Privacybeleid
Laatste update: 25 april 2026
Lalla Kenza is een bruiloftsplanningsplatform dat voor de Marokkaanse markt wordt geëxploiteerd. Dit beleid beschrijft hoe wij uw persoonsgegevens verzamelen, gebruiken en beschermen, in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) en de Marokkaanse wet 09-08.
1. Verantwoordelijke voor de verwerking
Het platform wordt momenteel als individuele onderneming geëxploiteerd door de oprichter. Een formele verklaring bij de CNDP (Marokko) zal worden ingediend wanneer een specifieke juridische entiteit wordt opgericht, uiterlijk vóór de openbare opening van de dienst voor niet-beta-koppels. Voor elke vraag: hello@lallakenza.co.
2. Verzamelde gegevens
Drie grote categorieën gegevens:
- Accountgegevens: e-mail + wachtwoord (gehasht). Vereist om uw ruimte aan te maken.
- Bruiloftsgegevens: voornamen van het koppel, datum, stad, geschat budget, ingeschakelde ceremonies, gastenlijst (die u invoert), foto's geüpload naar het openbare portaal, tafelplan, gastenboekberichten achtergelaten door uw gasten.
- Technische gegevens: IP-adres (anti-brute-force, ≤ 1 uur), foutlogs (zonder identificeerbare inhoud — zie §4), geanonimiseerde analyse-events (alleen als u analytische cookies accepteert).
3. Doeleinden
- U toelaten uw bruiloft te plannen met de tools van het platform.
- U authenticeren en uw account beveiligen.
- De RSVP's van uw gasten ontvangen en doorsturen naar uw dashboard (zonder registratie aan hun kant).
- Bugs detecteren en oplossen (Sentry, zonder persoonsgegevens).
- Begrijpen hoe de tool gebruikt wordt om hem te verbeteren (PostHog, alleen met uw expliciete toestemming via de cookiebanner).
Wij verkopen nooit uw gegevens. Wij gebruiken ze ook niet voor gerichte reclame.
4. Subverwerkers
Om het platform te laten werken, gebruiken we de volgende subverwerkers. Elk heeft een verwerkersovereenkomst (DPA) ondertekend die hen bindt aan hetzelfde niveau van vertrouwelijkheid als wij.
| Subverwerker | Doeleinde | Hosting | Bewaartermijn |
|---|---|---|---|
| Supabase Inc. | Hébergement de la base de données, authentification, stockage des photos. | AWS Europe (eu-west-3 / Paris) | Tant que votre compte existe + 30 jours après suppression (purge des sauvegardes). |
| Vercel Inc. | Hébergement de l'application web (rendu, edge, logs courts). | AWS / Vercel global edge (cache statique CDN). Données serveur en eu-west-1. | Logs : 24 heures (Hobby) → 30 jours (Pro). Aucun PII stocké côté Vercel. |
| Sentry (Functional Software, Inc.) | Suivi des erreurs applicatives pour corriger les bugs. | AWS Europe (Frankfurt). | 30 jours (free) → 90 jours (Pro). |
| PostHog (PostHog, Inc.) | Analytique produit (parcours utilisateur, fonctionnalités utilisées). Activé uniquement si vous acceptez les cookies analytiques. | PostHog EU Cloud (Francfort). | 12 mois. |
| Resend, Inc. | Envoi des emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe). Pas encore activé en prod. | AWS US-East. SCC + DPA en place. | 90 jours pour les statuts de remise. Contenu email non archivé. |
| Upstash, Inc. | Limitation de débit sur les endpoints d'authentification (anti-brute-force). | AWS Europe (Frankfurt). | ≤ 1 heure (clés Redis avec TTL). |
Detail van de gegevenscategorieën per subverwerker: src/data/subprocessors.ts.
5. Bewaartermijn
Uw gegevens blijven beschikbaar zolang uw account bestaat. Als u uw account verwijdert (vanuit Instellingen → Mijn gegevens), wissen we al uw tabellen binnen 24 uur en onze back-ups binnen 30 dagen. Deze verwijdering is onomkeerbaar.
6. Uw rechten
Conform de AVG en wet 09-08 beschikt u op elk moment over het recht:
- Op toegang en overdraagbaarheid (Art. 15 + 20 AVG) — Download een volledige JSON-export vanuit Instellingen → Mijn gegevens.
- Op rectificatie (Art. 16 AVG) — Bewerk uw gegevens rechtstreeks vanuit uw profiel.
- Op wissing (Art. 17 AVG) — Verwijder uw account vanaf dezelfde pagina. Onmiddellijke, onomkeerbare actie.
- Van bezwaar tegen verwerking voor analyse — Weiger de analytische cookies in de banner (u kunt op elk moment van gedachten veranderen). De dienst blijft volledig functioneel.
- Op klacht bij de CNDP in Marokko of de CNIL in Frankrijk.
7. Cookies
| Naam | Type | Doeleinde | Bewaartermijn |
|---|---|---|---|
| sb-* (Supabase Auth) | Essentieel | Maintien de votre session authentifiée. | Jusqu'à déconnexion ou expiration (1 semaine). |
| lk_locale | Essentieel | Mémorise votre langue d'interface (FR / EN). | 1 an. |
| lk_consent | Essentieel | Mémorise votre choix sur les cookies analytiques (accepté / refusé) — sans cela, la bannière reviendrait à chaque visite. | 1 an. |
| ph_* | Analytisch | PostHog — analyse produit anonymisée. Posé uniquement si vous avez accepté les cookies analytiques. | 12 mois. |
8. Beveiliging
Alle communicatie is versleuteld (HTTPS/TLS). De databases zijn beschermd door Row Level Security-regels die voorkomen dat een gebruiker de gegevens van een andere ziet, zelfs bij een applicatiefout. Authenticatiepogingen zijn beperkt (10/min/IP) om brute-force-aanvallen te blokkeren. We voeren een RLS-dekkingsaudit uit op elke pull request.
9. Wijzigingen
Dit beleid kan evolueren om nieuwe praktijken te weerspiegelen (wijziging van subverwerker, nieuwe functie). In geval van wezenlijke wijziging wordt u per e-mail op het adres van uw account op de hoogte gesteld. De huidige versie is altijd beschikbaar op /legal/privacy.
10. Contact
Om uw rechten uit te oefenen, om aanvullende informatie te vragen of om een vraag te stellen over dit beleid: hello@lallakenza.co. We verbinden ons ertoe binnen 30 dagen te antwoorden.