Privacy Policy

Effective date: 27 May 2026 · Version 1.0.0

This Privacy Policy is provided in English. A Dutch (Nederlandse) version follows below. In case of discrepancy, the Dutch version prevails for users residing in the Netherlands.

English version

1. Introduction

This Privacy Policy explains how ADS Web Services B.V. (KvK 42022140) ("we", "us", "our", the "Controller") collects, uses, discloses, and protects your personal data when you use the CoinVault Pro mobile application, website (aicoincollector.com), and related services (collectively, the "Service").

We act as the data controller within the meaning of Regulation (EU) 2016/679 (the "GDPR") and the Dutch GDPR Implementation Act (Uitvoeringswet AVG).

Company details:

  • ADS Web Services B.V.
  • Registered office: Amsterdam, the Netherlands
  • Chamber of Commerce (KvK) number: 42022140
  • VAT (BTW) number: <BTW_NL_NUMMER>
  • General contact: info@adswebservices.nl
  • Support contact: support@aicoincollector.com
  • Privacy contact (internal DPO): privacy@aicoincollector.com

2. Personal data we collect

We collect the following categories of personal data:

  • Account data: email address, display name, and (optionally) a profile picture you choose to upload.
  • Authentication data: identifiers received from third party sign-in providers (Google, Apple, Microsoft Azure AD, Facebook). We only request the minimum public profile scope (e.g. name, email, unique provider ID). We do not receive or store your password from those providers.
  • User content: photographs of coins captured via your device camera, coin collections you create, social posts, comments, likes, follows, marketplace listings, and messages.
  • Device and technical data: device identifier, operating system, OS version, app version, language settings, truncated IP address (for geolocation at country/region level only), and crash or diagnostic logs.
  • Usage data: number of scans per day, features used, in-app events, session duration, conversion events.
  • Payment data: when you subscribe via Stripe, we receive your Stripe customer ID, the last 4 digits of your card, card brand, expiry month/year, billing country, and invoice metadata. We do not store full card numbers. In-app purchases made through Apple App Store or Google Play are processed by Apple/Google; we only receive the transaction receipt and entitlement information.

3. Purposes and legal bases for processing (GDPR Art. 6)

PurposeLegal basis
Providing the Service: account creation, AI coin recognition, collection management, social features, marketplace, subscription handlingArt. 6(1)(b) – performance of a contract
Fraud detection, abuse prevention, security monitoring, product improvement and analytics on aggregate levelArt. 6(1)(f) – legitimate interest
Marketing communication, personalised advertising via AdMob, optional product analytics, push notifications for non-essential contentArt. 6(1)(a) – consent (revocable at any time)
VAT administration, accounting, AML/CTF obligations, response to lawful authorities' requestsArt. 6(1)(c) – legal obligation

4. Recipients and sub-processors

We share personal data with carefully selected service providers acting as processors on our behalf. We have signed Data Processing Agreements (DPAs) with each of them in accordance with Art. 28 GDPR.

  • Cloudflare, Inc. – CDN, WAF, DNS (EU + US, EU-US Data Privacy Framework certified).
  • Hetzner Online GmbH – hosting infrastructure (Germany, ISO/IEC 27001 certified).
  • Supabase Inc. – managed PostgreSQL database (EU region – Frankfurt).
  • Upstash Inc. – Redis cache / queue (EU region).
  • Stripe Payments Europe Ltd – payment processing (Ireland, EU).
  • Apple Inc. – Sign in with Apple and In-App Purchases (DPF certified).
  • Google LLC – Sign-In, Firebase Auth, Firebase Cloud Messaging (FCM), AdMob, Gemini AI (coin recognition), Analytics (DPF certified).
  • Microsoft Corporation – Azure AD sign-in (DPF certified).
  • Meta Platforms, Inc. – Facebook Login (DPF certified).
  • Numista SAS – numismatic catalogue API (France).
  • Resend Inc. – transactional email delivery (Ireland / EU region).
  • Functional Software, Inc. (Sentry) – error and crash tracking (EU region).
  • PostHog Inc. – product analytics (EU region option).

We do not sell personal data. We do not disclose personal data to other third parties except where required by law, court order, or where strictly necessary to enforce our Terms of Service or protect our rights.

