Privacybeleid

Welkom bij Happy Healing, een product van Vilna. Wij hechten veel waarde aan de bescherming van uw persoonsgegevens. In dit privacybeleid leggen wij uit welke gegevens wij verwerken, waarvoor en hoe u uw rechten kunt uitoefenen.

1. Verantwoordelijke

Vilna is de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG/GDPR) voor de verwerking van uw persoonsgegevens via de Happy Healing-app.

2. Welke gegevens verzamelen wij?

2.1 Accountgegevens

• Naam
• E-mailadres
• Gebruikersnaam
• Versleuteld wachtwoord (bcrypt)

2.2 Profielgegevens

• Avatar / profielfoto (optioneel)
• Taalvoorkeur
• Tijdzone / regio-instellingen

2.3 Inhoudsgegevens

• Dagboek-/journaalnotities
• Meditaties en oefeningen die u heeft voltooid
• Voortgang in e-learning programma's
• Antwoorden op dagelijkse reflectievragen

2.4 Community-gegevens

• Berichten, reacties, likes, bookmarks
• Rapportages die u indient

2.5 Gebruiksstatistieken

• Streak-informatie (aantal opeenvolgende actieve dagen)
• XP, level, divisie (gamification)
• Voltooide oefeningen en meditaties

2.6 Technische gegevens

• Apparaatidentificatie (push-notificatie-token)
• Besturingssysteem en versie
• App-versie
• IP-adres (tijdelijk, voor beveiliging)

2.7 Betalingsgegevens

Voor Premium-abonnementen verwerkt onze betaalprovider Plug&Pay B.V. uw naam, e-mailadres en betalingsinformatie (creditcard, iDEAL, bankgegevens). Wij ontvangen alleen een status-update dat uw betaling succesvol was; wij slaan nooit zelf volledige betaalgegevens op.

3. Waarvoor gebruiken wij uw gegevens?

Doel	Welke gegevens	Grondslag
Account aanmaken en beheren	Account-, profielgegevens	Uitvoering overeenkomst
Leveren van de app-functionaliteit	Inhouds-, gebruiksstatistieken	Uitvoering overeenkomst
Voortgang tonen (streak, journal, achievements)	Gebruiksstatistieken	Uitvoering overeenkomst
Push-notificaties (streak-herinneringen)	Apparaattoken	Toestemming
E-mailcommunicatie (transactioneel)	E-mailadres	Uitvoering overeenkomst
E-mailmarketing (nieuwsbrieven)	E-mailadres, naam	Toestemming
Verwerking Premium-betalingen	Account-, betalingsgegevens	Uitvoering overeenkomst
Community-moderatie	Community-gegevens	Gerechtvaardigd belang (veilige community)
Beveiliging en fraudebestrijding	IP, technische gegevens	Gerechtvaardigd belang
Productverbetering (geaggregeerd)	Geanonimiseerde statistieken	Gerechtvaardigd belang

4. Rechtsgronden

Wij verwerken uw gegevens uitsluitend op basis van:

• Uitvoering van de overeenkomst — om de app te leveren die u gebruikt (art. 6 lid 1 sub b AVG)
• Toestemming — voor push-notificaties, nieuwsbrieven en niet-essentiële communicatie. U kunt uw toestemming op elk moment intrekken (art. 6 lid 1 sub a AVG)
• Gerechtvaardigd belang — voor beveiliging, fraudebestrijding en productverbetering (art. 6 lid 1 sub f AVG)
• Wettelijke verplichting — voor belastingadministratie en wettelijke bewaarplicht van transactiegegevens (art. 6 lid 1 sub c AVG)

5. Delen van gegevens

Wij delen uw gegevens uitsluitend met zorgvuldig geselecteerde verwerkers, op basis van een verwerkersovereenkomst (art. 28 AVG). Wij verkopen uw gegevens nooit.

