Privacy

Dit privacybeleid is van toepassing op Nostium B.V., gevestigd aan Bogert 1, 5612 LX Eindhoven, Nederland.
E-mail: support@nostium.com
Telefoon: +31 (0)40 8200 194

In dit beleid verwijzen we naar Nostium B.V. met “Nostium”, “wij” of “ons”.

Nostium is de ontwikkelaar en beheerder van het Nostium-platform, waaronder de websites en diensten die beschikbaar zijn via onder andere www.nostium.com, accounts.nostium.com, booking.nostium.com, en andere subdomeinen. Ons centrale reserveringssysteem en dataverwerking vinden plaats in Nederland.

Nostium is verantwoordelijk voor de verwerking van persoonsgegevens die worden verzameld bij onder meer:

  • uw bezoek aan onze websites;

  • het gebruik van ons reserverings- of accountsysteem;

  • het aanmaken van een (optioneel) persoonlijk of zakelijk Nostium-account;

  • het inschrijven voor onze nieuwsbrief of marketingcommunicatie; en

  • de uitvoering van overeenkomsten en bijbehorende diensten in Nederland.

Wanneer u een reservering maakt bij een organisatie of locatie die gebruikmaakt van het Nostium-platform, worden uw persoonsgegevens gedeeld tussen Nostium en de betreffende organisatie. Beide partijen treden hierbij op als verwerkingsverantwoordelijke in de zin van artikel 4, lid 7 van de Algemene Verordening Gegevensbescherming (AVG).

Daarnaast kan Nostium persoonsgegevens delen met haar moedermaatschappij Cherry B.V., gevestigd aan Galvanistraat 23A, 3861 NJ, Nijkerk, Nederland (KvK 60137266). Deze gegevensdeling vindt uitsluitend plaats voor interne bedrijfsvoering, ondersteuning, beveiliging, compliance en beheer van het Nostium-platform. Omdat Nostium en Cherry B.V. in Nederland zijn gevestigd, vindt deze gegevensdeling binnen de Europese Economische Ruimte (EER) plaats.

Voor vragen over dit privacybeleid kunt u contact opnemen met Nostium Support via support@nostium.com. Onze functionaris voor gegevensbescherming (FG) is bereikbaar via dataprotection@nostium.com.

1. Bezoek aan onze websites en platformen

Bij elk bezoek aan onze websites en online diensten (zoals www.nostium.com, accounts.nostium.com of booking.nostium.com) worden automatisch bepaalde gegevens verwerkt. Dit is noodzakelijk om de websites technisch te laten functioneren, de beveiliging te waarborgen en de prestaties te optimaliseren.

Verwerkte gegevens:

  • IP-adres en apparaat-identificatie

  • Browsergegevens (type, versie, taal- en landinstellingen)

  • Besturingssysteem en type apparaat

  • Internetprovider en verbindingsgegevens

  • Datum, tijd en duur van uw bezoek

  • De herkomstpagina (referrer URL)

  • De bezochte pagina’s binnen onze website

  • Eventuele foutmeldingen of technische logberichten

Deze gegevens worden automatisch verzameld en tijdelijk opgeslagen in logbestanden van onze IT-systemen. De gegevens worden niet gecombineerd met andere databronnen. IP-adressen worden na 24 uur automatisch geanonimiseerd, zodat herleiding naar een individu niet meer mogelijk is.

Doeleinden:

  • Het technisch beschikbaar stellen en beveiligen van onze websites en API-diensten

  • Het opsporen van storingen of beveiligingsincidenten

  • Statistische analyses en prestatie-optimalisatie

  • Het naleven van wettelijke verplichtingen bij beveiligingsincidenten

Wettelijke grondslag:

  • Artikel 6, lid 1, sub f AVG — gerechtvaardigd belang van Nostium om een functionele, veilige en gebruiksvriendelijke website aan te bieden

  • Artikel 6, lid 1, sub c AVG — wettelijke verplichting wanneer gegevens worden verstrekt aan opsporings- of toezichthoudende instanties

Bewaartermijn:
Logbestanden en technische gegevens worden maximaal 30 dagen bewaard, tenzij een incident of juridische verplichting een langere bewaartermijn vereist. Geanonimiseerde gegevens kunnen langer worden gebruikt voor statistische doeleinden.

