Privacyverklaring

1. Identiteit van de verwerkingsverantwoordelijke

Deze privacyverklaring is van toepassing op de mobiele applicatie Mijn Stok achter de deur, aangeboden door:

Duco Kanij Fysiotherapie B.V.
KvK-nummer: 69633126
Adres: Van der Valk Boumanweg 178 B, 2352 JD Leiderdorp
E-mailadres: privacy@mijnstokachterdedeur.nl
Website: https://mijnstokachterdedeur.nl

Wij zijn de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG / GDPR, Verordening (EU) 2016/679) en de Uitvoeringswet AVG (UAVG).

Functionaris voor Gegevensbescherming (FG): Wij hebben geen FG aangesteld omdat wij niet voldoen aan de drempelwaarden van Art. 37 AVG. Voor privacyvragen kunt u contact opnemen via privacy@mijnstokachterdedeur.nl.

2. Toepasselijkheid

Deze privacyverklaring beschrijft hoe wij persoonsgegevens verwerken van:

• Gebruikers die een account aanmaken en/of de App gebruiken
• Bezoekers van onze website(s) en overige digitale kanalen
• Partners (personal trainers, fysiotherapeuten, doorverwijzers) die deelnemen aan het partnerprogramma
• Personen die via e-mail of andere kanalen contact met ons opnemen

De App is uitsluitend bestemd voor personen van 18 jaar en ouder.

3. Welke persoonsgegevens verwerken wij?

3.1 Accountgegevens (verplicht bij registratie)

• Voor- en achternaam
• E-mailadres
• Wachtwoord (eenrichtings-gehashed via bcrypt)
• Geboortejaar (voor leeftijdsverificatie)
• Geslacht (optioneel)
• Profielfoto (optioneel)

3.2 App-gebruiksdata

• Door u zelf ingesteld voedings- en trainingsschema
• Check-in registraties: tijdstip en datum van eet- en sportmomenten
• Streaks: het aantal aaneengesloten dagen met succesvolle check-ins
• Ranglijstposities en activiteitsscores

Indien de combinatie van uw voedings- en trainingsdata naar haar aard gezondheidsgegevens betreft (Art. 4 lid 15 AVG), geschiedt verwerking op basis van uw uitdrukkelijke toestemming (Art. 9 lid 2 sub a AVG), welke u afzonderlijk verleent bij onboarding.

3.3 Foto's en beeldmateriaal

• Foto's zijn standaard uitsluitend voor uzelf zichtbaar
• Alleen indien u per foto uitdrukkelijk kiest voor het delen, wordt die foto zichtbaar voor andere aangemelde gebruikers
• Gedeelde foto's zijn niet publiek toegankelijk en niet vindbaar via zoekmachines

3.4 Geautomatiseerde verwerking en ranglijsten

De App genereert op basis van uw check-ins een ranglijstpositie. Dit betreft profilering (Art. 4 sub 4 AVG), maar heeft geen rechtsgevolgen (Art. 22 AVG). U kunt bezwaar maken via privacy@mijnstokachterdedeur.nl.

3.5 Technische en apparaatgegevens

SDK / Dienst	Doel	Locatie
Supabase	Database, authenticatie, bestandsopslag	EU (Frankfurt)
Stripe	Betalingsverwerking	EU/VS (SCCs)
Apple APNs / Google FCM	Push-notificaties	VS (SCCs)

3.6 Betalings- en abonnementsdata

iOS-gebruikers: betalingen worden verwerkt door Apple Inc. Wij ontvangen uitsluitend een betalingsbevestiging.
Android-gebruikers: betalingen worden verwerkt door Stripe Inc. (PCI-DSS gecertificeerd). Wij slaan nooit volledige betaalkaartgegevens op.

4. Rechtsgronden voor verwerking

Gegevenstype	Rechtsgrond	AVG-artikel
Accountgegevens	Uitvoering overeenkomst	Art. 6 lid 1 sub b
Voedings- en trainingsschema	Uitvoering overeenkomst	Art. 6 lid 1 sub b
Check-ins, streaks	Uitvoering overeenkomst	Art. 6 lid 1 sub b
Ranglijsten (zichtbaar voor anderen)	Toestemming (opt-in)	Art. 6 lid 1 sub a
Foto's — opslag	Toestemming (opt-in)	Art. 6 lid 1 sub a
Foto's — gedeeld met community	Toestemming (opt-in per foto)	Art. 6 lid 1 sub a
Gezondheidsdata (voedings/trainingscontext)	Uitdrukkelijke toestemming	Art. 9 lid 2 sub a
Technische logs en apparaatdata	Gerechtvaardigd belang	Art. 6 lid 1 sub f
Betalings- en facturatiedata	Overeenkomst + wettelijke verplichting	Art. 6 lid 1 sub b + c

5. Doeleinden van verwerking

Wij verwerken uw persoonsgegevens uitsluitend voor:

1. Dienstverlening: het aanmaken en beheren van uw account
2. Discipline-tracking: check-ins, streaks en ranglijst
3. Community (opt-in): tonen van door u gedeelde foto's
4. Partner-inzage (opt-in): met uw toestemming inzage voor een gekoppelde partner
5. Communicatie: transactionele berichten en (met toestemming) push-notificaties
6. Beveiliging en fraudepreventie
7. Klantenservice
8. Wettelijke verplichtingen
9. Productontwikkeling op basis van volledig geanonimiseerde statistieken

Wij verwerken uw persoonsgegevens nooit voor verkoop aan derden, advertentieprofilering, geautomatiseerde besluitvorming met rechtsgevolgen, of onverenigbare doeleinden.

