Privacybeleid

01. Wie wij zijn

Toversprookje is een AI-verhalenapp voor kinderen, ontwikkeld en beheerd door SB Automations, gevestigd in Nederland.

SB Automations is de verwerkingsverantwoordelijke in de zin van de AVG voor alle persoonsgegevens die via de Toversprookje-app en deze website worden verwerkt.

• Bedrijfsnaam: SB Automations
• Product: Toversprookje (iOS & Android app)
• Website: toversprookje.nl
• E-mail DPO: privacy@toversprookje.nl

02. Welke gegevens we verzamelen

Wij verzamelen alleen gegevens die noodzakelijk zijn voor het leveren en verbeteren van onze dienst. Hieronder een overzicht:

Accountgegevens

• E-mailadres van de ouder/verzorger
• Naam (optioneel)
• Wachtwoord (versleuteld opgeslagen, nooit in platte tekst)
• Betalingsgegevens (verwerkt door onze betalingsprovider; wij slaan geen creditcardnummers op)

Kindprofielen

• Voornaam of bijnaam van het kind (door ouder ingevuld)
• Leeftijd of geboortejaar (voor leeftijdsgeschikte verhalen)
• Taalvoorkeur

Tekeningen en verhalen

• Door het kind gemaakte tekeningen
• Gegenereerde verhalen en illustraties
• Opgeslagen verhalen in de bibliotheek

Gebruiksgegevens

• Apparaattype en besturingssysteem
• App-versie
• Sessieduur en frequentie van gebruik
• Foutmeldingen (crash logs, geanonimiseerd)

Wij verzamelen geen locatiegegevens, contactlijsten, foto's buiten de app, of andere gevoelige persoonsgegevens.

03. Kinderdata bescherming

Ouderlijke toestemming

Een ouder of wettelijk verzorger moet een account aanmaken voordat een kind de app kan gebruiken. Door het aanmaken van een account geeft de ouder/verzorger expliciete toestemming voor de verwerking van de gegevens van het kind, conform artikel 8 van de AVG.

Ouder-PIN en toegangscontrole

De app is beveiligd met een ouder-PIN. Kinderen kunnen zelfstandig geen persoonlijke gegevens invoeren, instellingen wijzigen, aankopen doen, of de app verlaten naar externe websites.

Geen tracking of profilering

Wij gebruiken geen advertentietracking, geen gedragsprofilering, en geen third-party analytics die kinderen kunnen identificeren. Gebruiksgegevens worden uitsluitend in geaggregeerde, geanonimiseerde vorm verwerkt om de app te verbeteren.

Geen reclame

Toversprookje bevat geen advertenties. Er worden geen gegevens gedeeld met advertentienetwerken.

Recht op verwijdering kinderdata

Ouders kunnen op elk moment via de app of per e-mail alle gegevens van hun kind laten verwijderen. Wij verwijderen deze gegevens binnen 30 dagen volledig uit al onze systemen.

04. Doeleinden van verwerking

Wij verwerken persoonsgegevens uitsluitend voor de volgende doeleinden:

1. Dienstverlening — Het aanmaken en beheren van accounts, het genereren van verhalen op basis van tekeningen, en het opslaan van verhalen in de bibliotheek.
2. Personalisatie — Het aanpassen van verhalen aan de leeftijd en voorkeuren van het kind, zodat de inhoud altijd leeftijdsgeschikt is.
3. Betalingsverwerking — Het afhandelen van abonnementen en betalingen via onze externe betalingsprovider.
4. Appverbetering — Het analyseren van geanonimiseerde gebruiksgegevens om bugs op te lossen en de gebruikservaring te verbeteren.
5. Communicatie — Het versturen van service-gerelateerde e-mails (bijv. wachtwoordherstel, abonnementsupdates). Wij sturen geen marketinge-mails zonder expliciete toestemming.
6. Wettelijke verplichtingen — Het voldoen aan belasting- en boekhoudverplichtingen en het beantwoorden van rechtmatige verzoeken van autoriteiten.

05. Rechtsgrond

Wij verwerken persoonsgegevens op basis van de volgende rechtsgronden uit de AVG:

Rechtsgrond	Toepassing
Toestemming (Art. 6 lid 1a)	Verwerking van kindergegevens (met ouderlijke toestemming conform Art. 8), optionele marketingcommunicatie, cookies die niet strikt noodzakelijk zijn.
Uitvoering overeenkomst (Art. 6 lid 1b)	Accountbeheer, dienstverlening (verhalen genereren), betalingsverwerking, opslaan van verhalen.
Gerechtvaardigd belang (Art. 6 lid 1f)	Geanonimiseerde analytics voor appverbetering, fraudepreventie, beveiliging van onze systemen.
Wettelijke verplichting (Art. 6 lid 1c)	Belasting- en boekhoudverplichtingen, medewerking aan rechtmatige verzoeken van autoriteiten.

06. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk. Hieronder onze bewaartermijnen:

Gegevenstype	Bewaartermijn
Accountgegevens	Zolang het account actief is + 12 maanden na verwijdering
Kindprofielen	Zolang het account actief is; onmiddellijk verwijderd bij verzoek
Tekeningen en verhalen	Zolang het account actief is; verwijderd binnen 30 dagen na accountverwijdering
Betalingsgegevens	Conform wettelijke bewaarplicht (7 jaar voor boekhoudgegevens)
Gebruiksgegevens (geanonimiseerd)	Maximaal 26 maanden
Crash logs	Maximaal 90 dagen

Na afloop van de bewaartermijn worden gegevens definitief verwijderd of volledig geanonimiseerd.

