1. Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke voor jouw persoonsgegevens is:
Kim ter Horst
Handelend onder: Iniht yoga & coaching
Nieuwe Markt 69B, 4701 AD Roosendaal
E-mail: iniht@hotmail.com
Telefoon: +31 (0)6 46 29 71 01
KVK-nummer: [KVK-nummer invullen]
BTW-nummer: [BTW-nummer invullen]
2. Welke persoonsgegevens verwerken wij?
2a. Accountgegevens
Bij registratie verwerken wij: naam, e-mailadres, wachtwoord (versleuteld), profielfoto (optioneel) en accountrol (lid, coach, beheerder).
2b. Gezondheidsgegevens (Bijzondere Categorie — Art. 9 AVG)
Als je kiest voor gepersonaliseerde aanbevelingen, vragen wij om jouw intenties te delen: stressverlichting, beter slapen, mentale focus of lichamelijke kracht. Dit zijn gezondheids- of welzijnsgerelateerde persoonsgegevens in de zin van artikel 9 AVG. Deze gegevens worden uitsluitend verwerkt na jouw uitdrukkelijke toestemming (rechtsgrond: Art. 9(2)(a) AVG). Je kunt deze toestemming te allen tijde intrekken via Instellingen → Privacy. Bij intrekking worden jouw intentiegegevens onmiddellijk en permanent verwijderd.
2c. Boekings- en betalingsgegevens
Wij verwerken gegevens over geboekte lessen, aanwezigheid, strippenkaarten en betaalhistorie. Betalingen worden verwerkt via Stripe Payments Europe Ltd. (gevestigd in Ierland, EU). Wij slaan geen volledige creditcardnummers of rekeningnummers op — uitsluitend de door Stripe verstrekte token-identificatie.
2d. Technische gegevens
Bij het gebruik van het platform worden IP-adressen, browser- informatie en sessiedata verwerkt voor de beveiliging en werking van de dienst. IP-adressen die worden gebruikt voor het vastleggen van toestemmingslogboeken worden gehashed (sha-256 + salt) opgeslagen en zijn niet meer herleidbaar naar een individu.
2e. Communicatiegegevens
Wij verwerken je e-mailadres voor het versturen van boekingsbevestigingen, annuleringsmeldingen en herinneringen (24 uur en 2 uur voor aanvang van de les). E-mails worden verstuurd via Resend Inc. (VS — zie §4 voor de transfer- mechanismen).
3. Doeleinden en rechtsgronden
| Doel | Rechtsgrond (AVG) |
|---|---|
| Accountbeheer en authenticatie | Art. 6(1)(b) — uitvoering overeenkomst |
| Lesboekingen, aanwezigheid, strippenkaarten | Art. 6(1)(b) — uitvoering overeenkomst |
| Betalingsverwerking en factuuradministratie | Art. 6(1)(b) — uitvoering overeenkomst + Art. 6(1)(c) — wettelijke verplichting (btw-administratie) |
| Gepersonaliseerde aanbevelingen o.b.v. gezondheidsintentie | Art. 9(2)(a) — uitdrukkelijke toestemming |
| Boekingsbevestigings- en herinneringsmails | Art. 6(1)(b) — uitvoering overeenkomst |
| Fraudepreventie en platformbeveiliging | Art. 6(1)(f) — gerechtvaardigd belang |
| Naleving van wettelijke bewaarverplichtingen | Art. 6(1)(c) — wettelijke verplichting (7 jaar belastingwet) |
4. Ontvangers en internationale doorgifte
Wij maken gebruik van de volgende sub-verwerkers en dienstverleners:
Supabase Inc.
Database, authenticatie · EU — Frankfurt (AWS eu-central-1)
DPA ondertekend + Standard Contractual Clauses (SCC's) voor support-toegang
Stripe Payments Europe Ltd.
Betalingsverwerking · EU (Ierland)
Stripe DPA + SCC's
Resend Inc.
Transactionele e-mail · VS
SCC's (EU-VS Standard Contractual Clauses). Resend is gecertificeerd onder EU-VS Data Privacy Framework.
Mux Inc.
Video streaming (fase 2) · VS
Mux DPA + SCC's. Inhoud beveiligd met ondertekende JWT-tokens (beperkte toegang).
