Versie: 20-01-2026 · Versienummer: 1.0

E-mail: legal@mijnmandje.nl

1. Toepassingsgebied

Deze verklaring geldt voor het gebruik van de Mandje-app en aanverwante webpagina’s onder mijnmandje.nl, inclusief gedeelde boodschappenlijsten en eventuele API-diensten. Mandje (“Mandje”, “wij”, “ons”) is de verwerkingsverantwoordelijke in de zin van de AVG en verantwoordelijk voor de verwerking van persoonsgegevens binnen deze diensten.

2. Categorieën gebruikers en gegevens

2.1 Niet-ingelogde gebruikers

Bij gebruik zonder account kan Mandje automatisch technische gegevens verzamelen, waaronder IP-adres, apparaat- of installatie-ID, besturingssysteemversie, crash-logs, push-token, netwerk- en verbindingsgegevens, taal- en landinstellingen en gebruiksstatistieken (zoals gedragsanalyse).

2.2 Ingelogde gebruikers

Bij registratie (via Apple, Google of e-mail) verwerkt Mandje naam, e-mailadres en een authenticatie-ID. Indien beschikbaar kan aanvullende profielinformatie van Apple of Google worden ontvangen, zoals profielnaam of avatar. Daarnaast worden voorkeuren, favorieten, opgeslagen lijsten, loyaliteitskaarten en instellingen aan het account gekoppeld om een persoonlijke ervaring mogelijk te maken en gegevens te synchroniseren tussen apparaten.

2.3 Loyaliteitskaarten & Wallet-passen

Loyaliteitskaarten of Wallet-passen kunnen door de gebruiker worden toegevoegd of standaard door Mandje worden aangeboden. Deze tonen winkel- en kaartinformatie, waaronder barcodes die door de gebruiker zijn ingevoerd of door Mandje vooraf zijn gegenereerd op basis van openbare winkelgegevens. Er worden geen realtime punten- of transactiegegevens opgehaald. Kaartgegevens en barcodes worden lokaal op het apparaat opgeslagen. Er wordt geen aanvullende encryptie toegepast. Synchronisatie tussen apparaten kan in een toekomstige versie worden toegevoegd.

3. Doeleinden en rechtsgronden (AVG art. 6)

Mandje verwerkt persoonsgegevens uitsluitend voor specifieke doeleinden en op basis van geldige rechtsgronden:

• App-functionaliteit en beveiliging: uitvoering van de overeenkomst (sessietokens, API-communicatie, caching).

• Accountlogin en synchronisatie: uitvoering van de overeenkomst (Supabase-authenticatie, favorieten).

• Analytics en prestatiemeting: toestemming (PostHog, uitsluitend bij opt-in).

• Pushmeldingen: toestemming (Expo push notifications, systeempermissie vereist).

• Fout- en crashmonitoring: gerechtvaardigd belang (Sentry).

• Loyaliteitskaart-opslag: toestemming (barcodes lokaal; kaarttype alleen bij opt-in naar analytics).

• Geanonimiseerde data-analyse: gerechtvaardigd belang (productverbetering).

• Wettelijke verplichtingen: wettelijke grondslag (bewaartermijnen, fraudepreventie, meldplicht datalekken).
  
  
  

4. Cookies & tracking

4.1 Consent-niveaus

Bij eerste gebruik verschijnt een cookie-banner. Beschikbare niveaus zijn: Essentieel (vereist) voor werking en beveiliging, Analytics (opt-in) voor statistieken en verbetering, en Marketing (opt-in) voor personalisatie of advertentie-SDK’s. Gebruikers kunnen volledige, gedeeltelijke of minimale toestemming geven. De keuze wordt 12 maanden opgeslagen of tot het resetten van de app-cache.

4.2 Essentiële opslag

Essentiële opslag omvat sessietokens en authenticatie (tot uitloggen of sessie-expiratie), beveiliging en antifraude (tot uitloggen), opslag van toestemmingsstatus (permanent) en tijdelijke caching voor performance (24 uur).

