Lawa World — Privacybeleid

1. Wie zijn wij

Lawa World B.V.

Herenstraat 100

1211 CC Hilversum

Nederland

KvK-nr 96965770

E-mail privacy: privacy@lawa.world

Algemene vragen: info@lawa.world

2. Welke gegevens verzamelen wij

Wij verwerken uitsluitend persoonsgegevens die nodig zijn voor het leveren van de app en de daarbij behorende services.

2.1 Accountgegevens

• Wat: gebruikersnaam, geboortedatum, e-mailadres
• Waarom: registratie, inloggen, profielbeheer, ranglijsten
• Basis: uitvoering van de overeenkomst

2.2 Sociale logins

• Wat: naam en e-mail via Apple ID of Google Login
• Waarom: inloggen zonder wachtwoordbeheer
• Basis: uitvoering van de overeenkomst

2.3 Stappenteller- en bewegingsgegevens

Lawa is een spel dat fysieke activiteit gebruikt als kerncomponent. Daarvoor lezen wij – uitsluitend met jouw uitdrukkelijke toestemming – jouw stappentellergegevens uit via één of meer van de volgende bronnen, naar keuze en voor zover door jou gekoppeld:

• Apple HealthKit
• Samsung Health
• Health Connect
• Fitbit
• Garmin Connect API
• de ingebouwde stappenteller van je toestel

Wat: uitsluitend het aantal gezette stappen en bijbehorende tijdstempel. Wij lezen geen andere gezondheids- of activiteitsgegevens uit, ook niet als de bron meer informatie ter beschikking stelt.

Twee aparte toestemmingen. Bij het koppelen van een stappenteller vragen wij je om twee afzonderlijke toestemmingen:

1. Toestemming voor gameplay (vereist om Lawa als spel te kunnen gebruiken): voor het gebruik van je stappen binnen spelelementen zoals races, challenges en toernooien, voor het verdienen van Lawa-munten, voor het tonen van je persoonlijke statistieken, en voor het in geaggregeerde en niet-herleidbare vorm gebruiken van stappen voor interne analyses.
2. Toestemming voor gepersonaliseerde Loyalty-aanbiedingen (optioneel): voor het classificeren van jouw activiteitsniveau (casual, normaal of actief) op basis van een rekenkundig gemiddelde van je stappen, en het tonen van Loyalty-aanbiedingen die op dat niveau zijn afgestemd.

Basis: jouw uitdrukkelijke toestemming (art 6 lid 1 sub a en art 9 lid 2 sub a AVG, omdat stappendata als gezondheidsgegeven kwalificeert). Iedere toestemming kun je onafhankelijk van de ander geven of intrekken.

Intrekken: je kunt op elk moment de koppeling met een bron beëindigen via je apparaatinstellingen of binnen de app, en je kunt elk van de twee toestemmingen apart intrekken via Settings > Privacy binnen Lawa. Vanaf dat moment ontvangen wij geen nieuwe gegevens meer voor dat doel. Eerder verzamelde gegevens worden bewaard volgens de bewaartermijnen in artikel 9.

Voor de verwerking van stappenteller- en bewegingsgegevens hebben wij een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd op grond van artikel 35 AVG, daarbij de privacyrisico's in kaart gebracht en passende technische en organisatorische maatregelen vastgesteld.

2.4 IP-adres en sessie-informatie

• Wat: het IP-adres van je apparaat bij iedere sessie en login
• Waarom:
  • Beveiliging, fraudepreventie en het detecteren van verdachte logins
  • Het correct registreren van entries en race-resultaten
  • Het afleiden van de provincie waarin je je bevindt, ten behoeve van Lawa Loyalty (zie artikel 5)
• Bewaartermijn: het ruwe IP-adres wordt gekoppeld aan de login en maximaal drie maanden bewaard. De geparste provincie wordt langer bewaard zoals beschreven in artikel 9.
• Basis: gerechtvaardigd belang (art 6 lid 1 sub f AVG) voor beveiliging, fraudepreventie en correcte registratie van entries. Voor het afleiden en gebruiken van de provincie binnen Lawa Loyalty geldt aanvullend de tweede toestemmingsbasis uit artikel 2.3.

