Privacyverklaring
Versie 1.0 · Laatst bijgewerkt: 17 mei 2026
Wij verwerken alleen de gegevens die nodig zijn om Epix te laten werken: naam, e-mailadres, atleet-prestaties en trainingshistorie. Data blijft binnen de EER (Firebase europe-west). We gebruiken geen tracking-cookies en geen analytics-providers. Je kunt op elk moment je gegevens inzien, corrigeren of laten verwijderen.
Inhoudsopgave
- Verwerkingsverantwoordelijke
- Welke persoonsgegevens wij verwerken
- Doeleinden van de verwerking
- Juridische grondslag
- Bewaartermijnen
- Ontvangers en sub-verwerkers
- Doorgifte buiten de EER
- Beveiligingsmaatregelen
- Jouw rechten onder de AVG
- Uitoefenen van je rechten
- Klachtrecht
- Cookies en lokale opslag
- Wijzigingen van deze verklaring
- Contact en functionaris
1 Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke voor de persoonsgegevens die binnen de Epix coaching-applicatie worden verwerkt is:
- Epix Coaching, een samenwerking tussen Niels van der Velden en Joris Schreuders;
- Gevestigd te Eindhoven, Nederland;
- Bereikbaar via joris.k.schreuders@gmail.com.
Epix is op dit moment in pilotfase. Deze privacyverklaring beschrijft hoe wij omgaan met persoonsgegevens van coaches, atleten en bezoekers van de Dienst.
2 Welke persoonsgegevens wij verwerken
Wij verwerken uitsluitend de gegevens die noodzakelijk zijn voor het leveren van de Dienst. Concreet gaat het om de volgende categorieën:
| Categorie | Voorbeelden |
|---|---|
| Accountgegevens | Voor- en achternaam, e-mailadres, versleuteld wachtwoord, rol (coach / atleet / admin), datum van aanmaak. |
| Atleet-prestatiegegevens | Hartslag (HR), snelheid, vermogen, kracht-metingen (1RM, gewichten, sets, reps), tijden en scores. |
| Trainingshistorie | Gevolgde workouts, programma's, datum/tijd van trainingen, notities van coach of atleet. |
| Foto's (optioneel) | Profielfoto of techniek-video's, uitsluitend wanneer de gebruiker deze zelf uploadt. |
| Technische gegevens | IP-adres (tijdelijk, voor beveiligingslogs van Firebase Authentication), browsertype en sessietokens. |
Wij verwerken geen bijzondere persoonsgegevens in de zin van artikel 9 AVG, tenzij een gebruiker deze vrijwillig invoert in een vrij tekstveld (bijvoorbeeld een blessurenotitie). Wij vragen gebruikers uitdrukkelijk om dat te vermijden.
3 Doeleinden van de verwerking
Wij gebruiken persoonsgegevens voor de volgende doeleinden:
- Levering van de Dienst: aanmaken en beheren van accounts, koppeling tussen coach en atleet, opslaan en tonen van trainingsdata en prestatiehistorie;
- Authenticatie en beveiliging: verifiëren van inloggegevens, voorkomen van misbruik, detectie van ongeautoriseerde toegang;
- Communicatie: beantwoorden van support-vragen en versturen van noodzakelijke service-berichten (geen marketing);
- Wettelijke verplichtingen: voldoen aan boekhoudkundige en fiscale bewaarplichten, voor zover van toepassing.
Wij gebruiken jouw gegevens niet voor profiling, geautomatiseerde besluitvorming met rechtsgevolgen, advertentiedoeleinden of het trainen van AI-modellen.
4 Juridische grondslag
Wij verwerken persoonsgegevens op basis van de volgende grondslagen uit artikel 6 AVG:
- Uitvoering van een overeenkomst (art. 6 lid 1 sub b AVG): de verwerking is noodzakelijk om de coaching-overeenkomst tussen jou (of jouw sportschool) en Epix uit te voeren. Zonder accountgegevens en trainingsdata kunnen wij de Dienst niet leveren;
- Gerechtvaardigd belang (art. 6 lid 1 sub f AVG): voor beveiliging, fraudepreventie en het waarborgen van een stabiele dienst. Wij hebben hierbij een belangenafweging gemaakt en menen dat onze belangen niet onevenredig zwaarder wegen dan jouw privacybelangen;
- Wettelijke verplichting (art. 6 lid 1 sub c AVG): voor zover wij persoonsgegevens moeten bewaren op grond van fiscale of andere wetgeving;
- Toestemming (art. 6 lid 1 sub a AVG): voor optionele functies zoals het uploaden van een profielfoto. Toestemming kan op elk moment worden ingetrokken zonder dat dit gevolgen heeft voor reeds verrichte verwerkingen.
