🔐 Privacybeleid: Dataminimalisatie Verslaat Gegevenshamsteren
AVG-Naleving Door Privacy-by-Design
Denk voor jezelf, sufkop! Bevraag autoriteit. Inclusief de autoriteit van bedrijven die beweren "we hebben al je gegevens nodig voor betere service." Gegevens die je niet verzamelt kunnen niet gestolen worden. Gegevens die je verwijdert kunnen niet lekken.
Niets is waar. Alles is toegestaan. Behalve AVG-schending—dat kost €20M of 4% van de wereldwijde omzet, wat het meeste pijn doet. Amazon: €746M boete. Google: €50M boete. Meta: €1,2B boete. Naleving is niet optioneel.
Hack23's Privacybeleid implementeert systematische gegevensbescherming in drie producten: CIA (politieke transparantie), Black Trigram (educatieve gaming), CIA Compliance Manager (beveiligingsbeoordeling). Dataminimalisatie, 90-dagen IP-bewaring, accountlevensduur + 2 jaar maximale bewaring, privacy-by-design, Zweedse AP-naleving. Dit demonstreert onze cybersecurity consulting expertise door meetbare privacy-implementatie.
VERLICHTING: AVG-boetes zijn duur. Datalekken zijn duurder. De goedkoopste optie? Verzamel geen gegevens die je niet nodig hebt. Revolutionaire eenvoud.
Op zoek naar expert implementatie ondersteuning? Zie waarom organisaties Hack23 kiezen voor beveiligingsconsultancy die innovatie versnelt.
Data Controller: Hack23 AB (Zweeds Bedrijf, EU Jurisdictie)
Wettelijke verantwoordelijkheid voor uw persoonsgegevens:
| Informatie | Details |
|---|---|
| Rechtsnaam | Hack23 AB |
| Organisatienummer | 559534-7807 (Zweeds bedrijf) |
| Geregistreerd Adres | Carl Grimbergsgatan 25, 413 13 Göteborg, Zweden |
| Gegevensbeschermingscontact | privacy@hack23.com |
| CEO/FG | James Pether Sörling |
Zweedse jurisdictie = Zweedse Autoriteit Persoonsgegevens (Integritetsskyddsmyndigheten) toezicht. EU AVG volledig van toepassing. Klachten kunnen ingediend worden bij Zweedse AP of uw lokale EU gegevensbeschermingsautoriteit.
JURISDICTIE VERLICHTING: Zweeds bedrijf = Zweedse privacywet + EU AVG. Noordse landen hebben sterke privacy tradities. Dit is niet Californië—dit zijn Vikings die privacy serieus nemen.
Drie Producten, Systematische Privacy Implementatie
Privacybeleid geldt voor alle Hack23 AB producten met product-specifieke gegevensverwerking:
🏛️ CIA (Citizen Intelligence Agency)
Politiek transparantieplatform. Gebruikersaccounts, activiteitsdashboards, Zweedse parlementsdata analyse. Verzamelde gegevens: Naam, e-mail, IP (90 dagen), activiteitstracking. Doel: Gepersonaliseerde politieke transparantie. Rechtsbasis: Contract + Gerechtvaardigd Belang. Bewaring: Accountlevensduur + 2 jaar.
🎮 Black Trigram
Educatief spelplatform. Spelerprofielen, spelvoortgang, prestaties, Koreaanse vechtkunsten leren. Verzamelde gegevens: Naam, e-mail, spelstatistieken, apparaatinfo. Doel: Spelstatus persistentie, leervoortgang. Rechtsbasis: Contract. Bewaring: Accountlevensduur.
🛡️ CIA Compliance Manager
Beveiligingsnaleving tool. Organisatie accounts, beveiligingsbeoordelingen, nalevingsrapporten. Verzamelde gegevens: Organisatie-info, gebruikersaccounts, beoordelingsdata. Doel: Nalevingsautomatisering. Rechtsbasis: Contract. Bewaring: Accountlevensduur + 2 jaar (audit trail).
PRODUCT VERLICHTING: Drie verschillende producten, één systematisch privacy framework. Gegevensverzameling varieert per productdoel. Bewaring afgestemd op bedrijfsbehoefte. Geen gegevenshamstering.
Data We Collect: Minimization Through Classification
All data classified per Privacy Classification Framework:
| Data Type | Privacy Level | Purpose | Legal Basis | Retention |
|---|---|---|---|---|
| Name | Personal Identifier | Account identification, communication | Contract / Legitimate Interest | Account lifetime + 2 years |
| Email Address | Personal Identifier | Authentication, notifications, support | Contract | Account lifetime + 2 years |
| IP Address | Personal Identifier | Security, fraud prevention, analytics | Legitimate Interest | 90 days (logs) |
| Device ID | Personal | Session management, security | Legitimate Interest | Session duration |
| Application Events | Personal | Feature usage analytics, UX improvement | Legitimate Interest | 12 months |
| Game Progress | Personal | Save game state, achievements | Contract | Account lifetime |
| Analytics Data | Pseudonymized | Traffic analysis, content optimization | Legitimate Interest | 14 months |
Data minimization enforced: No social security numbers collected. No financial data stored (payment processors handle transactions). No health data. No biometric data. No location tracking beyond IP geolocation for security.
MINIMIZATION ILLUMINATION: Every data field has documented purpose and retention period. If we can't justify collection, we don't collect. If we can't justify retention, we delete. Data minimization isn't philosophy—it's operational practice.
