Privacyverklaring

Inleiding

De Stichting Coffeeshop Branche Diensten (hierna: "SCBD", "wij" of "ons") hecht de allerhoogste waarde aan de privacy en de gegevensbeveiliging van haar aangesloten coffeeshophouders (hierna: "Gebruiker" of "u"). Omdat wij in het kader van onze dienstverlening – het afgeven van een Statusverklaring ('Status Certificate') – werken met gevoelige bedrijfs- en persoonsgegevens, hanteren wij strikte normen voor gegevensbescherming.

In deze privacyverklaring leggen wij uit welke persoonsgegevens wij verzamelen, met welk doel wij dit doen, hoe wij deze beveiligen en wat uw rechten zijn op grond van de Algemene Verordening Gegevensbescherming (AVG).

1. Wie is de verwerkingsverantwoordelijke?

SCBD is de verwerkingsverantwoordelijke in de zin van de AVG voor de verwerking van persoonsgegevens zoals beschreven in deze privacyverklaring.

• Naam organisatie: Stichting Coffeeshop Branche Diensten (SCBD)
• KVK-nummer: 99782758
• Adres: Wibautstraat 135, 1097 DN Amsterdam
• E-mailadres privacyzaken: privacy@scbd.nl

2. Welke persoonsgegevens verwerken wij?

Om onze diensten (waaronder het SCBD-platform en afgifte van Statusverklaringen) goed en veilig te kunnen uitvoeren, verwerken wij de volgende categorieën van (persoons)gegevens:

A. Account- en contactgegevens:

• Naam, voornamen en functie van de contactpersoon/eigenaar.
• Zakelijk e-mailadres en telefoonnummer.
• Inloggegevens (versleutelde wachtwoorden) van uw SCBD-account.

B. Bedrijfs- en identificatiegegevens ("Brondocumenten"):

• KVK-uittreksels, inclusief gegevens van UBO's (Ultimate Beneficial Owners) voor zover vermeld.
• Kopieën van identiteitsbewijzen (indien wettelijk vereist, waarbij u verplicht bent de pasfoto en het BSN af te schermen).
• Kopieën van horecavergunningen en gedoogverklaringen.
• Correspondentie met gemeenten of andere overheidsinstanties, uitsluitend voor zover noodzakelijk voor het vaststellen en actualiseren van de vergunning- en gedoogstatus.

C. Technische gegevens (logbestanden en cookies):

• IP-adres, browsertype, apparaat-gegevens en inlogtijden (uitsluitend voor de beveiliging en werking van het platform).

3. Voor welke doeleinden en op welke grondslag verwerken wij deze gegevens?

Wij verwerken uw gegevens uitsluitend voor bepaalde, uitdrukkelijk omschreven doeleinden en altijd op basis van een wettelijke grondslag uit de AVG (artikel 6):

• Doel 1: De uitvoering van de overeenkomst (Dienstverlening SCBD). Het aanmaken van uw account, het in ontvangst nemen en beoordelen van de Brondocumenten, en het uiteindelijk genereren en actueel houden van de Statusverklaring. Grondslag: Noodzakelijk voor de uitvoering van de overeenkomst.
• Doel 2: Communicatie en ondersteuning. Om u te kunnen informeren over de status van uw aanvraag, wijzigingen in wet- en regelgeving, of om u te verzoeken verlopen documenten te vernieuwen. Grondslag: Noodzakelijk voor de uitvoering van de overeenkomst en gerechtvaardigd belang.
• Doel 3: Beveiliging en fraudepreventie. Het monitoren van ons platform ter voorkoming van ongeautoriseerde toegang, datalekken of fraude met documenten. Grondslag: Gerechtvaardigd belang (het beschermen van onze systemen en de integriteit van de Statusverklaring).

4. Vertrouwelijkheid en het delen van gegevens met derden

Wij behandelen al uw Brondocumenten en gegevens strikt vertrouwelijk. Wij verstrekken uw gegevens in beginsel niet aan anderen, behalve in de volgende situaties:

