Privacybeleid – Endo Diary

1. Verwerkingsverantwoordelijke

Endo Diary is een applicatie ontwikkeld en aangeboden door Noal Rumah, gevestigd in Nederland. Noal Rumah treedt op als verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG, Verordening (EU) 2016/679).

Voor vragen of verzoeken met betrekking tot dit privacybeleid of de verwerking van jouw persoonsgegevens kun je contact opnemen via:

E-mail: support@endodiary.nl

2. Toepassingsgebied

Dit privacybeleid is van toepassing op alle gebruikers van Endo Diary die woonachtig zijn in Nederland of België, en op iedereen die gebruik maakt van onze applicatie of aanverwante diensten. Endo Diary richt zich uitsluitend op gebruikers in deze landen.

De app is bestemd voor personen van 16 jaar en ouder. Gebruikers jonger dan 16 jaar mogen Endo Diary uitsluitend gebruiken met uitdrukkelijke toestemming van een ouder of wettelijke voogd. Door gebruik te maken van Endo Diary bevestig je dat je 16 jaar of ouder bent, dan wel dat jouw ouder of wettelijke voogd toestemming heeft gegeven.

3. Welke persoonsgegevens wij verwerken en waarom

Wij verwerken uitsluitend persoonsgegevens die strikt noodzakelijk zijn voor het leveren van onze dienst. De gezondheidsgegevens die jij in de app invoert worden niet door ons verwerkt. Deze blijven uitsluitend lokaal op jouw apparaat (zie sectie 5 en 6). Hieronder beschrijven wij per verwerkingsactiviteit welke gegevens wij verwerken, op welke rechtsgrond en voor welk doel.

3.1 Account en authenticatie

Voor het aanmaken en beheren van een account verwerken wij jouw e-mailadres en authenticatiegerelateerde informatie (zoals een versleuteld wachtwoord en sessietoken).

Doel: registratie, inloggen, e-mailverificatie en wachtwoordherstel.

Rechtsgrond: uitvoering van een overeenkomst (art. 6 lid 1 sub b AVG).

Verwerker: Supabase Inc. (zie sectie 8).

3.2 Betalingen en abonnementen

Voor het verwerken van betalingen en het beheren van abonnementen worden de volgende gegevens verwerkt: betaalgegevens (verwerkt en opgeslagen door Stripe; wij slaan geen volledige betaalkaartgegevens op), abonnementsstatus en -geschiedenis, en facturatiegegevens.

Doel: verwerking van betalingen, beheer van abonnementen en naleving van boekhoudkundige en fiscale verplichtingen.

Rechtsgrond: uitvoering van een overeenkomst (art. 6 lid 1 sub b AVG) en het voldoen aan een wettelijke verplichting (art. 6 lid 1 sub c AVG).

Verwerker: Stripe, Inc. (zie sectie 8).

3.3 Transactionele e-mailcommunicatie

Voor het verzenden van noodzakelijke service-e-mails zoals e-mailverificatie, wachtwoordherstel en service-gerelateerde berichten wordt jouw e-mailadres doorgegeven aan onze e-maildienstverlener.

Doel: het afleveren van transactionele e-mails die noodzakelijk zijn voor de werking van de dienst.

Rechtsgrond: uitvoering van een overeenkomst (art. 6 lid 1 sub b AVG).

Verwerker: Resend, Inc. (zie sectie 8).

3.4 Pushnotificaties

Als je in de app toestemming geeft voor het ontvangen van pushnotificaties, maken wij gebruik van de notificatiedienst van jouw apparaatplatform (Apple APNs of Google FCM) om herinneringen of service-berichten naar jouw apparaat te sturen. Daartoe wordt een apparaattoken verwerkt.

Doel: het verzenden van herinneringen en service-berichten op jouw verzoek.

Rechtsgrond: toestemming (art. 6 lid 1 sub a AVG). Je kunt deze toestemming op elk moment intrekken via de notificatie-instellingen van jouw apparaat of via de instellingen in de app.

4. Gegevens die wij niet verwerken

Endo Diary verzamelt of verwerkt nadrukkelijk niet:

• gezondheidsgegevens die jij in de app invoert (zie sectie 5 en 6);
• locatiegegevens;
• apparaatidentificatoren voor tracking- of advertentiedoeleinden;
• gegevens voor profilering of geautomatiseerde besluitvorming;
• gegevens van gebruikers jonger dan 16 jaar zonder verifieerbare ouderlijke toestemming.

Wij gebruiken geen cookies voor tracking of advertenties, verkopen geen persoonsgegevens aan derden en gebruiken geen gegevens voor commerciële profilering.

