Artikel 1
Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG is de natuurlijke persoon of rechtspersoon die het doel en de middelen van de verwerking van persoonsgegevens vaststelt. Voor dit platform is dat:
ℹ️
Pilot-status: Niste bevindt zich in een niet-commerciële pilotfase. Er is nog geen formele rechtsvorm geregistreerd. Deze verklaring is van toepassing op de pilotperiode 2026. Bij commerciële doorontwikkeling wordt een nieuwe versie gepubliceerd met bijgewerkte bedrijfsgegevens.
Artikel 2
Welke persoonsgegevens
verwerken wij?
Wij verwerken uitsluitend de persoonsgegevens die noodzakelijk zijn voor het doel van het platform, conform het beginsel van dataminimalisatie (artikel 5 lid 1c AVG). De onderstaande tabel geeft een volledig overzicht.
| Categorie |
Specifieke gegevens |
Bijzonder? |
| Contactgegevens |
E-mailadres |
Gewoon |
| Woonprofiel |
Postcode (geen straat of huisnummer), globale woninggrootte, aantal bewoners, woonduur |
Gewoon |
| Woonwensen |
Indicatieve woonwensen (type, ligging, grootte), verhuisbereidheid |
Gewoon |
| Gebruiksdata |
Inlogmomenten, matchinteracties (wel/geen interesse), reacties op meldingen |
Gewoon |
| Technisch |
IP-adres (geanonimiseerd), browser-type, apparaattype |
Gewoon |
🔒
Wat wij expliciet niet verzamelen: naam, geboortedatum, BSN, inkomen, hypotheekgegevens, exacte woonadres, telefoonnummer, gezondheidsgegevens of andere bijzondere persoonsgegevens als bedoeld in artikel 9 AVG.
⚠️
Opmerking AP-perspectief: Een postcode in combinatie met woningkenmerken kan in dunbevolkte gebieden herleidbaar zijn tot een specifiek adres. Niste dient dit risico periodiek te beoordelen, met name bij gebruik in kleine kernen of bij weinig profielen per postcode.
Artikel 3
Doel en rechtsgrond
Voor elke verwerking van persoonsgegevens is een geldige rechtsgrond vereist op grond van artikel 6 AVG. Wij verwerken persoonsgegevens uitsluitend voor de onderstaande doelen, op de daarbij vermelde rechtsgrond.
| Doel van verwerking |
Rechtsgrond (art. 6 AVG) |
Toelichting |
| Aanmaken en beheren van account |
Toestemming (6.1.a) |
Vrijwillige aanmelding via het formulier |
| Anoniem matchen van woonprofielen |
Toestemming (6.1.a) |
Gebruiker stemt in bij aanmelding; verwijderbaar |
| Versturen van matchmeldingen |
Toestemming (6.1.a) |
Uitsluitend naar geregistreerde e-mailadressen |
| Verbeteren van het matchingsalgoritme |
Gerechtvaardig belang (6.1.f) |
Geanonimiseerde aggregatiedata; geen individuele profielen |
| Gemeente-dashboard (geaggregeerd) |
Gerechtvaardig belang (6.1.f) |
Uitsluitend anonieme, niet-herleidbare wijkdata |
| Beveiliging en fraudepreventie |
Gerechtvaardig belang (6.1.f) |
Logbestanden; maximaal 30 dagen bewaard |
⚠️
Belangenafweging gerechtvaardig belang: Wanneer Niste zich beroept op gerechtvaardigd belang (artikel 6.1.f AVG), is een voorafgaande belangenafweging (LIA — Legitimate Interests Assessment) vereist. Niste dient voor elk van de bovenstaande verwerkingen op basis van 6.1.f een gedocumenteerde LIA op te stellen en beschikbaar te stellen indien betrokkenen of de AP daarom verzoeken.
Artikel 4
Ontvangers en derde partijen
Niste deelt persoonsgegevens uitsluitend met de hieronder genoemde partijen, voor de omschreven doelen, op basis van een verwerkersovereenkomst conform artikel 28 AVG.
| Ontvanger |
Rol |
Doel |
Locatie |
| Google Firebase (Firestore) |
Verwerker |
Opslag gebruikersdata en woonprofielen |
EER (eu-west1) |
| GitHub Pages |
Verwerker |
Hosting van de statische website |
VS — zie art. 5 |
| Gemeenten (pilot) |
Verwerkingsverantwoordelijke |
Ontvangen uitsluitend anonieme wijkdata |
Nederland |
✅
Gemeenten ontvangen geen persoonsgegevens. De dashboarddata die gedeeld wordt met gemeenten is volledig geanonimiseerd en geaggregeerd. Individuele profielen worden nooit gedeeld. Er is geen sprake van gezamenlijke verwerkingsverantwoordelijkheid (artikel 26 AVG) voor wat betreft persoonsgegevens.
