1. Inleiding 
   Dit privacybeleid beschrijft welke persoonsgegevens Brouwerij Haros (hierna: “Haros”, “wij”, “ons”) verwerkt wanneer u onze webshop gebruikt, met welke doeleinden, op welke rechtsgrondslag, hoe lang we gegevens bewaren en welke rechten u heeft.
   

2. Verantwoordelijke en contactgegevens Brouwerij Haros
   Brouwerij Haros
   Draaiweg 58
   3515EM Utrecht
   E-mail privacy: info@brouwerijharos.nl
   

3. Welke persoonsgegevens verwerken wij? 
   Wij verwerken alleen persoonsgegevens die noodzakelijk zijn voor het leveren van onze diensten en het naleven van wettelijke verplichtingen. Hieronder de categorieën met voorbeelden:

• Identificatiegegevens: naam, 
• Contactgegevens: e-mailadres, telefoonnummer, factuur- en afleveradres.
• Accountgegevens: gebruikersnaam, wachtwoord (versleuteld), bestelgeschiedenis.
• Betalingsgegevens: betaalmethode, voor zover noodzakelijk een (gedeeltelijk) betalingsbewijs; volledige bank- of kaartgegevens worden doorgaans niet door ons opgeslagen maar door de betaalprovider.
• Leeftijds- en identificatiecontrole: verklaring of bewijs van leeftijd / kopie identiteitsbewijs uitsluitend wanneer nodig voor leeftijdsverificatie bij aankoop van alcohol.
• Bestelinformatie: bestelde producten, besteldatum, verzendstatus, retouren.
• Technische gegevens: IP-adres, apparaat informatie, browsertype, bezochte pagina’s, cookies en vergelijkbare technieken (analytics).
• Communicatiegegevens: correspondentie via e-mail, telefoon of contactformulier, inclusief feedback en klachten.

4. Doeleinden van verwerking en rechtsgrondslag
   Wij verwerken persoonsgegevens voor de volgende doeleinden:

• Uitvoering van de koopovereenkomst (art. 6(1)(b) AVG): afhandelen van bestellingen, levering, facturatie en klantenservice.
• Nakoming wettelijke verplichtingen (art. 6(1)(c) AVG): fiscale bewaarplicht (o.a. 7 jaar voor administratieve gegevens), leeftijdscontrole bij alcoholverkoop en overige wettelijke verplichtingen.
• Direct marketing en e-mail nieuwsbrief (toestemming art. 6(1)(a) AVG of gerechtvaardigd belang art. 6(1)(f) AVG): toezenden van nieuwsbrieven en aanbiedingen indien u toestemming heeft gegeven of tenzij u bezwaar maakt.
• Fraudepreventie en beveiliging (gerechtvaardigd belang art. 6(1)(f) AVG): detecteren van misbruik en beschermen van systemen en klanten.
• Klachtenafhandeling en geschillen (contract / gerechtvaardigd belang).
• Verbeteren van onze dienstverlening en website (analytics; gebaseerd op toestemming voor niet-essentiële cookies of gerechtvaardigd belang voor geanonimiseerde analyses).
  

5. Cookies en vergelijkbare technieken
   Wij gebruiken cookies en vergelijkbare technieken voor functionele doeleinden (noodzakelijk), analytische doeleinden en marketing.

6. Delen van gegevens en verwerkers
   6.1 Wij delen persoonsgegevens met derde partijen alleen voor zover dat noodzakelijk is voor de uitvoering van de doeleinden (verwerkers) of op grond van wettelijk verplichte verstrekking.
   6.2 Voorbeelden van verwerkers zijn: betaalserviceproviders, hosting- en IT-dienstverleners, fulfilment- en bezorgpartners, e-mailmarketing- en CRM-leveranciers, analytics-diensten en juridische/boekhoudkundige adviseurs.
   6.3 Wij sluiten verwerkersovereenkomsten af en controleren dat verwerkers passende technische en organisatorische maatregelen nemen

• Betaalprovider: Mollie
• Verzendpartners: PostNL, DHL & DPD.
• Hosting / webshopplatform: WordPress, WooCommerce & One.com
• Analytics: Google Analytics
  

7. Internationale doorgifte 
   7.1 Indien persoonsgegevens buiten de EER worden verwerkt, doen wij dit alleen op basis van een adequaatheidsbesluit van de Europese Commissie of door middel van passende waarborgen zoals modelcontractbepalingen (Standard Contractual Clauses).
   7.2 U kunt bij ons navragen welke specifieke derden (indien van toepassing) buiten de EER gegevens ontvangen en welke waarborgen zijn getroffen.

