Privacybeleid

1. Wie is verantwoordelijk

Corporate Athlete wordt geëxploiteerd als een onafhankelijk project door het HybridOS-team. Voor privacyvragen of verzoeken van betrokkenen kun je ons bereiken op privacy@corporateathlete.app.

2. Welke gegevens we verzamelen

We verzamelen alleen wat we nodig hebben om de App te laten werken:

• Accountgegevens: e-mailadres, wachtwoord-hash, taal- en themavoorkeur, datum van aanmaken.
• Profiel- en doelgegevens: trainingsdoel, eventuele racedatum, beschikbaarheid, equipment, trainingsgeschiedenis die je zelf invoert.
• Trainingsgegevens: gegenereerde sessies, voltooiingsstatus, skip- / verplaats- / verkort-acties, readiness check-ins.
• Voedingsgegevens: macrodoelen en eventuele door jou ingevoerde voedingsinput.
• Feedback en support: berichten, screenshots of inhoud die je naar ons stuurt.
• Technische gegevens: apparaattype, browser, locale en basislogs nodig voor veiligheid en stabiliteit.
• Productanalyses: geaggregeerde event-data (bijvoorbeeld "session_started", "plan_generated") die we gebruiken om de App te verbeteren.

3. Waarom we deze gegevens verwerken

We verwerken op basis van deze grondslagen (AVG art. 6):

• Uitvoering van de overeenkomst: om de App te leveren waarvoor je je hebt aangemeld.
• Gerechtvaardigd belang: om de App veilig te houden, fouten op te lossen, functies te verbeteren en misbruik te voorkomen.
• Toestemming: voor optionele functies die er om vragen, zoals marketingmails of niet-essentiële analytics. Je kunt toestemming altijd intrekken.
• Wettelijke verplichting: wanneer we administratie moeten bijhouden of rechtmatige verzoeken moeten beantwoorden.

4. Externe verwerkers

We werken met zorgvuldig gekozen subverwerkers. Elke partij werkt onder een verwerkersovereenkomst en uitsluitend in onze opdracht:

• Supabase: authenticatie en database-hosting.
• Vercel: applicatiehosting en content delivery.
• OpenAI: AI-verwerking voor plan- en coachsuggesties. We sturen alleen de input die nodig is om het antwoord te genereren. Je e-mailadres of wachtwoord sturen we niet door.
• E-mailprovider: transactionele e-mail zoals accountbevestiging.
• Productanalyse (indien actief): geaggregeerde events zonder gevoelige inhoud.

5. Internationale doorgifte

Sommige subverwerkers kunnen gegevens buiten de Europese Economische Ruimte opslaan of verwerken. In dat geval steunen we op passende waarborgen (bijvoorbeeld de EU Standard Contractual Clauses) zodat je gegevens een in essentie gelijkwaardig beschermingsniveau blijven genieten.

6. Cookies en lokale opslag

We gebruiken een minimum aan cookies en browseropslag. Essentiële opslag wordt gebruikt om je ingelogd te houden, je taal en thema te onthouden en je actuele plan te bewaren. We draaien geen advertising-cookies van derden. Waar niet-essentiële analytics wordt gebruikt, gebeurt dat met jouw toestemming of in geanonimiseerde vorm.

7. Bewaartermijn

We bewaren je gegevens zolang je account actief is. Na accountverwijdering worden persoonsgegevens binnen 30 dagen uit de productieomgeving verwijderd. Back-ups met je gegevens worden gerouleerd en binnen 90 dagen uitgefaseerd. Geaggregeerde, niet-identificerende statistieken kunnen wij langer bewaren.

8. Jouw rechten

Op grond van de AVG heb je het recht om:

• De persoonsgegevens in te zien die wij van jou hebben.
• Onjuiste of onvolledige gegevens te corrigeren.
• Je account en persoonsgegevens te laten verwijderen.
• Bepaalde verwerking te beperken of er bezwaar tegen te maken.
• Een kopie van je gegevens te ontvangen in een overdraagbaar formaat.
• Toestemming op elk moment in te trekken, waar wij die nodig hebben.
• Een klacht in te dienen bij een toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens.

9. Hoe je je rechten uitoefent

De meeste acties kun je direct in de App doen onder Account. Je kunt ook mailen naar privacy@corporateathlete.app; we reageren binnen 30 dagen. We kunnen vragen om bewijs van identiteit voordat we een verzoek uitvoeren.

10. Beveiliging

We nemen passende technische en organisatorische maatregelen: TLS in transit, encryptie at rest via Supabase, gehashte wachtwoorden, toegangscontrole en auditlogging op gevoelige operaties. Geen enkel systeem is 100% veilig. Als we ooit kennis krijgen van een datalek dat jou raakt, informeren we jou en de toezichthouder zoals de wet vereist.

11. Kinderen

De App is voor volwassenen. We verzamelen niet bewust gegevens van personen onder de 18. Vermoed je dat een minderjarige een account heeft aangemaakt, neem dan contact op; we verwijderen het.

12. Wijzigingen

We werken dit Privacybeleid bij wanneer onze verwerking verandert. Materiële wijzigingen worden in de App of per e-mail aangekondigd voordat ze van kracht worden.

13. Contact

privacy@corporateathlete.app voor privacyzaken. legal@corporateathlete.app voor overige juridische zaken.