Hoe Rallyo de gegevens van jouw clubleden beschermt

Veelgestelde vragen

Welke persoonsgegevens slaan jullie op?

Naam, e-mail, telefoonnummer (optioneel), profielfoto (optioneel), je sportvoorkeuren, je sportniveau per gekozen sport (bijvoorbeeld padel, tennis of pickleball; externe ratings zoals KNLTB waar relevant en de interne Rallyo-rating), je inschrijvingen en uitslagen, en jouw notificatievoorkeuren. Je wachtwoord slaan we nooit leesbaar op — het wordt gehasht met bcrypt door onze authentication provider (Supabase).

Wie kan welke gegevens zien?

Jij zelf: je volledige profiel en je eigen geschiedenis. Andere spelers in hetzelfde event: alleen je getoonde naam en speelniveau, zodat poules, brackets en uitslagen begrijpelijk zijn — niet je e-mail, telefoonnummer, volledige profiel of ratinggeschiedenis. Organisatoren en clubbeheerders zien volledige profielen alleen voor huidige leden van clubs die zij beheren. Leden van andere clubs: niets. We controleren dit op databaseniveau via row-level security en beperkte RPC's, niet alleen in de app. Rallyo-medewerkers: alleen voor support of beveiliging, altijd met audit-log.

Hoe scheiden jullie data tussen clubs?

Rallyo gebruikt row-level security in PostgreSQL — de scheiding wordt afgedwongen door de database zelf, niet door de applicatie. Profielen zijn standaard alleen zichtbaar voor de eigenaar. Voor eventlijsten gebruiken we een participant-summary die alleen naam en speelniveau teruggeeft; voor clubbeheerders gebruiken we aparte geautoriseerde functies voor leden van hun eigen club. Zelfs als we een bug in de app maken, geeft de database simpelweg geen rijen terug van een andere club. Interne audit, juni 2026: cross-club en same-club profile-bypass pogingen zijn geblokkeerd.

Mogen kinderen onder de 16 (junior leden) Rallyo gebruiken?

Ja, maar alleen via een beheerd account dat door een organisator of ouder wordt aangemaakt. Het account heeft geen eigen e-mailadres totdat het kind 16 is of de ouder het opclaimen autoriseert. Voor junior leden verzamelen we minimale gegevens: naam en niveau. Geen telefoon, geen e-mail tenzij door de ouder verstrekt.

Slaan jullie betaalgegevens op?

Nee. Rallyo accepteert geen kaartbetalingen. Voor betalingen tussen leden onderling (bijv. een baanhuur splitten) ondersteunen we Tikkie- en iDeal-links — die worden bij je bank afgehandeld, wij zien alleen het bedrag en of er betaald is.

Waar staat onze data fysiek?

In de EU. Onze database draait op Supabase in Ierland. Foutenlogs gaan naar Sentry in Frankfurt en worden gescrubd voordat ze worden verstuurd. Productanalytics gaat naar PostHog in Frankfurt in cookieless modus, zonder namen, e-mails, telefoonnummers, clubnamen, eventtitels of ruwe URL's. Transactionele e-mail wordt afgeleverd door Resend. We versturen geen pushnotificaties en Slack-notificaties zijn uitgeschakeld.

Wat sturen jullie naar Sentry, PostHog en Slack?

Sentry krijgt alleen gescrubde foutmeldingen, route-templates, interne IDs en technische metadata; session replay staat uit. PostHog krijgt alleen toegestane product-events met route-templates, interne IDs, booleans, aantallen en vaste keuzes zoals eventformaten. Slack krijgt niets: de Slack-notifier is voor launch een no-op zonder netwerkverzoek. Namen, e-mails, telefoonnummers, clubnamen, eventtitels, ratings, vrije tekst en querystrings worden niet naar deze systemen gestuurd.

Is data versleuteld onderweg en in rust?

Ja, beide. Onderweg: TLS 1.2+ op alle verbindingen, met Strict-Transport-Security max-age 1 jaar inclusief subdomeinen, zodat moderne browsers Rallyo nooit onversleuteld benaderen. In rust: Supabase versleutelt alle data op disk met AES-256. Wachtwoorden worden gehasht met bcrypt (cost factor 10).

Hoe beveiligen jullie accounts tegen misbruik?

Supabase Auth verwerkt wachtwoorden en sessies. hCaptcha staat aan voor auth-flows om geautomatiseerde abuse tegen te gaan. Platform-admins moeten daarnaast in Rallyo zelf een TOTP-authenticator verifiëren voordat zij platform-adminfuncties kunnen gebruiken; serverfuncties controleren dit via het Supabase authenticator-assurance-level (aal2), niet alleen via de UI. Het Supabase-dashboard van Rallyo is ook met 2FA beschermd.

Wie host het en hoe veilig is de hosting?

De web-app draait op Vercel (serverless hosting, automatisch TLS). Het domein rallyo.events wordt beheerd via Cloudflare (DNS-registrar). De database staat bij Supabase, een Y Combinator-backed PostgreSQL-as-a-service die in productie wordt gebruikt door duizenden bedrijven. Deze providers hebben SOC 2 Type II compliance.

Welke security headers zet de app?

Op elke response: Content-Security-Policy (voorkomt XSS), Strict-Transport-Security (forceert HTTPS), X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, Permissions-Policy: camera=(), microphone=(), geolocation=() (de app vraagt nooit om deze permissies), en frame-ancestors 'self' (Rallyo kan niet in een iframe op een andere site worden gezet — voorkomt clickjacking).

Maken jullie back-ups en hoe lang bewaren jullie die?

