Privacybeleid — LiveGig

Dit privacybeleid beschrijft welke persoonsgegevens LiveGig verwerkt, met welk doel, op welke grondslag, hoe lang ze worden bewaard en welke rechten je hebt. Het is opgesteld conform de Algemene verordening gegevensbescherming (AVG/GDPR).

Dit gaat over de juridische verwerking van persoonsgegevens. Hoe de end-to-end-versleuteling technisch werkt, lees je op de pagina Versleuteling & privacy. De gebruiksvoorwaarden staan op Voorwaarden.

1. Verwerkingsverantwoordelijke

LiveGig is een zelf-gehoste applicatie. De verwerkingsverantwoordelijke is de beheerder van de installatie waarop jij een account hebt. Voor de installatie op app.blastcoverband.nl is dat JMNL Innovation, te bereiken via macsnoeren@gmail.com.

Heb je een account op een andere installatie, dan is de beheerder daarvan verantwoordelijk. Dit beleid beschrijft de standaardverwerking van de software.

2. Welke persoonsgegevens we verwerken

Accountgegevens

Gegeven	Toelichting
Gebruikersnaam	Door jou gekozen; om in te loggen en je te tonen aan bandleden.
E-mailadres	Voor identificatie en accountbeheer.
Wachtwoord	Nooit als platte tekst opgeslagen — alleen als bcrypt-hash.
Rol	`user` of `admin`.
Bandlidmaatschap	In welke bands je zit en met welke rol (lid / leider).

Beveiligingsgegevens

Gegeven	Toelichting
2FA-secret (TOTP)	Alleen als je tweefactorauthenticatie inschakelt. Verlaat de server niet.
2FA-back-upcodes	Als SHA-256-hash opgeslagen, eenmalig getoond bij activering.
“Onthoud mij”-tokens	Alleen de hash staat in de database; de platte token staat in je cookie.
IP-adres	Vastgelegd in het audit-logboek bij gevoelige acties en gebruikt voor rate-limiting tegen brute-force-aanvallen.
Inlogpogingen	Tijdelijke tellers per account en per IP om misbruik te beperken.

Inhoudsgegevens (door jou ingevoerd)

Repertoire (nummers, artiest, BPM, toonsoort, notities, drumstructuur), setlijsten en banden. Dit zijn doorgaans geen persoonsgegevens, maar notities kunnen die bevatten. Wanneer de kluis (end-to-end-versleuteling) voor een band is ingeschakeld, wordt deze inhoud versleuteld opgeslagen en is die voor de server en de beheerder onleesbaar.

Wat we niet doen

Geen trackingcookies, geen advertenties, geen analytics van derden.
Geen profilering of geautomatiseerde besluitvorming.
Geen verkoop of verhuur van gegevens aan derden.

3. Doeleinden en grondslagen

Doel	Grondslag (AVG art. 6)
Account aanmaken en de dienst leveren	Uitvoering van de overeenkomst (art. 6.1.b)
Beveiliging: 2FA, rate-limiting, audit-logboek, sessiebeheer	Gerechtvaardigd belang (art. 6.1.f)
Tweefactorauthenticatie inschakelen	Toestemming (art. 6.1.a) — optioneel
Wettelijke verplichtingen (indien van toepassing)	Wettelijke plicht (art. 6.1.c)

4. Cookies en lokale opslag

LiveGig gebruikt alleen functionele cookies en lokale opslag:

Item	Doel
Sessiecookie (`HttpOnly`, `SameSite=Lax`, `Secure` onder HTTPS)	Je ingelogde sessie onthouden.
“Onthoud mij”-cookie	Ingelogd blijven tussen bezoeken (optioneel).
`localStorage`	Nummers, setlijsten en drumstructuren cachen zodat het dashboard offline werkt — bijvoorbeeld op het podium zonder internet.

Er worden geen cookies geplaatst voor tracking of marketing. Hiervoor is geen cookietoestemmingsbanner vereist.

5. Ontvangers en externe diensten

De gegevens staan in een database op de server van de beheerder. Een eventuele hostingpartij verwerkt gegevens uitsluitend in opdracht van de verwerkingsverantwoordelijke (verwerker).

Bij het opzoeken van een nummer stuurt de applicatie alleen de zoekterm (titel/artiest) naar externe muziekdiensten — nooit je persoonsgegevens: Tunebat, GetSongBPM, Spotify en MusicBrainz. Spotify is gevestigd in de VS; er worden alleen muziek-zoekopdrachten gedeeld, geen accountgegevens. Gebruik je de zoekfunctie niet, dan wordt er niets gedeeld.

6. Bewaartermijnen

Gegeven	Bewaartermijn
Account- en inhoudsgegevens	Tot je het account (laat) verwijderen.
Inlogpogingen (rate-limiting)	Automatisch opgeruimd na uiterlijk 1 uur.
“Onthoud mij”-tokens	Tot de vervaldatum of bij uitloggen; bij elk gebruik geroteerd.
Audit-logboek	Maximaal 12 maanden bewaard voor beveiliging en verantwoording, daarna verwijderd.

7. Beveiliging

LiveGig past technische en organisatorische maatregelen toe, waaronder wachtwoord-hashing (bcrypt), optionele tweefactorauthenticatie (TOTP), CSRF-bescherming, rate-limiting, beveiligde sessiecookies, security headers en optionele end-to-end-versleuteling per band.

8. Jouw rechten

Op grond van de AVG heb je recht op:

Inzage in je persoonsgegevens.
Rectificatie (correctie) van onjuiste gegevens.
Verwijdering (“recht op vergetelheid”).
Beperking van de verwerking.
Dataportabiliteit (gegevens overdragen).
Bezwaar tegen verwerking op grond van gerechtvaardigd belang.
Intrekken van toestemming (bijvoorbeeld 2FA uitschakelen), zonder terugwerkende kracht.

Een verzoek richt je aan de beheerder (zie §1). Veel rechten kun je zelf uitvoeren via Profiel (wachtwoord, 2FA) of door je account te laten verwijderen.

9. Klachten

Ben je het oneens met hoe je gegevens worden verwerkt, neem dan eerst contact op met de beheerder. Je hebt ook het recht een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

10. Datalekken

Bij een datalek met risico voor jouw rechten en vrijheden meldt de verwerkingsverantwoordelijke dit binnen 72 uur bij de Autoriteit Persoonsgegevens en, indien vereist, aan de betrokkenen.

Vermoed je een lek of kwetsbaarheid? Mail naar macsnoeren@gmail.com.

11. Wijzigingen

Dit privacybeleid kan worden aangepast wanneer de applicatie of regelgeving verandert. De datum bovenaan geeft de laatste wijziging aan.