Privacybeleid
Jouw gegevens, onze verantwoordelijkheid.
Van toepassing op surprizo.nl · Versie 1.2 · Juli 2026
Inhoud
1. Wie zijn wij
Surprizo is een Nederlandse dienst waarmee gebruikers verlanglijsten kunnen aanmaken en delen, kringen (groepen) van vrienden kunnen beheren, verjaardagen bijhouden, groepscadeaus coördineren en gepersonaliseerde cadeau-aanbevelingen ontvangen. Surprizo treedt op als verwerkingsverantwoordelijke voor de in dit beleid beschreven gegevensverwerking.
2. Welke persoonsgegevens verwerken wij
- Ingevoerde naam
- E-mailadres
- Geboortedatum (verplicht, voor eigen verjaardagsherinnering)
- Geslacht (optioneel)
- Titel en beschrijving van verlanglijsten en -items
- Budget-indicaties per item
- Gekoppelde productlinks (inclusief affiliatelinks)
- Aankoopstatus van items (door derden gemarkeerd als gekocht)
Je kunt contactpersonen toevoegen voor wie je cadeaus wilt kopen of waarvan je de verjaardag wilt onthouden. Dit kunnen zowel niet-Surprizo-gebruikers zijn (handmatig ingevoerd) als vrienden die je via een kring hebt toegevoegd. Van deze derden kunnen de volgende gegevens worden opgeslagen:
- Naam
- Geboortedatum
- Overige belangrijke datums (optioneel, bijv. trouwdag of jubileum)
- Relatieomschrijving (bijv. "vriend", "moeder")
- Geslacht (optioneel)
- Interesses inclusief voorkeur (leuk / niet leuk) en cadeaubudget (optioneel)
- Maten (optioneel: kledingmaat, schoenmaat, ringmaat; bij een gekoppeld contact deels overgenomen uit het profiel van die persoon, deels door jou privé aangevuld)
- Cadeau-ideeën die je bij een contact bewaart (titel, link, prijs, notitie) en cadeaugeschiedenis (welke cadeaus je eerder gaf)
- Notities (optioneel, vrij tekstveld)
- Uitnodigingsstatus: of een uitnodigingslink is verstuurd en wanneer het contact deze heeft ingevuld
Surprizo biedt de mogelijkheid om kringen aan te maken: groepen van Surprizo-gebruikers die elkaars verlanglijsten kunnen bekijken. Daarnaast kun je een mede-eigenaar (samenwerker) uitnodigen voor een specifieke verlanglijst. De volgende gegevens worden hierbij verwerkt:
- Kringnaam en optionele beschrijving
- Lidmaatschapsstatus (eigenaar / lid) en datum van toetreding
- Uitnodigingsstatus van kringleden (link verstuurd, geaccepteerd)
- Koppeling van samenwerkers (mede-eigenaren) aan een verlanglijst
Wanneer een gebruiker een groepscadeau (pool) start, wordt deze de regelaar van die pool. Surprizo slaat de volgende gegevens op voor het beheer van de pool:
- Naam van de regelaar (zichtbaar voor deelnemers op de openbare poolpagina)
- E-mailadres van de regelaar (opgeslagen als onderdeel van de pool-record; uitsluitend gebruikt voor communicatie vanuit Surprizo over de pool, zoals bevestigingen bij afronden of annuleren; niet zichtbaar voor deelnemers)
- Unieke beheertoken (organizer_token): een beveiligde sleutel waarmee de regelaar toegang krijgt tot het organizer-dashboard zonder opnieuw in te hoeven loggen. Surprizo bewaart deze token server-side; de regelaar bewaart hem client-side via localStorage in de browser. Wie de token heeft, heeft toegang tot het dashboard
Derden zonder Surprizo-account kunnen via een publieke link deelnemen aan een groepscadeau. Van deze deelnemers worden de volgende gegevens opgeslagen:
- Naam van de deelnemer (verplicht)
- E-mailadres (optioneel, uitsluitend gebruikt door Surprizo om de deelnemer per e-mail te informeren bij afsluiting van de pool). Het e-mailadres is niet zichtbaar voor de regelaar; de regelaar ziet alleen of een deelnemer een e-mailadres heeft opgegeven (ja/nee)
- Bijdragestatus: toegezegd en/of betaald (beheerd door de regelaar via het dashboard, niet geverifieerd door Surprizo)
- Optioneel bericht bij toetreding (alleen zichtbaar voor regelaar op dashboard)
De regelaar kan op het organizer-dashboard betaalinstructies opgeven. Surprizo biedt hiervoor vier specifieke opties: een Tikkie-link, een betaallink van een goedgekeurde aanbieder (Bunq, PayPal, Revolut of Wise, gevalideerd via een whitelist), een aanduiding van contante betaling, of een IBAN-nummer (vrij invulveld, bedoeld voor overmakingen). Andere betaalinstructies dan bovenstaande zijn niet mogelijk via het platform.