2. Reserveringen en accounts

Wanneer u een reservering maakt of een persoonlijk Nostium-account aanmaakt, verwerken wij aanvullende persoonsgegevens die u zelf aan ons verstrekt, zoals:

  • naam, adres, geboortedatum, e-mailadres en telefoonnummer;

  • betaal- en factuurgegevens (voor zover noodzakelijk voor de transactie);

  • boekingsinformatie (datum, locatie, activiteit, deelnemers, speciale verzoeken).

Doeleinden:

  • Het afhandelen van reserveringen en betalingen

  • Het aanmaken en beheren van een gebruikers- of organisatieaccount

  • Het voldoen aan wettelijke verplichtingen zoals identificatie- en fiscale vereisten

Wettelijke grondslag:

  • Artikel 6, lid 1, sub b AVG — uitvoering van een overeenkomst

  • Artikel 6, lid 1, sub c AVG — naleving van wettelijke verplichtingen

  • Artikel 6, lid 1, sub f AVG — gerechtvaardigd belang bij het verbeteren van onze dienstverlening

3. Reserveringen en uitvoering van diensten

Wanneer u een reservering maakt via het Nostium-platform — bijvoorbeeld op de website van een aangesloten organisatie of locatie — worden uw persoonsgegevens verwerkt door zowel Nostium B.V. als de organisatie waar u de reservering plaatst.

Verwerkte gegevens kunnen onder meer zijn:

  • Identificatiegegevens (naam, geboortedatum, geslacht, contactgegevens)

  • Reserveringsdetails (datum, tijd, activiteit, aantal deelnemers, speciale wensen)

  • Betaal- en factuurinformatie (betaalmethode, bedrag, status, transactie-ID)

  • Correspondentie (bevestigingen, wijzigingen, annuleringsverzoeken, klachten)

  • Optioneel: voorkeuren of aanvullende informatie die u zelf verstrekt (zoals dieetwensen of opmerkingen bij de boeking)

Doeleinden van verwerking:

  • Het afhandelen van uw reservering en betaling

  • Het versturen van bevestigingen, herinneringen of annuleringsinformatie

  • Het uitvoeren van contractuele verplichtingen jegens u

  • Het naleven van wettelijke verplichtingen (bijvoorbeeld fiscale of veiligheidsvoorschriften)

  • Het verbeteren van onze dienstverlening en klantervaring

Wettelijke grondslag:

  • Artikel 6, lid 1, sub b AVG — uitvoering van een overeenkomst

  • Artikel 6, lid 1, sub c AVG — naleving van wettelijke verplichtingen

  • Artikel 6, lid 1, sub f AVG — gerechtvaardigd belang bij beheer, veiligheid en verbetering van onze platformdiensten

Bewaartermijn:
Reserverings- en factuurgegevens worden bewaard zolang dit noodzakelijk is voor de uitvoering van de overeenkomst en voor zover vereist volgens de wettelijke bewaartermijnen (meestal 7 jaar op grond van het belastingrecht). Geanonimiseerde gegevens kunnen langer worden gebruikt voor statistische analyses.

4. Gezamenlijke verantwoordelijkheid tussen Nostium en aangesloten organisaties

Wanneer u een reservering maakt bij een organisatie die gebruikmaakt van het Nostium-platform (bijvoorbeeld een uitgaansgelegenheid, activiteitencentrum of vakantiepark), zijn Nostium B.V. en de betreffende organisatie gezamenlijk verwerkingsverantwoordelijk in de zin van artikel 26 AVG.

Dat betekent dat beide partijen bepalen voor welke doeleinden en op welke wijze uw persoonsgegevens worden verwerkt, maar elk een eigen verantwoordelijkheid dragen:

Verantwoordelijkheid Nostium B.V. De aangesloten organisatie of locatie
Technische verwerking en beveiliging Zorgt voor veilige opslag, overdracht en beschikbaarheid van persoonsgegevens binnen het Nostium-platform. Maakt gebruik van het platform om reserveringen te beheren en heeft toegang tot gegevens van eigen klanten.
Platformfunctionaliteit Beheert accounts.nostium.com, booking.nostium.com en andere subdomeinen waarop gegevens worden verwerkt. Gebruikt deze systemen om reserveringen, deelnemers en betalingen te beheren.
Communicatie met de klant Verstuurt systeemnotificaties (bijv. boekingsbevestiging, wachtwoordherstel). Is primair aanspreekpunt voor de inhoud van de reservering of dienstverlening.
Privacyrechten van betrokkenen Verwerkt verzoeken die via support@nostium.com of dataprotection@nostium.com binnenkomen. Verwerkt verzoeken die rechtstreeks door klanten aan de organisatie worden gericht.
Wettelijke bewaartermijnen en documentatie Bewaart log- en transactiedata conform wettelijke voorschriften. Bewaart klant- en reserveringsgegevens conform toepasselijke nationale regelgeving (bijv. belastingwetgeving).

