Privacyverklaring
Inhoudsopgave
1. Wie zijn wij
Next Step Studio is de verwerkingsverantwoordelijke voor de persoonsgegevens die worden verwerkt via de NextPace-app en de bijbehorende diensten.
Next Step Studio
KvK-nummer: 42002265
E-mailadres: jurjen@nextstepstudio.nl
Website: www.nextstepstudio.nl
NextPace is een mobiele applicatie voor Android en iOS waarmee gebruikers gepersonaliseerde hardloopschema's kunnen genereren en bijhouden, ondersteund door een AI-coach.
2. Welke gegevens verzamelen wij
Wij verwerken de volgende categorieën persoonsgegevens:
| Categorie | Specifieke gegevens | Bron |
|---|---|---|
| Accountgegevens | E-mailadres, naam, profielfoto | Google Sign-In of Apple Sign-In |
| Profielgegevens | Geboortedatum, geslacht, gewicht (optioneel) | Ingevoerd door gebruiker bij onboarding |
| Trainingsdata | Activiteiten, afstand, tempo, duur, datum | Via Strava-koppeling (optioneel) of handmatige invoer |
| Locatiedata | GPS-routes gekoppeld aan hardloopactiviteiten | Via Strava-koppeling (optioneel) |
| Gezondheidsgegevens | Hartslag, hartslagzones, VDOT-score | Berekend op basis van ingevoerde of geïmporteerde trainingsdata |
| Trainingsschema's | Gegenereerde plannen, doelstellingen, wedstrijddata | Aangemaakt in de app |
| AI-coachgesprekken | Ingevoerde vragen en antwoorden van de AI-coach | Ingevoerd door gebruiker |
| Technische gegevens | Apparaattype, OS-versie, app-versie, tijdstempels | Automatisch |
| Apple Health-data (toekomstig) | Hardloopactiviteiten, hartslag, VO2max-schatting | Via Apple Health-koppeling (optioneel) — nog niet beschikbaar |
| Garmin-data (toekomstig) | Activiteitssamenvattingen: afstand, duur, tempo, activiteitstype, starttijd | Via Garmin Connect Activity API (optioneel) — nog niet beschikbaar |
Verplichte gegevens (e-mailadres, naam) zijn nodig om een account aan te maken. Alle overige gegevens — trainingsdata, gezondheidsgegevens, integraties — zijn optioneel en verbeteren de kwaliteit van uw schema.
Wij verzamelen geen gegevens die niet noodzakelijk zijn voor de werking van de app.
3. Doeleinden en grondslagen
Wij verwerken uw persoonsgegevens uitsluitend voor de onderstaande doeleinden, op basis van de bijbehorende wettelijke grondslag uit de Algemene Verordening Gegevensbescherming (AVG):
| Doel | Gegevens | Grondslag (AVG) |
|---|---|---|
| Aanmaken en beheren van uw account | Accountgegevens, profielgegevens | Uitvoering overeenkomst (art. 6 lid 1 b) |
| Genereren van een persoonlijk trainingsschema | Profielgegevens, trainingsdata, gezondheidsgegevens | Uitvoering overeenkomst (art. 6 lid 1 b) + uitdrukkelijke toestemming voor gezondheidsgegevens (art. 9 lid 2 a) |
| AI-coachfunctie | AI-coachgesprekken, trainingsschema's | Uitvoering overeenkomst (art. 6 lid 1 b) |
| Importeren van activiteiten via Strava | Trainingsdata, locatiedata | Toestemming (art. 6 lid 1 a) |
| Verbetering van de app | Technische gegevens, geanonimiseerd gebruiksgedrag | Gerechtvaardigd belang (art. 6 lid 1 f) |
| Naleving van wettelijke verplichtingen | Accountgegevens, betalingsgegevens (indien van toepassing) | Wettelijke verplichting (art. 6 lid 1 c) |
Voor de verwerking van uw Strava-data en gezondheidsgegevens vragen wij bij de eerste koppeling respectievelijk het eerste gebruik expliciet om uw toestemming. U kunt deze toestemming te allen tijde intrekken (zie artikel 8).
