zakelijk adres is, niet een prive-adres.
- Je een wettelijke basis hebt om die persoon onaangekondigd een geschenk naar het werk te sturen (typisch: B2B-prospectie, bestaande zakenrelatie, of expliciete uitnodiging).
- De gegevens die je ons doorgeeft (naam, bedrijf, adres, eventueel functietitel) mogen worden gebruikt voor dit ene doel: een taart leveren met begeleidend kaartje.
Door dat vinkje verklaar je tegenover ColdCake dat je verwerker bent voor de gegevens van deze derde persoon onder GDPR art. 6(1)(f). Als die persoon klacht indient, neem jij als afzender mee de verantwoordelijkheid. ColdCake verwerkt deze data namens jou, in opdracht van jou, voor dit ene doel.
3. Als ontvanger (prospect)
3.1 Hoe we aan jouw gegevens komen
Iemand - vermoedelijk een zakenrelatie of een professional die met jou wil spreken - heeft een taart voor jou besteld. Daarvoor heeft die persoon ons jouw werkgegevens doorgegeven: meestal je voornaam, bedrijfsnaam, leveringsadres op het werk, en de korte boodschap die op het kaartje komt.
We hebben jouw e-mail of telefoonnummer niet nodig om de taart te leveren, en die slaan we standaard niet op. Mocht de afzender die wel doorgegeven hebben voor levering-coordinatie, dan wissen we ze 7 dagen na levering.
3.2 Waarom dit mag (rechtsbasis)
GDPR artikel 6(1)(f), gerechtvaardigd belang. Concreet:
- Het gaat om B2B-contact, naar een zakelijk adres.
- Het belang is een professionele introductie of een doordachte vorm van prospectie.
- De impact op jou is klein en omkeerbaar: je krijgt eenmalig een taart op je werkadres, met een kaartje dat duidelijk vermeldt wie de afzender is en hoe je opt-out hebt.
- We sturen je geen vervolg-marketing vanuit ColdCake, tenzij je zelf actief instemt.
3.3 Wat we wel en niet doen met jouw data
We doen wel:
- We geven je voornaam, bedrijf en adres door aan onze bakker-partner om de taart te bakken en te leveren.
- We loggen anoniem of er op het QR-kaartje gescand werd (alleen scan-tijdstip + bestellings-ID, geen IP, geen device-fingerprint).
- We bewaren je naam, bedrijf en adres tijdelijk in onze interne CRM, gekoppeld aan de bestelling van de afzender.
We doen niet:
- We verkopen je gegevens niet door aan derden.
- We voegen je niet toe aan een marketing-lijst van ColdCake.
- We sturen je geen koude e-mails of cold-call telefoons. We hebben je e-mail/telefoon meestal niet eens.
- We trainen geen AI-modellen op je gegevens.
3.4 Bewaartermijn voor ontvanger-gegevens
- Naam + bedrijf + adres: 30 dagen na levering - daarna automatisch verwijderd, tenzij je zelf contact opneemt of zelf klant wordt.
- De boodschap op het kaartje: 30 dagen na levering.
- Foto-bewijs van overhandiging: 90 dagen, daarna automatisch verwijderd.
- QR-scan log (anoniem): 12 maanden, daarna geaggregeerd zonder bestellings-ID.
3.5 Jouw opt-out en jouw rechten
Opt-out van toekomstige ColdCake-deliveries: mail info@coldcake.be met onderwerp "Opt-out, geen ColdCake meer" - we zetten je op een suppressie-lijst zodat geen enkele toekomstige koper jou nog een taart via ons kan sturen. Reactie binnen 5 werkdagen, suppressie is permanent.
Recht om foto te laten verwijderen: als je niet wil dat we een leveringsfoto bewaren waar jij op staat, mail naar info@coldcake.be - we verwijderen binnen 7 werkdagen.
Alle andere GDPR-rechten (Sectie 7) gelden ook voor jou.
4. Cookies en website-gebruik
ColdCake gebruikt Shopify's ingebouwde Customer Privacy-banner (gratis, geen Cookiebot). Eerste pageview vraagt om consent. Strikt-noodzakelijke cookies (winkelwagen, sessie, taalkeuze) hebben geen consent nodig. Analytics en Klaviyo onsite-tracking enkel na expliciete accept.
