Privacyverklaring
AuraFlows / GSD Training Versie 1.0 · Ingangsdatum: [DATUM]
1. Wie zijn wij?
[BEDRIJFSNAAM] [ADRES] [POSTCODE + PLAATS] KvK: [KVK-NUMMER] BTW: [BTW-NUMMER] E-mail: privacy@auraflows.ai
Wij zijn de verwerkingsverantwoordelijke voor de persoonsgegevens die via het platform auraflows.ai worden verwerkt. In deze verklaring leggen wij uit welke gegevens wij verzamelen, waarom, hoe lang wij ze bewaren en welke rechten u heeft.
2. Welke gegevens verwerken wij?
2.1 Accountgegevens
Bij het aanmaken van een account verzamelen wij:
- Voornaam
- E-mailadres
- Wachtwoord (versleuteld opgeslagen via bcrypt — nooit leesbaar)
- Aanmaakdatum account
- IP-adres bij registratie (voor fraudepreventie)
Bij aanmelden via Google of Apple ontvangen wij van deze diensten: naam, e-mailadres en een uniek gebruikers-ID. Wij ontvangen nooit uw wachtwoord bij die diensten.
2.2 Trainingsvoortgang
- Voltooide weken, missies en checkpoints
- XP-punten en rang
- Datum en tijdstip van voltooiing per activiteit
Deze gegevens zijn noodzakelijk voor het leveren van de training. Zonder voortgangregistratie kan het platform niet functioneren.
2.3 Betalingsgegevens
Betalingen verlopen via Stripe. Wij slaan geen betaalkaartgegevens op. Wij ontvangen van Stripe uitsluitend:
- Bevestiging van betaling (geslaagd / mislukt)
- Welk product is gekocht
- Tijdstip van de transactie
- Stripe Payment Intent ID (voor support en boekhouding)
2.4 Communicatie
- E-mails die u naar ons stuurt (support, vragen)
- Inhoud van e-mails die wij u sturen (bevestigingen, welkomstmails)
2.5 Technische gegevens
- IP-adres (bij inloggen, voor fraudedetectie en beveiliging)
- Browsertype en versie
- Apparaattype (desktop / mobiel)
- Tijdstip en duur van sessies
Wij verzamelen geen locatiedata anders dan het land dat voortvloeit uit het IP-adres (voor BTW-berekening via Stripe Tax).
3. Waarom verwerken wij uw gegevens?
| Doel | Grondslag | Gegevens |
|---|---|---|
| Account aanmaken en beheren | Uitvoering overeenkomst | Voornaam, e-mail, wachtwoord |
| Toegang verlenen tot gekochte content | Uitvoering overeenkomst | E-mail, aankoop-record |
| Trainingsvoortgang bijhouden | Uitvoering overeenkomst | Voortgangsdata |
| Betalingsverwerking | Uitvoering overeenkomst | Stripe-transactiedata |
| Versturen van transactionele e-mails | Uitvoering overeenkomst | E-mail, voornaam |
| Beveiliging en fraudepreventie | Gerechtvaardigd belang | IP-adres, inlogpogingen |
| BTW-berekening | Wettelijke verplichting | Land (via IP) |
| Klantenservice | Gerechtvaardigd belang | Communicatieinhoud |
Wij versturen geen nieuwsbrieven of marketing-e-mails tenzij u daar expliciet toestemming voor heeft gegeven. Als u toestemming geeft, kunt u die op elk moment intrekken via een link onderaan de e-mail of per e-mail aan privacy@auraflows.ai.
4. Hoe lang bewaren wij uw gegevens?
| Gegeven | Bewaartermijn |
|---|---|
| Accountgegevens | Zolang het account actief is + 2 jaar na verwijdering |
| Trainingsvoortgang | Zolang het account actief is |
| Betalingsrecords | 7 jaar (fiscale bewaarplicht) |
| Inloglogboeken (IP, tijdstip) | 90 dagen |
| Support-e-mails | 2 jaar na afhandeling |
| Marketingtoestemming | Tot intrekking |
Na het verstrijken van de bewaartermijn worden gegevens automatisch verwijderd of geanonimiseerd.
