Privacybeleid

Bij MentraNova nemen we je privacy serieus. Dit Privacybeleid legt uit hoe we je persoonsgegevens verzamelen, gebruiken, delen en beschermen wanneer je gebruikmaakt van ons platform, onze website, mobiele applicatie en aanverwante diensten (samen het "Platform").

MentraNova is actief in de Europese Economische Ruimte (EER) en houdt zich volledig aan de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de toepasselijke nationale wetgeving inzake gegevensbescherming.

1. Verwerkingsverantwoordelijke

MentraNova is de verwerkingsverantwoordelijke voor je persoonsgegevens. Je kunt ons bereiken via:

2. Welke gegevens verzamelen we

2.1 Gegevens die je rechtstreeks aanlevert

Accountgegevens:

• Naam, e-mailadres, telefoonnummer
• Profielinformatie (foto, bio, voorkeuren)
• Inloggegevens (bij gebruik van e-mail/wachtwoord)
• Betaalinformatie (veilig verwerkt via Apple/Google)

Profiel en voorkeuren:

• Doelen, uitdagingen en aandachtspunten
• Coachingvoorkeuren en beschikbaarheid
• Demografische gegevens (leeftijd, locatie, beroep)
• Gezondheids- en welzijnsinformatie (vrijwillig verstrekt)

Communicatie en inhoud:

• Berichten uitgewisseld met coaches en support
• Sessienotities en voortgangsgegevens
• Feedback, beoordelingen en testimonials
• Antwoorden op enquêtes en deelname aan onderzoek

2.2 Gegevens via authenticatie door derden

Wanneer je inlogt via Google, Facebook, Apple of X (Twitter), ontvangen we:

• Basisprofielinformatie (naam, e-mail, profielfoto)
• Account-ID en authenticatietokens
• Informatie waarvoor je toestemming hebt gegeven om te delen

2.3 Automatisch verzamelde gegevens

Gebruiksgegevens:

• Bekeken pagina's, gebruikte functies en uitgevoerde acties
• Sessieduur, frequentie en patronen
• Interacties met coaches en betrokkenheidsstatistieken
• Zoekopdrachten en functievoorkeuren

Apparaat- en technische informatie:

• Apparaattype, besturingssysteem, browsertype
• IP-adres en algemene locatie (stad/land)
• Apparaat-ID's (waar toegestaan)
• Netwerk- en verbindingsinformatie

Cookies en trackingtechnologieën:

• Sessiecookies voor authenticatie en functionaliteit
• Analytische cookies om gebruikspatronen te begrijpen (met toestemming)
• Voorkeurencookies om je instellingen te onthouden
• Marketingcookies (alleen met je expliciete toestemming)

3. Rechtsgrondslag voor verwerking (AVG)

Op grond van de AVG verwerken we je persoonsgegevens op basis van de volgende rechtsgronden:

Rechtsgrondslag	Doel
Uitvoering van een overeenkomst (art. 6, lid 1, b)	Om de coachingdiensten te leveren die je hebt aangevraagd en onze Algemene Voorwaarden uit te voeren
Toestemming (art. 6, lid 1, a)	Marketingcommunicatie, optionele functies, niet-essentiële cookies, verwerking van gevoelige gegevens
Gerechtvaardigd belang (art. 6, lid 1, f)	Verbetering van diensten, fraudepreventie, beveiliging, analytics (voor zover je rechten niet zwaarder wegen)
Wettelijke verplichting (art. 6, lid 1, c)	Naleving van EU-wetgeving, gerechtelijke verzoeken, fiscale verplichtingen, anti-witwasregels

Wanneer we ons baseren op gerechtvaardigde belangen, hebben we deze afgewogen tegen je rechten en vrijheden. Je hebt het recht om bezwaar te maken tegen verwerking op basis van gerechtvaardigd belang.

4. Hoe gebruiken we je gegevens

4.1 Diensten leveren en verbeteren

• Je account aanmaken en beheren
• Je matchen met geschikte coaches en mentoren
• Coachingsessies en communicatie faciliteren
• Betalingen verwerken en abonnementen beheren
• Voortgang bijhouden en gepersonaliseerde aanbevelingen geven
• Onze AI-coachingfuncties ontwikkelen en verbeteren
• Gebruikspatronen analyseren om de gebruikerservaring te verbeteren

4.2 Communicatie en ondersteuning

• Transactionele e-mails versturen (bevestigingen, kwitanties, updates)
• Klantenondersteuning bieden en vragen beantwoorden
• Belangrijke berichten over wijzigingen aan de dienst versturen
• Feedback vragen en enquêtes uitvoeren
• Marketingcommunicatie versturen (alleen met je toestemming)

