VERSIE 3.0 — INGANGSDATUM: [DATUM]
In deze privacyverklaring leggen wij uit welke persoonsgegevens Mijn Stok achter de deur verzamelt, waarom, op welke juridische grondslag, en welke rechten u als gebruiker hebt. Wij nemen uw privacy serieus — uw data is van u.
1. Identiteit van de verwerkingsverantwoordelijke
Deze privacyverklaring is van toepassing op de mobiele applicatie Mijn Stok achter de deur (hierna: “de App”), aangeboden door:
Duco Kanij Fysiotherapie B.V.
KvK-nummer: 69633126
Adres: Van der Valk Boumanweg 178 B, 2352 JD Leiderdorp
E-mail: privacy@mijnstokachterdedeur.nl
Website: https://mijnstokachterdedeur.nl
Wij zijn de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG / GDPR, Verordening (EU) 2016/679) en de Uitvoeringswet AVG (UAVG).
Functionaris voor Gegevensbescherming: Wij hebben geen FG aangesteld omdat wij niet voldoen aan de drempelwaarden van Art. 37 AVG. Voor privacyvragen: privacy@mijnstokachterdedeur.nl.
2. Toepasselijkheid
Deze privacyverklaring beschrijft hoe wij persoonsgegevens verwerken van:
- Gebruikers die een account aanmaken en/of de App gebruiken
- Bezoekers van onze website(s) en overige digitale kanalen
- Partners (personal trainers, fysiotherapeuten, doorverwijzers) die deelnemen aan het partnerprogramma
- Personen die via e-mail of andere kanalen contact met ons opnemen
Waar verwerking is gebaseerd op uw toestemming, wordt deze op het relevante moment in de App uitdrukkelijk en afzonderlijk gevraagd via een actieve opt-in. Het lezen van deze verklaring vormt op zichzelf geen rechtsgrond voor verwerking.
De App is uitsluitend bestemd voor personen van 18 jaar en ouder. Zie artikel 13.
3. Welke persoonsgegevens verwerken wij?
3.1 Accountgegevens (verplicht bij registratie)
- Voor- en achternaam
- E-mailadres
- Wachtwoord (eenrichtings-gehashed via bcrypt — wij hebben nooit toegang tot uw wachtwoord in leesbare vorm)
- Geboortejaar (voor leeftijdsverificatie — wij vragen uitsluitend uw geboortejaar, niet uw volledige geboortedatum)
- Geslacht (optioneel — uitsluitend voor personalisatie van de weergave)
- Profielfoto (optioneel)
3.2 App-gebruiksdata
- Door uzelf ingesteld voedingsschema: tijdstippen en door uzelf benoemde maaltijdmomenten
- Door uzelf ingesteld trainingsschema: tijdstippen en door uzelf gekozen workoutmomenten
- Keuze voor discipline-module: voeding, sport of beide
- Check-in registraties: tijdstip en datum van bevestigde eet- en sportmomenten
- Streaks: het aantal aaneengesloten dagen met succesvolle check-ins
- Ranglijstposities en activiteitsscores
Voedings- en trainingsdata: uw schema’s worden volledig door uzelf opgesteld. Wij analyseren, interpreteren of kwalificeren de inhoud niet medisch. Voer geen informatie over medische aandoeningen of therapeutische dieetschema’s in.
Indien de combinatie van uw voedings- en trainingsdata, check-ins en activiteitspatronen naar haar aard gezondheidsgegevens betreft in de zin van Art. 4 lid 15 AVG, geschiedt de verwerking op basis van uw uitdrukkelijke toestemming als bedoeld in Art. 9 lid 2 sub a AVG — afzonderlijk gevraagd bij onboarding. Deze toestemming kunt u te allen tijde intrekken.