Nostium en haar aangesloten organisaties hebben duidelijke afspraken gemaakt over deze rolverdeling. Dit is vastgelegd in een gezamenlijk verwerkingsverantwoordelijkheids-overeenkomst conform artikel 26 AVG. U kunt de hoofdlijnen van deze afspraken bij ons opvragen via dataprotection@nostium.com.

4.1. Gegevensdeling met moedermaatschappij Cherry B.V. (artikel 26 AVG)

Cherry B.V.
Galvanistraat 23A, 3861 NJ, Nijkerk, Nederland
KvK-nummer: 60137266
Jaar van oprichting: 2014

Voor bepaalde verwerkingen binnen het Nostium-platform kan Nostium persoonsgegevens delen met haar moedermaatschappij Cherry B.V. Deze gegevensdeling kan bijvoorbeeld plaatsvinden wanneer dit noodzakelijk is voor:

Doeleinden

  • interne bedrijfsvoering en governance binnen de groep;

  • (technische) ondersteuning, beheer en doorontwikkeling van het platform;

  • beveiliging, incidentmanagement, audit en fraudepreventie;

  • financiële administratie en naleving van wettelijke verplichtingen (voor zover van toepassing).

Categorieën persoonsgegevens (afhankelijk van de dienst en context)

  • account- en contactgegevens (zoals naam en e-mailadres);

  • reserverings- en transactiegegevens (zoals datum, locatie, bedrag en status);

  • communicatie en supportverzoeken (zoals correspondentie over wijzigingen/klachten);

  • technische gegevens en audit-/loggegevens (zoals beveiligings- en toegangslogs).

Rol en verantwoordelijkheid (artikel 26 AVG)
Voor verwerkingen waarbij Nostium en Cherry B.V. gezamenlijk de doeleinden en middelen van de verwerking bepalen, treden zij op als gezamenlijke verwerkingsverantwoordelijken in de zin van artikel 26 AVG. Nostium en Cherry B.V. hebben hiervoor onderling afspraken vastgelegd in een regeling conform artikel 26 AVG, waarin onder meer is opgenomen:

  • wie het primaire contactpunt is voor betrokkenen;

  • hoe verzoeken (inzage, verwijdering, bezwaar, enz.) worden afgehandeld;

  • welke beveiligingsmaatregelen gelden en hoe incidenten worden opgevolgd;

  • hoe verantwoordelijkheden rondom transparantie en informatieverstrekking zijn verdeeld.

U kunt de hoofdlijnen van deze regeling opvragen via dataprotection@nostium.com.
Meer toelichting over artikel 26 AVG vindt u via: https://avgb.nl/art-26-avg/.

Wettelijke grondslag
Afhankelijk van de specifieke verwerking is de grondslag:

  • artikel 6, lid 1, sub b AVG (uitvoering overeenkomst), en/of

  • artikel 6, lid 1, sub c AVG (wettelijke verplichting), en/of

  • artikel 6, lid 1, sub f AVG (gerechtvaardigd belang, zoals beveiliging, continuïteit en bedrijfsvoering).

Bewaartermijnen
De bewaartermijnen voor gegevens die met Cherry B.V. worden gedeeld sluiten aan bij de bewaartermijnen zoals beschreven in dit privacybeleid (bijv. fiscale bewaartermijnen voor factuurgegevens en de bewaartermijnen voor account- of loggegevens).

5. Nostium-accounts

Wanneer u een persoonlijk of zakelijk Nostium-account aanmaakt (bijv. via accounts.nostium.com), verwerken wij de gegevens die u zelf invoert:

  • Naam, e-mailadres, wachtwoord (versleuteld), en organisatie- of locatierelatie

  • Logingegevens en tijdstippen

  • Gebruiksgegevens binnen uw account (bijv. laatst bezochte pagina’s of instellingen)

Doeleinden:

  • Het aanmaken en beveiligen van uw Nostium-account

  • Authenticatie en toegang tot de juiste organisatie- of locatieomgeving

  • Beheer van gebruikersrechten en autorisaties binnen het platform

  • Ondersteuning bij accountbeheer of beveiligingsincidenten

Wettelijke grondslag:
Artikel 6, lid 1, sub b AVG (uitvoering van overeenkomst) en artikel 6, lid 1, sub f AVG (gerechtvaardigd belang bij platformbeveiliging).

