GDPR · AVG · Nederlands recht

Privacybeleid

My Gym Watch verwerkt persoonsgegevens uitsluitend voor de werking van het platform, moderatie, beveiliging, fraudepreventie, juridische naleving en dienstverbetering. Dit privacybeleid is opgesteld conform de Algemene Verordening Gegevensbescherming (AVG / GDPR) en de Uitvoeringswet AVG.

Laatst bijgewerkt: 25 mei 2026

1. Verwerkingsverantwoordelijke

My Gym Watch is de verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG voor de in dit beleid beschreven verwerkingen.

2. Welke gegevens verwerken wij?

2.1 Accountgegevens

  • E-mailadres, schermnaam, versleuteld wachtwoord of OAuth-token (Google);
  • optionele profielinformatie (rol: lid / trainer / ouder / bezoeker).

2.2 Gebruikerscontent

  • Reviews, scores, reacties, meldingen, foto's en video's die je actief plaatst;
  • EXIF-data (GPS, telefoonmodel) wordt automatisch vóór opslag verwijderd.

2.3 Technische gegevens

  • IP-adres (kortstondig, voor security en fraudepreventie);
  • browsertype, besturingssysteem, taalvoorkeur, viewport-formaat;
  • logbestanden van requests en errors.

2.4 Locatiegegevens

  • Alleen wanneer jij actief GPS-toestemming geeft tijdens uploaden;
  • publiek tonen we nooit een exacte locatie — alleen stad of wijk.

2.5 Betaalgegevens

  • Betalingen verlopen via onze betaalprovider Paddle.com Market Limited, die optreedt als merchant of record;
  • wij ontvangen geen volledige creditcard- of bankgegevens, alleen een transactie-ID, status, bedrag en factuuradres.

2.6 Communicatie

  • E-mails en supporttickets die je aan ons stuurt;
  • moderatie-notities bij meldingen.

3. Doeleinden & rechtsgrondslagen

DoelGrondslag (art. 6 AVG)
Account aanmaken en beherenUitvoering overeenkomst (6.1.b)
Tonen van GebruikerscontentUitvoering overeenkomst (6.1.b)
Moderatie (AI + menselijk)Gerechtvaardigd belang (6.1.f) — veilige community
Beveiliging, fraude- en spampreventieGerechtvaardigd belang (6.1.f)
Facturatie en boekhoudingWettelijke verplichting (6.1.c)
Analytics & productverbeteringToestemming (6.1.a) of gerechtvaardigd belang met opt-out
Marketing-communicatieToestemming (6.1.a) — uitschrijfbaar
Voldoen aan wettelijke verzoekenWettelijke verplichting (6.1.c)

4. AI-moderatie & geautomatiseerde besluitvorming

Wij gebruiken AI-modellen om risicovolle content te identificeren (beledigingen, doxxing, spam, haatzaaien). De AI geeft een risicoscore; de uiteindelijke beslissing tot publicatie, herformulering of menselijke review wordt door een mens genomen wanneer de score een drempel overschrijdt. Er is geen volledig geautomatiseerde besluitvorming met rechtsgevolg in de zin van artikel 22 AVG.

5. Cookies & vergelijkbare technieken

Wij plaatsen alleen technisch noodzakelijke cookies zonder toestemming. Overige cookies vragen om expliciete opt-in.

  • Noodzakelijk — sessie, authenticatie, CSRF-bescherming, taalvoorkeur. Geen toestemming vereist.
  • Functioneel — onthouden van filters, kaartinstellingen, voorkeuren.
  • Analytisch — geaggregeerd gebruik (geanonimiseerd waar mogelijk). Pas na toestemming.
  • Marketing — momenteel niet actief; bij activering altijd na expliciete opt-in.

Je kunt je voorkeuren altijd wijzigen via de cookie-instellingen in de footer.

6. Ontvangers & verwerkers

Wij delen persoonsgegevens uitsluitend met partijen die noodzakelijk zijn voor de dienst, op basis van verwerkersovereenkomsten conform artikel 28 AVG:

  • Hosting & database: Supabase (EU-regio) / Cloudflare Workers (EU edge).
  • Betalingen: Paddle.com Market Limited (Ierland) — merchant of record.
  • AI-moderatie: Google Gemini via Lovable AI Gateway, gebruikt zonder training op jouw data.
  • E-mailbezorging: transactionele e-mailprovider binnen de EU/EER.
  • Kaarten: Google Maps voor weergave (geen klikgedrag herleidbaar tot account zonder login).
  • Autoriteiten: uitsluitend bij rechtmatig verzoek of wettelijke plicht.

7. Doorgifte buiten de EER

Waar persoonsgegevens worden doorgegeven aan ontvangers buiten de Europese Economische Ruimte (bv. Google), gebeurt dat uitsluitend op basis van een adequaatheidsbesluit (zoals het EU-US Data Privacy Framework) of EU-modelcontractbepalingen (SCC's) aangevuld met aanvullende waarborgen.

8. Bewaartermijnen

  • Account: zolang je account actief is + 12 maanden na verwijdering (om misbruik te voorkomen).
  • Gepubliceerde reviews: blijven zichtbaar zolang relevant; bij accountverwijdering anonimiseren wij ze.
  • Logbestanden: 30 dagen, daarna geaggregeerd of verwijderd.
  • Facturen: 7 jaar (fiscale bewaarplicht).
  • Supportcommunicatie: 24 maanden.
  • Moderatiedossiers: 24 maanden na afhandeling.

9. Beveiliging

Wij nemen passende technische en organisatorische maatregelen, waaronder:

  • TLS-encryptie voor alle verkeer;
  • versleutelde wachtwoorden (bcrypt/argon2 via Supabase Auth);
  • row-level security policies op alle gebruikerstabellen;
  • least-privilege toegang voor medewerkers;
  • periodieke security-reviews en logging;
  • EXIF-strip vóór opslag van foto's.

Bij een datalek met risico voor betrokkenen melden wij dit binnen 72 uur bij de Autoriteit Persoonsgegevens conform artikel 33 AVG, en informeren wij betrokkenen waar vereist.

10. Jouw rechten (AVG)

  • Inzage (art. 15) — opvragen welke gegevens wij verwerken.
  • Rectificatie (art. 16) — onjuiste gegevens corrigeren.
  • Verwijdering (art. 17) — "recht om vergeten te worden".
  • Beperking (art. 18) — verwerking tijdelijk stopzetten.
  • Overdraagbaarheid (art. 20) — gegevens in een gestructureerd formaat.
  • Bezwaar (art. 21) — tegen verwerking op grond van gerechtvaardigd belang.
  • Intrekken toestemming — voor verwerkingen op basis van toestemming.
  • Klacht — bij de Autoriteit Persoonsgegevens.

Verzoeken stuur je naar privacy@mygymwatch.com. Wij reageren binnen 30 dagen, met mogelijke verlenging van twee maanden bij complexiteit.

11. Kinderen

Het Platform is niet bedoeld voor gebruikers jonger dan 16 jaar. Jongere gebruikers hebben toestemming van een wettelijk vertegenwoordiger nodig conform artikel 8 AVG.

12. Wijzigingen

Wij kunnen dit beleid wijzigen. Wezenlijke wijzigingen kondigen wij ten minste 30 dagen vooraf aan via e-mail of in-app notificatie. De actuele versie staat altijd op deze pagina.