5 Bewaartermijnen
Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld:
- Account- en trainingsdata: zolang het account actief is. Na opzegging van het account verwijderen wij de persoonsgegevens binnen 30 dagen, tenzij een wettelijke bewaarplicht (bijvoorbeeld de fiscale 7-jaarstermijn voor facturen) anders voorschrijft;
- Beveiligings- en authenticatielogs: maximaal 90 dagen, daarna automatisch verwijderd of geanonimiseerd;
- Support-correspondentie: maximaal 24 maanden na laatste contact, voor referentie en kwaliteitsbewaking;
- Geanonimiseerde gegevens: kunnen langer bewaard worden, omdat deze niet meer herleidbaar zijn tot een persoon en daardoor buiten de AVG vallen.
6 Ontvangers en sub-verwerkers
Wij verstrekken jouw persoonsgegevens niet aan derden, behalve aan de sub-verwerkers die wij nodig hebben om de Dienst technisch te kunnen leveren. Met al onze sub-verwerkers hebben wij een verwerkersovereenkomst (DPA) gesloten conform artikel 28 AVG.
| Sub-verwerker | Doel | Locatie |
|---|---|---|
| Google Firebase (Google Ireland Ltd.) | Database (Firestore), authenticatie en opslag van gebruikersbestanden. | europe-west (EER) |
| Cloudflare Pages (Cloudflare, Inc.) | Hosting en uitlevering van de statische frontend van de Dienst. | Wereldwijd CDN; geen opslag van persoonsgegevens, alleen frontend-assets. |
Wij gebruiken geen analytics-providers (geen Google Analytics, Plausible, Matomo, Mixpanel of vergelijkbare diensten), geen advertentienetwerken en geen social-media-pixels.
Persoonsgegevens worden niet verkocht, verhuurd of anderszins commercieel ter beschikking gesteld aan derden.
7 Doorgifte buiten de EER
Persoonsgegevens worden opgeslagen in Firebase region europe-west en blijven daarmee binnen de Europese Economische Ruimte (EER). Er vindt onder normale omstandigheden geen structurele doorgifte plaats naar landen buiten de EER.
Voor zover Cloudflare frontend-assets via haar wereldwijde CDN uitlevert, worden daarbij geen persoonsgegevens uit onze database meegestuurd. Eventuele incidentele technische ondersteuning door personeel van een sub-verwerker buiten de EER vindt uitsluitend plaats onder de modelcontractbepalingen (SCC's) van de Europese Commissie en met passende aanvullende waarborgen.
8 Beveiligingsmaatregelen
Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, onrechtmatige verwerking en ongeautoriseerde toegang:
- Versleuteling tijdens transport: alle verbindingen met de Dienst verlopen over TLS/HTTPS;
- Versleuteling at rest: Firestore en Firebase Storage versleutelen data automatisch op de server;
- Authenticatie: wachtwoorden worden gehasht en opgeslagen via Firebase Authentication; wij hebben zelf geen toegang tot wachtwoorden in leesbare vorm;
- Toegangscontrole: per gebruiker geldt op database-niveau een rol-gebaseerd toegangsmodel (Firestore Security Rules), zodat coaches en atleten alleen hun eigen of expliciet gedeelde data kunnen zien;
- Beperkte toegang aan onze zijde: alleen Niels en Joris hebben administratieve toegang, uitsluitend voor onderhoud en support;
- Datalekken: bij een ernstig datalek melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens en indien vereist ook aan de betrokkenen, conform artikel 33 en 34 AVG.
