Skip to main content

Privacybeleid

Laatst bijgewerkt: maart 2026

Op deze pagina

  1. 1. Verwerkingsverantwoordelijke
  2. 2. Privacycontact
  3. 3. Gegevens die we verzamelen
  4. 5. Hoe we je gegevens gebruiken
  5. 6. Verplichting tot verstrekking van gegevens
  6. 7. Rechtsgrond
  7. 8. Gegevensdeling & verwerkers
  8. 9. Internationale doorgifte
  9. 10. Bewaartermijnen
  10. 11. Jouw rechten
  11. 12. Recht op klacht
  12. 13. Cookies & tracking
  13. 14. End-to-end-encryptie
  14. 15. Datalekken
  15. 16. Gegevens van kinderen
  16. 17. Geautomatiseerde besluitvorming
  17. 18. Wijzigingen in dit beleid

1. Verwerkingsverantwoordelijke

OpenHospi is de verwerkingsverantwoordelijke in de zin van art. 4, onder 7, AVG voor de verwerking van je persoonsgegevens. OpenHospi is een gratis, open-source platform waar studenten in Nederland kamers kunnen vinden en aanbieden. Voor privacyvragen kun je contact opnemen via privacy@openhospi.nl. OpenHospi heeft geen functionaris voor gegevensbescherming aangewezen, omdat dit op grond van art. 37 AVG niet vereist is gezien de aard en omvang van onze verwerkingsactiviteiten.

2. Privacycontact

Voor alle privacy- en gegevensbeschermingsvragen kun je contact opnemen via privacy@openhospi.nl. Wij behandelen je verzoek kosteloos en reageren binnen een maand na ontvangst, conform art. 12, lid 3, AVG. Bij complexe of talrijke verzoeken kunnen wij deze termijn met ten hoogste twee maanden verlengen. Wij stellen je in dat geval binnen een maand na ontvangst van het verzoek op de hoogte van een dergelijke verlenging en van de redenen daarvoor.

3. Gegevens die we verzamelen

Wij verzamelen de volgende categorieën persoonsgegevens, conform het beginsel van dataminimalisatie (art. 5, lid 1, onder c, AVG):

  • Profielgegevens: naam, e-mailadres, geboortedatum, geslacht, studierichting, onderwijsinstelling, bio, leefstijltags, voorkeursstad, beschikbaar vanaf, maximale huur, foto's
  • Woninggegevens: kameradvertenties met adressen, coördinaten, huurprijs, kamerdetails en foto's
  • Communicatiegegevens: end-to-end versleutelde chatberichten (inhoud is voor OpenHospi onleesbaar)
  • Sollicitatiegegevens: persoonlijk bericht en sollicitatiestatus
  • Sessiegegevens: IP-adres en user agent voor beveiligingsdoeleinden
  • Push-notificatietokens: voor het bezorgen van notificaties op je apparaat
  • Kalenderabonnementstoken: een unieke, geheime link waarmee je agenda-applicatie toegang heeft tot je hospi-evenementenplanning. Deze link vereist geen authenticatie en kan op elk moment worden ingetrokken via je instellingen
  • Toestemmingsregistratie: je cookie- en privacyvoorkeuren, tijdstempels en privacybeleidversie
  • Wij verzamelen geen bijzondere categorieën persoonsgegevens als bedoeld in art. 9, lid 1, AVG (waaronder gegevens over ras, politieke opvattingen, religie, gezondheid of seksuele gerichtheid). Indien je dergelijke gegevens vrijwillig deelt in je profiel of berichten, verwerken wij deze op grond van art. 9, lid 2, onder e, AVG (kennelijk door jou openbaar gemaakt).

5. Hoe we je gegevens gebruiken

Wij gebruiken je gegevens uitsluitend om het OpenHospi-platform te bieden, conform het doelbindingsbeginsel (art. 5, lid 1, onder b, AVG): studenten matchen met kamers, communicatie faciliteren tussen zoekers en aanbieders, het hospiteerproces beheren en kalendersynchronisatie. Wanneer je je abonneert op je hospi-kalender, serveren wij je evenementgegevens (titels, data, tijden, locaties) via een privé-URL. Kalender-applicaties (Google Calendar, Apple Calendar, Outlook) vragen deze URL periodiek op om je kalender actueel te houden. Wij verkopen je gegevens niet, gebruiken ze niet voor reclame, profileren je niet voor marketingdoeleinden en delen ze niet met derden buiten hetgeen beschreven is in dit beleid.