GDPR Article 5: Seven Principles of Lawful Processing
Hack23 implementeert alle zeven AVG gegevensbeschermingsprincipes:
1. Rechtmatigheid, Eerlijkheid, Transparantie
Rechtsbasis gedocumenteerd voor alle verwerking. Contract voor accountservices, Gerechtvaardigd Belang voor security/analytics, Toestemming voor marketing (opt-in). Privacybeleid publiek, duidelijke taal, geen juridisch jargon dat intentie verbergt.
2. Doelbinding
Gegevens alleen gebruikt voor vermelde doelen. E-mail voor authenticatie? Niet gebruikt voor ongevraagde marketing. IP voor beveiliging? Niet verkocht aan adverteerders. Doel gespecificeerd bij verzameling, gedocumenteerd in beleid.
3. Dataminimalisatie
Verzamel alleen noodzakelijke gegevens. Geen "voor het geval dat" gegevensverzameling. Geen 50-velden registratieformulieren. Vraag naar naam en e-mail—niet levensgeschiedenis. Minimalisatie = verminderde aansprakelijkheid.
4. Juistheid
Houd gegevens correct en actueel. Gebruikers kunnen profielen bijwerken. Onjuiste gegevens snel gecorrigeerd. Verouderde gegevens verwijderd per bewaringsschema. Gegevenskwaliteit = gegevensbescherming.
5. Opslagbeperking
Verwijder wanneer niet langer nodig. IP logs: 90 dagen. Analytics: 12-14 maanden. Accountgegevens: Levensduur + 2 jaar maximum. Geautomatiseerde verwijdering afgedwongen. Oneindige bewaring = oneindige aansprakelijkheid.
6. Integriteit & Vertrouwelijkheid
Beveilig gegevens passend. Encryptie per Cryptografiebeleid, toegangscontrole per Toegangscontrolebeleid, monitoring per Incident Response Plan.
7. Verantwoordingsplicht
Bewijs naleving, claim het niet alleen. Publieke ISMS documentatie, Verwerkersovereenkomsten met leveranciers, inbreukmeldingsprocedures (72 uur naar AP), gegevensbeschermingseffectbeoordelingen (DPIA) voor hoog-risico verwerking.
GDPR ILLUMINATION: Article 5 isn't suggestions—it's law. Violate any principle = GDPR non-compliance = regulatory action. These seven principles drive all data processing decisions.
Your Rights Under GDPR: Eight Data Subject Rights
GDPR grants you eight rights over your personal data. Hack23 honors all eight:
| Right | What It Means | How to Exercise | Response Time |
|---|---|---|---|
| Right to Access | Request copy of your personal data | Email privacy@hack23.com | 30 days (GDPR maximum) |
| Right to Rectification | Correct inaccurate personal data | Update profile or email request | 30 days |
| Right to Erasure | "Right to be forgotten"—delete your data | Account deletion or email request | 30 days (includes backups) |
| Right to Restriction | Limit processing while disputing accuracy | Email privacy@hack23.com | 30 days |
| Right to Data Portability | Receive your data in machine-readable format | Email privacy@hack23.com (JSON export) | 30 days |
| Right to Object | Object to processing based on legitimate interest | Email privacy@hack23.com | Immediate cessation, 30 days confirmation |
| Rights re Automated Decision-Making | Not subject to purely automated decisions | Not applicable (no automated profiling) | N/A |
| Right to Lodge Complaint | Complain to data protection authority | Swedish DPA (Integritetsskyddsmyndigheten) | N/A (regulatory process) |
All requests processed within 30 days (GDPR maximum). Most requests completed within 7-14 days. No fees for first request. Excessive/repetitive requests may incur administrative fee (GDPR Article 12).
RIGHTS ILLUMINATION: These aren't corporate goodwill—they're legal requirements. Exercise them. Companies that don't honor GDPR rights face regulatory enforcement. We respond within 30 days because law requires it.
ISMS Policy Integration: Privacy Across Security Framework
Privacybeleid integrated with complete Hack23 ISMS framework:
| ISMS Policy | Privacy Integration |
|---|---|
| Data Classification Policy | Privacy levels (Personal Identifier, Personal, Pseudonymized, Anonymous) drive data protection controls |
| Cryptography Policy | AES-256 encryption for personal data at rest, TLS 1.3 in transit, KMS key management |
| Access Control Policy | Least privilege access to personal data, MFA enforcement, audit logging |
| Backup Recovery Policy | Encrypted backups, retention aligned with GDPR, deletion includes backup purging |
| Incident Response Plan | Personal data breach notification procedures (72 hours to DPA, prompt to users) |
| Third Party Management | Data Processing Agreements (DPA) required for all processors, supplier security assessment |
INTEGRATION ILLUMINATION: Privacy isn't standalone policy—it's systematic integration across security framework. One ISMS, multiple privacy applications. Encryption + access control + incident response = comprehensive data protection.
Conclusion: Privacy Through Systematic Data Minimization
Data you don't collect can't be stolen. Data you delete can't leak. Data you minimize reduces liability.
Hack23's privacy approach: Data minimization (collect only necessary), systematic retention (90 days for IPs, account lifetime + 2 years maximum), privacy-by-design (GDPR Article 25), full data subject rights (30-day response), Swedish DPA compliance.
Our Privacybeleid isn't marketing document—it's operational framework integrated with ISMS. All privacy practices documented, auditable, enforceable. Trust through transparency beats trust through promises.
Security through transparency beats security through hope. Privacy policy public. ISMS framework public. Data protection practices measurable. GDPR compliance verifiable.
FINAL ILLUMINATION: GDPR isn't punishment—it's forcing companies to do what they should have done anyway. Collect less. Store securely. Delete promptly. Honor rights. Or pay fines that make insurance companies nervous.