Buiten de bovengenoemde sub-verwerkers worden jouw persoonsgegevens niet doorgegeven aan derden, tenzij wij daartoe wettelijk verplicht zijn.
5. Bewaartermijnen
- Accountgegevens: bewaard zolang je een actief account hebt + 30 dagen na verwijdering (herstelperiode).
- Gezondheidsgegevens (intenties): tot intrekking van toestemming — daarna onmiddellijke, permanente verwijdering.
- Financiële administratie (facturen, betalingen): 7 jaar conform de Nederlandse bewaarplicht (Wet op de omzetbelasting 1968).
- Toestemmingslogboek: 5 jaar (bewijslast GDPR- controle door Autoriteit Persoonsgegevens).
6. Jouw rechten onder de AVG
Als betrokkene heb je de volgende rechten. Je kunt deze uitoefenen via iniht@hotmail.com. Wij reageren binnen 30 dagen.
Recht op inzage (Art. 15)
Je kunt een overzicht opvragen van alle persoonsgegevens die wij over jou verwerken.
Recht op rectificatie (Art. 16)
Onjuiste of onvolledige gegevens laten corrigeren.
Recht op vergetelheid (Art. 17)
Je kunt verwijdering van jouw gegevens verzoeken. Financiële gegevens die wettelijk bewaard moeten worden zijn uitgezonderd.
Recht op beperking (Art. 18)
Verwerking beperken terwijl een bezwaar of klacht wordt behandeld.
Recht op dataportabiliteit (Art. 20)
Jouw gegevens in een gestructureerd, machineleesbaar formaat ontvangen (CSV/JSON).
Recht van bezwaar (Art. 21)
Bezwaar maken tegen verwerking op grond van gerechtvaardigd belang.
Recht op intrekking toestemming
Toestemming voor gezondheidsgegevens intrekken via Instellingen → Privacy. Dit heeft geen invloed op de rechtmatigheid van verwerking vóór intrekking.
Recht om klacht in te dienen
Bij de Autoriteit Persoonsgegevens (AP) via autoriteitpersoonsgegevens.nl.
7. Beveiliging van persoonsgegevens
Wij treffen passende technische en organisatorische maatregelen om jouw persoonsgegevens te beschermen:
- Alle data-at-rest is versleuteld met AES-256 (Supabase/AWS).
- Data-in-transit is altijd versleuteld via TLS 1.3.
- Row Level Security (RLS) in de database zorgt dat leden alleen hun eigen gegevens kunnen lezen.
- Beheerdersstoegang is beperkt tot geauthenticeerde medewerkers met een minimale rechtenset (principle of least privilege).
8. Cookies en externe verbindingen
Iniht Space gebruikt uitsluitend strikt noodzakelijke cookies voor de werking van het platform:
- Authenticatiesessie (Supabase Auth): noodzakelijk om je ingelogd te houden. Automatisch verlopen na inactiviteit.
Wij gebruiken geen tracking cookies, advertentiecookies, Google Analytics, Meta Pixel of vergelijkbare analyticsdiensten.
Lettertypen en icoonfont: De tekstlettertypen (Manrope en Newsreader) worden bij de bouw van het platform gedownload en zelfgehost — er is geen runtime verbinding met Google voor deze lettertypes. Het icoonlettertype Material Symbols wordt geladen via de Google Fonts API (fonts.googleapis.com). Hierdoor wordt jouw IP-adres overgebracht naar Google LLC (VS). Rechtsgrond: gerechtvaardigd belang (Art. 6(1)(f) AVG) voor het functioneel weergeven van de interface. Er worden door deze verbinding geen cookies geplaatst. Wij streven ernaar dit icoonlettertype binnenkort zelf te hosten zodat deze verbinding volledig vervalt.
9. Wijzigingen in dit beleid
Wij kunnen dit privacybeleid te allen tijde wijzigen. Bij materiële wijzigingen informeren wij je per e-mail en/of via een melding bij inloggen. De versiedatum bovenaan dit document geeft aan wanneer het beleid voor het laatst is bijgewerkt. Indien de wijziging betrekking heeft op de verwerking van gezondheidsgegevens, vragen wij je om opnieuw uitdrukkelijk toestemming te geven.
Vragen of verzoeken?
Neem contact op via iniht@hotmail.com of schrijf naar: Kim ter Horst, Nieuwe Markt 69B, 4701 AD Roosendaal.
Je hebt ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.