6. Verplichting tot verstrekking van gegevens

Profielgegevens (naam, e-mailadres, studiegegevens) zijn contractueel vereist om het platform te kunnen gebruiken (art. 13, lid 2, onder e, AVG). Zonder deze gegevens kan geen account worden aangemaakt en kan het platform niet functioneren. De verstrekking is contractueel vereist, niet wettelijk verplicht. Je bent vrij om geen account aan te maken als je deze gegevens niet wilt delen.

7. Rechtsgrond

Wij verwerken je gegevens op basis van de volgende rechtsgronden (art. 6 AVG). Zie onze pagina Rechtsgrondenoverzicht voor een volledig overzicht per verwerkingsactiviteit.

  • Overeenkomst (art. 6, lid 1, onder b, AVG): profiel, woning, sollicitaties, chat; noodzakelijk voor de uitvoering van de overeenkomst
  • Toestemming (art. 6, lid 1, onder a, AVG): functionele cookies, pushnotificaties, analytics
  • Gerechtvaardigd belang (art. 6, lid 1, onder f, AVG): sessiebeveiliging (IP-logging), platformveiligheid (moderatierapporten). Wij hebben deze belangen afgewogen tegen jouw rechten en vrijheden en vastgesteld dat de verwerking noodzakelijk en evenredig is
  • Wettelijke verplichting (art. 6, lid 1, onder c, AVG): toestemmingsregistratie (aantonen geldige toestemming conform art. 7 AVG)
  • Je kunt je toestemming op elk moment intrekken via Instellingen > Privacy. Het intrekken van je toestemming laat de rechtmatigheid van de verwerking op basis van toestemming vóór de intrekking onverlet (art. 7, lid 3, AVG).

8. Gegevensdeling & verwerkers

Wij delen je gegevens alleen met de volgende partijen, allemaal gevestigd binnen de EU/EER. Alle verwerkers werken onder een verwerkersovereenkomst conform art. 28 AVG. Zie onze pagina Verwerkers voor details.

  • Supabase (Dublin, Ierland): database en bestandsopslag (verwerker)
  • Vercel (Dublin, Ierland): webhosting en edge-functies (verwerker)
  • Upstash (Ierland): snelheidsbeperking via Redis (verwerker)
  • Institutionele SSO-provider (GÉANT, Nederland): studentverificatie (zelfstandig verwerkingsverantwoordelijke, geen verwerker in de zin van art. 28 AVG)
  • Sentry (Frankfurt, Duitsland): crashrapportage en foutmonitoring (verwerker). Geen persoonsgegevens verzameld
  • Expo/EAS (VS): mobiele app-builds, over-the-air updates en distributie (verwerker). Geen persoonsgegevens verzameld; alleen app-code en bundels worden verwerkt

9. Internationale doorgifte

Al je gegevens worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER). Wij geven geen persoonsgegevens door aan derde landen of internationale organisaties. De bepalingen inzake doorgifte (art. 44 tot en met 49 AVG) zijn daarom niet van toepassing. Al onze infrastructuurproviders zijn gevestigd in Ierland, Nederland of Duitsland. Opmerking: De interne organisatorische metadata van Sentry (ontwikkelaarsaccounts, projectconfiguraties, geen eindgebruikersgegevens) kan naar de VS worden gerepliceerd conform de infrastructuur van Sentry. Dit heeft geen invloed op de privacy van eindgebruikers aangezien er geen gebruikersgegevens bij betrokken zijn.

10. Bewaartermijnen

Wij bewaren je gegevens niet langer dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld, conform het opslagbeperkingsbeginsel (art. 5, lid 1, onder e, AVG):

  • Profielgegevens, kameradvertenties en chatberichten: bewaard zolang je account actief is
  • Sessie-IP-adressen: geanonimiseerd na 30 dagen
  • Verlopen sessies: verwijderd na 90 dagen
  • Rapportberichtteksten: verwijderd 90 dagen na afhandeling
  • Gelezen meldingen: verwijderd na 180 dagen
  • IP-adressen in toestemmingsregistratie: geanonimiseerd na 365 dagen
  • Accountverwijdering: alle gegevens permanent verwijderd via cascading deletes

11. Jouw rechten

Op grond van de AVG heb je de volgende rechten met betrekking tot je persoonsgegevens. Je kunt deze rechten uitoefenen via Instellingen > Privacy, of door contact op te nemen met privacy@openhospi.nl.

