Legal · Surprizo

Privacybeleid

Jouw gegevens, onze verantwoordelijkheid.

Van toepassing op surprizo.nl · Versie 1.0 · Mei 2026

Inhoud

1. Wie zijn wij

Surprizo is een Nederlandse dienst waarmee gebruikers verlanglijsten kunnen aanmaken, verjaardagen van contactpersonen kunnen bijhouden en gepersonaliseerde cadeau-aanbevelingen kunnen ontvangen. Surprizo treedt op als verwerkingsverantwoordelijke voor de in dit beleid beschreven gegevensverwerking.

2. Welke persoonsgegevens verwerken wij

Accountgegevens
  • Ingevoerde naam
  • E-mailadres
  • Geboortedatum (verplicht, voor eigen verjaardagsherinnering)
  • Geslacht (optioneel)
Verlanglijstgegevens
  • Titel en beschrijving van verlanglijsten en -items
  • Budget-indicaties per item
  • Gekoppelde productlinks (inclusief affiliatelinks)
  • Aankoopstatus van items (door derden gemarkeerd als gekocht)
Contactgegevens (je contacten)

Je kunt contactpersonen toevoegen voor wie je cadeaus wilt kopen of waarvan je de verjaardag wilt onthouden. Van deze derden kunnen de volgende gegevens worden opgeslagen:

  • Naam
  • Geboortedatum
  • Relatieomschrijving (bijv. "vriend", "moeder")
  • Geslacht (optioneel)
  • Interesses inclusief voorkeur (leuk / niet leuk) en cadeaubudget (optioneel)
  • Notities (optioneel, vrij tekstveld)
  • Uitnodigingsstatus: of een uitnodigingslink is verstuurd en wanneer het contact deze heeft ingevuld
Profielgegevens
  • Interesses (bijv. gaming, muziek, reizen, ingevoerd bij registratie of profiel)
  • Gelegenheden (bijv. verjaardag, kerst, sinterklaas, ingevoerd bij registratie)
  • Marketing-opt-in (toestemming voor tips en cadeauideeën per e-mail)
Technische gegevens
  • Sessie-tokens (via Supabase authenticatie)
  • IP-adres (verwerkt door Supabase bij inlog; niet separaat opgeslagen door Surprizo)
  • Tijdstip van aanmaken/wijzigen van records
  • Klikgedrag op productaanbevelingen (affiliate-klikken worden server-side vastgelegd voor commissieverwerking; geen persoonsgebonden profiel)
  • Gebruiksgebeurtenissen (funnel events): stap-voor-stap acties in de app (bijv. start of voltooiing van registratie, contacttoevoeging of lijstcreatie) worden server-side vastgelegd voor productoptimalisatie. Events worden opgeslagen met een optionele verwijzing naar je account; anoniem gebruik wordt eveneens geregistreerd zonder accountkoppeling.
  • Vrijwillige exitfeedback: als je je account verwijdert, kun je optioneel een reden opgeven. Deze reden wordt opgeslagen zonder koppeling aan je account of persoonsgegevens.

3. Waarvoor gebruiken wij je gegevens

  • Dienstverlening: het aanmaken, beheren en delen van verlanglijsten; het bijhouden van contacten en verjaardagen.
  • Verjaardagsherinneringen: het automatisch versturen van e-mailherinneringen wanneer een verjaardag van een contact nadert.
  • Cadeau-aanbevelingen: het tonen van gepersonaliseerde productaanbevelingen op basis van de interesses en het budget van je contacten.
  • Transactionele e-mails: bevestigingen, welkomstberichten, accountgerelateerde communicatie via Resend.
  • Beveiliging & fraude­preventie: het detecteren van misbruik en het beschermen van je account.
  • Productverbetering: het analyseren van gebruikspatronen (funnel events) en vrijwillige exitfeedback om knelpunten in de app te herkennen en de gebruikerservaring te verbeteren. Dit gebeurt uitsluitend op basis van geaggregeerde of geanonimiseerde gegevens.
🔗

Surprizo maakt gebruik van affiliate links in cadeau-aanbevelingen. Wanneer je via zo'n link een product koopt, ontvangt Surprizo een kleine commissie van de betreffende webshop, zonder extra kosten voor jou. Onze aanbevelingen zijn gebaseerd op relevantie, niet op commissiehoogte.