4. Bijzondere categorieën persoonsgegevens
U kunt uw toestemming voor de verwerking van gezondheidsgegevens intrekken via de app (Instellingen → Privacy → Gezondheidsgegevens verwijderen). Na intrekking worden uw gezondheidsgegevens verwijderd en kunt u de op gezondheidsdata gebaseerde functies niet meer gebruiken.
5. Derden en verwerkers
Wij maken gebruik van de volgende dienstverleners (verwerkers) die namens ons persoonsgegevens verwerken. Met elk van hen hebben wij een verwerkersovereenkomst afgesloten:
| Dienstverlener | Rol | Verwerkte gegevens | Locatie |
|---|---|---|---|
| Google Firebase / Firestore | Database, authenticatie, cloudfuncties | Alle opgeslagen gebruikersdata | EU (europe-west4, Nederland) |
| Google Cloud Run | Backend API-verwerking | Verzoeken inclusief trainingsdata | EU (europe-west4, Nederland) |
| Anthropic | AI-taalmodel (Claude) voor de coachfunctie | AI-coachgesprekken (inclusief context uit uw schema) | VS — zie artikel 6 |
| Strava | Activiteitenimport via OAuth-koppeling | Trainingsactiviteiten, GPS-routes, profiel | VS — zie artikel 6; Strava's eigen privacybeleid is van toepassing |
| Apple Health (toekomstig) | Gezondheids- en activiteitenimport | Activiteiten, hartslag, VO2max | Op apparaat (iOS) — Apple's eigen privacybeleid is van toepassing |
| Garmin Connect (toekomstig) | Activiteitenimport via OAuth (Activity API) | Activiteitssamenvattingen: afstand, duur, tempo, activiteitstype | VS — Garmin's eigen privacybeleid is van toepassing |
Next Step Studio is niet verantwoordelijk voor de gegevensverzameling en -verwerking door Google (Sign-In), Apple (Sign-In, Health), Strava of Garmin. Op het gebruik van hun diensten zijn hun eigen privacybeleiden van toepassing.
Wij verkopen uw persoonsgegevens niet aan derden en delen deze niet met partijen buiten de bovenstaande lijst, tenzij wij daartoe wettelijk verplicht zijn.
6. Doorgifte buiten de Europese Economische Ruimte
Een deel van onze verwerkers is gevestigd buiten de EER, met name in de Verenigde Staten:
- Anthropic (VS): AI-coachberichten worden verwerkt via de Claude API van Anthropic. Doorgifte vindt plaats op basis van de Standard Contractual Clauses (SCC's) van de Europese Commissie. Anthropic heeft een Data Processing Agreement (DPA) beschikbaar op anthropic.com/legal/dpa.
- Strava (VS): Bij gebruik van de Strava-koppeling worden uw Strava-gegevens gedeeld met en verwerkt door Strava Inc. op basis van hun eigen privacybeleid en de door u gegeven toestemming in de Strava-app. Strava valt onder het EU-VS Data Privacy Framework. U kunt de NextPace-koppeling te allen tijde intrekken via uw Strava-accountinstellingen.
Onze primaire dataopslag (Firebase / Cloud Run) bevindt zich in de regio europe-west4 (Nederland), zodat uw gegevens in de EU opgeslagen blijven.
7. Bewaartermijnen
| Gegevenscategorie | Bewaartermijn |
|---|---|
| Accountgegevens | Tot verwijdering van uw account, daarna maximaal 30 dagen in back-ups |
| Trainingsdata en schema's | Gedurende uw actief gebruik; bij accountverwijdering direct verwijderd |
| Gezondheidsgegevens (hartslag, VDOT) | Gedurende uw actief gebruik; bij intrekken toestemming of accountverwijdering direct verwijderd |
| AI-coachgesprekken | Opgeslagen zolang uw account actief is; bij accountverwijdering direct verwijderd |
| Technische loggegevens | Maximaal 90 dagen |
U kunt uw account en alle bijbehorende gegevens verwijderen via de app (Instellingen → Account → Account verwijderen).