Bewaartermijn:
Uw accountgegevens worden bewaard zolang uw account actief is. Na verwijdering worden de gegevens binnen 30 dagen geanonimiseerd of verwijderd, tenzij een wettelijke bewaarplicht anders vereist.

6. Marketing en nieuwsbrieven van Nostium

Wanneer u zich aanmeldt voor de nieuwsbrief van Nostium of expliciet toestemming geeft voor marketingcommunicatie, verwerkt Nostium B.V. uw contactgegevens om u te informeren over nieuws, producten, functies, evenementen of aanbiedingen die verband houden met het Nostium-platform.

Verwerkte gegevens:

  • Naam en e-mailadres

  • Taalvoorkeur

  • Datum en tijdstip van aanmelding

  • Interacties met onze e-mails (zoals opens of clicks, alleen geanonimiseerd)

Doeleinden:

  • Het verzenden van nieuwsbrieven, updates en productinformatie

  • Analyse van geanonimiseerde open- en klikstatistieken om onze communicatie te verbeteren

  • Beheer van uw aan- en afmeldingen

Wettelijke grondslag:
Artikel 6, lid 1, sub a AVG (toestemming).
U kunt uw toestemming op elk moment intrekken via de afmeldlink in de e-mail of door een bericht te sturen naar support@nostium.com.

Bewaartermijn:
Uw gegevens worden bewaard zolang uw toestemming actief is. Na uitschrijving worden uw contactgegevens binnen 30 dagen verwijderd of geanonimiseerd.

7. Marketing en communicatie vanuit aangesloten organisaties

Wanneer u een reservering maakt bij een organisatie die gebruikmaakt van het Nostium-platform, kan die organisatie u e-mails sturen die technisch worden verzonden via Nostium, zoals:

  • Bevestigingen en herinneringen van uw boeking

  • Informatie over wijzigingen of annuleringen

  • Evaluatieverzoeken of klantervaringsenquêtes

In sommige gevallen kan de organisatie u ook marketingberichten sturen (bijvoorbeeld aanbiedingen of nieuws). Deze berichten worden dan verzonden door de betreffende organisatie, die hiervoor optreedt als verwerkingsverantwoordelijke. Nostium B.V. faciliteert enkel de technische verzending en heeft geen zelfstandige zeggenschap over de inhoud van deze berichten.

Wij hebben met al onze aangesloten organisaties een verwerkers- of samenwerkingsovereenkomst gesloten waarin de verantwoordelijkheden, beveiligingsmaatregelen en opt-out-verplichtingen zijn vastgelegd.

Wettelijke grondslag:

  • Artikel 6, lid 1, sub b AVG (uitvoering van de reserveringsovereenkomst) voor serviceberichten

  • Artikel 6, lid 1, sub a AVG (toestemming) voor eventuele marketingcommunicatie door de organisatie

8. Cookies en vergelijkbare technologieën

Onze websites en online platformen gebruiken cookies en vergelijkbare technologieën (zoals local storage of pixels) om een optimale gebruikerservaring te bieden en onze diensten te analyseren.

Wat zijn cookies?
Cookies zijn kleine tekstbestanden die op uw apparaat worden geplaatst wanneer u onze websites bezoekt. Ze helpen ons om uw instellingen te onthouden, de website goed te laten functioneren en inzicht te krijgen in het gebruik van onze diensten.

Soorten cookies die wij gebruiken:

Type cookie Doel Voorbeeld
Functionele cookies Noodzakelijk voor het functioneren van de website, zoals sessiebeheer en taalinstellingen. nostium_session, locale
Analytische cookies Gebruikt om bezoekersstatistieken te verzamelen, bijvoorbeeld via geanonimiseerde IP-adressen. Google Analytics (met IP-anonimisering)
Voorkeurscookies Onthouden uw voorkeuren, zoals taal, weergave- of organisatiecontext. selected_location, org_id
Marketingcookies Worden alleen geplaatst na uw toestemming. Ze volgen uw gedrag om relevante advertenties of aanbevelingen te tonen. Meta Pixel, Google Ads Remarketing

Wettelijke grondslag:

  • Functionele cookies: gerechtvaardigd belang (art. 6, lid 1, sub f AVG)

  • Analytische en marketingcookies: toestemming (art. 6, lid 1, sub a AVG)

Beheer van cookies:

  • Bij uw eerste bezoek aan onze website krijgt u een cookiemelding waarmee u zelf uw voorkeuren kunt instellen.