⚠️
Vereiste actie: Voor elke verwerker dient Niste een getekende verwerkersovereenkomst (art. 28 AVG) te hebben. Dit geldt in het bijzonder voor Firebase/Google. Niste maakt gebruik van de standaard Google verwerkersovereenkomst; deze dient aantoonbaar geaccepteerd en gedocumenteerd te zijn in het verwerkingsregister.
Artikel 5
Doorgifte buiten de EER
Bij doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) gelden de aanvullende waarborgen van hoofdstuk V AVG.
Firebase (Google Cloud): Niste configureert Firebase op de regio europe-west1 (België). Persoonsgegevens worden daarmee in beginsel binnen de EER verwerkt en opgeslagen. Google is gecertificeerd onder de EU-US Data Privacy Framework.
GitHub Pages: De statische website-hosting via GitHub Pages vindt plaats op servers in de Verenigde Staten. Via GitHub Pages worden geen persoonsgegevens opgeslagen — alleen de HTML/CSS/JS bronbestanden. Bezoekers-IP-adressen worden door GitHub verwerkt conform hun eigen privacybeleid. GitHub hanteert de Standard Contractual Clauses (SCCs) als doorgiftemechanisme conform artikel 46 AVG.
⚠️
Aandachtspunt: Niste dient te bevestigen dat de Firebase-regio aantoonbaar is ingesteld op een EER-locatie en dit te documenteren. Bij twijfel: verplaats de Firebase-instantie naar eu-west1 en leg dit vast.
Artikel 6
Bewaartermijnen
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel waarvoor zij zijn verzameld (artikel 5 lid 1e AVG — beginsel van opslagbeperking).
| Categorie gegevens |
Bewaartermijn |
Grondslag |
| Accountgegevens (e-mail, profiel) |
Tot verwijdering account + 30 dagen |
Toestemming |
| Matchhistorie (anoniem) |
Maximaal 12 maanden na afsluiting pilot |
Gerechtvaardig belang (onderzoek) |
| Logbestanden / beveiliging |
Maximaal 30 dagen |
Gerechtvaardig belang |
| Anonieme aggregatiedata (gemeenten) |
Onbepaald — niet herleidbaar tot persoon |
Niet van toepassing (geen persoonsgegevens) |
| Back-ups |
Maximaal 90 dagen na verwijdering |
Technische noodzaak |
Na het verstrijken van de bewaartermijn worden persoonsgegevens definitief en onherstelbaar verwijderd of zodanig geanonimiseerd dat herleiding tot een persoon niet meer mogelijk is.
Artikel 7
Uw rechten
als betrokkene (AVG)
Op grond van de AVG (artikelen 15–22) heeft u als betrokkene de volgende rechten. U kunt deze uitoefenen door contact op te nemen via privacy@niste.nl. Niste reageert binnen één maand op uw verzoek (art. 12 lid 3 AVG). Bij complexe of veelvuldige verzoeken kan deze termijn met twee maanden worden verlengd.
📋
Recht op inzage
U heeft het recht om te weten welke persoonsgegevens wij van u verwerken, voor welk doel en op welke rechtsgrond.
Artikel 15 AVG
✏️
Recht op rectificatie
U kunt onjuiste of onvolledige persoonsgegevens laten corrigeren of aanvullen.
Artikel 16 AVG
🗑️
Recht op verwijdering
U kunt verzoeken om verwijdering van uw persoonsgegevens ("recht op vergetelheid"), tenzij een wettelijke bewaarplicht van toepassing is.
Artikel 17 AVG
⏸️
Recht op beperking
U kunt de verwerking laten beperken terwijl een bezwaar of verzoek in behandeling is.
Artikel 18 AVG
🚫
Recht van bezwaar
U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang. Wij staken de verwerking, tenzij wij dwingende gerechtvaardigde gronden aanvoeren.
Artikel 21 AVG
📦
Recht op dataportabiliteit
U kunt uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat ontvangen, of direct laten overdragen aan een andere aanbieder.
Artikel 20 AVG
↩️
Recht op intrekking toestemming
U kunt uw toestemming te allen tijde intrekken. Dit heeft geen terugwerkende kracht, maar wij staken de verwerking direct na intrekking.