3.3 Foto’s en selfies
- Foto’s die u maakt via de ingebouwde camera-functie bij eet- en sportmomenten
- Foto’s zijn standaard uitsluitend voor jou zichtbaar — nooit automatisch gedeeld
- Alleen indien u per foto uitdrukkelijk en actief kiest voor delen, wordt die foto zichtbaar voor andere leden
- Gedeelde foto’s zijn niet publiek toegankelijk en niet vindbaar via zoekmachines
3.4 Ranglijsten en profilering
De App genereert op basis van uw check-ins, streaks en activiteitsscores een ranglijstpositie. Dit kwalificeert als profilering in de zin van Art. 4 sub 4 AVG. Deze profilering heeft geen rechtsgevolgen voor jou — de ranglijst is uitsluitend een motivatie-instrument. Jij kunt hiertegen te allen tijde bezwaar maken (zie artikel 8).
3.5 Technische gegevens en SDKs
IP-adres (geanonimiseerd na 30 dagen), apparaattype, besturingssysteem, app-versie, tijdzone, push-notificatietoken en geanonimiseerde crashrapporten. De App maakt gebruik van de volgende externe diensten:
| Dienst | Doel | Verwerkte data | Locatie |
|---|---|---|---|
| Supabase | Database, authenticatie, opslag | Accountgegevens, schema’s, foto’s | EU (Frankfurt) |
| Stripe | Betalingsverwerking | Betalingsbevestigingen | EU/VS (SCCs) |
| Apple APNs / Google FCM | Push-notificaties | Push-token | VS (SCCs) |
| Firebase Crashlytics (indien actief) | Crashrapportage | Geanonimiseerde foutlogs | VS (SCCs) |
3.6 Communicatiedata
E-mailcorrespondentie met onze klantenservice, in-app feedback en eventuele reacties op tevredenheidsonderzoeken (uitsluitend indien u hieraan deelneemt).
3.7 Betalings- en abonnementsdata
Abonnementsvorm, aanvangsdatum en betalingsbevestigingen. Geen betaalkaartgegevens — die verwerkt de betaalpartner.
iOS: betalingen via Apple In-App Purchase (Apple’s privacybeleid is van toepassing). Wij ontvangen uitsluitend een betalingsbevestiging.
Android: betalingen via Stripe Inc. — PCI-DSS gecertificeerd. Wij slaan nooit volledige betaalkaartgegevens op.
3.8 Partnerdata
Voor deelnemende personal trainers en fysiotherapeuten: naam, praktijkgegevens, KvK-nummer, e-mailadres, telefoonnummer en IBAN (uitsluitend voor commissie-uitbetalingen; bewaard zolang de partnerrelatie actief is plus 7 jaar conform Art. 52 AWR).
4. Rechtsgronden voor verwerking
| Gegevenstype | Rechtsgrond | AVG-artikel |
|---|---|---|
| Accountgegevens | Uitvoering overeenkomst | Art. 6 lid 1 sub b |
| Voedings- en trainingsschema | Uitvoering overeenkomst | Art. 6 lid 1 sub b |
| Check-ins, streaks | Uitvoering overeenkomst | Art. 6 lid 1 sub b |
| Ranglijsten (interne score) | Uitvoering overeenkomst | Art. 6 lid 1 sub b |
| Ranglijsten (zichtbaar voor anderen) | Toestemming (opt-in bij onboarding) | Art. 6 lid 1 sub a |
| Foto’s — opslag | Toestemming (opt-in bij camera-gebruik) | Art. 6 lid 1 sub a |
| Foto’s — gedeeld met community | Toestemming (opt-in per foto) | Art. 6 lid 1 sub a |
| Mogelijke gezondheidsdata | Uitdrukkelijke toestemming | Art. 9 lid 2 sub a |
| Push-notificaties (functioneel) | Uitvoering overeenkomst | Art. 6 lid 1 sub b |
| Push-notificaties (marketing) | Toestemming | Art. 6 lid 1 sub a |
| Technische logs en apparaatdata | Gerechtvaardigd belang | Art. 6 lid 1 sub f |
| Betalings- en facturatiedata | Overeenkomst + wettelijke verplichting | Art. 6 lid 1 sub b + c |