5. Retention periods

  • Active account data: retained as long as the account is active.
  • After account deletion: 30 days soft-delete window (for account recovery), after which personal data is permanently deleted or irreversibly anonymised.
  • Invoices / VAT administration: 7 years (Dutch tax legislation – Art. 52 Algemene wet inzake rijksbelastingen).
  • Audit, security and login logs: 12 months.
  • Marketing data: until you withdraw consent or after 24 months of inactivity.

6. Your rights under the GDPR

As a data subject you have the following rights, which you can exercise free of charge by emailing support@aicoincollector.com or privacy@aicoincollector.com. We respond within 30 days (extendable by 60 days for complex requests):

  • Right of access (Art. 15): request a Data Subject Access Request (DSAR) and receive a copy of your personal data.
  • Right to rectification (Art. 16): correct inaccurate data, primarily via in-app settings.
  • Right to erasure / "right to be forgotten" (Art. 17): delete your account via Account → Delete account in the app or by email.
  • Right to data portability (Art. 20): request a machine readable export of your data at any time via GET /api/v1/users/me/export, which delivers a ZIP archive.
  • Right to restriction of processing (Art. 18).
  • Right to object (Art. 21), including the absolute right to object to direct marketing.
  • Right to withdraw consent (Art. 7(3)): for analytics and advertising at any time, without affecting processing prior to withdrawal.
  • Right to lodge a complaint with the Dutch Data Protection Authority (Autoriteit Persoonsgegevens, autoriteitpersoonsgegevens.nl), or with the supervisory authority of your habitual residence.

7. Cookies and tracking technologies

  • Strictly necessary: session cookie, CSRF token, authentication cookie. These cannot be switched off.
  • Functional: language/region preference, UI theme.
  • Analytics: PostHog with IP anonymisation. You can opt-out via the in-app privacy settings.
  • Advertising: Google AdMob personalised ads. We obtain prior opt-in consent via Google's User Messaging Platform (UMP) consent banner, in line with IAB TCF v2.2. On iOS we additionally comply with Apple's App Tracking Transparency (ATT) framework.

8. Children

The Service is intended for users aged 13 and over, in line with the Google Play Developer Program Policies and the Apple App Store Review Guidelines. In some jurisdictions (including parts of the EU under Art. 8 GDPR), the digital age of consent is 16 and parental consent is required below that age. We do not knowingly collect personal data from children under 13 (or the applicable local age of digital consent). If you are a parent or legal guardian and believe your child has provided us with personal data, please contact support@aicoincollector.com and we will delete the data without undue delay.

9. International data transfers

Some of our sub-processors are located outside the European Economic Area (EEA). Where they are certified under the EU-US Data Privacy Framework (DPF) — which currently applies to Google, Apple, Microsoft, Meta, Stripe and Cloudflare — transfers are based on an adequacy decision of the European Commission (Art. 45 GDPR).

For sub-processors that are not DPF-certified we rely on the Standard Contractual Clauses (SCCs, 2021/914) and, where required, supplementary measures (encryption in transit and at rest, pseudonymisation) based on a Transfer Impact Assessment (TIA).

10. Security

  • TLS 1.3 in transit for all API and web traffic.
  • AES-256 encryption at rest for databases and S3 storage.
  • Row-level security policies in PostgreSQL per user.
  • Short-lived JWT access tokens with refresh token rotation and reuse detection.
  • bcrypt with high work factor for password hashing.
  • Two-factor authentication (2FA) – planned post-launch.
  • 24/7 monitoring, vulnerability scanning, and a documented incident response plan including 72-hour data breach notification (Art. 33 GDPR).

11. Updates to this Privacy Policy

We may update this Privacy Policy from time to time. Material changes will be communicated by email and via an in-app banner at least 30 days before they take effect. Continued use of the Service after the effective date constitutes acceptance of the revised Privacy Policy.

12. Contact

ADS Web Services B.V.
Amsterdam, the Netherlands
KvK: 42022140 · BTW: <BTW_NL_NUMMER>
Email: info@adswebservices.nl
Privacy / DPO: privacy@aicoincollector.com
Support: support@aicoincollector.com

Nederlandse versie

1. Inleiding

Deze Privacyverklaring legt uit hoe ADS Web Services B.V. ("wij", "ons", de "Verwerkingsverantwoordelijke") jouw persoonsgegevens verzamelt, gebruikt en beschermt wanneer je gebruikmaakt van de CoinVault Pro mobiele app, de website (aicoincollector.com) en aanverwante diensten (gezamenlijk de "Dienst").