Wij delen jouw ruwe IP-adres nooit met Loyalty-merken of andere derden. De provincie wordt niet preciezer afgeleid dan op provincieniveau. Voor gebruikers onder de 18 jaar wordt de provincie niet gebruikt voor het personaliseren van Loyalty-aanbiedingen (zie artikel 5 en 11).

2.5 Apparaat- en technische gegevens

• Wat: toesteltype, besturingssysteem, app-versie, crash- en errorlogs, en een app-specifiek of door ons gegenereerd apparaat-ID. Wij gebruiken geen advertising ID (IDFA op iOS of AAID op Android) voor tracking of marketing.
• Waarom: onderhoud, troubleshooting, prestatie-optimalisatie en monitoring van technische fouten
• Basis: gerechtvaardigd belang (app-stabiliteit)

2.6 Gebruik- en analytische gegevens

• Wat: gepseudonimiseerde sessie-events, schermweergaven, knop-interacties, duur van sessies
• Waarom: analyseren en verbeteren van de game-ervaring, A/B-testen van nieuwe functies, productanalyse
• Basis: gerechtvaardigd belang (optimalisatie)

2.7 Push notificaties

• Wat: device push token, voorkeursinstellingen voor notificaties
• Waarom: het versturen van push notificaties over racestart, prijzen, nieuwe uitdagingen en Lawa Loyalty-aanbiedingen
• Basis: jouw toestemming, gegeven bij installatie of via de instellingen van je toestel. Je kunt push notificaties op elk moment uitschakelen via de instellingen van je toestel.

2.8 E-mailcommunicatie

Wij onderscheiden twee soorten e-mails:

• Transactionele e-mails: noodzakelijk voor het functioneren van je account, zoals bevestiging van registratie, prijsuitreiking, verzending van ingewisselde coupons en veiligheidsmeldingen. Deze e-mails ontvang je zolang je een actief account hebt; uitschrijven voor marketing stopt deze niet.
• Marketing- en nieuwsbrief-e-mails: updates, promoties en algemene Loyalty-aanbiedingen. Deze ontvang je alleen na een aparte opt-in en kun je op elk moment opzeggen via de uitschrijflink in elke marketing-e-mail of via Settings > Communicatievoorkeuren.

Basis: uitvoering van de overeenkomst (transactioneel); jouw toestemming, art 6 lid 1 sub a AVG (marketing).

2.9 Lawa-munten en Lawa Loyalty

Wat:

• Het saldo aan Lawa-munten op jouw account, en de manier waarop deze zijn verdiend
• De aanbiedingen, kortingscodes en gratis producten die je via Lawa Loyalty hebt ingewisseld of bewaard onder Settings > Mijn Coupons
• Indien je toestemming hebt gegeven voor gepersonaliseerde Loyalty-aanbiedingen (artikel 2.3): geaggregeerde targetingkenmerken (leeftijdscategorie, provincie, activiteitsniveau) die bepalen welke aanbiedingen je ziet
• Wanneer je een aanbieding inwisselt waarvoor het merk aanvullende gegevens nodig heeft: alleen die gegevens die jij op dat moment expliciet verstrekt (bijvoorbeeld een leveringsadres)

Waarom:

• Het toekennen, bijhouden en uitkeren van Lawa-munten
• Het tonen van Loyalty-aanbiedingen
• Het verstrekken van kortingscodes per e-mail of binnen de app
• Het delen van uitsluitend geaggregeerde, niet tot jou herleidbare statistieken met de aanbiedende Loyalty-merken (bereik, impressies, kliks, conversies)

Basis:

• Voor het beheer van je muntensaldo en uitwisselingen: uitvoering van de overeenkomst
• Voor het tonen van gepersonaliseerde aanbiedingen op basis van leeftijd, provincie en activiteitsniveau: jouw aanvullende uitdrukkelijke toestemming uit artikel 2.3 (alleen voor gebruikers van 18 jaar of ouder, zie artikel 5)
• Voor het delen van aanvullende gegevens (zoals een leveringsadres) met een Loyalty-merk: jouw separate, expliciete toestemming op het moment van inwisseling

Wat delen wij niet: jouw naam, e-mailadres, gebruikersnaam, geboortedatum of andere direct identificerende gegevens worden nooit met Loyalty-merken gedeeld, behalve in het uitzonderlijke geval dat jij zelf op het moment van inwisseling daar uitdrukkelijk toestemming voor geeft.