• Geen commerciële deling: Wij verkopen of verhuren uw persoonsgegevens en Brondocumenten niet, en verstrekken deze niet aan commerciële partijen voor hun eigen doeleinden.
• Geen proactieve deling met banken of andere derden: Wij sturen uw Brondocumenten niet ongevraagd door naar banken, betaaldienstverleners, verhuurders, leveranciers, concurrenten of andere derden. De Statusverklaring die u ontvangt, deelt u zelf met deze partijen.
• Dienstverleners en partners (verwerkers): Voor een veilige en soepele werking van ons Platform en de ondersteuning van onze dienstverlening schakelen wij externe dienstverleners in (bijvoorbeeld voor hosting, beveiliging en support), waaronder onze strategische partner Yoursafe B.V. Deze partijen verwerken uw gegevens uitsluitend in onze opdracht en onder strikte verwerkersafspraken. Zij verwerken uw gegevens niet voor eigen doeleinden.
• Verificatie bij gemeenten: Om uw vergunning- en gedoogstatus actueel te houden, kunnen wij contact opnemen met de relevante gemeente(n). Daarbij delen wij alleen de noodzakelijke basisgegevens voor de statuscheck.
• Wettelijke verplichting: Alleen wanneer wij hiertoe wettelijk verplicht zijn (bijvoorbeeld op grond van een gerechtelijk bevel of een andere wettelijke bevoegdheid), verstrekken wij gegevens aan bevoegde overheidsinstanties. Wij informeren u hierover vooraf of zo spoedig mogelijk, voor zover dit wettelijk is toegestaan.

5. Hoe lang bewaren wij uw gegevens?

SCBD bewaart uw gegevens niet langer dan strikt noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld:

• Brondocumenten: Deze worden bewaard zolang uw account actief is en u een geldige Statusverklaring via SCBD bezit. Zodra een document (bijv. een vergunning) is verlopen en vervangen door een nieuwe, wordt het oude document verwijderd of geanonimiseerd.
• Accountgegevens: Als u uw account bij SCBD opzegt, worden uw account en de daaraan gekoppelde Brondocumenten binnen 30 dagen definitief verwijderd uit onze actieve systemen.
• Wettelijke bewaartermijnen: Bepaalde administratieve (facturatie)gegevens moeten wij op grond van fiscale wetgeving gedurende de wettelijke termijn (in de regel 7 jaar) bewaren.

Indien wij gegevens langer moeten bewaren wegens een wettelijke verplichting, beperken wij de toegang en verwerking tot het strikt noodzakelijke.

6. Hoe beveiligen wij uw gegevens?

• Gegevens worden versleuteld verzonden via beveiligde verbindingen (SSL/TLS).
• Geüploade Brondocumenten worden opgeslagen op beveiligde servers met encryptie ('encryption at rest').
• Toegang tot de data is strikt beperkt tot geautoriseerde medewerkers of bestuursleden van SCBD, op basis van het 'need-to-know' principe, en is beveiligd met meerfactorauthenticatie (MFA).
• Wij voeren periodieke veiligheidsscans en audits uit op ons platform.

7. Uw privacyrechten

Op grond van de AVG beschikt u over diverse rechten met betrekking tot uw persoonsgegevens. U heeft het recht op:

• Inzage: U mag opvragen welke persoonsgegevens wij van u verwerken.
• Rectificatie: U mag gegevens laten corrigeren of aanvullen indien deze onjuist of onvolledig zijn.
• Verwijdering: U kunt ons verzoeken uw gegevens te wissen, tenzij een wettelijke plicht ons dwingt deze te bewaren. Let op: verwijdering van Brondocumenten leidt onmiddellijk tot de intrekking van uw SCBD Statusverklaring.
• Beperking en Bezwaar: U kunt de verwerking tijdelijk laten stopzetten of bezwaar maken tegen de verwerking op grond van ons gerechtvaardigd belang.
• Dataportabiliteit: U heeft het recht uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen.

U kunt een verzoek tot uitoefening van uw rechten sturen naar privacy@scbd.nl. Wij reageren binnen 1 maand op uw verzoek.

8. Cookies en vergelijkbare technieken

Het SCBD-platform gebruikt technische en functionele cookies. Analytische cookies worden alleen geplaatst indien zij als beperkt analytisch zijn ingericht; in andere gevallen vragen wij vooraf toestemming.

9. Wijzigingen in deze privacyverklaring

De regelgeving rondom privacy, evenals de werkwijze van SCBD, kan veranderen. Wij behouden ons daarom het recht voor om deze privacyverklaring te wijzigen. De meest actuele versie is altijd te vinden op onze website en in uw portal. Bij ingrijpende wijzigingen zullen wij u hiervan proactief per e-mail op de hoogte stellen.

10. Vragen of klachten?

Wij helpen u graag verder als u vragen of klachten heeft over de verwerking van uw persoonsgegevens. Mocht u er desondanks met ons niet uitkomen, dan heeft u op grond van de privacywetgeving het recht om een klacht in te dienen bij de toezichthouder in Nederland: de Autoriteit Persoonsgegevens (AP).

(Laatst gewijzigd op: 3 maart 2026)