6. Bewaartermijnen

Gegevenstype	Bewaartermijn
Accountgegevens	Zolang actief + maximaal 24 maanden na verwijdering
Voedings- en trainingsschema	Zolang actief; binnen 30 dagen na verwijdering gewist
Check-ins, streaks, ranglijstdata	Zolang actief; binnen 30 dagen na verwijdering gewist
Foto's (niet gedeeld)	Zolang actief; binnen 30 dagen na verwijdering gewist
Technische logs	Maximaal 90 dagen
IP-adressen	Geanonimiseerd na maximaal 30 dagen
Betalings- en facturatiedata	7 jaar (wettelijke fiscale bewaarplicht, Art. 52 AWR)
Klantenservicecommunicatie	2 jaar na afsluiting van het contact

7. Delen met derden

Wij verkopen, verhuren of verstrekken uw persoonsgegevens nooit aan derden voor commerciële doeleinden.

Wij werken met verwerkers (cloud-hosting, betaalverwerker, e-mailprovider, push-notificatiedienst) met wie verwerkersovereenkomsten zijn afgesloten conform Art. 28 AVG. Doorgifte buiten de EER geschiedt uitsluitend via Standaard Contractbepalingen (SCCs).

Andere aangemelde gebruikers kunnen uitsluitend uw weergavenaam, ranglijstpositie en door u actief gedeelde foto's zien. Uw e-mailadres en niet-gedeelde foto's zijn nooit zichtbaar voor andere gebruikers.

8. Uw rechten als betrokkene

Recht	Inhoud	Grondslag
Inzage	Welke gegevens wij verwerken, voor welk doel	Art. 15 AVG
Rectificatie	Onjuiste gegevens laten corrigeren	Art. 16 AVG
Verwijdering	Uw gegevens laten wissen	Art. 17 AVG
Beperking	Verwerking tijdelijk laten opschorten	Art. 18 AVG
Overdraagbaarheid	Gegevens opvragen in JSON- of CSV-formaat	Art. 20 AVG
Bezwaar	Bezwaar tegen profilering of gerechtvaardigd belang	Art. 21 AVG
Intrekking toestemming	Via app-instellingen of e-mail	Art. 7 lid 3 AVG
Klachtrecht	Klacht bij Autoriteit Persoonsgegevens	Art. 77 AVG

Stuur een e-mail naar privacy@mijnstokachterdedeur.nl. Wij reageren binnen 30 dagen.

Autoriteit Persoonsgegevens: Postbus 93374, 2509 AJ Den Haag · www.autoriteitpersoonsgegevens.nl

9. Beveiliging van persoonsgegevens

Technische maatregelen:

• Alle gegevensoverdracht versleuteld via TLS 1.2 of hoger (HTTPS)
• Gegevens op de server versleuteld opgeslagen (AES-256 of gelijkwaardig)
• Wachtwoorden opgeslagen via eenrichtingshashing (bcrypt)
• Foto's opgeslagen in een niet-publiek toegankelijke opslagomgeving
• Twee-factor-authenticatie beschikbaar

Aantoonbare datalekken melden wij binnen 72 uur bij de Autoriteit Persoonsgegevens (Art. 33 AVG). Indien een incident een hoog risico voor u oplevert, informeren wij u persoonlijk (Art. 34 AVG).

10. Accountverwijdering en data-export

U kunt uw account verwijderen via de app-instellingen of via privacy@mijnstokachterdedeur.nl.

Vóór het verwijderen kunt u een volledige export opvragen van uw gegevens (JSON-formaat). Wij leveren de export binnen 5 werkdagen.

Na verwijdering worden accountgegevens, schema's, check-ins en foto's definitief gewist binnen 30 dagen. Betalingsdata bewaren wij 7 jaar conform de wettelijke fiscale bewaarplicht.

11. Cookies en tracking

In de mobiele App: De App maakt uitsluitend gebruik van sessietokens (technisch noodzakelijk), lokale opslag voor app-instellingen en geanonimiseerde crashrapportage. De App bevat geen advertising trackers of cross-app tracking.

Op onze website: Functionele cookies (noodzakelijk) en, met uw toestemming, analytische cookies voor geanonimiseerde bezoekersstatistieken.

12. Minderjarigen

De App is uitsluitend bestemd voor personen van 18 jaar en ouder. Indien wij constateren dat een account toebehoort aan een minderjarige, deactiveren wij dit account onverwijld. Melden via privacy@mijnstokachterdedeur.nl.

13. Wijzigingen in deze privacyverklaring

Wij informeren u minimaal 30 dagen van tevoren over materiële wijzigingen via een melding in de App en per e-mail. Voor verwerkingen gebaseerd op toestemming vragen wij bij wijzigingen opnieuw uw uitdrukkelijke toestemming.

14. Contact

Duco Kanij Fysiotherapie B.V.
E-mail: privacy@mijnstokachterdedeur.nl
DSA-contactpunt: dsa@mijnstokachterdedeur.nl
Adres: Van der Valk Boumanweg 178 B, 2352 JD Leiderdorp
Wij streven ernaar binnen 5 werkdagen te reageren.

Opgesteld in overeenstemming met: AVG/GDPR (EU) 2016/679 · UAVG · EDPB-richtlijnen · Autoriteit Persoonsgegevens · Apple App Store Review Guidelines · Google Play Developer Policy · Digital Services Act (EU) 2022/2065 · Richtlijn Consumentenrechten 2011/83/EU