Beheer je voorkeuren via "Cookies beheren" onderaan elke pagina.
Volledige cookie-tabel: zie /pages/cookiebeleid (apart Cookiebeleid).
5. Sub-processors
| Sub-processor | Doel | Locatie | Waarborg |
|---|---|---|---|
| Shopify | Storefront, checkout, klantaccount, native consent-banner | EU + US | Standard Contractual Clauses |
| Stripe | Betalingsverwerking | EU + US | SCC + PCI-DSS |
| Klaviyo | E-mail, segmenten, flows | US | EU-US Data Privacy Framework |
| Google Analytics 4 | Anoniem web-gebruik (na consent) | US | SCC + IP-anonimisatie |
| Notion | Interne order-tracking (CRM) | US | SCC |
| Vimexx | Domeinregistratie, DNS | NL | EU |
| Bakker-partner (Antwerpen, FAVV-geregistreerd) | Productie en transport van de taart | BE | DPA (verwerkersovereenkomst) |
We verkopen geen persoonsgegevens. We delen geen data met derden voor hun marketing.
Sub-processor-lijst kan veranderen. Bij substantiele wijziging informeren we actieve klanten per e-mail 14 dagen op voorhand.
6. Internationale doorgifte
Sommige sub-processors (Klaviyo, Stripe US-leg, GA4, Notion) zijn US-based. Voor elke doorgifte:
- EU-US Data Privacy Framework waar van toepassing
- Standard Contractual Clauses (SCC, EU Commissie 2021/914) voor de rest
7. Jouw rechten (GDPR art. 15-22)
Of je nu koper of ontvanger bent, je hebt recht op:
- Inzage - kopie van alle gegevens die we van jou hebben (art. 15)
- Rectificatie - fouten laten corrigeren (art. 16)
- Verwijdering - gegevens laten wissen, behalve wat fiscaal-verplicht is (art. 17)
- Beperking - verwerking laten stilleggen (art. 18)
- Dataportabiliteit - gegevens in machinaal-leesbaar formaat (art. 20)
- Bezwaar - bezwaar tegen marketing, profiling, of gerechtvaardigd-belang verwerking (art. 21)
- Toestemming intrekken - te allen tijde voor zaken op consent-basis (art. 7), link in elke marketing-e-mail
Hoe uitoefenen: e-mail naar info@coldcake.be. Reactie binnen 30 dagen.
Klacht indienen: Belgische Gegevensbeschermingsautoriteit (GBA).
8. Beveiliging
- HTTPS overal (TLS 1.3)
- Versleutelde opslag bij alle sub-processors
- Two-factor authentication op alle admin-systemen
- Stripe Vault voor kaartdata - wij bewaren nooit volledige kaartnummers
- Toegang tot data beperkt tot de founder en gecontracteerde bakker-partner
- Geen lokale opslag van klant-data op prive-apparaten
Datalek-procedure: in geval van een breach met risico voor betrokkenen, melden we binnen 72 uur aan de GBA en rechtstreeks aan getroffen personen.
9. Minderjarigen
ColdCake is een B2B-dienst. We richten ons niet op personen jonger dan 18, en we verwerken niet wetens persoonsgegevens van minderjarigen.
10. Wijzigingen aan dit beleid
Substantiele wijzigingen kondigen we 14 dagen op voorhand aan via e-mail aan actieve klanten. Kleine tekstuele aanpassingen (verduidelijkingen, typo's) doen we doorlopend en zijn zichtbaar via de "Laatst bijgewerkt"-datum bovenaan.
11. Contact
E-mail: info@coldcake.be
Post: Mytouka Enterprise, Jules Moretuslei 347, 2610 Wilrijk, Belgie
Reactietermijn: binnen 30 dagen, meestal sneller
Een oprichter, een inbox, een telefoon - geen ticketsysteem, geen helpdesk.
ColdCake, Mytouka Enterprise, Jules Moretuslei 347, 2610 Wilrijk, KBO BE1027149628, BTW BE1027149628, info@coldcake.be