Privacybeleid

Laatst bijgewerkt: 25 mei 2026

Inleiding

Dit Privacybeleid legt uit hoe Tarotly (“Tarotly”, “wij”, “ons” of “onze”) persoonsgegevens verzamelt, gebruikt en beschermt wanneer je de mobiele Tarotly-applicatie (“App”) of onze website op tarotly4you.com gebruikt. We hebben dit beleid opgesteld om te voldoen aan de Algemene verordening gegevensbescherming van de EU (AVG), de UK GDPR, de California Consumer Privacy Act (CCPA/CPRA) en de privacyvereisten van de Apple App Store en Google Play.

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke voor de verwerking van je persoonsgegevens is:

• Rechtspersoon: Tanael S.à r.l.
• Postadres: 19 Rue de l’Industrie, L-8069 Bertrange, Luxemburg
• Handelsregister: RCS Luxembourg B169689
• Btw-identificatienummer: LU27601728
• Algemeen contact: support@tarotly4you.com
• Privacycontact: privacy@tarotly4you.com
• EU-vertegenwoordiger: Niet vereist — Tanael S.à r.l. is gevestigd in de EU (Luxemburg).

Informatie die wij verzamelen

Informatie die jij verstrekt

• Accountinformatie: Wanneer je een account aanmaakt, verzamelen wij je e-mailadres en de door jou gekozen weergavenaam. Als je inlogt met Google of Apple, ontvangen we ook de basisprofielgegevens die de aanbieder aan ons teruggeeft (je e-mailadres, naam en, als je ervoor kiest die te delen, je profielfoto).
• Leesgegevens: Wanneer je een legging trekt, verwerken wij de gekozen legging, de kaartposities en eventuele optionele invoer die je verstrekt (focusvraag, interpretatiemodus). Als je ervoor kiest de lezing op te slaan, bewaren wij de getrokken kaarten, de gebruikte legging, de door AI gegenereerde interpretatie en elke journaalnotitie die je toevoegt.
• Droominhoud (Droomlegging / Droomdagboek): Als je de Droomlegging of het Droomdagboek gebruikt, kun je de tekst van een droom invoeren (tot 3.000 tekens). Voor Premium-gebruikers wordt deze inhoud opgeslagen in het Droomdagboek zodat je die later opnieuw kunt bekijken; voor niet-Premium-gebruikers wordt de inhoud alleen verwerkt om de lezing te genereren en niet op onze servers opgeslagen.
• Compatibiliteitsgegevens: Als je de Compatibiliteitslegging gebruikt, kun je de voornaam van een andere persoon en optioneel de geboortedatum invoeren. Je bevestigt dat je toestemming van die persoon hebt om deze informatie met ons en onze AI-aanbieder te delen. Wij slaan deze gegevens niet op onze servers op — ze worden alleen verwerkt om de lezing te genereren.
• Voorkeuren en instellingen: Je interpretatiemodus, deckkeuze, thema, taal, tijdstip voor de dagelijkse herinnering en opt-in voor het wekelijkse overzicht worden bij je account opgeslagen zodat ze tussen apparaten kunnen worden gesynchroniseerd.
• Communicatie: Als je per e-mail contact met ons opneemt, bewaren wij het bericht en eventuele bijlagen om je verzoek af te handelen en als bewijs van ons antwoord.

Automatisch verzamelde informatie

• Apparaatinformatie: Apparaattype, versie van het besturingssysteem, app-versie, taal en tijdzone.
• Gebruiksgegevens: Schermweergaven, interacties met functies en je niveau (gratis, geregistreerd, Premium). Wanneer je bent ingelogd, worden deze gegevens gekoppeld aan de gebruikers-ID van je account; wanneer je bent uitgelogd, gebeurt dat niet.
• Crash- en diagnostische gegevens: Als de App crasht, verzamelt onze crashrapportagetool (Sentry) een stacktrace, apparaat- en OS-informatie, app-versie en, wanneer je bent ingelogd, je gebruikers-ID en e-mailadres zodat wij het probleem kunnen reproduceren.
• Serverlogs: Onze API registreert IP-adressen, user-agentstrings en tijdstempels van verzoeken voor beveiliging, misbruikpreventie en rate limiting. Logs worden maximaal 30 dagen bewaard.
• Aankoop- en abonnementsgegevens: Wanneer je Premium koopt, ontvangt onze aankoopverwerker (RevenueCat) een aan het apparaat gekoppelde aankoop-ID, het gekochte product en de status van je rechten. Wij zien je volledige betaalkaartnummer of store-accountgegevens niet — die blijven bij Apple of Google.

