PRIVACY POLICY — CarNet & CarNinja

Hebel & Margo BV — Laatste update: 21 november 2025

1. Wie zijn wij en hoe kan je ons bereiken?

  • Verwerkingsverantwoordelijke: Hebel & Margo BV
  • Adres: Kapellekensweg 32, 3391 Meensel-Kiezegem, België
  • Ondernemingsnummer: BE 0794.199.079
  • Algemeen: info@carnet.be
  • Privacy & GDPR: info@carnet.be
  • Reactie binnen 1 maand (uitzonderlijk 3 maanden bij complexe verzoeken, met motivering, conform GDPR art. 12).

2. Toepassingsgebied

Deze privacy policy geldt voor Carnet.be, CarNinja en alle subdomeinen, apps, API’s en integraties. Door gebruik te maken van onze diensten ga je akkoord met deze policy.

  • Carnet.be
  • CarNinja
  • Subdomeinen, apps, API’s en integraties

3. Welke gegevens verwerken wij en waarom?

Account- & profielgegevens

  • Voorbeelden: Naam, e-mail, telefoon, adres, bedrijfsnaam, gehasht wachtwoord
  • Rechtsgrond: Uitvoering overeenkomst + gerechtvaardigd belang
  • Doeleinden: Accountbeheer, inloggen, support, fraudepreventie

Advertentiegegevens (Carnet)

  • Voorbeelden: Voertuiginfo, km-stand, foto’s/video’s, prijs, reacties
  • Rechtsgrond: Uitvoering overeenkomst + gerechtvaardigd belang
  • Doeleinden: Publicatie & tonen van advertenties; gebruik van voertuigfoto’s in marketing (bv. social media, nieuwsbrieven, voorbeeldadvertenties) zonder identificeerbare persoonsgegevens van de verkoper, met opt-out via mail

Voertuiganalyse (CarNinja)

  • Voorbeelden: Foto’s (incl. EXIF), technische gegevens, AI-input/-output, risicoprofielen (primair voertuiggegevens; EXIF geanonimiseerd)
  • Rechtsgrond: Uitvoering overeenkomst + gerechtvaardigd belang
  • Doeleinden: Analyse, aanbevelingen, kwaliteitscontrole & modelverbetering (geanonimiseerd)

Betalings- & factuurgegevens

  • Voorbeelden: Naam kaarthouder, factuuradres, betaalstatus (Stripe)
  • Rechtsgrond: Uitvoering overeenkomst + wettelijke verplichting
  • Doeleinden: Betalingen, facturatie, boekhouding

Technische gegevens

  • Voorbeelden: IP-adres, browser, toestel, logs, sessieduur
  • Rechtsgrond: Gerechtvaardigd belang
  • Doeleinden: Beveiliging, stabiliteit, fraudedetectie

Communicatie

  • Voorbeelden: E-mails, chat, supporttickets
  • Rechtsgrond: Uitvoering overeenkomst
  • Doeleinden: Klantenservice

Marketing & cookies

  • Voorbeelden: Cookie-ID’s, advertentie-ID’s, nieuwsbriefstatus
  • Rechtsgrond: Toestemming (opt-in)
  • Doeleinden: Nieuwsbrieven, retargeting, personalisatie

4. AI & profilering (CarNinja)

4.1 Geen bindende geautomatiseerde beslissingen

Onze AI geeft advies op basis van voertuiggegevens, geen bindende of juridische beslissingen. Je behoudt altijd volledige controle. Geen profiling met persoonsgegevens; EXIF-metadata kan potentieel persoonsgegevens bevatten en wordt geanonimiseerd om risico’s te minimaliseren.

4.2 Rechten bij AI

  • Menselijke tussenkomst vragen
  • Uitleg over de logica krijgen
  • Resultaten betwisten (via info@carnet.be)

4.3 Bewaring foto’s & metadata

  • Foto’s: max. 160 dagen
  • EXIF-metadata: max. 120 dagen, geanonimiseerd na verwerking
  • Modeltraining: enkel geanonimiseerd (geen persoonsgegevens)
  • DPIA’s en bias-mitigatie via regelmatige audits

5. Bewaartermijnen

  • Accountgegevens: max. 3 jaar na laatste login of verwijdering (heractivering, administratie)
  • Advertentiegegevens: tot verwijdering, max. 5 jaar inactief (proportionaliteit)
  • CarNinja-analyses: max. 24 maanden (modeloptimalisatie)
  • Foto’s: max. 160 dagen (technische verwerking)
  • EXIF-metadata: max. 120 dagen (fraudepreventie & veiligheid)
  • Facturen: 7 jaar (Belgische wetgeving)
  • Logs & IP’s: max. 12 maanden (beveiliging)
  • Marketingtoestemming: tot intrekking + 2 jaar bewijs (naleving GDPR)
  • Na afloop worden gegevens verwijderd of geanonimiseerd.

6. Delen met derden

  • OpenAI / Anthropic — AI-analyse (VS) — SCC’s + TIA
  • Google Cloud / AWS — Hosting (EU/VS) — SCC’s + BCR
  • Stripe — Betalingen (VS) — SCC’s + PCI-DSS
  • Google Analytics / Plausible — Analytics (EU/VS) — IP-anonimisering + SCC’s
  • Meta & Google Ads — Retargeting (opt-in) (VS) — SCC’s + toestemming
  • Wij verkopen nooit persoonsgegevens.

7. Internationale doorgifte

Gegevens buiten de EU worden beschermd via: EU Standard Contractual Clauses (2021), Transfer Impact Assessments en aanvullende technische & organisatorische maatregelen. Wij monitoren GDPR-rechtspraak (Schrems II/III).

8. Jouw GDPR-rechten

  • Inzage, rectificatie, verwijdering, beperking
  • Bezwaar (incl. tegen marketing & modeltraining)
  • Dataportabiliteit
  • Intrekking toestemming
  • Klacht bij de GBA
  • Contact: info@carnet.be

9. Account verwijderen

Mail naar info@carnet.be — onderwerp “Account verwijderen”. Binnen 30 dagen: account gewist, persoonsgegevens verwijderd, resterende data geanonimiseerd.

10. Cookies & tracking

  • Functionele cookies
  • Analytische cookies
  • Marketingcookies (opt-in)
  • Retargeting via Meta/Google Ads

11. Beveiliging

  • TLS 1.3
  • AES-256 encryptie
  • bcrypt/Argon2 hashing
  • Least-privilege toegangscontrole
  • Regelmatige penetratietests
  • DPIA voor CarNinja
  • Meldplicht bij datalek (72 uur)

12. Minderjarigen

Onze diensten richten zich niet op personen < 18 jaar. Gevonden gegevens worden direct verwijderd.

13. Wijzigingen

Belangrijke wijzigingen worden aangekondigd via website en/of e-mail. De actuele versie staat steeds op carnet.be/privacy.

14. Toepasselijk recht

Belgisch recht. Bevoegde rechtbank: arrondissement Leuven.