8. Uw rechten
Op grond van de AVG heeft u de volgende rechten:
- Recht op inzage (art. 15): U heeft het recht te weten welke persoonsgegevens wij van u verwerken.
- Recht op rectificatie (art. 16): U kunt onjuiste gegevens laten corrigeren.
- Recht op verwijdering (art. 17): U kunt verzoeken om verwijdering van uw gegevens ("recht om vergeten te worden").
- Recht op beperking van de verwerking (art. 18): U kunt verzoeken de verwerking te beperken in bepaalde omstandigheden.
- Recht op dataportabiliteit (art. 20): U heeft het recht uw gegevens in een gestructureerd, gangbaar en machine-leesbaar formaat te ontvangen.
- Recht van bezwaar (art. 21): U kunt bezwaar maken tegen verwerking op grond van gerechtvaardigd belang.
- Recht om toestemming in te trekken (art. 7 lid 3): Voor verwerkingen die op toestemming zijn gebaseerd (Strava, gezondheidsgegevens), kunt u uw toestemming te allen tijde intrekken. Dit heeft geen terugwerkende kracht.
U kunt een verzoek indienen via jurjen@nextstepstudio.nl. Wij reageren binnen 30 dagen.
9. Beveiliging
Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beveiligen. Dit omvat onder meer:
- Versleutelde communicatie via HTTPS/TLS;
- Authenticatie via Firebase Authentication (Google/Apple Sign-In);
- Toegang tot persoonsgegevens beperkt tot geautoriseerde personen;
- Dataopslag in Google Cloud (Firestore), beveiligd via Firestore Security Rules;
- Regelmatige back-ups.
Bij een datalek dat een risico inhoudt voor uw rechten en vrijheden, stellen wij u en de Autoriteit Persoonsgegevens hiervan op de hoogte conform artikel 33 en 34 AVG.
10. Cookies en lokale opslag
De NextPace-app maakt geen gebruik van tracking-cookies of advertentiescookies. Firebase Authentication maakt gebruik van lokale opslag (localStorage / IndexedDB) op uw apparaat om uw aanmeldstatus bij te houden. Deze lokale opslag bevat geen gevoelige persoonsgegevens en wordt niet gedeeld met derden.
Deze website (nextstepstudio.nl) maakt geen gebruik van cookies of analytics-scripts.
11. Wijzigingen in deze verklaring
Wij kunnen deze privacyverklaring van tijd tot tijd bijwerken. Bij materiële wijzigingen informeren wij u via een melding in de app of per e-mail, ten minste 30 dagen vóór de ingangsdatum van de wijziging. De meest actuele versie is altijd beschikbaar op www.nextstepstudio.nl/privacy.html.
12. Contact en klachten
Voor vragen over deze privacyverklaring of uw persoonsgegevens kunt u contact opnemen via:
Next Step Studio
E-mail: jurjen@nextstepstudio.nl
Als u van mening bent dat wij uw persoonsgegevens niet correct verwerken, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens:
Autoriteit Persoonsgegevens
www.autoriteitpersoonsgegevens.nl
Telefoon: 088 - 1805 250
13. E-mailcommunicatie
Next Step Studio maakt onderscheid tussen twee soorten e-mails:
- Transactionele e-mails: berichten die noodzakelijk zijn voor de werking van uw account, zoals bevestigingen van accountwijzigingen of beveiligingsmeldingen. Deze worden automatisch verzonden op basis van de uitvoering van de overeenkomst (art. 6 lid 1 b AVG) en vereisen geen aparte toestemming.
- Marketing- en updateberichten: nieuws over nieuwe functies, tips of aanbiedingen. Deze worden uitsluitend verzonden als u daarvoor toestemming heeft gegeven. U kunt zich te allen tijde afmelden via de afmeldlink in de e-mail of via uw accountinstellingen.
Wij sturen geen reclame van derden en verkopen uw e-mailadres niet.