Lees onze affiliate disclaimer →

4. Rechtsgrondslagen (AVG art. 6)

Surprizo verwerkt persoonsgegevens uitsluitend op basis van een van de volgende rechtsgrondslagen:

Uitvoering van een overeenkomst (art. 6 lid 1 sub b)

Verwerking van accountgegevens en verlanglijstgegevens die noodzakelijk zijn om de dienst te kunnen verlenen.

Gerechtvaardigd belang (art. 6 lid 1 sub f)

Verjaardagsherinneringen en cadeau-aanbevelingen. Het belang van de gebruiker (nooit meer een verjaardag vergeten) weegt op tegen het privacybelang van de betrokkene.

Gerechtvaardigd belang: productverbetering (art. 6 lid 1 sub f)

Verwerking van geanonimiseerde gebruiksgebeurtenissen (funnel events) en vrijwillige exitfeedback om de dienst te verbeteren. Het belang van een betere gebruikerservaring weegt op tegen het minimale privacybelang bij deze geanonimiseerde gegevens.

Wettelijke verplichting (art. 6 lid 1 sub c)

Bewaren van bepaalde gegevens op grond van fiscale of andere wettelijke verplichtingen.

Toestemming (art. 6 lid 1 sub a)

Voor marketing-e-mails waarvoor separaat opt-in toestemming wordt gevraagd.

5. Gegevens van je contacten (derden)

Contactpersonen in Surprizo hebben geen eigen account. Hun gegevens worden verwerkt in het kader van de dienst die Surprizo aan jou als gebruiker levert. Er zijn twee manieren waarop contactgegevens bij Surprizo terechtkomen:

1. Handmatig toegevoegd door de gebruiker

Je voert zelf naam, geboortedatum, relatie en andere gegevens in. Het contact is hier doorgaans niet van op de hoogte. Door deze gegevens in te voeren verklaar je dat je hiervoor een geldige grondslag hebt (bijv. gerechtvaardigd belang als naaste) en dat de gegevens juist zijn. Je bent zelf verantwoordelijk voor het informeren van je contact indien dat wettelijk vereist is.

2. Actief ingevuld via een uitnodigingslink

Je kunt een persoonlijke uitnodigingslink sturen naar een contact. Via deze link kan het contact zelf zijn of haar verjaardag en interesses invullen. Op het uitnodigingsformulier wordt duidelijk vermeld dat de ingevoerde gegevens uitsluitend zichtbaar zijn voor de verzender, en dat er geen account wordt aangemaakt. Het contact handelt hiermee op eigen initiatief en is aantoonbaar op de hoogte van de verwerking. De grondslag voor deze verwerking is toestemming van het contact zelf (AVG art. 6 lid 1 sub a).

Beperkt gebruik door Surprizo: de gegevens van je contacten worden uitsluitend gebruikt om jou de dienst te kunnen verlenen (herinneringen, aanbevelingen). Ze worden nooit voor andere doeleinden gebruikt, niet gedeeld met derden, en niet gebruikt voor profilering of marketing gericht op die contactpersonen.

6. Verwerkers en sub-processors

Surprizo maakt gebruik van de volgende derde partijen die namens Surprizo persoonsgegevens verwerken (verwerkers):

Supabase Inc.Privacybeleid →

Vestiging: Verenigde Staten

Doel: Database­hosting, gebruikers­authenticatie, bestandsopslag

EER-doorgifte: Standard Contractual Clauses (SCC) aanwezig

Vestiging: Verenigde Staten

Doel: Transactionele e-mailverzending (herinneringen, notificaties)

EER-doorgifte: Standard Contractual Clauses (SCC) aanwezig

7. Bewaartermijnen

Accountgegevens

Tot verwijdering van het account + 6 maanden

Verlanglijsten en items

Tot verwijdering door de gebruiker

Contactgegevens

Tot verwijdering door de gebruiker

E-maillogboek (Resend)

30 dagen (beheerd door Resend)

Sessie-tokens

Tot uitloggen of verlopen sessie

Serverlogboeken

Maximaal 90 dagen (beheerd door Supabase)

Funnel events

Bewaard zolang noodzakelijk voor productanalyse. Bij accountverwijdering wordt de koppeling met je account verwijderd (user_id → anoniem); de event-record zelf kan anoniem bewaard blijven.