Ja. Supabase database-back-ups staan aan. Op het huidige paid Supabase-plan betekent dit dagelijkse databaseback-ups; point-in-time recovery is een aparte add-on en wordt pas geclaimd zodra die expliciet is ingeschakeld en getest. Verwijderde accountdata verdwijnt uit back-ups zodra die back-ups verlopen; we zullen nooit een back-up restoren om verwijderde persoonsgegevens terug te halen.

Hoe verwijder ik mijn account?

Profiel → Privacy → Verwijder mijn account. Binnen enkele seconden: je naam wordt vervangen door Deleted User, je e-mail/telefoon/profielfoto worden verwijderd, je wordt uitgeschreven van alle toekomstige events, je notificatievoorkeuren en clublidmaatschappen worden verwijderd, en je inloggegevens worden bij Supabase verwijderd. Een audit-log entry blijft bewaard (alleen je user-ID, voor compliance). Je match-historie blijft bestaan onder de geanonimiseerde naam Deleted User, zodat de ratings van je vroegere tegenstanders kloppend blijven.

Hoe download ik mijn gegevens?

Profiel → Privacy → Download mijn gegevens. Je krijgt een JSON-bestand met al je profielinformatie, lidmaatschappen, inschrijvingen, ratings, matchhistorie, partner-aanvragen, notificatie-subscriptions, en de audit-log-entries waarin jij voorkomt. Je kunt dit bestand zonder beperkingen overdragen aan een andere padel-app (GDPR Artikel 20, recht op dataportabiliteit).

Hoe corrigeer ik onjuiste gegevens?

Voor de meeste velden: in je profiel direct aanpassen. Voor je KNLTB-rating: alleen een club-admin kan deze aanpassen (om misbruik tegen te gaan). Voor je match-resultaten: vraag een organisator om een correctie — er wordt automatisch een revision-log bijgehouden van wijzigingen.

Kan ik bezwaar maken tegen bepaalde verwerkingen?

Ja. Je kunt niet-transactionele e-mailvoorkeuren aanpassen via Profiel → Notificaties. Bezwaar maken tegen analytics: we gebruiken geen tracking cookies, geen sessie-opnames en geen persoonlijke eigenschappen in PostHog — alleen cookieless productanalytics met interne IDs en technische metadata. Je rating-historie verbergen voor andere leden kan via Profiel → Privacy → Verberg mijn match-historie.

Wat als ik klachten heb over jullie privacy-praktijk?

Mail naar privacy@rallyo.events. Reageren wij niet binnen 4 weken, of ben je niet tevreden met ons antwoord, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

Wat gebeurt er bij een datalek?

We volgen de GDPR-procedure: 1) Detecteren binnen 24 uur via onze monitoring (gescrubde Sentry-alerts, Supabase-audit, abnormale toegangspatronen). 2) Onderzoeken binnen 48 uur: welke gegevens, welke gebruikers, welke clubs. 3) Melden aan de Autoriteit Persoonsgegevens binnen 72 uur (GDPR Art. 33). 4) Informeren van getroffen leden en clubs binnen 72 uur, in begrijpelijke taal, met wat ze moeten doen. 5) Post-mortem publiekelijk op deze pagina binnen 14 dagen. We hebben tot nu toe geen meldingsplichtige datalekken gehad.

Wie kan binnen Rallyo bij onze data?

Vandaag: alleen oprichter Joran Hofman, alleen voor support of beveiliging, altijd met audit-log. Platform-admin toegang vereist app-level TOTP MFA en Supabase-dashboard toegang is met 2FA beschermd. Naarmate we groeien wordt dit een named-list van Rallyo-medewerkers met least-privilege toegang en logging op elke admin-actie. We delen die lijst op verzoek met enterprise-clubs onder NDA.

Welke leveranciers (sub-processors) gebruiken jullie?

Supabase (database, auth, file storage — Ierland, DPA). Vercel (application hosting — VS/EU, DPA). Cloudflare (DNS-registrar — DPA). Sentry (gescrubde foutenlogs en technische metadata — Frankfurt, DPA). PostHog (cookieless productanalytics met IDs en route-templates — Frankfurt, DPA). Resend (transactionele e-mail — DPA). Wij verkopen of delen gegevens met geen andere partijen — geen ad-netwerken, geen data-brokers.

Wordt de app onafhankelijk gecontroleerd?

De laatste interne security- en privacy-audit was 11 juni 2026 (review van code, databasebeleid, profieltoegang, telemetry, admin-MFA en datastromen). Samenvatting op verzoek beschikbaar. Voor enterprise-clubs zijn we bereid een externe pentest te laten uitvoeren als onderdeel van het contract (kosten worden gedeeld).

Logging — wat houdt Rallyo bij?

Elke admin-actie wordt opgeslagen in een audit-log (wie, wat, wanneer, waarop, eventueel reden). Clubadmins kunnen hun eigen audit-log inzien via het admin-dashboard. Serverlogs zijn gestructureerd en worden geredacteerd: geen e-mails, telefoonnummers, tokens, cookies, volledige URL's met querystrings of vrije tekst. We loggen geen content van privé-berichten of zoekopdrachten van leden, alleen acties die juridische of beveiligingsrelevantie hebben (account-aanpassingen, rating-correcties, member-verwijderingen, etc.).

Wat als jullie failliet gaan?

Eerlijk antwoord: we zijn een jonge startup, dat risico bestaat. Onze afspraak met clubs: minimaal 90 dagen opzegtermijn bij beëindiging, tijdens die periode een volledige data-export in open formaat (JSON of CSV), actieve hulp met migratie naar een andere oplossing gratis, en source-code escrow voor enterprise-clubs boven een bepaalde contractgrootte. Dit staat ook in het standaard club-contract.