  • U kunt uw instellingen later wijzigen of cookies verwijderen via uw browserinstellingen.

Bewaartermijn:
De meeste cookies worden verwijderd zodra u uw browser sluit (“sessiecookies”). Permanente cookies blijven bestaan tot hun vervaldatum of totdat u ze zelf verwijdert.

9. Uw privacykeuzes

U heeft op elk moment het recht om:

  • uw toestemming voor marketing of cookies in te trekken;

  • uw persoonsgegevens in te zien, te corrigeren of te verwijderen;

  • bezwaar te maken tegen verwerking voor marketingdoeleinden.

Gebruik hiervoor de afmeldlink in e-mails of neem contact met ons op via dataprotection@nostium.com, of dien een klacht in bij de Autoriteit Persoonsgegevens.

10. Uw rechten op grond van de AVG

Als betrokkene (de persoon van wie persoonsgegevens worden verwerkt) heeft u op grond van de Algemene Verordening Gegevensbescherming (AVG) verschillende rechten met betrekking tot de verwerking van uw persoonsgegevens. Nostium B.V. en de aangesloten organisaties respecteren deze rechten volledig.

U kunt onderstaande rechten uitoefenen door contact op te nemen met Nostium B.V. via dataprotection@nostium.com of – indien het om een reservering bij een specifieke locatie gaat – rechtstreeks bij die organisatie.

a) Recht op inzage (artikel 15 AVG)

U heeft het recht om te weten welke persoonsgegevens wij van u verwerken, voor welke doeleinden en hoe lang deze worden bewaard. Op verzoek ontvangt u een overzicht van de gegevens die wij van u hebben, inclusief de herkomst, doeleinden, categorieën ontvangers en – indien van toepassing – doorgiften buiten de EU.

b) Recht op rectificatie (artikel 16 AVG)

Als uw persoonsgegevens onjuist, onvolledig of verouderd zijn, kunt u ons verzoeken deze te corrigeren of aan te vullen. Wanneer u een Nostium-account heeft, kunt u veel van deze gegevens ook zelf aanpassen via uw profielinstellingen.

c) Recht op verwijdering (“recht om vergeten te worden”, artikel 17 AVG)

U kunt verzoeken om uw persoonsgegevens te laten verwijderen wanneer:

  • de gegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld;

  • u uw toestemming intrekt;

  • u bezwaar maakt tegen de verwerking; of

  • de verwerking onrechtmatig is.

Wij verwijderen uw gegevens binnen 30 dagen na een geldig verzoek, tenzij een wettelijke verplichting (zoals fiscale bewaarplicht) verwijdering tijdelijk verhindert. In dat geval worden de gegevens beperkt toegankelijk gemaakt (zie onderdeel beperking van verwerking).

d) Recht op beperking van verwerking (artikel 18 AVG)

In plaats van verwijdering kunt u vragen om de verwerking van uw gegevens te beperken, bijvoorbeeld:

  • wanneer u de juistheid van de gegevens betwist;

  • wanneer de verwerking onrechtmatig is maar u niet wilt dat ze worden verwijderd;

  • tijdens de periode waarin wij uw bezwaar beoordelen.

Tijdens de beperking worden uw gegevens niet verder verwerkt, behalve voor wettelijke doeleinden.

e) Recht op overdraagbaarheid van gegevens (artikel 20 AVG)

U heeft het recht om de persoonsgegevens die u aan ons heeft verstrekt, te ontvangen in een gestructureerde, gangbare en machineleesbare vorm, of – indien technisch mogelijk – deze direct aan een andere verwerkingsverantwoordelijke over te laten dragen. Voor accounts en reserveringen binnen het Nostium-platform betekent dit dat wij uw profiel- of boekingsgegevens op verzoek kunnen exporteren in een beveiligd formaat (bijv. JSON of CSV).

f) Recht van bezwaar (artikel 21 AVG)

U kunt bezwaar maken tegen de verwerking van uw persoonsgegevens wanneer wij die baseren op een gerechtvaardigd belang (artikel 6, lid 1, sub f AVG) of gebruiken voor direct marketing. Wij zullen uw bezwaar beoordelen en – tenzij er dwingende gerechtvaardigde gronden zijn – de verwerking staken.

g) Recht om toestemming in te trekken (artikel 7 AVG)

Wanneer verwerking plaatsvindt op basis van uw toestemming (bijv. nieuwsbrief, cookies of marketing), kunt u deze toestemming op elk moment intrekken. De intrekking heeft geen invloed op de rechtmatigheid van de verwerking die plaatsvond vóór de intrekking.

h) Recht om een klacht in te dienen (artikel 77 AVG)

Als u van mening bent dat uw gegevens onrechtmatig worden verwerkt, heeft u het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit. In Nederland is dit de Autoriteit Persoonsgegevens (AP).

