Terug naar startpagina

Privacybeleid: Kerlinga / PonyPortaal (platform)

Versie: 1.0 Laatste update: 15 april 2026 Beheerder: Kerlinga, eenmanszaak van Robbe de Jonghe

Kort samengevat

Een privacybeleid hoort kort en leesbaar te zijn. Daarom eerst de essentie, dan de details. Hieronder lees je de 5 belangrijkste dingen die je over onze omgang met je gegevens moet weten:

  1. Wie zijn wij? Kerlinga, een Belgische eenmanszaak die het SaaS-platform PonyPortaal aanbiedt aan ponymanages. Robbe de Jonghe is de zaakvoerder en het persoonlijke aanspreekpunt voor alle privacy-vragen.

  2. Welke data verzamelen we? Enkel wat strikt nodig is: contactgegevens als je ons mailt, account-gegevens als een manege met ons samenwerkt, en technische logs om storingen op te sporen. Geen marketing-tracking, geen Google Analytics, geen cookie-walls.

  3. Waarvoor gebruiken we het? Om onze SaaS-dienst te leveren aan de manages die onze klant zijn, en om te voldoen aan onze wettelijke verplichtingen (facturen, datalek-meldingen). Nooit voor advertenties of profiling.

  4. Met wie delen we het? Met onze hosting-partners Supabase (databank, EU-Frankfurt), Vercel (hosting, EU-Frankfurt), AWS SES (transactionele e-mails, EU-Frankfurt) en Sentry (error tracking, EU-Duitsland). Allemaal verwerkers die een contract met ons hebben. Mollie is onze betaalpartner maar werkt als zelfstandige verantwoordelijke voor de betalingen zelf. Met niemand anders.

  5. Welke rechten heb je? Alles wat de AVG je geeft: inzage, correctie, verwijdering, beperking, bezwaar en overdraagbaarheid. Neem contact op via info@kerlinga.com of +32 490 40 14 16. Wij antwoorden binnen een maand.

Geen AI, geen geautomatiseerde besluitvorming. PonyPortaal gebruikt geen kunstmatige intelligentie, machine learning of geautomatiseerde besluiten die rechtsgevolgen voor jou hebben. Onze prijsberekeningen zijn regelgebaseerde code (gewone "als dit, dan dat"-logica), geen AI. Mocht dit in de toekomst veranderen, dan communiceren we dat expliciet en bumpen we de versie van dit beleid.

1. Wie is de verwerkingsverantwoordelijke?

De verantwoordelijke voor de verwerking van je persoonsgegevens zoals beschreven in dit beleid is:

Kerlinga, eenmanszaak van Robbe de Jonghe Tieltsteenweg 21, 8750 Wingene, België Ondernemingsnummer: BE 0763.807.395 BTW: vrijgesteld onder art. 56bis WBTW (regeling kleine onderneming)

Commerciële naam: PonyPortaal (handelsnaam onder Kerlinga)

Contact voor privacy-vragen en GDPR-verzoeken:

  • E-mail: E-mail: info@kerlinga.com
  • Tel: Telefoon: +32 490 40 14 16

Wij zijn niet verplicht een Data Protection Officer (DPO) aan te stellen onder art. 37 AVG, omdat onze kernactiviteit geen grootschalige profilering of verwerking van bijzondere categorieën persoonsgegevens omvat. Robbe de Jonghe treedt persoonlijk op als aanspreekpunt voor alle privacy-aangelegenheden.

2. Wanneer is dit beleid van toepassing?

Dit privacybeleid is van toepassing op Kerlinga als verwerkingsverantwoordelijke, en geldt in de volgende situaties:

Situatie Wat we verwerken Waarom
Je bezoekt ponyportaal.be of kerlinga.com Technische gegevens (IP-adres, browser-type, pagina's die je bezoekt) Om de websites aan te bieden en te beveiligen
Je neemt contact met ons op via e-mail of telefoon Naam, e-mailadres, telefoonnummer, inhoud van je bericht Om je vraag te beantwoorden
Je bedrijf wordt klant van PonyPortaal (tenant) Bedrijfsgegevens, contactpersoon, factureringsgegevens, DPA-acceptatie Om onze SaaS-dienst te leveren en facturatie af te handelen
Je mailt ons een GDPR-verzoek E-mailadres, verzoek-inhoud, eventueel identiteitsbewijs Om je verzoek te kunnen behandelen conform AVG art. 12-22

Wat NIET onder dit beleid valt

Als je een eindklant bent van een ponymanege die PonyPortaal gebruikt (bv. een ouder die zijn kind inschrijft voor lessen), verloopt jouw relatie via die manege. De manege is de verwerkingsverantwoordelijke voor die data, en Kerlinga treedt daarvoor op als verwerker.