07. Delen met derden

Wij verkopen nooit persoonsgegevens aan derden. Wij delen gegevens uitsluitend met zorgvuldig geselecteerde verwerkers die noodzakelijk zijn voor onze dienstverlening:

Hosting en infrastructuur

Onze servers staan in de Europese Unie (EU/EER). Wij werken met hostingproviders die voldoen aan de AVG en beschikken over passende beveiligingsmaatregelen.

AI-verwerking

Tekeningen worden verwerkt door AI-diensten om verhalen en illustraties te genereren. Deze verwerking vindt plaats op basis van een verwerkersovereenkomst. Tekeningen worden niet gebruikt voor het trainen van AI-modellen en worden na verwerking niet bewaard door de AI-dienstverlener.

Betalingsverwerking

Betalingen worden afgehandeld door een gecertificeerde betalingsprovider (PCI DSS-compliant). Wij ontvangen geen volledige creditcard- of bankgegevens — alleen een bevestiging van de transactie.

Overige derden

Wij kunnen gegevens delen met:

• Bevoegde autoriteiten, indien wij daartoe wettelijk verplicht zijn
• Professionele adviseurs (bijv. accountants), onder geheimhoudingsplicht

Met elke verwerker sluiten wij een verwerkersovereenkomst conform artikel 28 van de AVG.

08. Cookies

Onze website maakt gebruik van cookies. Wij gebruiken uitsluitend:

• Strikt noodzakelijke cookies — voor het functioneren van de website (bijv. sessiecookies, cookievoorkeuren)
• Analytische cookies — alleen met jouw toestemming en in geanonimiseerde vorm

Wij gebruiken geen tracking cookies van derden en geen advertentiecookies.

Lees ons volledige cookiebeleid op onze cookiebeleidspagina voor meer informatie over welke cookies wij gebruiken, hoe lang ze actief blijven, en hoe je ze kunt beheren.

09. Jouw rechten

Op grond van de AVG heb je de volgende rechten met betrekking tot jouw persoonsgegevens:

1. Recht op inzage (Art. 15) — Je kunt een kopie opvragen van alle persoonsgegevens die wij van jou en/of je kind verwerken.
2. Recht op rectificatie (Art. 16) — Je kunt onjuiste of onvolledige gegevens laten corrigeren.
3. Recht op verwijdering (Art. 17) — Je kunt verzoeken dat wij al jouw gegevens en/of die van je kind permanent verwijderen ("recht om vergeten te worden").
4. Recht op beperking (Art. 18) — Je kunt verzoeken dat wij de verwerking van jouw gegevens tijdelijk beperken.
5. Recht op bezwaar (Art. 21) — Je kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
6. Recht op dataportabiliteit (Art. 20) — Je kunt jouw gegevens opvragen in een gestructureerd, gangbaar en machineleesbaar formaat.
7. Recht om toestemming in te trekken — Wanneer verwerking plaatsvindt op basis van toestemming, kun je deze op elk moment intrekken. Dit heeft geen invloed op de rechtmatigheid van eerdere verwerking.
8. Recht op klacht — Je hebt het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP), de Nederlandse toezichthouder.

De Autoriteit Persoonsgegevens is bereikbaar via autoriteitpersoonsgegevens.nl.

10. Beveiliging

Wij nemen de beveiliging van jouw gegevens uiterst serieus en hanteren passende technische en organisatorische maatregelen, waaronder:

• Encryptie in transit — Alle communicatie tussen de app, website en onze servers verloopt via TLS/SSL (HTTPS).
• Encryptie at rest — Persoonsgegevens worden versleuteld opgeslagen op onze servers.
• Wachtwoordbeveiliging — Wachtwoorden worden opgeslagen met industriestandaard hashing (bcrypt). Wij hebben geen toegang tot jouw wachtwoord in platte tekst.
• Toegangscontrole — Alleen geautoriseerd personeel heeft toegang tot persoonsgegevens, op basis van het "need-to-know" principe.
• Beveiligde servers — Onze servers bevinden zich in gecertificeerde datacentra binnen de EU/EER met fysieke en digitale beveiligingsmaatregelen.
• Regelmatige audits — Wij voeren periodiek beveiligingsaudits uit en monitoren onze systemen op ongeautoriseerde toegang.
• Datalekprocedure — In geval van een datalek melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens en, indien nodig, aan betrokkenen.

11. Wijzigingen in dit beleid

Wij kunnen dit privacybeleid van tijd tot tijd bijwerken, bijvoorbeeld bij wijzigingen in onze diensten, wetgeving, of richtlijnen van toezichthouders.

Bij substantiele wijzigingen stellen wij je hiervan op de hoogte via:

• Een melding in de app
• Een e-mail naar het bij ons bekende e-mailadres
• Een opvallende banner op onze website

De datum van de laatste wijziging staat altijd vermeld bovenaan dit document. Wij raden je aan dit beleid regelmatig te raadplegen.

12. Contact

Heb je vragen, opmerkingen of verzoeken met betrekking tot dit privacybeleid of de verwerking van jouw persoonsgegevens? Neem dan contact op met onze functionaris voor gegevensbescherming (DPO):

Dit privacybeleid is voor het laatst bijgewerkt in februari 2026.