Contactgegevens Autoriteit Persoonsgegevens:

  • Website: www.autoriteitpersoonsgegevens.nl

  • Telefoon: 088 – 1805 250

Wij raden u aan eerst contact met ons op te nemen, zodat wij samen een oplossing kunnen vinden.

11. Hoe wij omgaan met verzoeken

Behandeling van verzoeken:
Wij streven ernaar om elk verzoek binnen 30 dagen na ontvangst af te handelen. Bij complexe of omvangrijke verzoeken kan deze termijn worden verlengd met maximaal 60 dagen. In dat geval wordt u daarover tijdig geïnformeerd.

Identificatie:
Om misbruik te voorkomen, kunnen wij u vragen uw identiteit te verifiëren voordat wij persoonsgegevens verstrekken of aanpassen. Bij Nostium-accounts gebeurt dit doorgaans via verificatie van uw login-sessie of bevestiging per e-mail.

Gezamenlijke verantwoordelijkheid:
Wanneer uw persoonsgegevens ook worden verwerkt door een aangesloten organisatie (bijvoorbeeld een locatie waar u heeft geboekt), zullen wij het verzoek in samenwerking met die organisatie behandelen. Beide partijen zijn verantwoordelijk voor een correcte en tijdige afhandeling, conform artikel 26 AVG.

Indien uw verzoek betrekking heeft op verwerkingen waarbij ook Cherry B.V. betrokken is, handelt Nostium het verzoek af in afstemming met Cherry B.V., conform de afspraken onder artikel 26 AVG.

12. Beveiliging van persoonsgegevens

Nostium B.V. neemt de bescherming van persoonsgegevens zeer serieus. Wij hanteren passende technische en organisatorische maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging te voorkomen.

Onze beveiligingsmaatregelen omvatten onder meer:

  • Versleuteling: alle datacommunicatie tussen uw browser, apps en onze servers verloopt via TLS 1.3 (HTTPS).

  • Authenticatie en autorisatie: toegang tot persoonsgegevens is beperkt tot geautoriseerde medewerkers en systemen via rollen en rechten, ondersteund door sterke wachtwoord- en tokenvereisten.

  • Beveiligde ontwikkeling: onze software wordt ontwikkeld volgens beveiligingsprincipes zoals security by design en least privilege, inclusief regelmatige code-audits, geautomatiseerde tests en dependency-scans.

  • Firewalls en netwerkisolatie: onze servers draaien in geïsoleerde Docker-omgevingen achter beveiligde gateways met continue monitoring en intrusion-detection.

  • Versleutelde opslag en back-ups: gevoelige data wordt versleuteld opgeslagen; back-ups worden geautomatiseerd gemaakt en uitsluitend bewaard in Europese datacenters.

  • Logging en audittrail: alle toegang tot persoonsgegevens (zoals wijzigingen in accounts of reserveringen) wordt gelogd in een auditlog die periodiek wordt gecontroleerd.

  • Incident- en datalekprocedure: wij beschikken over een interne meldprocedure voor beveiligingsincidenten en datalekken, inclusief meldplicht aan de Autoriteit Persoonsgegevens binnen 72 uur indien vereist (art. 33 AVG).

13. Hosting en opslaglocatie

Onze systemen worden uitsluitend gehost in datacenters binnen de Europese Economische Ruimte (EER). De primaire hosting vindt plaats in Nederland en Duitsland via erkende Europese cloud-providers die voldoen aan ISO 27001- en NEN 7510-normen.

Voorbeelden:

  • Productie- en testomgevingen worden gehost op DigitalOcean (EU-region, Frankfurt/Amsterdam) of gelijkwaardige Europese providers.

  • Caches, databases en object-storage (zoals afbeeldingen of reserveringsdocumenten) worden eveneens binnen de EU opgeslagen.

  • Back-ups worden redundant opgeslagen binnen de EER en zijn AES-256 versleuteld.