Deze instructies worden door Surprizo opgeslagen en uitsluitend getoond op de persoonlijke meedoener-pagina van de deelnemer, nadat de regelaar de pool als “geregeld” heeft gemarkeerd. De betaalinstructies zelf worden nooit in een e-mail opgenomen. Deelnemers met een e-mailadres ontvangen op het moment van afronden een notificatie met een persoonlijke link naar hun meedoener-pagina, waar zij de instructies kunnen inzien. Deelnemers zonder e-mailadres informeert de regelaar zelf buiten het platform. De instructies worden bewaard zolang de pool bestaat.
Surprizo slaat geen betaalgegevens van deelnemers op (deelnemers voeren geen IBAN of betaallink in). De betaalinstructies worden bewust niet per e-mail verstuurd, maar uitsluitend getoond op de beveiligde meedoener-pagina. Zie ook algemene voorwaarden, artikel 8.
- Interesses (bijv. gaming, muziek, reizen, ingevoerd bij registratie of profiel)
- Gelegenheden (bijv. verjaardag, kerst, sinterklaas, ingevoerd bij registratie)
- Eigen maten (optioneel: kledingmaat, schoenmaat, ringmaat; zichtbaar voor vrienden die aan jou gekoppeld zijn, zodat zij een passend cadeau kunnen kiezen)
- Marketing-opt-in (toestemming voor tips en cadeauideeën per e-mail)
Wie een publiek gedeelde verlanglijst bekijkt, kan zonder account een vraag stellen, een suggestie achterlaten of een klein gebaar claimen. Daarbij kan worden opgeslagen:
- Het bericht dat de bezoeker zelf invult (vraag of suggestie, zichtbaar voor de lijsteigenaar)
- E-mailadres (optioneel, uitsluitend gebruikt om de bezoeker te mailen wanneer de lijsteigenaar antwoordt; niet zichtbaar voor de lijsteigenaar)
- Een anonieme bezoekerstoken zodat de "ik koop dit"-markering werkt (bevat geen persoonsgegevens; zie het cookiebeleid)
De grondslag voor deze verwerking is toestemming van de bezoeker zelf (AVG art. 6 lid 1 sub a): de bezoeker vult deze gegevens vrijwillig en op eigen initiatief in.
- Sessie-tokens (via Supabase authenticatie)
- IP-adres (technisch verwerkt door onze hostingpartijen Vercel en Supabase bij elk bezoek respectievelijk elke inlog; niet separaat opgeslagen door Surprizo)
- Tijdstip van aanmaken/wijzigen van records
- Klikgedrag op productaanbevelingen (affiliate-klikken worden server-side vastgelegd voor commissieverwerking; alleen als je analytische cookies hebt geaccepteerd wordt daarbij een tijdelijk, willekeurig sessie-ID meegestuurd om klikken binnen één bezoek te groeperen; er wordt geen persoonsgebonden profiel opgebouwd)
- Gebruiksgebeurtenissen (funnel events): stap-voor-stap acties in de app (bijv. start of voltooiing van registratie, contacttoevoeging of lijstcreatie) worden server-side vastgelegd voor productoptimalisatie. Events worden opgeslagen met een optionele verwijzing naar je account; anoniem gebruik wordt eveneens geregistreerd zonder accountkoppeling.
- Vrijwillige exitfeedback: als je je account verwijdert, kun je optioneel een reden opgeven. Deze reden wordt opgeslagen zonder koppeling aan je account of persoonsgegevens.
3. Waarvoor gebruiken wij je gegevens
- Dienstverlening: het aanmaken, beheren en delen van verlanglijsten; het bijhouden van contacten en verjaardagen.