  • Recht van inzage (art. 15 AVG): je hebt recht op een kopie van je persoonsgegevens, via Instellingen > Privacy > Gegevensexport
  • Recht op rectificatie (art. 16 AVG): je kunt onjuiste of onvolledige gegevens laten corrigeren, via je profiel
  • Recht op gegevenswissing (art. 17 AVG): je kunt verzoeken om verwijdering van je gegevens, via Instellingen > Account verwijderen
  • Recht op beperking van de verwerking (art. 18 AVG): je kunt verzoeken om beperking van de verwerking met behoud van je gegevens
  • Kennisgevingsplicht (art. 19 AVG): wij stellen iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis van rectificatie, wissing of beperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt
  • Recht op overdraagbaarheid van gegevens (art. 20 AVG): je kunt je gegevens in een gestructureerd, gangbaar en machineleesbaar formaat ontvangen (JSON of CSV), via Instellingen > Privacy > Gegevensexport. De kalenderabonnementsfeed biedt ook overdraagbaarheid van hospi-evenementen in standaard iCalendar (ICS) formaat
  • Recht van bezwaar (art. 21 AVG): je kunt bezwaar maken tegen verwerking op grond van gerechtvaardigd belang

12. Recht op klacht

Als je van mening bent dat je rechten op grond van de AVG zijn geschonden, heb je het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (art. 77 AVG). Je kunt ook een klacht indienen bij de toezichthoudende autoriteit in de EU-lidstaat van je gewone verblijfplaats.

13. Cookies & tracking

Wij gebruiken een minimale set cookies. Essentiële cookies (sessie-authenticatie) zijn strikt noodzakelijk voor het functioneren van het platform en vereisen geen toestemming. Functionele cookies (taalvoorkeur, zijbalkstatus) vereisen je toestemming op grond van art. 11.7a Telecommunicatiewet. Wij gebruiken geen trackingcookies of advertentiecookies van derden. Zie ons Cookiebeleid voor volledige details.

14. End-to-end-encryptie

Alle chatberichten tussen studenten en kameraanbieders zijn end-to-end versleuteld (E2EE) met AES-256-GCM en ECDH-sleuteluitwisseling, als passende technische maatregel in de zin van art. 32 AVG en ter invulling van gegevensbescherming door ontwerp (art. 25 AVG). Dit betekent dat OpenHospi de inhoud van je privéberichten niet kan lezen. Encryptiesleutels worden lokaal op je apparaat opgeslagen en optioneel (versleuteld) op onze servers geback-upt.

15. Datalekken

Bij een inbreuk in verband met persoonsgegevens meldt OpenHospi dit zonder onredelijke vertraging en uiterlijk binnen 72 uur aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor jouw rechten en vrijheden (art. 33 AVG). Indien de inbreuk waarschijnlijk een hoog risico inhoudt voor jouw rechten en vrijheden, stellen wij je daarvan onverwijld en in duidelijke en eenvoudige taal op de hoogte (art. 34 AVG). De end-to-end-encryptie van chatberichten beperkt de impact bij een eventuele inbreuk op communicatiegegevens, aangezien de versleuteling de gegevens onbegrijpelijk maakt voor onbevoegden (art. 34, lid 3, onder a, AVG).

16. Gegevens van kinderen

OpenHospi is uitsluitend toegankelijk via institutionele SSO, waarvoor inschrijving bij een geaccrediteerde Nederlandse onderwijsinstelling vereist is. Dit betekent dat alle gebruikers studenten zijn van 16 jaar of ouder, conform art. 5 UAVG (ter uitvoering van art. 8, lid 1, AVG, dat lidstaten toestaat de leeftijdsgrens op minimaal 16 jaar te stellen). Wij verzamelen niet bewust persoonsgegevens van kinderen jonger dan 16 jaar.

17. Geautomatiseerde besluitvorming

OpenHospi maakt geen gebruik van geautomatiseerde individuele besluitvorming of profilering als bedoeld in art. 22 AVG. Kamermatching is volledig handmatig. Gebruikers bladeren door kamers en melden zich zelf aan. Huisgenoten stemmen handmatig over sollicitanten. Geen algoritmen bepalen wie welke kamers ziet of wie wordt geaccepteerd.

18. Wijzigingen in dit beleid

Wij kunnen dit privacybeleid van tijd tot tijd bijwerken. Belangrijke wijzigingen worden gecommuniceerd via een in-app-melding. De datum 'laatst bijgewerkt' bovenaan weerspiegelt de meest recente revisie.