Er vindt geen structurele doorgifte van persoonsgegevens buiten de EU plaats, tenzij dit noodzakelijk is voor specifieke integraties (zie hieronder).

14. Doorgifte buiten de Europese Economische Ruimte (EER)

Sommige gegevens kunnen worden doorgegeven aan dienstverleners of partners buiten de EER — bijvoorbeeld wanneer u een betaling uitvoert of een voucher ontvangt via een externe aanbieder. Nostium draagt er in zulke gevallen zorg voor dat uw persoonsgegevens adequaat worden beschermd.

Doorgifte kan plaatsvinden naar de volgende typen partijen:

Categorie partner Voorbeeld Doel van doorgifte Juridisch waarborgingsmechanisme
Betalingsproviders (PSP’s) Mollie (EU), Pay.nl (EU) Verwerking van betalingen en terugbetalingen EU-hosting of standaardcontractbepalingen (SCC’s)
Voucher- en ticketpartners Gifty, Tiqets, SocialDeal, GetYourGuide Inwisseling of validatie van vouchers en tickets EU-gebaseerde verwerking of SCC’s
E-mail en marketingdiensten Maileon (Duitsland) Versturen van bevestigingen, updates of marketingberichten Verwerkers binnen EU of SCC’s
Analyse- en logdiensten Sentry (EU/VS) Foutanalyse, performance-monitoring SCC’s + aanvullende beveiligingsmaatregelen

Waarborgen:

  • Wij sluiten met al onze externe dienstverleners verwerkersovereenkomsten die voldoen aan artikel 28 AVG.

  • Voor doorgiften buiten de EER gebruiken wij de standaardcontractbepalingen (Standard Contractual Clauses, SCC’s) zoals goedgekeurd door de Europese Commissie.

  • Waar nodig voeren wij aanvullende technische maatregelen door (encryptie, pseudonimisering, dataminimalisatie).

Een overzicht van onze actuele subverwerkers is op verzoek beschikbaar via dataprotection@nostium.com.

15. Interne toegang en geheimhouding

Alle medewerkers en externe ontwikkelaars van Nostium die toegang hebben tot persoonsgegevens zijn contractueel gebonden aan geheimhoudingsplicht. Toegang wordt alleen verleend voor zover dat strikt noodzakelijk is voor hun functie (need-to-know-principe).

Er wordt gewerkt met individuele toegangslogins, tweefactorauthenticatie en periodieke toegangsbeoordelingen.

16. Minderjarigen

Onze diensten zijn in principe gericht op personen van 16 jaar en ouder. Wij hebben niet de intentie om zonder toestemming van ouders of voogd gegevens te verzamelen van kinderen jonger dan 16 jaar.

Indien u jonger bent dan 16 jaar, vragen wij u om alleen gebruik te maken van ons platform met toestemming van uw ouder(s) of voogd. Ontdekken wij dat wij toch zonder die toestemming persoonsgegevens van een kind onder de 16 jaar hebben verzameld, dan zullen wij deze gegevens zo snel mogelijk verwijderen. Neem in dat geval contact met ons op via dataprotection@nostium.com.

17. Geen geautomatiseerde besluitvorming en profilering

Nostium B.V. neemt geen besluiten over zaken die (aanzienlijke) gevolgen voor u kunnen hebben op basis van uitsluitend geautomatiseerde verwerking van persoonsgegevens. Dat betekent dat er geen sprake is van besluiten die uitsluitend door computersystemen worden genomen zonder menselijke tussenkomst, zoals besluiten die rechtsgevolgen voor u hebben of u op vergelijkbare wijze in aanmerkelijke mate treffen.

Wij voeren ook geen profilering uit met dergelijke gevolgen. Eventuele analyses of rapportages vinden plaats op geaggregeerd of geanonimiseerd niveau en worden uitsluitend gebruikt voor het verbeteren van onze diensten.

18. Herkomst van persoonsgegevens van derden

In sommige gevallen ontvangen wij uw persoonsgegevens niet rechtstreeks van u, maar via een derde partij, bijvoorbeeld:

  • een ticket- of voucherplatform waarmee u een boeking of aankoop hebt gedaan;

  • een reisorganisatie of reseller die uw reservering via het Nostium-platform doorstuurt;

  • een externe partner voor acties of kortingscampagnes.

In dat geval geldt dit privacybeleid eveneens voor de verdere verwerking binnen het Nostium-platform. Wij zorgen ervoor dat er met deze partijen passende afspraken zijn gemaakt over de bescherming van uw persoonsgegevens, conform de eisen van de AVG.