5. Met wie delen wij uw gegevens?
Wij verkopen of verhuren uw gegevens nooit aan derden. Wij maken gebruik van de volgende verwerkers, met wie wij een verwerkersovereenkomst hebben gesloten:
| Verwerker | Doel | Land | Privacybeleid |
|---|---|---|---|
| Supabase | Database en authenticatie | EU (Frankfurt) | supabase.com/privacy |
| Stripe | Betalingsverwerking | VS (SCCs van toepassing) | stripe.com/privacy |
| Resend | Transactionele e-mail | VS (SCCs van toepassing) | resend.com/privacy |
Voor doorgifte naar de VS zijn Standard Contractual Clauses (SCCs) van toepassing conform artikel 46 AVG.
6. Cookies
Wij gebruiken uitsluitend functionele cookies — cookies die noodzakelijk zijn voor het functioneren van het platform:
| Cookie | Doel | Bewaartermijn |
|---|---|---|
sb-auth-token |
Inlogsessie (Supabase) | Sessie / 24 uur |
stripe_mid |
Fraudepreventie (Stripe) | 1 jaar |
Wij plaatsen geen tracking-, analyse- of advertentiecookies. Er is geen cookiebanner voor puur functionele cookies vereist onder de Telecomwet.
Mocht dit in de toekomst veranderen (bijv. bij toevoeging van Google Analytics), dan zullen wij voorafgaand toestemming vragen via een cookiebanner.
7. Uw rechten
Op grond van de AVG heeft u de volgende rechten:
Inzage — U kunt opvragen welke gegevens wij van u hebben.
Rectificatie — U kunt onjuiste gegevens laten corrigeren. Uw voornaam en e-mailadres kunt u zelf wijzigen in uw accountinstellingen.
Gegevenswissing — U kunt uw account en bijbehorende gegevens laten verwijderen. Betalingsrecords bewaren wij 7 jaar op grond van de fiscale bewaarplicht — deze kunnen niet worden verwijderd.
Bezwaar — U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang (bijv. beveiligingslogboeken).
Overdraagbaarheid — U kunt uw trainingsvoortgang opvragen in een machineleesbaar formaat (JSON of CSV).
Intrekking toestemming — Waar verwerking berust op toestemming (bijv. marketing-e-mails) kunt u die op elk moment intrekken.
Stuur uw verzoek naar privacy@auraflows.ai. Wij reageren binnen 30 dagen. Wij vragen u ter verificatie uw identiteit te bevestigen via het e-mailadres van uw account.
Als u van mening bent dat wij uw gegevens niet correct verwerken, kunt u een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.
8. Beveiliging
Wij nemen de beveiliging van uw gegevens serieus:
- Alle verbindingen zijn versleuteld via HTTPS (TLS 1.2+)
- Wachtwoorden worden gehashed opgeslagen met bcrypt (nooit in leesbare vorm)
- JWT-sessies verlopen na 24 uur
- Toegang tot de productiedatabase is beperkt tot geautoriseerde systemen
- Stripe verwerkt betaalkaartdata — wij zien deze gegevens nooit
Bij een datalek dat risico oplevert voor uw rechten en vrijheden, stellen wij u en de Autoriteit Persoonsgegevens zo snel mogelijk op de hoogte, uiterlijk binnen 72 uur.
9. Minderjarigen
Ons platform is bestemd voor personen van 18 jaar en ouder. Wij verzamelen niet bewust gegevens van minderjarigen. Als u vermoedt dat een minderjarige een account heeft aangemaakt, neem dan contact op via privacy@auraflows.ai.
10. Wijzigingen
Wij kunnen deze privacyverklaring bijwerken. Bij wezenlijke wijzigingen informeren wij u per e-mail minimaal 14 dagen voor de ingangsdatum. De actuele versie staat altijd op auraflows.ai/privacy.
11. Contact
Vragen over uw privacy of dit beleid? Stuur een e-mail naar privacy@auraflows.ai of schrijf naar:
[BEDRIJFSNAAM] t.a.v. Privacy [ADRES] [POSTCODE + PLAATS]