4.3 Analytics (op toestemming)

Indien analytics is ingeschakeld gebruikt Mandje PostHog voor gebruiks- en prestatieanalyse. Analytische gegevens worden maximaal 12 maanden bewaard.

4.4 Marketing / tracking

Mandje gebruikt momenteel geen marketing- of tracking-SDK’s. Bij wijziging wordt deze verklaring aangepast.

5. Verwerkers en doorgifte buiten de EER

Mandje maakt gebruik van externe dienstverleners: Supabase (authenticatie en database, EU Frankfurt), AWS (backend API, EU Frankfurt), PostHog (analytics, EU), Sentry (crash- en foutanalyse, EU) en Expo (pushmeldingen, VS). Voor Expo worden standaard contractbepalingen (SCC’s) en/of het EU-US Data Privacy Framework (DPF) toegepast. Mandje verkoopt of verhuurt geen persoonsgegevens. Alleen geanonimiseerde inzichten kunnen worden gedeeld voor statistische doeleinden.

6. Beveiliging

Mandje past passende technische en organisatorische maatregelen toe, waaronder encryptie tijdens transport (TLS 1.2+), encryptie van opgeslagen gegevens (Supabase AES-256 en OS-niveau), JWT-authenticatie, role-based access control, strikte tokenvalidatie met korte timeouts en automatische refresh, en gestructureerde logging via Sentry. Datalekken worden binnen 72 uur gemeld aan de Autoriteit Persoonsgegevens en, indien vereist, aan betrokkenen.

7. Bewaartermijnen & verwijdering

Persoonsgegevens worden niet langer bewaard dan noodzakelijk. Accountgegevens, favorieten en lijsten worden bewaard zolang het account actief is. Analytische gegevens maximaal 12 maanden. Lokale app-opslag tot uitloggen of verwijderen van de app. Inactieve accounts worden verwijderd na 24 maanden zonder activiteit. Bij accountverwijdering worden het Supabase-account, lokale opslag en analytische identificatie direct gewist. Server-side logbestanden voor beveiliging en fraude worden maximaal 90 dagen bewaard.

8. Rechten van betrokkenen

Gebruikers hebben recht op inzage, rectificatie, verwijdering, beperking van verwerking, gegevensoverdraagbaarheid, bezwaar en intrekking van toestemming. Verzoeken kunnen worden ingediend via legal@mijnmandje.nl en worden binnen 30 dagen afgehandeld. Er vindt geen geautomatiseerde besluitvorming of profilering plaats.

9. Minderjarigen

Mandje is bedoeld voor een algemeen publiek en verzamelt niet bewust gegevens van personen jonger dan 16 jaar. Ouders wordt geadviseerd toezicht te houden (NIX18).

10. Alcohol / leeftijdsgebonden inhoud

Mandje kan prijs- of promotie-informatie tonen van alcoholhoudende producten. Deze informatie is uitsluitend informatief. Mandje verwerkt geen gegevens over consumptie of koopgedrag.

11. Contact & toezicht

Voor vragen of klachten: legal@mijnmandje.nl. U heeft het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl).

12. Wijzigingen

Mandje kan deze verklaring wijzigen. Bij wezenlijke wijzigingen worden gebruikers geïnformeerd via de app of website. Laatste herziening: 21-01-2026.

Consumentvriendelijke samenvatting

Mandje gebruikt alleen gegevens die nodig zijn voor werking en verbetering van de app. Analytics gebeurt uitsluitend met toestemming. Persoonsgegevens worden nooit verkocht. Gegevens worden waar mogelijk geanonimiseerd. Mandje toont prijsinformatie (soms alcohol), maar verwerkt geen leeftijds- of consumptiedata. Cookiekeuzes: Essentieel, Analytics en Marketing (momenteel niet actief). Instellingen zijn altijd aanpasbaar via Instellingen > Cookie-instellingen. Vragen of klachten: legal@mijnmandje.nl.