Privacybeleid

Laatst bijgewerkt op zondag 4 mei 2026

1 Wie zijn wij?

De WK 2026 Pool (dewkpool.nl) is een privé voetbalpoule voor vrienden, familie en collega's, beheerd door Roel Vrenken (de Poolmaster). Het is een hobbyproject — geen bedrijf, geen advertenties, geen prijzengeld.

Vragen of zorgen? Mail poolmaster@dewkpool.nl.

2 Welke gegevens verzamelen we?

Account: naam, e-mailadres, optionele bijnaam en woonplaats. E-mail is nodig voor de wachtwoordloze login (magic link).
Voorspellingen: de uitslagen, poulestanden en toernooi-voorspellingen die je invult.
Berichten: berichten die je via het ingebouwde chatsysteem stuurt.
Technisch: beperkte logs (IP-adres, request-pad, tijdstip) voor beveiliging en foutopsporing — automatisch verwijderd na 30 dagen.

3 Waarvoor gebruiken we deze gegevens?

Om je voorspellingen op te slaan en je punten te berekenen.
Om de ranglijst en groepjes te tonen aan andere deelnemers.
Om je via e-mail uit te nodigen, in te loggen en (alleen rond speeldagen) een dagelijkse update te sturen die je per moment kunt afmelden.
Om misbruik en bots te weren.

4 Met wie delen we gegevens?

Alleen met deelnemers van deze pool en met onderstaande verwerkers, strikt voor de werking van de site:

Railway — hosting + PostgreSQL database (VS/EU regio)
Postmark — transactionele e-mail (VS)
football-data.org, FotMob, api-football — alleen wedstrijdgegevens, geen persoonsgegevens van jou

Wij verkopen nooit data en plaatsen geen advertenties of trackers van derden.

5 Cookies & opslag

De site gebruikt geen tracking-cookies. Wel slaan we lokaal in je browser op:

een sessie-token (om ingelogd te blijven), in localStorage
je thema-voorkeur (licht/donker)
de open/dicht-status van blokken (accordeons), zodat je voorkeur behouden blijft

6 Hoe lang bewaren we gegevens?

Account- en voorspelgegevens bewaren we tot het toernooi is afgelopen en het pooljaar is afgesloten. Daarna worden ze geanonimiseerd of op verzoek verwijderd.

Verwijdering aanvragen kan altijd via poolmaster@dewkpool.nl.

7 Beveiliging

HTTPS afgedwongen op het hele domein (HSTS, 2 jaar)
Magic-link login — geen wachtwoorden om te lekken
Strikte CORS, rate limiting en helmet-security-headers
Database staat achter een privé netwerk

Beveiligingsonderzoekers kunnen contact opnemen via /.well-known/security.txt.

8 Jouw rechten (AVG)

Je hebt het recht om je gegevens in te zien, te corrigeren of te laten verwijderen. Mail poolmaster@dewkpool.nl en je krijgt binnen 30 dagen antwoord.

9 Wijzigingen

Bij wezenlijke wijzigingen in dit beleid sturen we alle deelnemers een e-mail.