4.3 Veiligheid en beveiliging

• Identiteit verifiëren en fraude voorkomen
• Misbruik, spam en overtredingen detecteren en voorkomen
• Beschermen tegen beveiligingsdreigingen en technische problemen
• Onze Algemene Voorwaarden afdwingen
• Voldoen aan wettelijke verplichtingen

4.4 Onderzoek en analytics

• Onderzoek doen om coachingmethoden te verbeteren
• Geaggregeerde data analyseren voor trends en inzichten
• Geanonimiseerde statistische rapporten genereren

5. Met wie delen we je gegevens

5.1 Met coaches en mentoren

Wanneer je gematcht wordt met of een sessie boekt bij een coach, delen we relevante profielinformatie, doelen en voorkeuren om effectieve coaching mogelijk te maken. Coaches zijn gebonden aan vertrouwelijkheid.

5.2 Dienstverleners (verwerkers)

We delen gegevens met betrouwbare externe dienstverleners die ons helpen het Platform te exploiteren. Alle verwerkers zijn gebonden aan AVG-conforme verwerkersovereenkomsten:

• Betalingsverwerking: Apple App Store / Google Play (In-App Purchases)
• Cloud hosting: Railway (applicatiehosting)
• AI-diensten: OpenAI Ireland Ltd. (AI-coaching, coach matching, text embeddings — de verwerking van EER/Zwitserse data is gecontracteerd met OpenAI Ireland Ltd. onder een ondertekende DPA; eventuele transfers buiten de EER vinden plaats onder SCC's. OpenAI gebruikt API-data niet om haar modellen te trainen.)
• Analytics: Google Analytics 4, Firebase Analytics, PostHog
• E-mail: Resend (transactionele e-mailbezorging — VS, met SCC's)
• Mediabewaring: Cloudinary (afbeelding- en documentuploads — VS, met SCC's)
• Foutregistratie: Sentry (monitoring van applicatiefouten — VS, met SCC's)
• Pushmeldingen: Expo, Firebase Cloud Messaging (mobiele pushmeldingen)

5.3 Bedrijfsoverdracht

Indien MentraNova betrokken raakt bij een fusie, overname of verkoop van activa, kunnen je gegevens worden overgedragen. We zullen je informeren en ervoor zorgen dat de nieuwe entiteit de AVG blijft naleven.

5.4 Wettelijke verplichtingen

We kunnen je gegevens openbaar maken wanneer dit verplicht is op grond van EU- of nationale wetgeving, of in reactie op:

• Gerechtelijke bevelen of juridische procedures van bevoegde autoriteiten
• Verzoeken van overheden of toezichthouders
• Bescherming van onze rechten, eigendommen of veiligheid
• Voorkoming van fraude of illegale activiteiten

5.5 Geaggregeerde en geanonimiseerde gegevens

We kunnen geaggregeerde, geanonimiseerde gegevens die je niet kunnen identificeren delen met onderzoekers, partners of het publiek voor analyse en rapportage. Deze gegevens worden onder de AVG niet langer als persoonsgegevens beschouwd.

5.6 Met jouw toestemming

We kunnen je gegevens met andere partijen delen wanneer je daar uitdrukkelijk toestemming voor geeft, bijvoorbeeld wanneer je ervoor kiest om testimonials te delen of deel te nemen aan casestudies.

6. Internationale gegevensoverdrachten

We slaan en verwerken je gegevens hoofdzakelijk binnen de Europese Economische Ruimte (EER) op. Wanneer we dienstverleners buiten de EER inschakelen, zorgen we voor passende waarborgen:

• Standaardcontractbepalingen (SCC's): Goedgekeurd door de Europese Commissie
• Adequaatheidsbesluiten: Overdrachten naar landen die door de EU adequaat worden geacht
• Aanvullende waarborgen: Aanvullende maatregelen zoals vereist door Schrems II
• Je expliciete toestemming: Waar vereist en passend

Je hebt het recht om informatie over deze waarborgen te verkrijgen door contact met ons op te nemen.

7. Bewaartermijnen

We bewaren je persoonsgegevens slechts zolang als nodig is om de doelen uit dit beleid te bereiken en aan onze wettelijke verplichtingen te voldoen:

Bewaartermijnen:

• Actieve accounts: Voor de duur van je account plus toepasselijke wettelijke bewaartermijnen
• Verwijderde accounts: 30 dagen voor herstel, daarna definitief verwijderd (tenzij wettelijk vereist)
• Financiële gegevens: 7 jaar voor fiscale en auditdoeleinden (zoals vereist door EU- en nationale wetgeving)
• Communicatie: Zo lang als nodig voor support, juridische en compliancedoeleinden
• Analytics-gegevens: Geanonimiseerd binnen 26 maanden
• Cookies: Zoals vermeld in ons cookiebeleid (doorgaans 12-26 maanden)

Na afloop van de bewaartermijn verwijderen of anonimiseren we je gegevens veilig zodat ze je niet meer kunnen identificeren.