Wij treden op als verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG.

Bedrijfsgegevens:

  • ADS Web Services B.V.
  • Statutaire zetel: Amsterdam, Nederland
  • KvK-nummer: 42022140
  • BTW-nummer: <BTW_NL_NUMMER>
  • Algemeen contact: info@adswebservices.nl
  • Support: support@aicoincollector.com
  • Privacy / interne functionaris: privacy@aicoincollector.com

2. Welke gegevens wij verzamelen

  • Accountgegevens: e-mailadres, weergavenaam en optioneel een profielfoto.
  • Authenticatiegegevens: identifiers van Google, Apple, Microsoft Azure AD en Facebook (alleen de publieke profielscope). Wij ontvangen geen wachtwoord van deze providers.
  • Gebruikersinhoud: foto's van munten via je camera, collecties, social posts, reacties, likes, volgers, marktplaatsadvertenties en berichten.
  • Apparaat- en technische gegevens: device ID, besturingssysteem, OS-versie, app-versie, taalinstellingen, ingekorte/getrunceerde IP-adressen (alleen op land/regio niveau) en crash- en diagnoselogs.
  • Gebruiksgegevens: aantal scans per dag, gebruikte functies, in-app events, sessieduur en conversie-events.
  • Betaalgegevens: bij abonnementen via Stripe: Stripe customer ID, laatste 4 cijfers van de kaart, kaartmerk, vervaldatum (maand/jaar), factuurland en factuurmetadata. Wij slaan geen volledige kaartnummers op. In-app aankopen via Apple App Store of Google Play worden door Apple/Google verwerkt; wij ontvangen alleen de transactiebon en de entitlement-informatie.

3. Doelen en rechtsgronden (Art. 6 AVG)

  • Uitvoering van de overeenkomst (Art. 6 lid 1 sub b): accountbeheer, AI munt-herkenning, collectiebeheer, social features, marktplaats, abonnementsverwerking.
  • Gerechtvaardigd belang (Art. 6 lid 1 sub f): fraudedetectie, misbruikpreventie, security monitoring, productverbetering en geaggregeerde analytics.
  • Toestemming (Art. 6 lid 1 sub a): marketing e-mails, gepersonaliseerde advertenties via AdMob, optionele product-analytics en niet-essentiële push-notificaties. Te allen tijde intrekbaar.
  • Wettelijke verplichting (Art. 6 lid 1 sub c): BTW-administratie, boekhouding, AML/CTF verplichtingen, gehoor geven aan rechtmatige verzoeken van autoriteiten.

4. Ontvangers en sub-verwerkers

Wij delen persoonsgegevens met zorgvuldig geselecteerde dienstverleners die optreden als verwerker. Met elk van hen hebben wij een verwerkersovereenkomst (DPA) gesloten op grond van Art. 28 AVG.

  • Cloudflare, Inc. — CDN, WAF, DNS (EU + VS, DPF gecertificeerd).
  • Hetzner Online GmbH — hosting (Duitsland, ISO/IEC 27001).
  • Supabase Inc. — managed PostgreSQL (EU regio Frankfurt).
  • Upstash Inc. — Redis cache / queue (EU regio).
  • Stripe Payments Europe Ltd — betalingsverwerking (Ierland, EU).
  • Apple Inc. — Sign in with Apple, In-App Purchases (DPF).
  • Google LLC — Google Sign-In, Firebase Auth, FCM, AdMob, Gemini AI, Google Analytics (DPF).
  • Microsoft Corporation — Azure AD sign-in (DPF).
  • Meta Platforms, Inc. — Facebook Login (DPF).
  • Numista SAS — numismatische catalogus-API (Frankrijk).
  • Resend Inc. — transactionele e-mail (Ierland / EU regio).
  • Functional Software, Inc. (Sentry) — error- en crash-tracking (EU regio).
  • PostHog Inc. — product analytics (EU regio).

Wij verkopen geen persoonsgegevens. Wij verstrekken jouw gegevens alleen aan andere derden indien wij daartoe wettelijk verplicht zijn, een rechterlijk bevel hebben ontvangen, of indien dit strikt noodzakelijk is om onze Algemene Voorwaarden te handhaven of onze rechten te beschermen.