9 Jouw rechten onder de AVG
Onder de AVG heb je de volgende rechten met betrekking tot je persoonsgegevens:
- Recht op inzage (art. 15 AVG): je mag opvragen welke gegevens wij van jou verwerken en hiervan een kopie ontvangen;
- Recht op rectificatie (art. 16 AVG): je mag onjuiste of onvolledige gegevens laten corrigeren of aanvullen;
- Recht op verwijdering (art. 17 AVG, "recht om vergeten te worden"): je mag verzoeken om verwijdering van jouw gegevens, tenzij wij een wettelijke verplichting hebben om deze te bewaren;
- Recht op beperking van de verwerking (art. 18 AVG): je mag verzoeken om de verwerking tijdelijk stil te leggen, bijvoorbeeld wanneer je de juistheid van je gegevens betwist;
- Recht op overdraagbaarheid (art. 20 AVG): je mag een gestructureerd, machineleesbaar exportbestand van jouw gegevens ontvangen, en deze laten overdragen aan een andere verwerkingsverantwoordelijke;
- Recht van bezwaar (art. 21 AVG): je mag bezwaar maken tegen verwerkingen die plaatsvinden op grond van een gerechtvaardigd belang.
Voor verwerkingen op basis van toestemming heb je daarnaast het recht om jouw toestemming op elk moment in te trekken.
10 Uitoefenen van je rechten
Je kunt een verzoek tot uitoefening van een van bovenstaande rechten indienen door een e-mail te sturen naar joris.k.schreuders@gmail.com. Vermeld daarbij duidelijk:
- Welk recht je wilt uitoefenen (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid of bezwaar);
- Het e-mailadres dat aan jouw Epix-account is gekoppeld;
- Een korte toelichting bij rectificatie, beperking of bezwaar.
Om misbruik te voorkomen kunnen wij vragen om aanvullende identificatie. Wij reageren binnen één maand op je verzoek. Bij complexe verzoeken kan deze termijn met twee maanden worden verlengd; wij laten je dit dan binnen de eerste maand weten.
De uitoefening van deze rechten is voor jou kosteloos, tenzij verzoeken kennelijk ongegrond of buitensporig zijn (bijvoorbeeld vanwege herhaaldelijk karakter).
11 Klachtrecht
Als je van mening bent dat wij niet zorgvuldig met jouw persoonsgegevens omgaan, vragen wij je dit eerst bij ons te melden via joris.k.schreuders@gmail.com. Wij doen ons best om er samen uit te komen.
Daarnaast heb je altijd het recht om een klacht in te dienen bij de Nederlandse toezichthouder:
12 Cookies en lokale opslag
Epix gebruikt geen tracking-cookies, geen advertentiecookies en geen analytics-cookies. Er is daarom geen cookiebanner met toestemmingsverzoek nodig.
Wij gebruiken uitsluitend de volgende strikt noodzakelijke vormen van lokale opslag in jouw browser:
- Functionele localStorage: voor het onthouden van jouw inlogsessie (Firebase Authentication-token), gekozen taal en interface-voorkeuren (bijvoorbeeld donker/licht thema, eenheidsinstellingen);
- Sessiebeheer: tijdelijke tokens van Firebase Authentication, die automatisch verlopen.
Deze opslag valt onder de uitzondering van artikel 11.7a lid 3 Telecommunicatiewet ("strikt noodzakelijk voor het leveren van de gevraagde dienst") en vereist daarom geen voorafgaande toestemming.
Je kunt lokale opslag op elk moment wissen via de instellingen van jouw browser. Daardoor word je uitgelogd en moet je opnieuw inloggen.
13 Wijzigingen van deze verklaring
Wij kunnen deze privacyverklaring van tijd tot tijd aanpassen, bijvoorbeeld bij wijzigingen in wetgeving, in de Dienst of in onze sub-verwerkers. De meest actuele versie staat altijd op deze pagina, met vermelding van het versienummer en de laatste wijzigingsdatum bovenaan.
Bij wezenlijke wijzigingen die jouw rechten of de aard van de verwerking raken, informeren wij actieve gebruikers daarnaast per e-mail of via een melding in de applicatie.
14 Contact en functionaris
Epix is gezien haar omvang en aard van de verwerkingen niet wettelijk verplicht om een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Voor alle privacy-gerelateerde vragen, verzoeken of meldingen kun je rechtstreeks contact opnemen met onze interne contactpersoon:
Voor bepalingen over intellectueel eigendom, databankenrecht en het verbod op AI-training verwijzen wij naar de gebruiksvoorwaarden.
We verwerken alleen wat nodig is om jou te coachen, slaan dat op binnen de EER, delen het niet met derden voor andere doeleinden, en je kunt je gegevens op elk moment inzien of laten verwijderen via joris.k.schreuders@gmail.com.