Hoe wij jouw informatie gebruiken

Wij gebruiken de informatie die wij verzamelen om:

• De Tarotly-App en de functies daarvan te leveren en te onderhouden (account, synchronisatie, generatie van lezingen, dagboek, geschiedenis).
• AI-gestuurde tarotinterpretaties te genereren via onze AI-aanbieder.
• Abonnementsaankopen en rechten te verwerken en te verifiëren.
• Crashes te diagnosticeren, misbruik te voorkomen en de dienst veilig te houden.
• De e-mail met het wekelijkse overzicht te sturen als je die expliciet hebt ingeschakeld (Premium opt-in).
• Lokale meldingen voor de Dagkaart-herinnering te tonen als je die hebt ingeschakeld.
• Met je te communiceren over belangrijke wijzigingen in de dienst of deze voorwaarden.
• Onze wettelijke verplichtingen na te komen (bijvoorbeeld boekhouding en reageren op rechtmatige verzoeken).

Rechtsgronden voor verwerking (EU/UK AVG)

Als je je in de EU, de EER, het Verenigd Koninkrijk of Zwitserland bevindt, baseren wij ons op de volgende rechtsgronden onder artikel 6, lid 1 AVG:

• Uitvoering van een overeenkomst — art. 6 lid 1 sub b: Om de App te leveren, lezingen te genereren, accountgebonden inhoud op te slaan en Premium-aankopen te verwerken.
• Toestemming — art. 6 lid 1 sub a: Voor Firebase Analytics (waar lokale wetgeving dit vereist), voor de opt-in voor het wekelijkse overzicht per e-mail en voor pushmeldingen. Je kunt je toestemming op elk moment intrekken.
• Gerechtvaardigde belangen — art. 6 lid 1 sub f: Voor crashrapportage, rate limiting tegen misbruik en productanalyses die op cohortniveau zijn geaggregeerd. Ons gerechtvaardigd belang is de dienst betrouwbaar, veilig en voortdurend beter te houden. Je kunt op elk moment bezwaar maken tegen deze verwerking.
• Wettelijke verplichting — art. 6 lid 1 sub c: Voor het bewaren van gegevens die door belastingwetgeving vereist zijn en voor het reageren op rechtmatige verzoeken van autoriteiten.

Diensten van derden en subverwerkers

Subverwerkers die wij gebruiken

Wij vertrouwen op de volgende subverwerkers om Tarotly te exploiteren. Elk van hen is gebonden aan een verwerkersovereenkomst met passende waarborgen voor internationale doorgiften (waar van toepassing standaardcontractbepalingen).