- Verjaardagsherinneringen: het automatisch versturen van e-mailherinneringen wanneer een verjaardag van een contact nadert.
- Cadeau-aanbevelingen: het tonen van gepersonaliseerde productaanbevelingen op basis van de interesses en het budget van je contacten.
- Kringen en samenwerkers: het aanmaken en beheren van groepen Surprizo-gebruikers (kringen) zodat leden elkaars verlanglijsten kunnen bekijken; het uitnodigen van mede-eigenaren (samenwerkers) voor een specifieke verlanglijst.
- Groepscadeaus: het faciliteren van gezamenlijke cadeau-aankopen via een pool-systeem. Deelnemersgegevens worden verwerkt zodat de regelaar bijdragen kan bijhouden. Betaling regelen deelnemers zelf buiten het platform om.
- Transactionele e-mails: bevestigingen, welkomstberichten, accountgerelateerde communicatie via Resend.
- Beveiliging & fraudepreventie: het detecteren van misbruik en het beschermen van je account.
- Productverbetering: het analyseren van gebruikspatronen (funnel events) en vrijwillige exitfeedback om knelpunten in de app te herkennen en de gebruikerservaring te verbeteren. Dit gebeurt uitsluitend op basis van geaggregeerde of geanonimiseerde gegevens.
- Winacties: het bepalen van deelname (verdiende lootjes op basis van je activiteit) en het trekken van een winnaar bij periodieke winacties. Zie de algemene voorwaarden, artikel 15.
Surprizo maakt gebruik van affiliate links in cadeau-aanbevelingen. Wanneer je via zo'n link een product koopt, ontvangt Surprizo een kleine commissie van de betreffende webshop, zonder extra kosten voor jou. Onze aanbevelingen zijn gebaseerd op relevantie, niet op commissiehoogte.
Lees onze affiliate disclaimer →4. Rechtsgrondslagen (AVG art. 6)
Surprizo verwerkt persoonsgegevens uitsluitend op basis van een van de volgende rechtsgrondslagen:
Uitvoering van een overeenkomst (art. 6 lid 1 sub b)
Verwerking van accountgegevens en verlanglijstgegevens die noodzakelijk zijn om de dienst te kunnen verlenen.
Gerechtvaardigd belang (art. 6 lid 1 sub f)
Verjaardagsherinneringen en cadeau-aanbevelingen. Het belang van de gebruiker (nooit meer een verjaardag vergeten) weegt op tegen het privacybelang van de betrokkene.
Gerechtvaardigd belang: productverbetering (art. 6 lid 1 sub f)
Verwerking van geanonimiseerde gebruiksgebeurtenissen (funnel events) en vrijwillige exitfeedback om de dienst te verbeteren. Het belang van een betere gebruikerservaring weegt op tegen het minimale privacybelang bij deze geanonimiseerde gegevens.
Wettelijke verplichting (art. 6 lid 1 sub c)
Bewaren van bepaalde gegevens op grond van fiscale of andere wettelijke verplichtingen.
Toestemming (art. 6 lid 1 sub a)
Voor marketing-e-mails waarvoor separaat opt-in toestemming wordt gevraagd.
5. Gegevens van je contacten (derden)
Contactpersonen in Surprizo hebben geen eigen account. Hun gegevens worden verwerkt in het kader van de dienst die Surprizo aan jou als gebruiker levert. Er zijn drie manieren waarop gegevens van derden bij Surprizo terechtkomen:
1. Handmatig toegevoegd door de gebruiker
Je voert zelf naam, geboortedatum, relatie en andere gegevens in. Het contact is hier doorgaans niet van op de hoogte. Door deze gegevens in te voeren verklaar je dat je hiervoor een geldige grondslag hebt (bijv. gerechtvaardigd belang als naaste) en dat de gegevens juist zijn. Je bent zelf verantwoordelijk voor het informeren van je contact indien dat wettelijk vereist is.
2. Actief ingevuld via een uitnodigingslink
Je kunt een persoonlijke uitnodigingslink sturen naar een contact. Via deze link kan het contact zelf zijn of haar verjaardag en interesses invullen. Op het uitnodigingsformulier wordt duidelijk vermeld dat de ingevoerde gegevens uitsluitend zichtbaar zijn voor de verzender, en dat er geen account wordt aangemaakt. Het contact handelt hiermee op eigen initiatief en is aantoonbaar op de hoogte van de verwerking. De grondslag voor deze verwerking is toestemming van het contact zelf (AVG art. 6 lid 1 sub a).