19. Beveiligingsincidenten en meldplicht datalekken

Bij een beveiligingsincident of (mogelijk) datalek volgt Nostium een strikt intern protocol:

  • Detectie en analyse: incidenten worden direct onderzocht door onze beveiligingsverantwoordelijke.

  • Beheersmaatregelen: getroffen systemen worden geïsoleerd, wachtwoorden en sleutels vernieuwd.

  • Melding: indien het incident leidt tot risico voor betrokkenen, wordt dit binnen 72 uur gemeld aan de Autoriteit Persoonsgegevens en, indien vereist, aan de betrokken personen.

  • Evaluatie: na elk incident wordt een interne evaluatie uitgevoerd en waar nodig beleid of techniek aangepast.

20. Wijzigingen in dit privacybeleid

Nostium B.V. behoudt zich het recht voor dit privacybeleid van tijd tot tijd te wijzigen of aan te vullen. Wij doen dit bijvoorbeeld wanneer onze diensten, processen of wet- en regelgeving veranderen.

Wanneer er een wezenlijke wijziging plaatsvindt (bijvoorbeeld in de manier waarop wij persoonsgegevens verwerken of delen), informeren wij u daarover via:

  • een melding op onze website of in uw Nostium-account; en/of

  • een e-mailbericht, indien u bij ons geregistreerd bent.

De actuele versie van dit privacybeleid is altijd beschikbaar op www.nostium.com/privacy. Wij adviseren u dit beleid regelmatig te raadplegen zodat u op de hoogte blijft van eventuele aanpassingen. Elke nieuwe versie vervangt automatisch alle voorgaande versies. Bovenaan het document staat steeds de ingangsdatum vermeld.

21. Contactgegevens

Voor vragen, opmerkingen of verzoeken met betrekking tot dit privacybeleid of de verwerking van uw persoonsgegevens kunt u contact opnemen met:

Nostium B.V.
Bogert 1
5612 LX Eindhoven
Nederland

Algemene vragen: support@nostium.com
Functionaris voor gegevensbescherming (FG): dataprotection@nostium.com
Telefoon: +31 (0)40 8200 194

Wij streven ernaar alle vragen en verzoeken zorgvuldig en binnen een redelijke termijn te behandelen.

22. Verantwoordelijke entiteit

Nostium B.V. is de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) voor alle verwerkingen die plaatsvinden via:

  • accounts.nostium.com — beheer van gebruikers, organisaties en locaties

  • booking.nostium.com — reserveringen, betalingen en vouchers

  • integrations.nostium.com — koppelingen met betaal- en ticketpartners

  • reporting.nostium.com — analyse en rapportagediensten

  • portal.nostium.com en guest.nostium.com — webapplicaties voor beheerders en gasten

Wanneer u gebruikmaakt van diensten van een aangesloten organisatie (bijvoorbeeld een locatie of activiteitencentrum dat Nostium gebruikt), is ook die organisatie verwerkingsverantwoordelijke voor haar eigen verwerkingen. De verdeling van verantwoordelijkheden is beschreven in artikel 4 van dit beleid.

Voor de gegevensdeling met moedermaatschappij Cherry B.V. geldt dat Nostium en Cherry B.V. voor bepaalde verwerkingen (waarbij zij gezamenlijk de doeleinden en middelen bepalen) gezamenlijk verwerkingsverantwoordelijk kunnen zijn zoals beschreven in artikel 4.1 van dit beleid.

23. Verplichte en vrijwillige verstrekking van persoonsgegevens

Voor het aangaan en uitvoeren van een overeenkomst (zoals het maken van een reservering of het aanmaken van een Nostium-account) is het noodzakelijk dat u bepaalde persoonsgegevens verstrekt, zoals uw naam, contactgegevens en betaalinformatie. Zonder deze gegevens kan Nostium de gevraagde dienst niet of niet volledig leveren.

Wanneer wij om aanvullende gegevens vragen die niet strikt noodzakelijk zijn, geven wij dit duidelijk aan als “optioneel” of “vrijwillig”. Het niet verstrekken van deze optionele gegevens heeft geen invloed op de kern van de dienst, maar kan er bijvoorbeeld toe leiden dat wij onze communicatie minder goed op uw voorkeuren kunnen afstemmen.

24. Ingangsdatum

Dit privacybeleid is van kracht sinds 24 november 2025.
Laatste herziening: [v2026.2]

Demo aanvragen
Demo aanvragen