• Google Cloud Platform (Firebase Auth, Firestore, Cloud Run, Firebase Analytics): Host de API, de gebruikersdatabase, authenticatie en analytics. De backend wordt gehost in europe-west1 (België). Uitgevoerd door Google LLC (VS) / Google Ireland Limited (EU). Privacybeleid: https://policies.google.com/privacy.
• OpenAI, L.L.C. (VS): Genereert de AI-tarotinterpretaties. Wij sturen alleen wat nodig is om de lezing te genereren: de gekozen legging, kaartposities, je interpretatiemodus en eventuele optionele vraag, droomtekst of compatibiliteitsgegevens die je hebt verstrekt. Volgens het beleid van OpenAI voor API-gegevensgebruik wordt inhoud die via de API wordt verzonden niet gebruikt om OpenAI-modellen te trainen. Privacybeleid: https://openai.com/policies/privacy-policy.
• RevenueCat, Inc. (VS): Beheert abonnementsstatus en rechten voor aankopen in de App Store en Google Play. Privacybeleid: https://www.revenuecat.com/privacy.
• Functional Software, Inc. dba Sentry (EU-regio: de.sentry.io): Crash- en foutrapportage. De Sentry-gegevens van Tarotly bevinden zich in de EU (Duitsland). Privacybeleid: https://sentry.io/privacy/.
• Amazon Web Services, Inc. (Amazon SES, regio Stockholm): Levert transactionele e-mails en wekelijkse overzichten. AWS SES wordt uitgevoerd vanuit eu-north-1 (Stockholm). Privacybeleid: https://aws.amazon.com/privacy/.
• Apple, Inc. (VS) / Google LLC (VS): Verwerken aankopen in de App Store en Google Play. Wij ontvangen je betaalgegevens niet. Apple: https://www.apple.com/legal/privacy/. Google: https://policies.google.com/privacy.

AI-interpretaties (OpenAI)

Wij gebruiken de API van OpenAI om tarotinterpretaties te genereren. De invoer die naar OpenAI wordt gestuurd omvat de gekozen legging, de kaartposities, de interpretatiemodus en eventuele vrije tekst die je optioneel hebt verstrekt (focusvraag, droomtekst, namen/geboortedata voor compatibiliteit). Wij sturen je naam, e-mailadres of account-ID niet mee met het verzoek. Lees voor meer informatie over hoe OpenAI API-gegevens behandelt het privacybeleid van OpenAI.

Belangrijk: volgens het beleid van OpenAI voor API-gegevensgebruik wordt inhoud die via de API wordt ingediend niet gebruikt om de modellen van OpenAI te trainen. Wij gebruiken je lezingen, dromen of dagboeknotities ook niet om enig AI-model te trainen, niet dat van ons en niet dat van derden.

Analyse (Firebase Analytics)

Wij gebruiken Firebase Analytics om te begrijpen welke schermen worden gebruikt en hoe de App presteert. Wanneer je bent ingelogd, worden schermweergaven gekoppeld aan de gebruikers-ID van je account zodat wij geaggregeerde gebruiksstatistieken kunnen maken; wanneer je bent uitgelogd, wordt er geen gebruikers-ID toegevoegd. Wij delen Firebase Analytics-gegevens niet met derden voor advertenties en gebruiken ze niet om profielen over jou te maken. Als je liever niet gemeten wordt, kun je je afmelden via de OS-instelling “Beperk advertentietracking” / Google Analytics opt-out, of door de App te verwijderen.

Crashrapportage (Sentry)

Wanneer de App crasht of een niet-afgevangen fout tegenkomt, verzamelt Sentry een stacktrace, het apparaatmodel, de versie van het besturingssysteem, de app-versie en, wanneer je bent ingelogd, je gebruikers-ID en e-mailadres zodat wij indien nodig contact met je kunnen opnemen. De Sentry-gegevens van Tarotly worden opgeslagen in de EU-instantie van Sentry (de.sentry.io). De gegevens worden bewaard gedurende de periode die het Sentry-abonnement voorschrijft, doorgaans 90 dagen, en daarna automatisch verwijderd.

Meldingen en e-mail

De Dagkaart-herinnering is een lokale melding die op je apparaat is gepland — wij sturen die niet vanaf onze servers. De e-mail met het wekelijkse overzicht (Premium) wordt alleen verstuurd nadat je die optie hebt ingeschakeld, en elke e-mail bevat een uitschrijflink met één klik, zoals vereist door anti-spamwetgeving in de EU/VS. Je kunt de herinnering en het overzicht op elk moment uitschakelen in het Profiel-scherm.