Artikel 7 lid 3 AVG
🏛️
Recht om klacht in te dienen
U heeft te allen tijde het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens, ongeacht andere rechtsmiddelen.
✅
Identiteitsverificatie: Om uw rechten te kunnen uitoefenen dienen wij uw identiteit te kunnen vaststellen. Wij vragen u uw verzoek in te dienen via het e-mailadres waarmee u geregistreerd bent. Wij bewaren geen kopieën van identiteitsbewijzen.
Artikel 8
Geautomatiseerde besluiten
en profilering
Het matchingsalgoritme van Niste vergelijkt woonprofielen op basis van ingevoerde kenmerken (locatie, grootte, woonwensen) en genereert een matchsuggestie.
Dit is een geautomatiseerd proces, maar het leidt niet tot een besluit met rechtsgevolg voor de betrokkene in de zin van artikel 22 AVG. Een matchmelding is uitsluitend een informatieve suggestie; de betrokkene is nimmer verplicht te reageren of actie te ondernemen.
ℹ️
Geen profilering in de zin van art. 4 lid 4 AVG met rechtsgevolgen. Niste beoordeelt niet de persoon, maar de kenmerken van het woonprofiel. Er worden geen categorieën als ras, gezondheid, financiën of gedrag gebruikt in het matchingsalgoritme.
⚠️
Aandachtspunt bij doorontwikkeling: Indien het algoritme in een latere versie gebruik maakt van afgeleide of voorspellende kenmerken (bijv. verhuiskans-score op basis van gedragspatronen), kwalificeert dit mogelijk als profilering onder artikel 22 AVG. In dat geval is aanvullende informatieplicht en mogelijk een DPIA vereist.
Artikel 9
Beveiliging van
persoonsgegevens
Niste neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, ongeoorloofde toegang, wijziging of openbaarmaking (artikel 32 AVG).
| Maatregel | Implementatie |
|---|
| Versleuteling in transit | HTTPS / TLS 1.2+ via GitHub Pages en Firebase |
| Versleuteling in opslag | Firebase Firestore: AES-256 encryptie at rest |
| Authenticatie | Firebase Authentication; e-mailverificatie verplicht |
| Toegangsbeveiliging | Firestore Security Rules; alleen eigenaar-toegang tot eigen profiel |
| Anonimisering matching | Adressen nooit opgeslagen; postcode als enige locatie-indicator |
| Datalekprocedure | Melding aan AP binnen 72 uur (art. 33 AVG) indien van toepassing |
⚠️
DPIA-beoordeling: Niste dient te beoordelen of een Data Protection Impact Assessment (DPIA, artikel 35 AVG) vereist is. Matching op woongegevens van mogelijk kwetsbare groepen (ouderen) in combinatie met locatiedata kan onder de criteria van de AP-lijst verplichte DPIA's vallen. Niste adviseert deze beoordeling voor aanvang van de pilot uit te voeren.
Artikel 10
Cookies en
tracking
Niste gebruikt uitsluitend functionele cookies die noodzakelijk zijn voor de werking van het platform. Er worden geen analytische, marketing- of tracking-cookies geplaatst.
| Cookie | Doel | Duur | Toestemming? |
|---|
| Firebase Auth Session | Ingelogd blijven | Sessie | Niet vereist |
| Firebase App Check | Beveiligingscheck | Sessie | Niet vereist |
✅
Niste gebruikt geen Google Analytics, Meta Pixel, LinkedIn Insight Tag of vergelijkbare trackers van derden. Er wordt geen cross-site tracking of advertentie-profilering uitgevoerd.
Artikel 11
Wijzigingen in deze
verklaring
Niste behoudt zich het recht voor deze privacyverklaring te wijzigen. De meest actuele versie is altijd beschikbaar op niste.nl/privacy.html. De versiedatum bovenaan deze pagina geeft de datum van de laatste wijziging aan.
Bij wijzigingen die uw rechten of de rechtsgrond van verwerking raken, ontvangt u als geregistreerde gebruiker een e-mailnotificatie minimaal 14 dagen voor de inwerkingtreding van de nieuwe versie. U heeft in dat geval het recht uw account te verwijderen vóór inwerkingtreding.
Artikel 12
Contact en
klachten
Voor vragen, inzageverzoeken of andere uitoefening van uw rechten kunt u contact opnemen via:
Klacht indienen bij de toezichthouder
Indien u van mening bent dat Niste uw persoonsgegevens niet in overeenstemming met de AVG verwerkt, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens — ongeacht eventuele andere rechtsmiddelen.
Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
autoriteitpersoonsgegevens.nl · 0900-2001201