8. Je rechten onder de AVG

Onder de Algemene Verordening Gegevensbescherming heb je de volgende rechten:

8.1 Recht op inzage (art. 15)

• Bevestiging vragen of we je persoonsgegevens verwerken
• Een kopie van je persoonsgegevens verkrijgen
• Informatie ontvangen over verwerkingsdoelen, categorieën, ontvangers en bewaartermijnen

8.2 Recht op rectificatie (art. 16)

• Onjuiste of onvolledige persoonsgegevens corrigeren
• Je profielinformatie rechtstreeks bijwerken in de accountinstellingen

8.3 Recht op gegevenswissing / "Recht op vergetelheid" (art. 17)

• Verwijdering van je persoonsgegevens vragen wanneer:
• Ze niet langer nodig zijn voor de doelen waarvoor ze zijn verzameld
• Je je toestemming intrekt (waar toestemming de rechtsgrond is)
• Je bezwaar maakt tegen verwerking en er geen zwaarwegende gerechtvaardigde gronden zijn
• Gegevens onrechtmatig zijn verwerkt
• Verwijdering wettelijk verplicht is
• Let op: We kunnen gegevens behouden indien wettelijk verplicht of voor de instelling van rechtsvorderingen

8.4 Recht op beperking van de verwerking (art. 18)

• Beperking van de verwerking vragen wanneer:
• Je de juistheid van je gegevens betwist (in afwachting van verificatie)
• Verwerking onrechtmatig is maar je beperking verkiest boven wissing
• We de gegevens niet meer nodig hebben maar jij ze nodig hebt voor rechtsvorderingen
• Je bezwaar hebt gemaakt tegen verwerking (in afwachting van verificatie)

8.5 Recht op overdraagbaarheid van gegevens (art. 20)

• Je gegevens ontvangen in een gestructureerd, machineleesbaar formaat (JSON, CSV)
• Je gegevens overdragen naar een andere dienstverlener
• Geldt voor gegevens die worden verwerkt op basis van toestemming of overeenkomst

8.6 Recht van bezwaar (art. 21)

• Bezwaar maken tegen verwerking op basis van gerechtvaardigd belang (art. 6, lid 1, f)
• Op elk moment bezwaar maken tegen direct marketing (absoluut recht)
• Bezwaar maken tegen profilering voor direct marketing

8.7 Recht om toestemming in te trekken (art. 7, lid 3)

• Toestemming op elk moment intrekken (waar toestemming de rechtsgrond is)
• De intrekking heeft geen gevolgen voor de rechtmatigheid van eerdere verwerking
• Eenvoudige intrekkingsmechanismen worden geboden

8.8 Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (art. 22)

• Niet onderworpen worden aan besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking (waaronder profilering) en die rechtsgevolgen of aanmerkelijke gevolgen hebben
• Menselijke tussenkomst en uitleg over geautomatiseerde besluiten vragen

8.9 Hoe je je rechten uitoefent

Om een van deze rechten uit te oefenen:

• E-mail: [email protected]
• Accountinstellingen: Veel rechten kunnen rechtstreeks via je account worden uitgeoefend
• Reactietijd: We reageren binnen 1 maand (verlengbaar tot 3 maanden voor complexe verzoeken)
• Verificatie: We kunnen identificatie vragen om je identiteit te verifiëren
• Kosteloos: Het eerste verzoek is gratis; bij buitensporige verzoeken kunnen administratieve kosten in rekening worden gebracht

9. Gegevensbeveiliging

We treffen passende technische en organisatorische maatregelen om een passend beveiligingsniveau te waarborgen, in overeenstemming met art. 32 AVG:

9.1 Technische maatregelen

• Versleuteling tijdens overdracht (TLS 1.3) en in rust (AES-256)
• Veilige authenticatie (OAuth 2.0, JWT-tokens met rotatie)
• Regelmatige beveiligingsaudits en penetratietesten
• Inbraakdetectie- en preventiesystemen
• Geautomatiseerde back-up- en disaster-recoveryprocedures
• Pseudonimisering en anonimisering waar passend

9.2 Organisatorische maatregelen

• Toegangscontroles en het beginsel van minimale toegang
• Regelmatige training van medewerkers over AVG en gegevensbescherming
• Geheimhoudingsverklaringen met alle medewerkers en aannemers
• Gegevensbeschermingseffectbeoordelingen (DPIA's) voor verwerking met hoog risico
• Procedures voor incidentrespons en datalekmelding
• Gedocumenteerd register van verwerkingsactiviteiten (art. 30)