→ Voor die situatie geldt het privacybeleid van die specifieke manege. Vraag het op bij jouw manege rechtstreeks, of kijk op hun tenant-pagina ([manege].ponyportaal.be/privacy). Kerlinga heeft met elke manege een Verwerkersovereenkomst (DPA) afgesloten die de wederzijdse rechten en plichten regelt; zie dpa-template-v1.md.

3. Welke persoonsgegevens verwerken we, en waarom?

3.1 Bezoekers van onze website(s)

Gegeven Rechtsgrond Bewaartermijn
IP-adres (in server-logs) Gerechtvaardigd belang (art. 6.1.f): beveiliging en foutopsporing 30 dagen (Vercel access-logs)
Browser-type, OS, schermresolutie Gerechtvaardigd belang: technische werking 30 dagen (technische logs)
Session-cookies (Supabase Auth, httpOnly) Noodzakelijk voor de werking van de dienst (art. 5.52 ePrivacy-richtlijn, strikt noodzakelijke cookie-uitzondering) Duur van de sessie

Wij gebruiken geen tracking-cookies, geen Google Analytics, geen Facebook pixel, geen advertentiegerelateerde tracking en geen cross-site tracking. Daarom is er geen cookiebanner nodig; zie cookieverklaring-v1.md voor de volledige lijst cookies.

3.2 Contactopnames (e-mail, telefoon)

Gegeven Rechtsgrond Bewaartermijn
Naam, e-mailadres, telefoonnummer Uitvoering overeenkomst of gerechtvaardigd belang: om te antwoorden Tot 2 jaar na laatste contact, tenzij langer nodig voor dossier-opvolging
Inhoud van het bericht Idem Idem

3.3 Tenants (bedrijven die PonyPortaal afnemen)

Wanneer een ponymanage of paardensportbedrijf klant wordt van PonyPortaal, verwerken we:

Gegeven Rechtsgrond Bewaartermijn
Bedrijfsnaam, rechtsvorm, KBO-nummer, BTW-nummer, adres Uitvoering overeenkomst (art. 6.1.b) Duur van de overeenkomst + 7 jaar (facturatie)
Contactpersoon (naam, e-mail, telefoon) Uitvoering overeenkomst Duur van de overeenkomst + 2 jaar
DPA-acceptatie (timestamp, versie, IP, e-mail ondertekenaar) Wettelijke plicht (art. 28 AVG, bewijsvoering) Duur van de overeenkomst + 5 jaar (bewijsbaarheid)
Facturen + creditnota's (naam, adres, bedragen) Wettelijke plicht (KB 21/10/2018, WIB92 art. 315) 7 jaar vanaf factuurdatum
Bankgegevens voor eventuele terugbetalingen Uitvoering overeenkomst Duur van de overeenkomst + 7 jaar

3.4 GDPR-verzoekers

Wanneer je contact met ons opneemt om een recht uit te oefenen (inzage, verwijdering, etc.):

Gegeven Rechtsgrond Bewaartermijn
E-mailadres en inhoud van het verzoek Wettelijke plicht (art. 12 AVG) 3 jaar vanaf afhandeling (bewijsvoering)
Kopie van identiteitsbewijs (indien gevraagd ter verificatie) Wettelijke plicht (art. 12.6 AVG) Direct vernietigen na verificatie, niet bewaard

4. Met wie delen we jouw gegevens?

Wij delen je persoonsgegevens met een zeer beperkt aantal partijen:

