Privacybeleid
Laatst bijgewerkt: 5 mei 2026
CARDWORLD (cardworld.be) verwerkt persoonsgegevens wanneer je onze website bezoekt, een account aanmaakt, een bestelling plaatst, deelneemt aan livestreams of contact met ons opneemt. We vinden privacy belangrijk en zijn transparant over wat we doen met jouw gegevens. Dit beleid legt in heldere taal uit welke data we verzamelen, waarom, hoe lang we ze bewaren, met wie we ze delen en welke rechten jij hebt.
1. Wie zijn we?
Verwerkingsverantwoordelijke:
- CARDWORLD
- Adres: Violastraat 4, 3660 Oudsbergen, België
- KBO/BCE: 1037.470.923
- BTW: BE 1037.470.923
- E-mail privacy-vragen: hello@cardworld.be
- Telefoon: +32 498 72 76 61
We zijn niet verplicht een Data Protection Officer (DPO) aan te stellen, maar je kan altijd terecht bij hello@cardworld.be voor alle privacy-gerelateerde vragen. Vermeld dan duidelijk "Privacy" in het onderwerp.
2. Welke gegevens verzamelen we?
Wanneer je een account aanmaakt of bestelt
- Naam, e-mail, telefoonnummer
- Lever- en factuuradres
- Bestelhistoriek (welke kaarten/producten je kocht en wanneer)
- Wachtwoord (versleuteld opgeslagen, nooit leesbaar voor ons of derden)
- Eventueel je Twitch-gebruikersnaam (als je Rip & Ship besteld)
Wanneer je betaalt
- Betaalwijze (Bancontact, kaart, etc.) — verwerkt door Mollie. We zien zelf nooit je volledige kaartnummer of bankgegevens.
- Transactiebevestiging en factuurnummer
Wanneer je onze website bezoekt
- Technische gegevens: IP-adres, browser, apparaat, taal, tijdstip van bezoek
- Welke pagina's je bekijkt en hoe lang
- Cookie-gegevens (zie sectie 7 hieronder)
Wanneer je je inschrijft voor de nieuwsbrief of meedoet aan kortingsacties
- E-mailadres + datum van toestemming
- Welke e-mails je opent of waarop je klikt (om nieuwsbrieven relevanter te maken)
Wanneer je deelneemt aan een livestream (Rip & Ship)
- Belangrijk: bij Rip & Ship-bestellingen worden jouw kaarten live op stream geopend. Tijdens de stream noemen we vaak je voornaam of Twitch-gebruikersnaam. Het stream-archief blijft bij Twitch beschikbaar en kan ook als highlight op YouTube of social media verschijnen.
- Je gaat hier expliciet mee akkoord wanneer je een Rip & Ship-product bestelt.
CARDWORLD+ loyaliteitsprogramma
- Je jaarlijkse besteding wordt bijgehouden om je tier te bepalen (Explorer, Rival of Legend) en voordelen toe te kennen.
3. Waarom verwerken we deze gegevens?
We gebruiken jouw data alleen voor concrete doeleinden, en altijd op basis van een wettelijke grondslag (GDPR art. 6):
| Doel | Wettelijke grondslag |
|---|---|
| Jouw bestelling verwerken en leveren | Uitvoering van overeenkomst |
| Klantenservice + vragen beantwoorden | Uitvoering van overeenkomst |
| Boekhouding en facturatie | Wettelijke verplichting (BE fiscale wet, 7 jaar) |
| Nieuwsbrief en marketing-e-mails versturen | Toestemming (je kan op elk moment uitschrijven) |
| Vault opslag (sealed kaarten bewaren tot 3 maanden) | Uitvoering van overeenkomst |
| Live opening van Rip & Ship producten | Uitvoering van overeenkomst (jouw bestelling) |
| CARDWORLD+ loyaliteit + tier-toekenning | Toestemming bij accountregistratie |
| Site-statistieken (welke pagina's populair zijn) | Gerechtvaardigd belang (verbetering Services) |