5. Gezondheidsgegevens – uitsluitend lokale opslag

Gezondheidsgerelateerde gegevens die jij in Endo Diary invoert zoals symptoomlogs, pijnscores, flare-ups, menstruatiegegevens, behandelingen, afspraken en rapportinhoud worden uitsluitend lokaal opgeslagen op jouw eigen apparaat of in jouw browseromgeving. Deze gegevens worden niet verzonden naar, verwerkt op of opgeslagen op onze servers.

Omdat wij deze gezondheidsgegevens niet ontvangen of verwerken, treden wij ten aanzien van deze gegevens niet op als verwerkingsverantwoordelijke. Jij beheert deze gegevens volledig zelf, binnen de grenzen van jouw eigen apparaat.

Let op: als je jouw apparaat reset, de app verwijdert, van apparaat wisselt of jouw browser- of app-opslag wist, kunnen lokaal opgeslagen gegevens definitief verloren gaan. Wij zijn niet in staat om verloren lokale gegevens te herstellen.

6. Bijzondere categorieën van persoonsgegevens

Gezondheidsgegevens zijn bijzondere categorieën van persoonsgegevens in de zin van artikel 9 van de AVG en genieten extra wettelijke bescherming. Zoals beschreven in sectie 5 worden de gezondheidsgegevens die jij in de app invoert uitsluitend lokaal opgeslagen en niet door ons verwerkt.

Wij verwerken geen bijzondere categorieën van persoonsgegevens op onze servers, tenzij jij daarvoor uitdrukkelijk en ondubbelzinnig toestemming geeft in het kader van een toekomstige specifieke functie die dit vereist. In dat geval zal de desbetreffende functie jou voorafgaand aan die verwerking expliciet om toestemming vragen, inclusief een heldere toelichting op het doel en de rechtsgrond.

7. Lokale browseropslag (localStorage)

De webversie van Endo Diary maakt gebruik van de lokale opslagfunctie van jouw browser (localStorage) om gezondheidsgegevens die jij invoert op jouw apparaat te bewaren. Dit is functioneel noodzakelijk voor de werking van de dienst die jij expliciet hebt opgevraagd. Er worden geen tracking cookies of vergelijkbare technologieën gebruikt voor commerciële of analytische doeleinden.

8. Externe verwerkers en doorgifte van gegevens

Wij maken gebruik van de volgende externe verwerkers voor het leveren van onze dienst. Met elk van deze verwerkers zijn passende afspraken gemaakt om een adequaat beschermingsniveau voor jouw persoonsgegevens te waarborgen.

8.1 Supabase Inc.

Supabase is een aanbieder van authenticatie-infrastructuur, gevestigd in de Verenigde Staten. Accountgegevens (e-mailadres en authenticatiegegevens) worden via Supabase verwerkt ten behoeve van registratie, authenticatie en accountbeheer. Doorgifte naar Supabase vindt plaats op basis van de door de Europese Commissie goedgekeurde Standard Contractual Clauses (SCC's, art. 46 lid 2 sub c AVG).

Privacybeleid Supabase: supabase.com/privacy

8.2 Stripe, Inc.

Stripe is een aanbieder van betaaldiensten, gevestigd in de Verenigde Staten. Betaal- en abonnementsgegevens worden via Stripe verwerkt. Stripe is PCI DSS-gecertificeerd en verwerkt gegevens op basis van de Standard Contractual Clauses (SCC's). Wij slaan zelf geen volledige betaalkaartgegevens op.

Privacybeleid Stripe: stripe.com/nl/privacy

8.3 Resend, Inc.

Resend is een aanbieder van transactionele e-maildiensten, gevestigd in de Verenigde Staten. Jouw e-mailadres wordt via Resend verwerkt voor het afleveren van service-e-mails. Resend verwerkt gegevens op basis van de Standard Contractual Clauses (SCC's).

Privacybeleid Resend: resend.com/legal/privacy-policy

9. Internationale doorgifte van persoonsgegevens

De in sectie 8 genoemde verwerkers zijn gevestigd buiten de Europese Economische Ruimte (EER), met name in de Verenigde Staten. Doorgifte van persoonsgegevens aan deze verwerkers vindt uitsluitend plaats op basis van passende waarborgen, te weten de door de Europese Commissie goedgekeurde Standard Contractual Clauses (SCC's) als bedoeld in artikel 46 AVG. Hiermee wordt een beschermingsniveau gewaarborgd dat gelijkwaardig is aan het niveau binnen de EER.

10. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan strikt noodzakelijk voor het doel waarvoor zij zijn verzameld, of voor zover vereist op grond van toepasselijke wetgeving:

• Accountgegevens (e-mailadres, authenticatiegegevens): worden bewaard zolang jouw account actief is. Na verwijdering van het account worden deze gegevens verwijderd binnen een redelijke termijn, tenzij wettelijke bewaarplichten van toepassing zijn.
• Betaal- en abonnementsgegevens: worden bewaard voor de duur die vereist is op grond van boekhoudkundige en fiscale bewaarverplichtingen in Nederland en België doorgaans zeven jaar.
• E-mailcommunicatiegegevens: worden bewaard voor de duur die noodzakelijk is voor de levering van de dienst en de afhandeling van eventuele klachten of verzoeken.
• Gezondheidsgegevens: worden niet door ons bewaard. Deze gegevens bevinden zich uitsluitend op jouw eigen apparaat.

11. Jouw rechten als betrokkene

Op grond van de AVG heb je de volgende rechten met betrekking tot de persoonsgegevens die wij van jou verwerken:

• Recht op inzage (art. 15 AVG): je hebt het recht om te weten welke persoonsgegevens wij van jou verwerken en een kopie daarvan te ontvangen.
• Recht op rectificatie (art. 16 AVG): je hebt het recht om onjuiste of onvolledige persoonsgegevens te laten corrigeren.
• Recht op gegevenswissing (art. 17 AVG): je hebt het recht om jouw persoonsgegevens te laten verwijderen, onder de in de AVG gestelde voorwaarden.
• Recht op beperking van de verwerking (art. 18 AVG): je hebt het recht om de verwerking van jouw persoonsgegevens tijdelijk te laten beperken in bepaalde omstandigheden.
• Recht op gegevensoverdraagbaarheid (art. 20 AVG): je hebt het recht om de persoonsgegevens die jij ons hebt verstrekt te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat, dan wel over te laten dragen aan een andere verwerkingsverantwoordelijke.
• Recht van bezwaar (art. 21 AVG): je hebt het recht om bezwaar te maken tegen de verwerking van jouw persoonsgegevens op basis van gerechtvaardigde belangen.
• Recht op intrekking van toestemming: als de verwerking is gebaseerd op jouw toestemming, heb je het recht die toestemming op elk moment in te trekken. Dit laat de rechtmatigheid van de verwerking vóór de intrekking onverlet.

Om een van deze rechten uit te oefenen, kun je contact met ons opnemen via support@endodiary.nl. Wij reageren binnen één maand na ontvangst van jouw verzoek. In complexe gevallen of bij een groot aantal verzoeken kan deze termijn met twee maanden worden verlengd; wij zullen jou hierover tijdig informeren.

12. Klacht indienen bij een toezichthoudende autoriteit

Als je van mening bent dat wij jouw persoonsgegevens niet in overeenstemming met de AVG verwerken, heb je het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit. Je bent vrij om contact op te nemen met de autoriteit van het land waar je woonachtig bent:

• Nederland – Autoriteit Persoonsgegevens (AP):
  autoriteitpersoonsgegevens.nl
• België – Gegevensbeschermingsautoriteit (GBA):
  gegevensbeschermingsautoriteit.be

Wij verzoeken jou echter om eerst contact met ons op te nemen via support@endodiary.nl, zodat wij eventuele bezwaren samen kunnen oplossen.

13. Geautomatiseerde besluitvorming en profilering

Endo Diary maakt geen gebruik van geautomatiseerde besluitvorming of profilering als bedoeld in artikel 22 van de AVG. Er worden geen besluiten genomen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking en die rechtsgevolgen hebben voor jou of jou op vergelijkbare wijze in aanmerkelijke mate treffen.

14. Beveiliging van persoonsgegevens

Wij treffen passende technische en organisatorische maatregelen om jouw persoonsgegevens te beveiligen tegen verlies, onbevoegde toegang, openbaarmaking of onrechtmatige verwerking. Deze maatregelen omvatten onder meer versleuteling van gegevens in transit (TLS), veilige authenticatie-infrastructuur via Supabase, en toegangscontroles op onze systemen.

Gezondheidsgegevens die jij invoert in de app worden niet via onze servers verzonden en zijn daardoor niet blootgesteld aan beveiligingsrisico's aan onze zijde.

15. Wijzigingen in dit privacybeleid

Wij kunnen dit privacybeleid van tijd tot tijd aanpassen om wijzigingen in onze dienstverlening, geldende wetgeving of verwerkingspraktijken te reflecteren. De meest actuele versie is altijd beschikbaar via deze pagina, voorzien van een bijgewerkte datum.

Bij materiële wijzigingen die jouw rechten of de verwerking van jouw gegevens significant beïnvloeden, stellen wij geregistreerde gebruikers waar mogelijk vooraf op de hoogte via e-mail of een melding in de app.

16. Contact

Voor vragen, verzoeken of opmerkingen met betrekking tot dit privacybeleid of de verwerking van jouw persoonsgegevens:

Noal Rumah – Endo Diary
E-mail: support@endodiary.nl