2.10 Sponsorwedstrijden en acties

• Wat: voor zover noodzakelijk voor de prijsuitreiking: naam, e-mailadres, telefoonnummer en/of adres van de winnaar; daarnaast gebruikersnaam en leeftijdscategorie van deelnemers
• Waarom: uitvoeren van gesponsorde toernooien, uitdagingen en prijsuitreiking
• Basis: uitvoering van de overeenkomst en aanvullende toestemming voor prijsuitreiking

Voor elke sponsorwedstrijd of -actie publiceren wij aanvullende actievoorwaarden waarin staat hoe gegevens worden verwerkt en gedeeld.

2.11 Rechtenverzoeken

• Wat: alle persoonsgegevens behorend bij jouw account, plus correspondentie over het verzoek
• Waarom: beantwoorden van verzoeken tot inzage, correctie, verwijdering
• Basis: wettelijke verplichting (art 15–17 AVG)

3. Doeleinden en rechtsgrondslagen

Wij verwerken jouw persoonsgegevens alleen voor de doelen zoals onder artikel 2 genoemd.

• Uitvoering overeenkomst: registratie, inloggen, spelelementen, muntensaldo, uitwisseling van kortingscodes, transactionele communicatie
• Toestemming: stappentellerdata voor gameplay (afzonderlijke toestemming), stappentellerdata voor gepersonaliseerde Loyalty-aanbiedingen (afzonderlijke toestemming), marketing-e-mails, push notificaties, prijsuitreiking, delen van aanvullende gegevens met Loyalty-merken
• Gerechtvaardigd belang: app-stabiliteit, beveiliging, fraudepreventie, productoptimalisatie
• Wettelijke verplichting: rechtenverzoeken, administratie

4. Delen van gegevens

Wij verkopen geen persoonsgegevens. Wij delen gegevens uitsluitend met de volgende categorieën ontvangers:

Verwerkers (handelen uitsluitend in onze opdracht op basis van een verwerkersovereenkomst):

• Scaleway – hosting en database
• Google Firebase – social login en authenticatie (DPA: cloud.google.com/terms/data-processing-addendum)
• Loops – transactionele en marketing-e-mails (DPA: loops.so/dpa)
• Statsig – productanalyse en feature management (DPA: statsig.com/legal/online-dpa)
• Sentry – performance monitoring en error tracking (DPA: sentry.io/legal/dpa)
• OneSignal – verzending van push notificaties (DPA: onesignal.com/dpa)

Deze partijen kunnen gegevens binnen of buiten de Europese Economische Ruimte (EER) verwerken. In het geval van verwerking buiten de EER gebruiken wij passende waarborgen zoals de EU Standard Contractual Clauses of het EU-US Data Privacy Framework.

Social login-providers: Apple en Google, uitsluitend ten behoeve van legitimatie bij inloggen.

Loyalty-merken en sponsorbedrijven: uitsluitend geaggregeerde en niet tot individuele gebruikers herleidbare statistieken (bereik, actieve spelers, impressies, kliks, conversie). Bij prijsuitreiking aan winnaars worden alleen de strikt noodzakelijke contactgegevens (naam, e-mailadres, telefoonnummer en/of adres, voor zover noodzakelijk voor prijsuitreiking) gedeeld, en uitsluitend met jouw toestemming.

Autoriteiten: bij een wettelijk verzoek of wettelijke verplichting.

Alle verwerkers zijn contractueel gebonden om jouw gegevens uitsluitend in onze opdracht en conform ons beleid te verwerken.

5. Lawa Loyalty en advertenties

Lawa Loyalty is het onderdeel van de app waar je verdiende Lawa-munten kunt inwisselen voor kortingscodes, gratis producten en andere aanbiedingen van externe merken ("Loyalty-merken"). De gepersonaliseerde targeting beschreven in dit artikel wordt gefaseerd uitgerold; tot dat moment tonen wij uitsluitend algemene, niet-getargete aanbiedingen.