9.3 Melding van datalekken

In geval van een inbreuk op persoonsgegevens die een risico vormt voor je rechten en vrijheden:

• We melden dit binnen 72 uur aan de bevoegde toezichthoudende autoriteit
• We informeren betrokkenen zonder onnodige vertraging als de inbreuk een hoog risico met zich meebrengt
• De meldingen bevatten de aard van de inbreuk, waarschijnlijke gevolgen en getroffen maatregelen

10. Bijzondere categorieën van persoonsgegevens

Bepaalde gegevens die je verstrekt kunnen worden beschouwd als "bijzondere categorieën" van persoonsgegevens onder art. 9 AVG, waaronder gezondheidsinformatie of gegevens die aspecten van je mentale welzijn onthullen. We:

• Verwerken bijzondere categorieën uitsluitend met je uitdrukkelijke toestemming (art. 9, lid 2, a)
• Gebruiken ze uitsluitend om de coachingdiensten te leveren die je hebt aangevraagd
• Treffen aanvullende beveiligings- en vertrouwelijkheidsmaatregelen
• Beperken de toegang tot bevoegd personeel met een gerechtvaardigde noodzaak
• Geven je de mogelijkheid om je toestemming op elk moment in te trekken en verwijdering aan te vragen

Belangrijk: MentraNova is geen zorgverlener en coachingsessies vormen geen medische of psychologische behandeling. Deel geen medische informatie waarvoor klinische vertrouwelijkheid vereist is.

11. Cookies en trackingtechnologieën

We gebruiken cookies en vergelijkbare technologieën in overeenstemming met de ePrivacy-richtlijn en de AVG. Bij je eerste bezoek krijg je een cookietoestemmingsbanner te zien.

Cookietype	Doel	Rechtsgrondslag
Strikt noodzakelijk	Authenticatie, beveiliging, functionaliteit	Gerechtvaardigd belang (geen toestemming vereist)
Analytics	Gebruiksanalyse, prestatiemonitoring	Toestemming vereist
Voorkeuren	Je instellingen en keuzes onthouden	Toestemming vereist (of gerechtvaardigd belang)
Marketing	Gerichte advertenties, retargeting	Uitdrukkelijke toestemming vereist

Je kunt je cookievoorkeuren beheren via:

• Onze cookietoestemmingsbanner (bij eerste bezoek)
• Het cookievoorkeurencentrum in je accountinstellingen
• Je browserinstellingen

12. Privacy van kinderen

MentraNova is niet bedoeld voor personen jonger dan 18 jaar. We verzamelen of verwerken niet bewust persoonsgegevens van kinderen. Als je vermoedt dat we per ongeluk informatie van een kind hebben verzameld, neem dan onmiddellijk contact op met [email protected]. We zullen deze informatie binnen 72 uur verwijderen.

13. Links en diensten van derden

Het Platform kan links naar websites van derden bevatten of integreren met diensten van derden (zoals OAuth-aanbieders). We zijn niet verantwoordelijk voor het privacybeleid van deze derden. We raden je aan hun privacybeleid te lezen voordat je informatie verstrekt.

14. Wijzigingen in dit Privacybeleid

We kunnen dit Privacybeleid van tijd tot tijd bijwerken om wijzigingen in onze praktijken, technologie, wettelijke vereisten of andere factoren te weerspiegelen. Wanneer we wijzigingen aanbrengen:

• Plaatsen we het bijgewerkte beleid met een nieuwe datum "Laatst bijgewerkt"
• Bij ingrijpende wijzigingen informeren we je via e-mail of een prominente melding op het Platform ten minste 30 dagen vóór de wijzigingen van kracht worden
• Waar wettelijk vereist, vragen we je toestemming voor ingrijpende wijzigingen
• Voortgezet gebruik na de meldingsperiode betekent acceptatie van het bijgewerkte beleid

15. Toezichthoudende autoriteit en recht om een klacht in te dienen

Je hebt het recht om een klacht in te dienen bij je nationale toezichthoudende autoriteit voor gegevensbescherming als je van mening bent dat we je privacyrechten onder de AVG hebben geschonden.

We vragen je echter om eerst contact met ons op te nemen, zodat we je zorgen rechtstreeks kunnen aanpakken.

16. Contact

Als je vragen, zorgen of verzoeken hebt over dit Privacybeleid of onze gegevenspraktijken, neem dan contact met ons op:

We reageren op alle legitieme verzoeken binnen één maand, in overeenstemming met de AVG-vereisten.