| Klantenservicecommunicatie | Gerechtvaardigd belang | Art. 6 lid 1 sub f |
| Nieuwsbrief / marketing | Toestemming | Art. 6 lid 1 sub a |
5. Doeleinden van verwerking
Wij verwerken uw persoonsgegevens uitsluitend voor:
- Dienstverlening: aanmaken en beheren van uw account en alle App-functionaliteiten
- Discipline-tracking: bijhouden van check-ins, streaks en ranglijstpositie
- Community (opt-in): tonen van door uzelf gedeelde foto’s aan andere leden
- Partner-inzage (opt-in): beschikbaar stellen van uw activiteitsoverzicht aan een gekoppelde partner met uw toestemming
- Communicatie: transactionele berichten en, met uw toestemming, push-notificaties en nieuwsbrieven
- Beveiliging en fraudepreventie
- Klantenservice
- Wettelijke verplichtingen: fiscale en andere wettelijke bewaarplichten
- Productontwikkeling: uitsluitend op basis van volledig geanonimiseerde statistieken
Wij verwerken uw gegevens nooit voor: verkoop aan derden, advertentieprofilering, commerciële targeting of geautomatiseerde besluitvorming met rechtsgevolgen (Art. 22 AVG).
6. Bewaartermijnen
| Gegevenstype | Bewaartermijn |
|---|---|
| Accountgegevens | Zolang account actief + max. 24 maanden na verwijdering |
| Voedings- en trainingsschema | Zolang account actief; gewist binnen 30 dagen na verwijdering |
| Check-ins, streaks, ranglijstdata | Zolang account actief; gewist binnen 30 dagen na verwijdering |
| Foto’s (niet gedeeld) | Zolang account actief; gewist binnen 30 dagen na verwijdering |
| Foto’s (gedeeld) | Tot u ze verwijdert of uw account verwijderd wordt |
| Technische logs | Maximaal 90 dagen |
| IP-adressen | Geanonimiseerd na 30 dagen |
| Betalings- en facturatiedata | 7 jaar (Art. 52 AWR) |
| Partner IBAN en uitbetalingen | Partnerrelatie actief + 7 jaar (Art. 52 AWR) |
| Klantenservicecommunicatie | 2 jaar na afsluiting |
7. Delen met derden
7.1 Algemeen principe
Wij verkopen, verhuren of verstrekken uw persoonsgegevens nooit aan derden voor commerciële doeleinden.
7.2 Verwerkers
| Categorie | Doel | Locatie |
|---|---|---|
| Cloud-hostingprovider (Supabase) | Opslag en verwerking app-data | EU (EER) |
| Betaalverwerker (Apple IAP / Stripe) | Abonnementsbetalingen | EU / VS (SCCs) |
| E-mailprovider | Transactionele e-mails | EU (EER) |
| Push-notificatiedienst | App-meldingen | EU / VS (SCCs) |
| Crashrapportage | Geanonimiseerde foutanalyse | EU (EER) |
Doorgifte buiten de EER geschiedt uitsluitend via Standaard Contractbepalingen (SCCs) goedgekeurd door de Europese Commissie (Art. 46 AVG). Op verzoek verstrekken wij een kopie.
7.3 Partners (personal trainers / fysiotherapeuten)
Een gekoppelde partner kan uitsluitend inzage krijgen na uw uitdrukkelijke, voorafgaande en afzonderlijke toestemming. De partner ziet: uw weergavenaam, activiteitsscore en streak-status. Nooit uw foto’s, schema-inhoud of exacte check-in tijdstippen. Koppeling intrekken kan altijd via app-instellingen.
7.4 Andere gebruikers
Andere leden zien uitsluitend: uw zelf gekozen weergavenaam, uw ranglijstpositie en streak-score (na uw toestemming bij onboarding), en foto’s die u per foto actief hebt gedeeld. Jouw e-mailadres, geboortejaar en niet-gedeelde foto’s zijn nooit zichtbaar voor anderen.