5. Bewaartermijnen

  • Actieve accountgegevens: zolang het account actief is.
  • Na verwijdering account: 30 dagen soft-delete (voor herstel), daarna permanent verwijderd of onomkeerbaar geanonimiseerd.
  • Facturen / BTW-administratie: 7 jaar (Art. 52 AWR).
  • Audit-, security- en loginlogs: 12 maanden.
  • Marketinggegevens: tot intrekking toestemming of na 24 maanden inactiviteit.

6. Jouw rechten onder de AVG

Je kunt deze rechten kosteloos uitoefenen via support@aicoincollector.com of privacy@aicoincollector.com. Wij reageren binnen 30 dagen (te verlengen met 60 dagen bij complexe verzoeken):

  • Recht op inzage (Art. 15): via DSAR een kopie van je gegevens.
  • Recht op rectificatie (Art. 16): via app-instellingen of e-mail.
  • Recht op gegevenswissing (Art. 17): via Account → Account verwijderen of via e-mail.
  • Recht op dataportabiliteit (Art. 20): via GET /api/v1/users/me/export ontvang je een ZIP-archief.
  • Recht op beperking (Art. 18).
  • Recht van bezwaar (Art. 21), waaronder een absoluut recht van bezwaar tegen direct marketing.
  • Recht om toestemming in te trekken (Art. 7 lid 3): op elk moment, zonder gevolgen voor verwerkingen daarvóór.
  • Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

7. Cookies en trackingtechnologieën

  • Strikt noodzakelijk: sessiecookie, CSRF-token, authenticatiecookie (kunnen niet uitgeschakeld worden).
  • Functioneel: taal-/regiovoorkeur, UI-thema.
  • Analytics: PostHog met IP-anonimisering. Opt-out via de in-app privacyinstellingen.
  • Advertising: Google AdMob gepersonaliseerde advertenties — alleen na expliciete opt-in via de Google UMP consent banner (IAB TCF v2.2). Op iOS additioneel via Apple ATT.

8. Minderjarigen

De Dienst is bedoeld voor gebruikers van 13 jaar of ouder, in lijn met het Google Play Developer Program en de Apple App Store Review Guidelines. In sommige EU-landen geldt op grond van Art. 8 AVG een hogere digitale toestemmingsleeftijd (in Nederland 16 jaar); onder die leeftijd is toestemming van een ouder of voogd vereist. Wij verzamelen niet bewust gegevens van kinderen onder 13. Ouders en wettelijk vertegenwoordigers kunnen verwijdering verzoeken via support@aicoincollector.com.

9. Internationale doorgifte

Voor sub-verwerkers buiten de EER vertrouwen wij op het EU-US Data Privacy Framework (DPF; o.a. Google, Apple, Microsoft, Meta, Stripe, Cloudflare) als adequaatheidsbesluit (Art. 45 AVG). Voor niet-DPF gecertificeerde partijen gebruiken wij de Standard Contractual Clauses (SCC, 2021/914) gecombineerd met aanvullende maatregelen (encryptie, pseudonimisering) op basis van een Transfer Impact Assessment.

10. Beveiliging

  • TLS 1.3 voor alle netwerkverkeer.
  • AES-256 encryptie at rest voor database en S3-opslag.
  • Row-level security in PostgreSQL per gebruiker.
  • Kort levende JWT access tokens met refresh token rotation en reuse-detectie.
  • Bcrypt met hoge work factor voor wachtwoord-hashing.
  • 2FA — gepland na launch.
  • 24/7 monitoring, vulnerability scanning, gedocumenteerd incident-response plan met 72-uurs meldplicht datalekken (Art. 33 AVG).

11. Wijzigingen

Wij kunnen deze Privacyverklaring van tijd tot tijd wijzigen. Materiële wijzigingen worden minimaal 30 dagen vooraf gecommuniceerd via e-mail en/of een in-app banner. Voortgezet gebruik na de ingangsdatum geldt als acceptatie.

12. Contact

ADS Web Services B.V.
Amsterdam, Nederland
KvK: 42022140 · BTW: <BTW_NL_NUMMER>
E-mail: info@adswebservices.nl
Privacy / interne functionaris: privacy@aicoincollector.com
Support: support@aicoincollector.com

Effective date: 27 May 2026 · Version 1.0.0

See also our Terms of Service.