4.1 Subverwerkers (werken in onze opdracht)

Partij Functie Datalocatie DPA
Supabase Inc. Databank-hosting, authenticatie, bestandsopslag Frankfurt (eu-central-1) Getekend
Vercel Inc. Applicatie-hosting, Edge Middleware, CDN Frankfurt (fra1), DPF-gecertificeerd Getekend
AWS SES Verzending van transactionele e-mails Frankfurt (eu-central-1) Geconfigureerd (apr 2026), DPA in ondertekening
Functional Software Inc. (Sentry) Error tracking en performance monitoring sentry.de (Duitsland) Getekend (18 apr 2026)

Deze partijen zijn contractueel verplicht om onze instructies op te volgen en je gegevens vertrouwelijk te behandelen. De actuele lijst staat altijd in subprocessor-changelog.md en wordt minimaal 30 dagen vooraf aangekondigd bij wijzigingen.

Vercel en doorgifte naar de VS: Vercel is een Amerikaans bedrijf. Hoewel onze applicatie draait op Europese datacentra in Frankfurt, routeert Vercel IP-adressen tijdelijk door Amerikaanse datacentra voor DDoS-bescherming. Vercel is DPF-gecertificeerd (EU-US Data Privacy Framework), wat betekent dat deze doorgifte onder een door de Europese Commissie erkend adequaatheidsbesluit valt. Meer info: Vercel DPF-certificering.

4.2 Zelfstandige verwerkingsverantwoordelijken (geen subverwerker)

Partij Functie Relatie
Mollie B.V. Betaalverwerking (online betalingen van eindklanten van tenants) Mollie is een zelfstandige verwerkingsverantwoordelijke voor de betalingen zelf. Zie het privacybeleid van Mollie: mollie.com/legal/privacy.

4.3 Ontvangers bij wettelijke verplichting

Wij kunnen je persoonsgegevens delen met overheidsinstanties, toezichthouders of rechterlijke instanties, uitsluitend wanneer dit wettelijk vereist is (bijvoorbeeld bij een fiscale controle, een GBA-onderzoek, of een rechterlijk bevel).

4.4 Wat we NIET doen

  • Wij verkopen geen persoonsgegevens aan derden.
  • Wij gebruiken geen gegevens voor direct marketing naar personen die geen contract met ons hebben.
  • Wij doen niet aan profiling of geautomatiseerde besluitvorming.
  • Wij dragen geen gegevens over buiten de EER, behalve zoals beschreven in 4.1 (Vercel, DPF-gecertificeerd).

5. Hoe beveiligen we je gegevens?

Wij nemen passende technische en organisatorische maatregelen conform art. 32 AVG:

Technisch:

  • HTTPS/TLS 1.3 voor alle verbindingen
  • AES-256 encryption-at-rest (Supabase-default)
  • Row Level Security (RLS) op databankniveau: tenants kunnen elkaars data niet zien
  • httpOnly cookies voor authenticatie (geen tokens in JavaScript-bereik)
  • Zod-validatie op alle input
  • Mollie API-keys encrypted met AES-256-GCM
  • Dagelijkse dependency-updates en security-patches

Organisatorisch:

  • Strict minimum access: enkel Robbe de Jonghe heeft root-toegang tot productie-infrastructuur
  • Drie verdedigingslagen: middleware → server action guards → database RLS
  • Incident-response procedure gedocumenteerd in datalek-procedure.md

6. Hoe lang bewaren we je gegevens?

Zie de bewaartermijnen per categorie in §3. In het algemeen hanteren wij de volgende principes:

  1. Niet langer dan nodig: zodra een bewaartermijn verloopt, worden gegevens geanonymiseerd of verwijderd, tenzij een wettelijke plicht dit verhindert.
  2. Wettelijke uitzonderingen: facturen bewaren we 7 jaar conform het KB van 21 oktober 2018 en het WIB92 art. 315. Je kunt ons niet vragen facturen te verwijderen; dit heeft wettelijke voorrang op het recht op vergetelheid.
  3. Technische logs: 30 dagen (access) / 3 dagen (errors) / 7 dagen (databank-logs).
  4. Backup: Supabase point-in-time recovery tot 7 dagen terug (automatische opschoning).