8. Jouw rechten als betrokkene
| Recht | Wat houdt het in? | AVG-artikel |
|---|---|---|
| Inzage | Welke gegevens wij van jou verwerken, waarvoor en hoe lang | Art. 15 |
| Rectificatie | Onjuiste of onvolledige gegevens laten corrigeren | Art. 16 |
| Verwijdering | Jouw gegevens laten wissen (“recht op vergetelheid”) | Art. 17 |
| Beperking | Verwerking tijdelijk laten opschorten | Art. 18 |
| Overdraagbaarheid | Jouw gegevens opvragen in JSON- of CSV-formaat | Art. 20 |
| Bezwaar | Bezwaar tegen gerechtvaardigd belang of profilering | Art. 21 |
| Toestemming intrekken | Verleende toestemming te allen tijde intrekken | Art. 7 lid 3 |
| Klachtrecht | Klacht indienen bij de Autoriteit Persoonsgegevens | Art. 77 |
Verzoeken indienen: stuur een e-mail naar privacy@mijnstokachterdedeur.nl. Wij reageren binnen 30 dagen. Bij complexe verzoeken kunnen wij dit met maximaal 60 dagen verlengen.
Data-export: beschikbaar via app-instellingen in JSON-formaat (accountgegevens, schema’s, check-in geschiedenis, streakdata).
Autoriteit Persoonsgegevens: Postbus 93374, 2509 AJ Den Haag — www.autoriteitpersoonsgegevens.nl — 088 1805 250
9. Beveiliging van persoonsgegevens
Technische maatregelen:
- Alle gegevensoverdracht versleuteld via TLS 1.2 of hoger (HTTPS)
- Gegevens op de server versleuteld opgeslagen (AES-256)
- Wachtwoorden opgeslagen via eenrichtingshashing (bcrypt)
- Foto’s in niet-publieke opslag met unieke, tijdelijk gegenereerde toegangslinks
- Twee-factor-authenticatie beschikbaar voor uw account
Aantoonbare datalekken melden wij binnen 72 uur bij de Autoriteit Persoonsgegevens (Art. 33 AVG). Bij een hoog risico voor jou informeren wij jou persoonlijk (Art. 34 AVG).
10. Herroepingsrecht en abonnementsvoorwaarden
10.1 Herroepingsrecht bij digitale diensten
Als consument heeft u het recht uw abonnement te herroepen binnen 14 dagen na afsluiting, zonder opgave van reden (Richtlijn 2011/83/EU, Art. 9).
Let op: indien u bij het starten van het abonnement uitdrukkelijk hebt verzocht de dienst direct te starten vóór het verstrijken van de 14-daagse termijn, en u hebt erkend dat u daarmee uw herroepingsrecht verliest, dan vervalt dit recht. Dit wordt bij afsluiting via een aparte checkbox bevestigd.
Herroeping melden: stuur een e-mail naar privacy@mijnstokachterdedeur.nl vóór het verstrijken van de 14-daagse termijn.
10.2 Abonnementsbeëindiging
Jij kunt uw abonnement op elk moment opzeggen via de app-instellingen. Het abonnement loopt door tot het einde van de lopende betaalperiode. Reeds betaalde gelden worden niet gerestitueerd, tenzij u gebruikmaakt van uw herroepingsrecht, de beëindiging het gevolg is van een aan ons toerekenbare tekortkoming, of dit wettelijk vereist is.
iOS: beheer uw abonnement via Instellingen > [Jouw naam] > Abonnementen. Android: via Google Play Store > Abonnementen.
11. Aansprakelijkheid
Geen medisch advies: de App is uitsluitend een discipline- en accountability-tool. Zij vervangt niet de raadpleging van een arts of zorgprofessional. Aansprakelijkheid voor dood of lichamelijk letsel door opzet of grove schuld wordt niet uitgesloten.