3. Via een groepscadeau-pool (zonder account)
Wanneer een gebruiker (de "regelaar") een groepscadeau initieert, kunnen derden zonder Surprizo-account deelnemen via een openbare link. De deelnemer vult hierbij zijn naam in en optioneel zijn e-mailadres. Op het deelnameformulier wordt duidelijk vermeld dat deze gegevens alleen zichtbaar zijn voor de regelaar en dat er geen account wordt aangemaakt. Betaling regelen deelnemers en regelaar zelf onderling buiten het platform. De grondslag voor deze verwerking is toestemming van de deelnemer (AVG art. 6 lid 1 sub a).
Beperkt gebruik door Surprizo: de gegevens van je contacten worden uitsluitend gebruikt om jou de dienst te kunnen verlenen (herinneringen, aanbevelingen). Ze worden nooit voor andere doeleinden gebruikt, niet gedeeld met derden, en niet gebruikt voor profilering of marketing gericht op die contactpersonen.
6. Verwerkers en sub-processors
Surprizo maakt gebruik van de volgende derde partijen die namens Surprizo persoonsgegevens verwerken (verwerkers):
Vestiging: Verenigde Staten
Doel: Databasehosting, gebruikersauthenticatie, bestandsopslag
EER-doorgifte: Standard Contractual Clauses (SCC) aanwezig
Vestiging: Verenigde Staten
Doel: Transactionele e-mailverzending (herinneringen, notificaties)
EER-doorgifte: Standard Contractual Clauses (SCC) aanwezig
Vestiging: Verenigde Staten
Doel: Hosting en uitlevering van de website en serverfuncties; verwerkt daarbij IP-adressen in technische logboeken
EER-doorgifte: Standard Contractual Clauses (SCC) aanwezig
7. Bewaartermijnen
Accountgegevens
Direct gewist bij verwijdering van het account; resterende kopieën in technische back-ups verlopen daarna automatisch, uiterlijk binnen 6 maanden. Accounts die 3 jaar onafgebroken inactief zijn (geen login en geen gebruik) worden automatisch verwijderd; 30 dagen vooraf ontvang je een waarschuwingsmail, zodat je je account kunt behouden door simpelweg in te loggen.
Verlanglijsten en items
Tot verwijdering door de gebruiker
Contactgegevens
Tot verwijdering door de gebruiker
Vragen en berichten op publieke lijsten (incl. optioneel e-mailadres van de bezoeker)
Gekoppeld aan de verlanglijst; verwijderd zodra de lijst of het account van de eigenaar wordt verwijderd
Kringen en samenwerkers
Tot opheffing van de kring of opzegging van het lidmaatschap door de gebruiker
Groepscadeau-pools en bijdragen
Actieve pools: bewaard zolang de pool open staat. Na afronden: automatisch verwijderd na 30 dagen. Na annuleren: automatisch verwijderd na 30 dagen. Open pools zonder deadline worden na 60 dagen automatisch geannuleerd. Open pools waarvan de deadline meer dan 14 dagen is verstreken worden automatisch geannuleerd.
Betaalinstructies (regelaar-dashboard)
Onderdeel van de pool-record. Verwijderd op hetzelfde moment als de pool (30 dagen na afronden of annuleren).
E-mailadressen pool-deelnemers
Onderdeel van de pool-bijdrage. Nooit getoond aan de regelaar; uitsluitend gebruikt voor Surprizo-notificaties. Verwijderd op hetzelfde moment als de pool.
E-maillogboek (Resend)
30 dagen (beheerd door Resend)
Sessie-tokens
Tot uitloggen of verlopen sessie
Serverlogboeken
Maximaal 90 dagen (beheerd door Supabase)
Funnel events
Bewaard zolang noodzakelijk voor productanalyse. Bij accountverwijdering wordt de koppeling met je account verwijderd (user_id → anoniem); de event-record zelf kan anoniem bewaard blijven.
Exitfeedback (reden accountverwijdering)
Anoniem opgeslagen, zonder koppeling aan je account. Wordt niet verwijderd bij accountverwijdering.