Gegevensopslag en beveiliging

• Accountgebonden gegevens (profiel, lezingen, dagkaarten, droomdagboek, instellingen) worden opgeslagen in Firebase Firestore in de regio europe-west1 (België) en versleuteld tijdens transport en in rust.
• Lezingen die zonder account worden gedaan blijven alleen op je apparaat en worden nooit aan een account gekoppeld. De kaartposities en eventuele optionele tekstvelden worden tijdens het verzoek nog steeds naar onze AI-aanbieder gestuurd, maar worden niet op onze servers opgeslagen.
• Verkeer tussen de App en onze servers wordt beschermd met TLS 1.2 of hoger.
• Toegang tot productiegegevens is beperkt tot geautoriseerde beheerders en wordt gecontroleerd.
• Wij implementeren passende technische en organisatorische maatregelen om je gegevens te beschermen, waaronder toegangscontroles met minimale privileges, versleutelde back-ups en regelmatige beveiligingsbeoordelingen van onze afhankelijkheden.

Hoelang wij je gegevens bewaren

Wij bewaren persoonsgegevens alleen zolang dat nodig is voor de doeleinden die in dit Beleid worden beschreven.

• Accountprofiel: Gedurende de levensduur van het account. Wanneer je je account verwijdert, wissen wij het binnen 30 dagen, behalve gegevens die wij wettelijk moeten bewaren.
• Lezingen, dagkaarten, droomdagboekitems: Gratis en geregistreerde gebruikers: alleen de laatste 30 dagen worden op onze servers bewaard. Premium-gebruikers: bewaard totdat je de lezing of het account verwijdert. Verwijderd samen met het account.
• Serverlogs (Cloud Run): Tot 30 dagen, daarna automatisch verwijderd.
• Crashrapporten (Sentry): Gewoonlijk 90 dagen vanaf verzameling, daarna automatisch verwijderd door Sentry.
• E-mailbezorglogs (AWS SES): Bounce- en klachtlogs tot 12 maanden om aan anti-spamverplichtingen te voldoen.
• Aankoopgegevens: Tot 10 jaar wanneer belastingwetgeving in ons vestigingsland dit vereist.
• Compatibiliteitsgegevens (namen / geboortedata van derden): Niet opgeslagen. Alleen gebruikt om de lezing te genereren en onmiddellijk daarna verwijderd.

Internationale gegevensdoorgiften

Sommige van onze subverwerkers zijn buiten de EU/EER gevestigd, met name in de Verenigde Staten (OpenAI, RevenueCat, Apple, Google). Wanneer persoonsgegevens buiten de EU/EER worden doorgegeven, vertrouwen wij op de standaardcontractbepalingen van de Europese Commissie en, waar beschikbaar, het EU-VS Data Privacy Framework, samen met aanvullende technische en contractuele waarborgen. Je kunt een kopie van de geldende waarborgen aanvragen via privacy@tarotly4you.com.

Gevoelige gegevens (dromen, compatibiliteit)

Droominhoud en compatibiliteitsgegevens kunnen incidenteel gevoelige aspecten van jouw leven of dat van een andere persoon onthullen (bijvoorbeeld emotionele toestand, relaties, overtuigingen). Wij verwerken deze inhoud alleen om de door jou gevraagde lezing te leveren en, voor Premium-items in het Droomdagboek, om die in je account op te slaan zodat je die later kunt bekijken. Wij analyseren deze inhoud niet voor andere doeleinden, delen die niet met adverteerders en gebruiken die niet om AI-modellen te trainen. Als je informatie over een andere persoon invoert (bijvoorbeeld een compatibiliteitspartner), bevestig je dat je toestemming van die persoon hebt om deze informatie met ons te delen.

Jouw rechten

Afhankelijk van waar je woont, heb je de volgende rechten met betrekking tot je persoonsgegevens:

• Inzage krijgen in de persoonsgegevens die wij over jou bewaren (art. 15 AVG).
• Correctie van onjuiste gegevens verzoeken (art. 16).
• Verwijdering van je gegevens verzoeken (art. 17, “recht op vergetelheid”).
• De verwerking op basis van onze gerechtvaardigde belangen beperken of daartegen bezwaar maken (art. 18 en 21).
• Je gegevens in een overdraagbaar formaat ontvangen en aan een andere verwerkingsverantwoordelijke doorgeven (art. 20).
• Je toestemming op elk moment intrekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking vóór de intrekking (art. 7 lid 3).
• Niet worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit dat rechtsgevolgen heeft (art. 22). Opmerking: Tarotly-lezingen worden door AI gegenereerd voor vermaak en hebben geen juridische of vergelijkbare significante gevolgen.