Dienst	Doel	Locatie	Waarborgen
Supabase	Databank + file storage	EU (Ierland)	GDPR-compliant, DPA
Railway	Hosting backend	EU	GDPR-compliant, DPA
Resend	Transactionele e-mails	EU	GDPR-compliant, DPA
MailBlue / ActiveCampaign	E-mailmarketing, nieuwsbrieven	VS	Standard Contractual Clauses (SCC)
Plug&Pay B.V.	Betalingsverwerking	EU (NL)	GDPR-compliant, DPA
Expo Application Services	Push-notificaties	VS	SCC, alleen apparaat-tokens
Apple App Store	App-distributie iOS	VS	Eigen privacybeleid Apple
Google Play	App-distributie Android	VS	Eigen privacybeleid Google

Internationale overdracht

MailBlue/ActiveCampaign en Expo verwerken gegevens op Amerikaanse servers. Deze overdracht is gebaseerd op de Standard Contractual Clauses (SCC) van de Europese Commissie (art. 46 AVG) als passende waarborg voor bescherming buiten de EER.

Wettelijke verplichting

Wij delen gegevens alleen met derden (bv. opsporingsinstanties) wanneer wij daartoe wettelijk verplicht zijn.

6. Bewaartermijn en accountverwijdering

Gegeven	Bewaartermijn
Accountgegevens	Zolang uw account actief is
Inhouds-/journaalgegevens	Zolang uw account actief is
Community-posts (geanonimiseerd na verwijdering)	Onbepaald, tenzij u verwijdering verzoekt
Transactiegegevens	7 jaar (wettelijke bewaarplicht)
E-mailmarketing-voorkeuren	Tot intrekking van uw toestemming
Logs (beveiliging)	Maximaal 30 dagen
Apparaat push-tokens	Tot app-verwijdering of expiratie

Na verwijdering van uw account worden uw persoonsgegevens binnen 30 dagen verwijderd, behalve waar een wettelijke bewaarplicht geldt. Community-bijdragen worden geanonimiseerd in plaats van verwijderd, om de continuïteit van gesprekken te waarborgen.

7. Beveiliging

• Versleutelde communicatie (SSL/TLS) voor alle verbindingen
• Versleutelde opslag van wachtwoorden (bcrypt)
• Beveiligde servertoegang met JWT-authenticatie
• Rolgebaseerde toegangscontrole (ROLE_USER / ROLE_ADMIN)
• Regelmatige back-ups
• Monitoring van verdachte activiteiten

Bij een datalek dat een risico oplevert voor uw rechten en vrijheden, informeren wij u en de Autoriteit Persoonsgegevens binnen 72 uur overeenkomstig art. 33 AVG.

8. Uw rechten

Onder de AVG heeft u de volgende rechten:

• Recht op inzage — u kunt opvragen welke gegevens wij van u bewaren
• Recht op rectificatie — onjuiste gegevens laten corrigeren
• Recht op verwijdering ("recht op vergetelheid")
• Recht op beperking van de verwerking
• Recht op gegevensoverdraagbaarheid — u ontvangt uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat (JSON)
• Recht van bezwaar tegen verwerking op basis van gerechtvaardigd belang
• Recht om uw toestemming in te trekken

U kunt deze rechten uitoefenen via info@vilna.nl. Wij reageren binnen 30 dagen (verlengbaar met 60 dagen bij complexe verzoeken).

9. Cookies en lokale opslag

Mobiele app

De Happy Healing-app gebruikt uitsluitend lokale opslag (AsyncStorage) voor taalvoorkeur, authenticatie-token, cache en voortgang. De app plaatst geen tracking-cookies en gebruikt geen reclame-SDK's.

Admin-website

De Vilna admin-website gebruikt alleen functionele cookies voor aanmelden en voorkeuren. Er worden geen marketing- of tracking-cookies gezet.

10. Gegevens van kinderen

Happy Healing is bedoeld voor gebruikers van 16 jaar en ouder. Wij verzamelen niet bewust persoonsgegevens van kinderen onder de 16. Als u vermoedt dat een kind onder de 16 persoonsgegevens aan ons heeft verstrekt, neem dan contact op via info@vilna.nl.

11. Klachten

U heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP):

• Website: autoriteitpersoonsgegevens.nl
• Telefoon: 088 1805 250

Wij verzoeken u echter eerst contact met ons op te nemen via info@vilna.nl.

12. Wijzigingen

Wij kunnen dit privacybeleid aanpassen. De meest recente versie is altijd beschikbaar op app.vilna.nl/privacy-policy en wordt ook in de app weergegeven. Bij wezenlijke wijzigingen informeren wij u vooraf per e-mail of via een melding in de app.

13. Contact