8. Doorgifte buiten de EER
Supabase Inc., Resend en Vercel Inc. zijn gevestigd in de Verenigde Staten. De EER doorgifte vindt bij beide partijen plaats op grond van door de Europese Commissie goedgekeurde Standard Contractual Clauses (SCC's).
Surprizo slaat geen persoonsgegevens op op servers buiten de EER anders dan via bovengenoemde verwerkers. De database draait op Supabase in de EU-regio West EU (Ierland, eu-west-1).
9. Je rechten als betrokkene
Op grond van de AVG heb je de volgende rechten:
Recht op inzage (art. 15)
Je kunt opvragen welke persoonsgegevens Surprizo van je verwerkt.
Recht op rectificatie (art. 16)
Je kunt onjuiste of onvolledige gegevens laten corrigeren.
Recht op verwijdering / 'recht op vergetelheid' (art. 17)
Je kunt verzoeken al je persoonsgegevens te laten verwijderen. Je kunt dit zelf doen via Instellingen → Account verwijderen in je account. Zie hieronder voor meer details.
Recht op beperking van de verwerking (art. 18)
Je kunt in bepaalde gevallen vragen de verwerking tijdelijk te stoppen.
Recht op dataportabiliteit (art. 20)
Je kunt verzoeken je gegevens in een machineleesbaar formaat te ontvangen.
Recht van bezwaar (art. 21)
Je kunt bezwaar maken tegen verwerking op grond van gerechtvaardigd belang.
Account verwijderen: wat betekent dit?
Wanneer je je account verwijdert (zelf via Instellingen of via een verzoek aan ons), verwijdert Surprizo het volgende permanent:
- Je naam, e-mailadres en profielgegevens
- Al je verlanglijsten en verlanglijst-items
- Al je opgeslagen contactpersonen, inclusief maten, belangrijke datums en cadeau-ideeën
- Je login en sessie-tokens
Geaggregeerde, niet-herleidbare statistieken (bijv. totaal aantal gebruikers) kunnen bewaard blijven. Serverlogboeken bij Supabase worden automatisch na maximaal 90 dagen verwijderd.
Funnel events die aan je account waren gekoppeld, worden bij verwijdering geanonimiseerd (de koppeling met je account wordt verwijderd; de event zelf blijft bewaard als anonieme statistiek). Eventuele exitfeedback die je bij verwijdering hebt ingevuld is van meet af aan anoniem opgeslagen en bevat geen verwijzing naar jouw account.
Automatische opschoning bij inactiviteit: los van een eigen verzoek verwijdert Surprizo accounts die 3 jaar onafgebroken inactief zijn automatisch — dit volgt uit het beginsel van opslagbeperking (art. 5 lid 1 sub e AVG). 30 dagen voordat dit gebeurt, sturen we een waarschuwingsmail naar het e-mailadres van het account. Wil je je account behouden, dan is één keer inloggen binnen die termijn voldoende.
Om een verzoek in te dienen, neem je contact op via het e-mailadres vermeld in artikel 12. Surprizo reageert binnen 30 dagen op je verzoek. In complexe gevallen kan deze termijn eenmalig met 60 dagen worden verlengd.
10. Klachten
Heb je een klacht over de manier waarop Surprizo met je persoonsgegevens omgaat? Neem dan eerst contact met ons op (zie artikel 12). We lossen het graag samen op.
Ben je niet tevreden met onze reactie, dan heb je het recht een klacht in te dienen bij de toezichthoudende autoriteit:
Autoriteit Persoonsgegevens (AP)
autoriteitpersoonsgegevens.nl →11. Wijzigingen in dit beleid
Surprizo kan dit privacybeleid van tijd tot tijd aanpassen, bijvoorbeeld als de dienst wordt uitgebreid, wetgeving wijzigt, of nieuwe verwerkers worden ingeschakeld. De meest recente versie is altijd beschikbaar op deze pagina.
Bij wezenlijke wijzigingen zullen wij je informeren via e-mail of een melding in de applicatie, minimaal 30 dagen vóór inwerkingtreding.
12. Contact
Voor vragen, verzoeken of opmerkingen over dit privacybeleid:
Surprizo
E-mail: privacy@surprizo.nl