Personalisatie (alleen voor 18+). Voor gebruikers van 18 jaar en ouder die toestemming hebben gegeven uit artikel 2.3 worden de aanbiedingen afgestemd op:

• jouw leeftijdscategorie,
• jouw provincie (afgeleid uit je IP-adres, op provincieniveau), en
• jouw activiteitsniveau (afgeleid uit het rekenkundig gemiddelde van je stappen, in de categorieën casual, normaal of actief).

Beschikbaarheid niet gegarandeerd. Wij garanderen niet dat een Loyalty-aanbieding beschikbaar blijft totdat je voldoende munten hebt verzameld. Aanbiedingen kunnen door het Loyalty-merk worden gewijzigd of beëindigd, of door beperkte voorraad eerder eindigen.

Reclamelabel. Wij beschouwen Loyalty-aanbiedingen als reclame. Conform de Digital Services Act zie je bij elke individuele aanbieding (a) een duidelijk label dat aangeeft dat het om reclame gaat, (b) de naam van het Loyalty-merk, en (c) op basis van welke kenmerken de aanbieding aan jou wordt getoond.

Wat merken zien. Loyalty-merken ontvangen van ons nooit direct identificerende gegevens over jou. Zij zien uitsluitend geaggregeerde statistieken (bereik, impressies, kliks, conversies). Het ruwe IP-adres wordt nooit gedeeld.

Aanvullende gegevens bij inwisseling. Wanneer je een aanbieding inwisselt en het Loyalty-merk aanvullende gegevens nodig heeft (bijvoorbeeld een leveringsadres voor een fysiek product), vragen wij jou op dat moment expliciet om toestemming voor het delen van die specifieke gegevens met dat specifieke merk.

Externe links. Externe links die je vanuit een Loyalty-aanbieding aanklikt brengen je naar de website of app van het Loyalty-merk. Daarop is het privacybeleid van dat merk van toepassing, niet het onze.

6. AI en geautomatiseerde verwerking

Wij gebruiken AI- en machine learning-technieken om geaggregeerde en gepseudonimiseerde gebruiksdata te analyseren voor productverbetering, anti-fraudedetectie en interne analyse. Deze verwerkingen leiden niet tot geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare ingrijpende gevolgen in de zin van artikel 22 AVG.

Menselijke controle bij sancties. Wanneer detectie van mogelijke fraude (zoals kunstmatig opgepompte stappen, multi-accounting of misbruik van Lawa Loyalty) zou kunnen leiden tot een blokkade, uitsluiting van de app, het verbeurdverklaren van Lawa-munten of het annuleren van een Loyalty-aanbieding, vindt waar nodig menselijke controle plaats voordat de maatregel definitief wordt. Je kunt altijd bezwaar maken via info@lawa.world.

Activiteitsniveau-classificatie. De classificatie in casual, normaal of actief is geen AI-gebaseerde verwerking maar een eenvoudig rekenkundig gemiddelde van je stappen over een vaste periode. Je kunt op elk moment via privacy@lawa.world opvragen in welke categorie je bent ingedeeld en bezwaar maken tegen deze indeling.

7. Analytics en geaggregeerde gegevens

Wij kunnen geaggregeerde en geanonimiseerde gegevens gebruiken, zoals het totale aantal gezette stappen of het gemiddelde aantal stappen per gebruiker, om inzicht te krijgen in het gebruik van onze app en om de prestaties en gebruikerservaring te verbeteren. Deze gegevens bevatten geen persoonlijke informatie en kunnen niet worden gebruikt om individuele gebruikers te identificeren.

Dergelijke statistieken kunnen ook worden gebruikt in externe communicatie, zoals persberichten, op onze website, of richting partners en adverteerders, bijvoorbeeld om het gemiddelde gebruik van de app te illustreren. Ook hierbij worden nooit persoonlijke gegevens gedeeld of individuele gebruikers herkenbaar gemaakt.