8. Bewaartermijnen 
   Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld, tenzij langere bewaartermijnen wettelijk zijn voorgeschreven. 
   Voorbeelden:

• Administratie en fiscale gegevens: 7 jaar.
• Order- en leveringsgegevens: meestal 7 jaar (in aansluiting op administratie), tenzij een kortere termijn volstaat.
• Marketinggegevens: tot intrekking van toestemming of bezwaar; maximaal totdat u zich afmeldt.
• Klachten en garantieclaims: zolang nodig voor afhandeling, doorgaans maximaal 5 jaar tenzij anders vereist.

9. Beveiliging

Wij treffen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, onbevoegde toegang of onrechtmatige verwerking. 

Voorbeelden: versleuteling (TLS/HTTPS), toegangslimieten op basis van rol (need-to-know), wachtwoordbeleid, back-up en beveiligde hosting. Ondanks deze maatregelen bestaat geen absolute garantie tegen alle risico’s.

10. Rechten van betrokkenen 

U hebt de volgende rechten met betrekking tot uw persoonsgegevens:

• Recht op inzage en kopie van de verwerkte gegevens.
• Recht op rectificatie van onjuiste of onvolledige gegevens.
• Recht op (gedeeltelijke) gegevenswissing (‘recht om vergeten te worden’) onder voorwaarden.
• Recht op beperking van de verwerking.
• Recht op overdraagbaarheid van gegevens (data portability) indien verwerking plaatsvindt op basis van overeenkomst of toestemming en geautomatiseerd is.
• Recht op bezwaar tegen verwerking op basis van gerechtvaardigd belang of voor direct marketing.
• Recht om toestemming in te trekken (waar relevant) zonder dat de rechtmatigheid van de verwerkte gegevens vóór intrekking wordt aangetast.
  Om een van deze rechten uit te oefenen kunt u contact met ons opnemen via [info@brouwerijharos.nl]. Wij reageren binnen één maand; als de situatie complex is kan deze termijn met twee maanden worden verlengd (met berichtgeving binnen één maand).

11. Klacht bij toezichthouder 
    Als u meent dat uw rechten onder de AVG zijn geschonden, kunt u een klacht indienen bij de Autoriteit Persoonsgegevens: Autoriteit Persoonsgegevens
    Bezuidenhoutseweg 30, 2594 AV Den Haag
    Website: https://autoriteitpersoonsgegevens.nl

12. Specifieke verwerking: leeftijdsverificatie en identiteitsbewijzen
    12.1 Om alcohol te verkopen hanteren wij een leeftijdscontrole. We vragen uitsluitend de minimaal noodzakelijke gegevens om leeftijd vast te stellen. Indien kopieën van identiteitsbewijzen worden gevraagd, zullen wij zo mogelijk alleen de noodzakelijke velden registreren (bijv. leeftijdsverklaring) en persoonsgegevens niet langer bewaren dan strikt noodzakelijk.
    12.2 Beveiligingsmaatregelen gelden in het bijzonder voor deze gegevens. Bewaartermijnen en verwijdering worden beschreven in interne procedures.
    

13. Geautomatiseerde besluitvorming 
    Wij maken geen geautomatiseerde besluitvorming (inclusief profilering) die rechtsgevolgen voor u heeft, tenzij dit expliciet en transparant is aangegeven en u hiervoor toestemming heeft gegeven of dit noodzakelijk is voor de uitvoering van de overeenkomst.
    

14. Wijzigingen in dit privacybeleid 
    Wij kunnen dit privacybeleid aanpassen om te voldoen aan wetgeving of om onze services te verbeteren. Wijzigingen worden op de website gepubliceerd met een datum van inwerkingtreding. Raadpleeg regelmatig het privacybeleid.
    

15. Vragen en contact 
    Voor vragen over dit privacybeleid, verzoeken tot uitoefening van uw rechten of klachten kunt u contact opnemen via:
    E-mail: Info@brouwerijharos.nl
    Post: Brouwerij Haros, Draaiweg 58, Utrecht

Versie: 1.0 opgesteld op 2 oktober 2025.