Exitfeedback (reden accountverwijdering)

Anoniem opgeslagen, zonder koppeling aan je account. Wordt niet verwijderd bij accountverwijdering.

8. Doorgifte buiten de EER

Supabase Inc. en Resend zijn gevestigd in de Verenigde Staten. De EER doorgifte vindt bij beide partijen plaats op grond van door de Europese Commissie goedgekeurde Standard Contractual Clauses (SCC's).

Surprizo slaat geen persoonsgegevens op op servers buiten de EER anders dan via bovengenoemde verwerkers. Het Surprizo-project draait op Supabase in de EU-regio West EU (Ierland, eu-west-1).

9. Je rechten als betrokkene

Op grond van de AVG heb je de volgende rechten:

Recht op inzage (art. 15)

Je kunt opvragen welke persoonsgegevens Surprizo van je verwerkt.

Recht op rectificatie (art. 16)

Je kunt onjuiste of onvolledige gegevens laten corrigeren.

Recht op verwijdering / 'recht op vergetelheid' (art. 17)

Je kunt verzoeken al je persoonsgegevens te laten verwijderen. Je kunt dit zelf doen via Instellingen → Account verwijderen in je account. Zie hieronder voor meer details.

Recht op beperking van de verwerking (art. 18)

Je kunt in bepaalde gevallen vragen de verwerking tijdelijk te stoppen.

Recht op dataportabiliteit (art. 20)

Je kunt verzoeken je gegevens in een machineleesbaar formaat te ontvangen.

Recht van bezwaar (art. 21)

Je kunt bezwaar maken tegen verwerking op grond van gerechtvaardigd belang.

🗑️ Account verwijderen: wat betekent dit?

Wanneer je je account verwijdert (zelf via Instellingen of via een verzoek aan ons), verwijdert Surprizo het volgende permanent:

  • Je naam, e-mailadres en profielgegevens
  • Al je verlanglijsten en verlanglijst-items
  • Al je opgeslagen contactpersonen
  • Je login en sessie-tokens

Geaggregeerde, niet-herleidbare statistieken (bijv. totaal aantal gebruikers) kunnen bewaard blijven. Serverlogboeken bij Supabase worden automatisch na maximaal 90 dagen verwijderd.

Funnel events die aan je account waren gekoppeld, worden bij verwijdering geanonimiseerd (de koppeling met je account wordt verwijderd; de event zelf blijft bewaard als anonieme statistiek). Eventuele exitfeedback die je bij verwijdering hebt ingevuld is van meet af aan anoniem opgeslagen en bevat geen verwijzing naar jouw account.

Om een verzoek in te dienen, neem je contact op via het e-mailadres vermeld in artikel 12. Surprizo reageert binnen 30 dagen op je verzoek. In complexe gevallen kan deze termijn eenmalig met 60 dagen worden verlengd.

10. Klachten

Heb je een klacht over de manier waarop Surprizo met je persoonsgegevens omgaat? Neem dan eerst contact met ons op (zie artikel 12). We lossen het graag samen op.

Ben je niet tevreden met onze reactie, dan heb je het recht een klacht in te dienen bij de toezichthoudende autoriteit:

Autoriteit Persoonsgegevens (AP)

autoriteitpersoonsgegevens.nl →

11. Wijzigingen in dit beleid

Surprizo kan dit privacybeleid van tijd tot tijd aanpassen, bijvoorbeeld als de dienst wordt uitgebreid, wetgeving wijzigt, of nieuwe verwerkers worden ingeschakeld. De meest recente versie is altijd beschikbaar op deze pagina.

Bij wezenlijke wijzigingen zullen wij je informeren via e-mail of een melding in de applicatie, minimaal 30 dagen vóór inwerkingtreding.

12. Contact

Voor vragen, verzoeken of opmerkingen over dit privacybeleid:

Surprizo

E-mail: privacy@surprizo.nl