Om deze rechten uit te oefenen, neem contact met ons op via privacy@tarotly4you.com. Wij reageren binnen 30 dagen.

Recht om een klacht in te dienen

Als je van mening bent dat onze verwerking van je persoonsgegevens in strijd is met de AVG, heb je het recht een klacht in te dienen bij een toezichthoudende autoriteit — met name de autoriteit in de EU/EER-lidstaat waar je woont, werkt of waar de vermeende inbreuk heeft plaatsgevonden. Onze leidende toezichthoudende autoriteit is de Commission nationale pour la protection des données (CNPD), 15 Boulevard du Jazz, L-4370 Belvaux, Luxemburg — https://cnpd.public.lu.

Je account verwijderen

Je kunt je account en alle bijbehorende persoonsgegevens rechtstreeks in de App verwijderen: Profiel → Account verwijderen. Na bevestiging worden je account, lezingen, dagkaarten, droomdagboekitems en voorkeuren binnen 30 dagen definitief verwijderd. Gecachte kopieën in versleutelde back-ups worden automatisch binnen 90 dagen verwijderd. Als je de App niet kunt gebruiken (bijvoorbeeld omdat je die hebt verwijderd), kun je verwijdering aanvragen via ons openbare webformulier:

https://tarotly4you.com/nl/account/delete

Privacy van kinderen

Tarotly is niet bedoeld voor gebruikers jonger dan 16 jaar in de EU/EER, of jonger dan 13 jaar in rechtsgebieden waar 13 de leeftijd voor digitale toestemming is (waaronder de Verenigde Staten onder COPPA). Wij verzamelen niet bewust persoonsgegevens van kinderen onder de toepasselijke leeftijd. Als je denkt dat een kind ons persoonsgegevens heeft verstrekt, neem dan contact op via privacy@tarotly4you.com en wij verwijderen die gegevens.

Inwoners van Californië (CCPA/CPRA)

Als je inwoner van Californië bent, heb je het recht te weten welke persoonlijke informatie wij verzamelen, verwijdering te verzoeken, onjuiste informatie te corrigeren, je af te melden voor de “verkoop” of “deling” van persoonlijke informatie voor cross-context gedragsgerichte advertenties en ons gebruik van gevoelige persoonlijke informatie te beperken. Wij verkopen of delen geen persoonlijke informatie voor cross-context gedragsgerichte advertenties en gebruiken gevoelige persoonlijke informatie niet voor andere doeleinden dan het leveren van de dienst. Om deze rechten uit te oefenen, neem contact op via privacy@tarotly4you.com.

Cookies (website)

Onze website (tarotly4you.com) gebruikt alleen strikt noodzakelijke cookies en lokale opslag om je taalvoorkeur te onthouden en de navigatie te laten werken. Wij plaatsen geen advertentie- of trackingcookies van derden op de website. De mobiele Tarotly-App gebruikt geen browsercookies, maar gebruikt Firebase-identificatoren zoals hierboven beschreven.

Wijzigingen in dit beleid

Wij kunnen dit Privacybeleid periodiek bijwerken. Als een wijziging wezenlijk is (bijvoorbeeld een nieuwe subverwerker of een nieuwe categorie persoonsgegevens), stellen wij geregistreerde gebruikers ten minste 30 dagen vóór de inwerkingtreding op de hoogte via een banner in de app en per e-mail. De datum “Laatst bijgewerkt” bovenaan dit Beleid is altijd actueel.

Neem contact op

Als je vragen hebt over dit Privacybeleid of je rechten wilt uitoefenen, neem dan contact met ons op via:

• E-mail: privacy@tarotly4you.com