8. Beveiliging

Wij nemen passende technische en organisatorische maatregelen, waaronder:

• Versleuteling: SSL/TLS in transit, database-encryptie at rest
• Toegangsbeheer: rollen- en rechtenbeheer, multi-factor-authenticatie voor medewerkers
• Monitoring: continue performance- en errormonitoring (Sentry), logging van privileged access
• Datalekprocedure: melding binnen 72 uur bij de Autoriteit Persoonsgegevens, en zo nodig aan betrokkenen
• Periodieke beveiligingstests en herziening van toegangsrechten

9. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan nodig is voor de genoemde doelen:

• Accountgegevens: zolang het account actief is, max 30 dagen na verwijdering
• Stappenteller- en bewegingsgegevens: zolang je toestemming gekoppeld is. Na accountverwijdering verwijderen wij de koppeling met jouw account binnen 30 dagen. Daarna kunnen wij uitsluitend volledig geanonimiseerde, niet tot een individu herleidbare statistieken bewaren.
• IP-adressen (ruw): max 3 maanden
• Geparste provincie: zolang het account actief is, max 30 dagen na verwijdering
• Apparaatgegevens: max 12 maanden na laatst gebruik
• Analytische data: geanonimiseerd onbeperkt, persoonsgegevens max 12 maanden
• Push token: zolang push notificaties zijn ingeschakeld
• Marketing-e-mails opt-in: zolang opt-in actief is, max 30 dagen na opt-out
• Muntensaldo en Loyalty-historie: zolang het account actief is, max 30 dagen na verwijdering
• Ingewisselde kortingscodes: tot uiterlijk hun vervaldatum, daarna max 12 maanden ter referentie
• Sponsorwinnaars: max 90 dagen na einde actie
• Rechtenverzoeken: uitvoering binnen 30 dagen; logs van rechtenverzoeken max 5 jaar na afhandeling voor bewijsvoering en compliance

10. Jouw rechten

Onder de AVG heb je recht op:

• Inzage, correctie en verwijdering van je gegevens
• Beperking van verwerking
• Dataportabiliteit
• Bezwaar tegen verwerking op grond van gerechtvaardigd belang
• Intrekking van toestemming (zonder terugwerkende kracht), waaronder de twee afzonderlijke toestemmingen uit artikel 2.3
• Klacht bij de Autoriteit Persoonsgegevens

Je kunt je verzoeken richten aan privacy@lawa.world. We reageren doorgaans binnen één maand en vragen zo nodig aanvullende info voor identiteitsverificatie.

11. Minderjarigen

Lawa is toegankelijk voor gebruikers vanaf 11 jaar. Ben je jonger dan 16, dan heb je toestemming nodig van een ouder of wettelijke voogd om de app te gebruiken én om deel te nemen aan Lawa Loyalty.

Hoe wij ouderlijke toestemming verifiëren. Bij registratie van een gebruiker onder de 16 vragen wij om het e-mailadres van een ouder of wettelijke voogd. Wij sturen die ouder of voogd een verificatie-e-mail. Het account wordt pas geactiveerd nadat de ouder of voogd de toestemming via die e-mail heeft bevestigd. Wij bewaren de bevestiging zodat wij die op verzoek kunnen aantonen.

Ontdekken wij dat persoonsgegevens van kinderen onder de 16 zijn verwerkt zonder geldige ouderlijke toestemming, dan wissen wij die direct.

Lawa Loyalty voor minderjarigen. Voor gebruikers onder de 18 jaar geldt:

• Wij tonen geen gepersonaliseerde, op profiling gebaseerde Loyalty-aanbiedingen. Onder-18-gebruikers zien alleen algemene, niet-getargete en leeftijdsgeschikte aanbiedingen.
• Aanbiedingen voor producten of diensten met een wettelijke leeftijdsgrens (waaronder alcohol, tabak en bepaalde abonnementen) worden niet getoond aan gebruikers onder de wettelijke leeftijd voor dat product.
• De ouderlijke toestemming die bij registratie is verkregen ziet mede op deelname aan Lawa Loyalty.
• Het feitelijk afsluiten van een overeenkomst met het externe Loyalty-merk (bijvoorbeeld een aankoop met een kortingscode) plaatsvindt tussen die gebruiker en het merk; het Loyalty-merk kan om aanvullende ouderlijke toestemming vragen volgens het eigen beleid.

12. Wijzigingen

Wij kunnen dit beleid aanpassen bij nieuwe wetgeving of updates in de app. Bij substantieel gewijzigde bepalingen informeren wij je via de app of e-mail. Het beleid is voor het laatst aangepast op 2 juni 2026.

13. Contact

Voor vragen of verzoeken omtrent privacy: privacy@lawa.world