Privacybeleid

Lemycu (“wij”, “ons”, “Origin by Lemycu”) is een platform voor fitness en gezondheid, ontwikkeld door Marc Reckhardt, BIG-geregistreerd fysiotherapeut. Je kunt ons bereiken via info@lemycu.com.

Wij zijn verantwoordelijk voor de verwerking van jouw persoonsgegevens zoals beschreven in dit privacybeleid.

Wij verwerken de volgende categorieën persoonsgegevens:

• Accountgegevens: naam, e-mailadres, wachtwoord (versleuteld)
• Profielgegevens: geboortedatum, geslacht, gewicht, lengte, vetpercentage, activiteitsniveau, sportdoel
• Trainingsdata: workouts, oefeningen, sets, herhalingen, gewichten, trainingsdata
• Voedingsdata: maaltijden, calorieën, macronutriënten, favoriete recepten
• Gezondheidsdata: HRV-metingen, slaapregistraties, herstelscores (alleen als jij deze invoert)
• Betalingsgegevens: Stripe customer ID (betaalgegevens worden niet door ons opgeslagen)
• Technische gegevens: IP-adres, browsertype, sessietokens, cookievoorkeuren

Gevoelige gezondheidsgegevens (zoals gewicht, lengte en medische informatie) voer jij vrijwillig in. Je bent niet verplicht deze in te vullen om het platform te gebruiken.

Wij gebruiken jouw gegevens voor de volgende doeleinden:

• Het aanmaken en beheren van jouw account (overeenkomst)
• Het leveren van gepersonaliseerde trainings- en voedingsadviezen (overeenkomst)
• Berekening van TDEE, macros en 1RM-waarden (overeenkomst)
• Verwerking van betalingen via Stripe (overeenkomst)
• Verbetering van het platform en het oplossen van bugs (gerechtvaardigd belang)
• Voldoen aan wettelijke verplichtingen (wettelijke verplichting)

Wij verkopen jouw gegevens nooit aan derden en gebruiken ze niet voor advertentiedoeleinden.

Wij maken gebruik van Supabase (Supabase Inc., VS) als onze database- en authenticatieprovider. Supabase treedt op als verwerker in de zin van de AVG. Jouw gegevens worden opgeslagen op Supabase-servers in de EU (West-Europa regio). Supabase is gecertificeerd conform SOC 2 Type II.

Betalingen worden verwerkt door Stripe (Stripe Payments Europe Ltd.). Stripe is verantwoordelijk voor de beveiliging van betaalgegevens (PCI-DSS Level 1). Wij ontvangen uitsluitend een geanonimiseerde klant-ID van Stripe.

Met beide verwerkers hebben wij een verwerkersovereenkomst (DPA) gesloten conform artikel 28 AVG.

• Accountgegevens: zolang jouw account actief is, plus 30 dagen na verwijdering
• Trainings- en voedingsdata: zolang jouw account actief is
• Betalingsrecords: 7 jaar (wettelijke fiscale bewaarplicht)
• Logbestanden en technische data: maximaal 90 dagen

Als EU-burger heb je de volgende rechten:

• Recht op inzage: opvragen welke gegevens wij van jou verwerken
• Recht op correctie: onjuiste gegevens laten aanpassen
• Recht op verwijdering: jouw account en alle bijbehorende data laten verwijderen
• Recht op dataportabiliteit: jouw gegevens in een leesbaar formaat ontvangen (JSON)
• Recht op beperking: verwerking tijdelijk laten stopzetten
• Recht van bezwaar: bezwaar maken tegen verwerking op basis van gerechtvaardigd belang

Je kunt jouw rechten uitoefenen via het profiel-instellingenscherm of door een e-mail te sturen naar info@lemycu.com. Wij reageren binnen 30 dagen.

Je hebt ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (ap.nl).

Wij gebruiken uitsluitend functionele en analytische cookies. Functionele cookies zijn noodzakelijk voor het werken van de applicatie (authenticatie, themavoorkeur, taalinstelling). Analytische cookies meten anoniem gebruik om het platform te verbeteren.

Bij jouw eerste bezoek vragen wij toestemming voor analytische cookies. Je kunt jouw keuze op elk moment wijzigen via de cookiebanner. Jouw voorkeur wordt opgeslagen als lemycu_cookie_consent in localStorage.

Wij treffen passende technische en organisatorische maatregelen om jouw persoonsgegevens te beschermen:

• Alle verbindingen zijn versleuteld via HTTPS/TLS
• Wachtwoorden worden opgeslagen als bcrypt-hash (via Supabase Auth)
• Toegang tot productiedata is beperkt tot geautoriseerde medewerkers
• Beveiligingsheaders (CSP, HSTS, X-Frame-Options) zijn actief op alle pagina's
• API-routes zijn beschermd met rate limiting

Supabase slaat gegevens op in de EU. Stripe verwerkt betalingen via servers in de VS en EU. Voor doorgifte naar de VS is Stripe gecertificeerd via het EU-VS Data Privacy Framework.

Wij kunnen dit privacybeleid periodiek bijwerken. Bij wezenlijke wijzigingen informeren wij je via e-mail of een melding in de app. De ingangsdatum bovenaan dit document geeft aan wanneer de laatste versie van kracht is gegaan.

Vragen over dit privacybeleid? Neem contact op via: