Privacy Policy
Last updated: 27 March 2026
1. Who We Are
GiftStack (hereinafter "we", "us", or "our") is the data controller within the meaning of the General Data Protection Regulation (GDPR / AVG). You can reach us at contact@giftstack.eu.
2. What Personal Data We Collect and Why
| Data | Purpose | Legal basis (Art. 6 GDPR) |
|---|---|---|
| E-mail address & hashed password | Account creation, authentication, and account recovery | Performance of a contract (Art. 6(1)(b)) |
| Names of gift recipients you add (Receivers) | Core application functionality — tracking gift ideas per person | Performance of a contract (Art. 6(1)(b)) |
| Gift names, prices, and event information you enter | Core application functionality | Performance of a contract (Art. 6(1)(b)) |
| Your user ID, error context, and technical diagnostics | Error tracking and application stability (Sentry) | Legitimate interest (Art. 6(1)(f)) — maintaining a secure and stable service |
We do not use your personal data for advertising, profiling, or automated decision-making.
3. Data Retention
We retain your account data for as long as your account is active. If you request deletion of your account, we will erase your personal data within 30 days, except where a longer retention period is required by law. Error-tracking data in Sentry is retained for 90 days.
4. Third-Party Processors
We use the following sub-processors, all bound by a data processing agreement or equivalent safeguards for international transfers (Standard Contractual Clauses):
| Processor | Purpose | Location |
|---|---|---|
| Fly.io, Inc. | Cloud hosting & infrastructure (servers run in Frankfurt, Germany) | United States |
| Tigris Data (via Fly.io) | Encrypted database backup storage | United States |
| Sentry, Inc. | Application error tracking and diagnostics | United States |
Where processors are located outside the European Economic Area (EEA), the transfers take place under Standard Contractual Clauses (SCCs) approved by the European Commission, or equivalent safeguards.
5. Your Rights
Under the AVG/GDPR you have the right to:
- Access — obtain a copy of the personal data we hold about you.
- Rectification — have inaccurate data corrected.
- Erasure — request deletion of your data ("right to be forgotten").
- Restriction — ask us to restrict processing of your data.
- Data portability — receive your data in a structured, machine-readable format.
- Objection — object to processing based on legitimate interest.
- Withdraw consent — where processing is based on consent, you may withdraw at any time.
To exercise any of these rights, please email us at contact@giftstack.eu. We will respond within one month.
6. Right to Lodge a Complaint
You have the right to lodge a complaint with the Dutch supervisory authority, the Autoriteit Persoonsgegevens (AP): www.autoriteitpersoonsgegevens.nl.
7. Cookies
GiftStack uses only a single, strictly necessary session cookie to keep you logged in and a CSRF token cookie to protect form submissions. No tracking, analytics, or advertising cookies are used. No cookie consent banner is required for strictly necessary cookies.
8. Changes to This Policy
We may update this policy from time to time. The "Last updated" date at the top of this page will reflect any changes. Continued use of the service after a material change constitutes acceptance of the revised policy.
9. Contact
Privacybeleid
Laatst bijgewerkt: 27 maart 2026
1. Wie zijn wij
GiftStack (hierna: "wij", "ons" of "onze") is de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG). U kunt contact met ons opnemen via contact@giftstack.eu.
2. Welke persoonsgegevens wij verzamelen en waarom
| Gegeven | Doel | Grondslag (Art. 6 AVG) |
|---|---|---|
| E-mailadres & gehashed wachtwoord | Aanmaken van een account, inloggen en accountherstel | Uitvoering van een overeenkomst (Art. 6(1)(b)) |
| Namen van ontvangers die u toevoegt | Kernfunctionaliteit van de applicatie — cadeaulijsten bijhouden per persoon | Uitvoering van een overeenkomst (Art. 6(1)(b)) |
| Cadeaunamen, prijzen en evenementsinformatie die u invoert | Kernfunctionaliteit van de applicatie | Uitvoering van een overeenkomst (Art. 6(1)(b)) |
| Uw gebruikers-ID, foutcontext en technische diagnostiek | Foutopsporing en stabiliteit van de applicatie (Sentry) | Gerechtvaardigd belang (Art. 6(1)(f)) — het onderhouden van een veilige en stabiele dienst |
Wij gebruiken uw persoonsgegevens niet voor reclame, profilering of geautomatiseerde besluitvorming.
3. Bewaartermijnen
Wij bewaren uw accountgegevens zolang uw account actief is. Indien u verwijdering van uw account aanvraagt, wissen wij uw persoonsgegevens binnen 30 dagen, tenzij een langere bewaartermijn wettelijk verplicht is. Foutopsporingsgegevens in Sentry worden 90 dagen bewaard.
4. Verwerkers
Wij maken gebruik van de volgende subverwerkers, die allen zijn gebonden aan een verwerkersovereenkomst of gelijkwaardige waarborgen voor internationale doorgifte (Standaard Contractuele Clausules):
| Verwerker | Doel | Vestigingsplaats |
|---|---|---|
| Fly.io, Inc. | Cloud-hosting & infrastructuur (servers staan in Frankfurt, Duitsland) | Verenigde Staten |
| Tigris Data (via Fly.io) | Versleutelde back-upopslag van de database | Verenigde Staten |
| Sentry, Inc. | Foutopsporing en diagnose van de applicatie | Verenigde Staten |
Doorgifte van persoonsgegevens naar verwerkers buiten de Europese Economische Ruimte (EER) vindt plaats op basis van door de Europese Commissie goedgekeurde Standaard Contractuele Clausules (SCC's) of gelijkwaardige waarborgen.
5. Uw rechten
Op grond van de AVG heeft u het recht op:
- Inzage — een kopie ontvangen van de persoonsgegevens die wij van u verwerken.
- Rectificatie — onjuiste gegevens laten corrigeren.
- Wissing — verwijdering van uw gegevens aanvragen ("recht op vergetelheid").
- Beperking van de verwerking — ons vragen de verwerking te beperken.
- Gegevensoverdraagbaarheid — uw gegevens ontvangen in een gestructureerd, machineleesbaar formaat.
- Bezwaar — bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
- Intrekking van toestemming — indien de verwerking op toestemming berust, kunt u deze te allen tijde intrekken.
Stuur een e-mail naar contact@giftstack.eu om een van deze rechten uit te oefenen. Wij reageren binnen één maand.
6. Recht om een klacht in te dienen
U heeft het recht een klacht in te dienen bij de Nederlandse toezichthoudende autoriteit: de Autoriteit Persoonsgegevens (AP), www.autoriteitpersoonsgegevens.nl.
7. Cookies
GiftStack maakt uitsluitend gebruik van een strikt noodzakelijk sessiecookie om u ingelogd te houden en een CSRF-tokencookie ter bescherming van formulierinzendingen. Er worden geen tracking-, analyse- of reclamecookies gebruikt. Voor strikt noodzakelijke cookies is geen toestemming vereist.
8. Wijzigingen in dit beleid
Wij kunnen dit beleid van tijd tot tijd bijwerken. De datum "Laatst bijgewerkt" bovenaan deze pagina weerspiegelt eventuele wijzigingen. Voortgezet gebruik van de dienst na een materiële wijziging houdt aanvaarding van het herziene beleid in.