StudInk — bedrukte LEGO blokjes
GDPR

GDPR-beleid

1. Toepassingsgebied

Dit GDPR-beleid beschrijft hoe StudInk persoonsgegevens verwerkt in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR — Verordening (EU) 2016/679) en de Belgische Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. Het is een aanvulling op ons privacybeleid.

2. Verwerkingsverantwoordelijke

StudInk · KBO 0734.894.071 · BTW BE0734.894.071 · Herkdal 16, 3570 Alken, België · info@studink.io · +32 497 86 88 03. Voor alle vragen over gegevensbescherming kan je terecht op info@studink.io.

3. Doeleinden en rechtsgronden

We verwerken persoonsgegevens enkel voor specifieke, expliciete en legitieme doeleinden, telkens op basis van een wettelijke grondslag uit artikel 6 GDPR:

  • Uitvoering van je bestelling: productie, levering, facturatie en klantenservice — rechtsgrond: uitvoering overeenkomst (art. 6.1.b).
  • Boekhoudkundige en fiscale verplichtingen: bewaren van facturen en BTW-administratie — rechtsgrond: wettelijke verplichting (art. 6.1.c).
  • Beantwoorden van vragen via contactformulier of e-mail — rechtsgrond: gerechtvaardigd belang (art. 6.1.f).
  • Analytische en marketingcookies (Google Analytics, Google Ads) — rechtsgrond: toestemming (art. 6.1.a).
  • Beveiliging van de site en fraudepreventie — rechtsgrond: gerechtvaardigd belang (art. 6.1.f).

4. Bewaartermijnen

  • Bestelgegevens en facturen: 7 jaar (wettelijke bewaartermijn boekhouding).
  • Klantcontact en supporttickets: 2 jaar na het laatste contact.
  • Cookietoestemming: maximaal 12 maanden, daarna vragen we je opnieuw.
  • Loggegevens (IP, browsertype) voor beveiliging: 12 maanden.
  • Marketinggegevens (enkel met toestemming): tot intrekking van je toestemming.

5. Ontvangers en verwerkers

We delen je gegevens enkel met de strikt noodzakelijke verwerkers, telkens onder een verwerkersovereenkomst conform artikel 28 GDPR:

  • Stripe (betalingsverwerking) — Ierland/VS, met EU Standard Contractual Clauses.
  • bpost / DPD of vergelijkbaar (verzending) — EU.
  • Resend (transactionele e-mails) — VS, met EU Standard Contractual Clauses.
  • Cloudflare / hostingprovider (technische infrastructuur) — EU.
  • Supabase (databank en authenticatie) — EU-regio.
  • Google (Analytics & Ads, enkel met toestemming) — Ierland/VS, met EU Standard Contractual Clauses.

We verkopen je gegevens nooit aan derden. Bij doorgifte buiten de EER zorgen we voor passende waarborgen (Standard Contractual Clauses van de Europese Commissie).

6. Beveiliging

We nemen passende technische en organisatorische maatregelen om je gegevens te beschermen tegen ongeoorloofde toegang, verlies of misbruik: versleutelde verbindingen (HTTPS/TLS), versleutelde wachtwoordopslag, beperkte toegang op need-to-know basis, regelmatige back-ups en updates. Bij een datalek dat een hoog risico voor jouw rechten en vrijheden inhoudt, brengen we je en de Gegevensbeschermingsautoriteit binnen 72 uur op de hoogte (art. 33-34 GDPR).

7. Je rechten als betrokkene

Als betrokkene heb je onder de GDPR de volgende rechten, die je kosteloos kan uitoefenen:

  • Recht op informatie en inzage (art. 13-15 GDPR).
  • Recht op verbetering van onjuiste of onvolledige gegevens (art. 16).
  • Recht op verwijdering ('recht om vergeten te worden') wanneer de verwerking niet langer noodzakelijk is (art. 17).
  • Recht op beperking van de verwerking (art. 18).
  • Recht op overdraagbaarheid van je gegevens in een gestructureerd, gangbaar formaat (art. 20).
  • Recht van bezwaar tegen verwerking op basis van gerechtvaardigd belang of direct marketing (art. 21).
  • Recht om je toestemming op elk moment in te trekken, zonder gevolgen voor de rechtmatigheid van eerdere verwerking (art. 7.3).
  • Recht om niet te worden onderworpen aan uitsluitend geautomatiseerde besluitvorming (art. 22) — wij doen dit niet.
  • Recht om klacht in te dienen bij de Belgische Gegevensbeschermingsautoriteit (gegevensbeschermingsautoriteit.be) of de toezichthouder van je woonplaats.

Een verzoek indienen? Mail info@studink.io met je verzoek en een bewijs van identiteit. We reageren binnen 30 dagen (verlengbaar met 60 dagen voor complexe verzoeken).

8. Internationale doorgifte

Indien gegevens worden doorgegeven aan landen buiten de Europese Economische Ruimte (EER), zorgen we voor een passend beschermingsniveau via Standard Contractual Clauses (SCC's) goedgekeurd door de Europese Commissie, of via een adequaatheidsbesluit. Op verzoek bezorgen we je een kopie van deze waarborgen.

9. Wijzigingen en verwante documenten

We kunnen dit GDPR-beleid aanpassen wanneer nodig (bv. nieuwe verwerkers, gewijzigde regelgeving). Belangrijke wijzigingen kondigen we aan via de website. Lees ook ons privacybeleid en cookiebeleid voor meer details.

Laatste update: april 2026.