Beschikbaarheid: bij aanhoudende onbeschikbaarheid van meer dan 3 aaneengesloten dagen heb u recht op een evenredige korting op uw abonnementsgeld, met een maximum van €10,00 per kalendermaand.
Maximale aansprakelijkheid: onverminderd dwingendrechtelijke bepalingen — waaronder Art. 82 AVG en consumentenbeschermingsregels — is onze aansprakelijkheid voor overige directe schade beperkt tot het bedrag dat u in de twaalf maanden voorafgaand aan het incident aan ons hebt betaald.
12. Content moderatie en meldingen
Elke gedeelde foto heeft een “Melden”-knop. Meldingen behandelen wij binnen 48 uur. Bij overtreding van onze gedragsregels kunnen wij content verwijderen, uw account schorsen of definitief sluiten.
DSA-contactpunt voor autoriteiten: dsa@mijnstokachterdedeur.nl (Digital Services Act, Verordening (EU) 2022/2065).
13. Minderjarigen
De App is uitsluitend bestemd voor personen van 18 jaar en ouder. Wij verzamelen bij registratie uw geboortejaar ter verificatie. Indien wij constateren dat een account toebehoort aan een minderjarige, deactiveren wij dit account onverwijld. Ouders of verzorgers kunnen dit melden via privacy@mijnstokachterdedeur.nl — wij handelen dit binnen 5 werkdagen af.
14. Accountverwijdering en data-export
Jij kunt uw account verwijderen via de app-instellingen of via privacy@mijnstokachterdedeur.nl. Bij verwijdering worden accountgegevens, schema’s, check-ins en foto’s binnen 30 dagen definitief gewist. Betalingsdata bewaren wij 7 jaar conform de fiscale bewaarplicht.
Data-export: vóór verwijdering kun u een volledige export opvragen (JSON) via de app-instellingen of per e-mail. Wij leveren de export binnen 5 werkdagen.
15. Cookies en tracking
In de App: uitsluitend sessietokens (technisch noodzakelijk), lokale opslag voor app-instellingen en geanonimiseerde crashrapportage. Geen advertising trackers, cross-app tracking of Advertiser Identifier (IDFA/GAID).
Op de website: functionele cookies (noodzakelijk) en, met uw toestemming, analytische cookies voor geanonimiseerde bezoekersstatistieken. Beheer via de cookiebanner.
16. Wijzigingen
Wij informeren jou minimaal 30 dagen van tevoren over materiële wijzigingen via een melding in de App en per e-mail. Voor verwerkingen op basis van toestemming vragen wij bij materiële wijzigingen opnieuw uw uitdrukkelijke toestemming — wij nemen nooit stilzwijgende aanvaarding aan.
De meest actuele versie is altijd beschikbaar in de App en op mijnstokachterdedeur.nl. Eerdere versies zijn op te vragen via privacy@mijnstokachterdedeur.nl.
17. Toepasselijk recht en bevoegde rechter
Op deze privacyverklaring is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter van de Rechtbank Den Haag, onverminderd uw recht als consument om een procedure aanhangig te maken bij de rechter van uw eigen woonplaats.
18. Contact
Duco Kanij Fysiotherapie B.V.
E-mail: privacy@mijnstokachterdedeur.nl
DSA-contactpunt: dsa@mijnstokachterdedeur.nl
Adres: Van der Valk Boumanweg 178 B, 2352 JD Leiderdorp
Wij streven ernaar binnen 5 werkdagen te reageren.
Opgesteld in overeenstemming met: AVG/GDPR (EU) 2016/679 · UAVG · EDPB-richtlijnen · Apple App Store Review Guidelines · Google Play Developer Policy · Digital Services Act (EU) 2022/2065 · Richtlijn Consumentenrechten 2011/83/EU · Richtlijn Digitale Inhoud 2019/770