| Fraudepreventie en accountbeveiliging | Gerechtvaardigd belang |
4. Met wie delen we jouw gegevens?
We verkopen jouw data nooit aan derden. We delen alleen wat strikt nodig is met onze partners (verwerkers) die ons helpen de webshop te runnen:
| Partner | Waarvoor | Locatie |
|---|---|---|
| Shopify Inc. | E-commerce platform, accounts, bestellingen | Canada / EU |
| Mollie B.V. | Betalingen verwerken | Nederland (EU) |
| Klaviyo, Inc. | E-mails versturen (marketing + transactioneel zoals OTP-codes en bestelbevestigingen) | VS (DPF-gecertificeerd) |
| Bpost / DPD | Pakketten leveren | EU (België) |
| Twitch Interactive (Amazon) | Livestream hosting + embedding op onze site | VS |
| Media-hosting | Foto's en video's hosten | EU |
| Google (Analytics) | Site-statistieken (geanonimiseerd) | VS (DPF-gecertificeerd) |
| Cloud hosting | Onze admin- en dashboardservers | EU |
Voor partners buiten de EU (zoals Klaviyo, Twitch, Google) gelden ofwel de EU-VS Data Privacy Framework (DPF) certificering, ofwel de Standard Contractual Clauses van de Europese Commissie. Zo ben jij beschermd door GDPR-niveau garanties, ook als data buiten Europa wordt verwerkt.
We delen ook gegevens met overheidsinstanties als we daartoe wettelijk verplicht zijn (bijvoorbeeld bij een gerechtelijk bevel).
5. Hoe lang bewaren we je gegevens?
- Bestellingen en facturen: 7 jaar (Belgische fiscale verplichting)
- Klantaccount: zolang je actief bent. Bij 3 jaar inactiviteit anonimiseren we automatisch je profiel.
- Nieuwsbrief inschrijving: tot je je uitschrijft (1 klik in elke e-mail)
- Vault-bestellingen: 3 maanden gratis opslag, daarna automatische verzending of verlenging
- Gepersonaliseerde media (audio/video met je voornaam): bewaard zolang je account actief is, automatisch verwijderd bij accountverwijdering of op verzoek
- Server-logs: 90 dagen voor debugging en security
- Klantenservice-conversaties: 2 jaar
6. Beveiliging
We nemen jouw data-beveiliging serieus:
- Alle verbindingen via HTTPS (TLS-versleuteling)
- Wachtwoorden opgeslagen met scrypt-hashing — wij kennen je wachtwoord nooit
- Twee-factor authenticatie beschikbaar voor admin-accounts
- Beperkte toegang: enkel bevoegde medewerkers kunnen bij klantgegevens, met audit-logs van elke handeling
- Regelmatige security-audits van onze infrastructuur
Toch kunnen we 100% veiligheid niet garanderen. Bij een datalek dat een hoog risico voor jou inhoudt, verwittigen we jou en de Belgische Gegevensbeschermingsautoriteit (GBA) binnen 72 uur, conform GDPR art. 33-34.
7. Cookies en trackingtechnologieën
Wanneer je onze site bezoekt, plaatsen we cookies (kleine tekstbestanden) op je apparaat. Sommige zijn essentieel (login, winkelwagen), andere zijn voor statistieken of marketing.
Bij je eerste bezoek krijg je een cookie-toestemmingsbanner waarin je kan kiezen welke categorieën je accepteert. Je kan je keuze altijd later aanpassen.
Belangrijke vermelding: Twitch livestreams
Onze homepage en livestream-pagina's bevatten een ingebedde Twitch-speler. Wanneer deze speler laadt, kan Twitch (Amazon) eigen cookies plaatsen om je kijk-ervaring te personaliseren en hun eigen statistieken bij te houden. Wij hebben geen controle over deze cookies. Wil je deze vermijden? Bekijk dan de Twitch-content niet of gebruik je browser's "do not track"-instelling.