7. Wat zijn jouw rechten?

Onder de AVG heb je de volgende rechten:

Recht Toelichting Hoe uitoefenen
Inzage (art. 15) Een kopie opvragen van welke gegevens we over je hebben E-mail naar info@kerlinga.com
Rectificatie (art. 16) Onjuiste of onvolledige gegevens laten corrigeren Idem
Wissing (art. 17) "Recht op vergetelheid": gegevens laten verwijderen, behalve die we wettelijk moeten bewaren (facturen) Idem
Beperking (art. 18) Verwerking tijdelijk laten stoppen terwijl een geschil wordt opgelost Idem
Bezwaar (art. 21) Bezwaar maken tegen verwerkingen op basis van gerechtvaardigd belang Idem
Overdraagbaarheid (art. 20) Je gegevens in een machine-leesbaar formaat opvragen om ze bij een andere dienst te gebruiken Idem
Intrekking toestemming (art. 7.3) Een eerder gegeven toestemming intrekken (intrekking werkt niet terug) Idem

Reactietermijn

Wij reageren binnen één maand na ontvangst. Voor complexe verzoeken kunnen we die termijn met maximaal twee maanden verlengen (met motivatie). Als we niet reageren of je niet eens bent met onze beslissing, kan je klacht indienen bij de Belgische Gegevensbeschermingsautoriteit (GBA):

Gegevensbeschermingsautoriteit Drukpersstraat 35, 1000 Brussel www.gegevensbeschermingsautoriteit.be Tel: +32 2 274 48 00

Identiteitsverificatie

Om te vermijden dat iemand jouw gegevens opvraagt, vragen we in sommige gevallen om je identiteit te verifiëren. Dit kan door:

  • het verzoek te sturen vanaf het e-mailadres dat in onze systemen staat;
  • een kort videobelgesprek met ID-kaart (we slaan geen kopie op);
  • in uitzonderlijke gevallen: een scan van je ID-kaart die we direct vernietigen na verificatie (nooit opslaan).

8. Minderjarigen

PonyPortaal werkt met veel minderjarigen (kinderen die paardrijden). Wij hebben bewust gekozen voor een ontwerp waarin minderjarigen geen eigen account hebben:

  • Een kind wordt altijd toegevoegd als "deelnemer" onder de account van een ouder of voogd.
  • De ouder of voogd aanvaardt het privacybeleid van de manege namens het kind, met een expliciete checkbox ("Ik bevestig dat ik de ouder/voogd ben en geef toestemming").
  • Kerlinga communiceert nooit rechtstreeks met minderjarigen. Alle communicatie loopt via de ouder/voogd.
  • Deze aanpak sluit aan bij art. 8 AVG en art. 7 van de Belgische Kaderwet 30/07/2018 (toestemmingsleeftijd 13 jaar).

9. Cookies

Zie de volledige cookieverklaring in cookieverklaring-v1.md. In het kort: wij gebruiken alleen strikt noodzakelijke cookies (authenticatie en sessiestate). Geen tracking, geen advertenties, geen cookiebanner nodig.

10. Internationale doorgifte

Onze data wordt primair verwerkt binnen de EER, meer bepaald in Frankfurt (Duitsland). Uitzondering: Vercel routeert IP-adressen tijdelijk door Amerikaanse datacentra voor DDoS-bescherming. Vercel is DPF-gecertificeerd, waardoor deze doorgifte onder het EU-US Data Privacy Framework valt (een door de Europese Commissie erkend adequaatheidsbesluit).

11. Wijzigingen aan dit beleid

Wij kunnen dit privacybeleid op elk moment wijzigen om het actueel te houden (nieuwe diensten, wetswijzigingen, subverwerker-wijzigingen). Elke versie heeft een versienummer en een datum.

  • Materiële wijzigingen (bv. nieuwe subverwerker, nieuwe gegevens, nieuwe doeleinden): wij informeren onze tenants per e-mail en vragen hen opnieuw te aanvaarden via de forced re-consent-flow. Website-bezoekers zien de actuele versie altijd online.
  • Niet-materiële wijzigingen (typo's, verduidelijkingen): worden zonder re-consent doorgevoerd, maar wel vermeld in de changelog onderaan dit document.

12. Versie-historie

Versie Datum Wijziging
v1.0 15 april 2026 Eerste uitgifte vóór go-live

Kerlinga · Tieltsteenweg 21, 8750 Wingene · BE 0763.807.395 · info@kerlinga.com · +32 490 40 14 16