Lees Twitch's privacybeleid hier: twitch.tv/p/legal/privacy-notice
8. Marketingcommunicatie
Bij accountregistratie of via een aparte inschrijving kan je toestemming geven om commerciële e-mails van CARDWORLD te ontvangen (drops, kortingen, restock alerts, exclusieve deals).
- Je toestemming is volledig vrijwillig
- Je kan je op elk moment uitschrijven via de link onderaan elke marketing-e-mail of door te mailen naar hello@cardworld.be
- Transactionele e-mails (bestelbevestiging, OTP-codes voor verzending, factuur) krijg je altijd, ongeacht je marketingvoorkeur, omdat ze nodig zijn voor de uitvoering van je bestelling
9. Jouw rechten onder GDPR
Je hebt onderstaande rechten met betrekking tot jouw persoonsgegevens. Voor elk verzoek kan je mailen naar hello@cardworld.be met "Privacy" in het onderwerp. We antwoorden binnen 30 dagen (gratis):
- Recht op inzage: opvragen welke data we van jou hebben
- Recht op rectificatie: incorrecte data laten verbeteren (kan ook zelf via je accountinstellingen)
- Recht op verwijdering ("right to be forgotten"): je vraagt ons jouw data te verwijderen. We doen dit, behalve waar wij wettelijk verplicht zijn data te bewaren (bv. facturen)
- Recht op beperking: tijdelijk de verwerking van jouw data laten pauzeren
- Recht op dataportabiliteit: je krijgt een export van je data in een leesbaar formaat (JSON of CSV) zodat je ze kan meenemen naar een andere dienst
- Recht op bezwaar: bezwaar maken tegen verwerking op basis van gerechtvaardigd belang of voor direct marketing
- Recht op intrekking toestemming: waar verwerking op toestemming gebaseerd is, kan je deze altijd intrekken
Klacht indienen
Niet tevreden over hoe wij met jouw data omgaan? Probeer eerst rechtstreeks bij ons (we lossen het meestal op binnen 1 werkdag). Lukt dat niet, dan kan je een klacht indienen bij de Belgische toezichthouder:
Gegevensbeschermingsautoriteit (GBA)
Drukpersstraat 35, 1000 Brussel
Tel: +32 (0)2 274 48 00
E-mail: contact@apd-gba.be
Website: www.gegevensbeschermingsautoriteit.be
10. Geautomatiseerde besluitvorming
We gebruiken geen volledig geautomatiseerde besluitvorming met juridische gevolgen. CARDWORLD+ tier-toekenning gebeurt automatisch op basis van jouw aankoopbesteding, maar je kan altijd handmatig contact opnemen voor herziening.
11. Kinderen onder 13
Trading card games zijn populair bij minderjarigen, maar onze webshop richt zich op gebruikers van 13 jaar en ouder. We verzamelen niet bewust persoonsgegevens van kinderen onder de 13 jaar zonder ouderlijke toestemming.
Vermoed je dat een kind < 13 jaar een account bij ons heeft, mail dan naar hello@cardworld.be en we verwijderen het zo snel mogelijk.
12. Internationale geschillen (ODR-platform)
Heb je een geschil over een online aankoop? De Europese Commissie biedt een online geschillenbeslechtingsplatform: ec.europa.eu/consumers/odr
13. Wijzigingen aan dit privacybeleid
We kunnen dit beleid aanpassen wanneer onze diensten of de wetgeving wijzigen. Bij belangrijke wijzigingen verwittigen we je via e-mail (als je een account hebt) of via een banner op de website. De datum bovenaan ("Laatst bijgewerkt") toont altijd de meest recente versie.
14. Contact
Vragen, klachten of verzoeken? Mail ons op hello@cardworld.be met "Privacy" in het onderwerp, of bel +32 498 72 76 61.
CARDWORLD
Violastraat 4
3660 Oudsbergen
België
Vragen over dit beleid? Neem contact op via hello@cardworld.be