Privacybeleid

Versie 2.0 — Ingangsdatum 17 april 2026
Concept — Laatste update 17 april 2026

Privacybeleid

Versie 2.0 · Effectief vanaf 17 april 2026

1. Wie zijn wij

Formari is een product van Infracode B.V., gevestigd in Eindhoven (Nederland). Verwerkingsverantwoordelijke: Rob van de Laar. Contact voor privacy-vragen: [email protected].

2. Welke data verzamelen wij

We verzamelen alleen data die je zelf invult of uploadt:

  • Profiel: naam, email, geboortedatum, lengte, startgewicht, doelgewicht
  • BIA scans: gewicht, vetpercentage, spiermassa, en 40+ andere datapunten uit je Fitdays screenshots
  • Voeding: maaltijden die je logt (naam, macros)
  • Training: sessies, oefeningen, gewichten, reps
  • Foto's: progressiefoto's (als je die wilt gebruiken — je mag ook silhouet mode of uitgeschakeld kiezen)
  • Slaap & HRV: optioneel via Apple Health import
  • AI coach gesprekken: de berichten die je stuurt en de antwoorden van de AI
  • Product analytics: hoe je de app gebruikt (opt-out mogelijk in settings)

We verzamelen geen tracking cookies, advertising identifiers of third-party social trackers.

3. Waarom verzamelen wij die data

  • Uitvoering van de dienst (Art. 6 lid 1 sub b AVG) — we hebben basis profiel + logs nodig om het product te laten werken
  • Expliciete toestemming (Art. 9 lid 2 sub a AVG) — voor gezondheidsdata (BIA, foto's, slaap) vragen we bij onboarding apart toestemming
  • Gerechtvaardigd belang (Art. 6 lid 1 sub f AVG) — voor gebruik van geanonimiseerde analytics om het product te verbeteren

4. Hoe lang bewaren wij je data

Je kiest zelf hoe lang foto's bewaard blijven (30, 90, 365 dagen, of onbeperkt). De rest van je data bewaren we zolang je account actief is. Bij account-verwijdering:

  • 48u grace period — je kunt verwijdering nog annuleren
  • Daarna permanent verwijderd uit al onze systemen, inclusief backups binnen 35 dagen
  • Uitzondering: payment records die we wettelijk 7 jaar moeten bewaren (Stripe / AML-regelgeving)

5. Waar staat je data

Al je data staat op servers in de Europese Unie:

  • Hetzner Nürnberg (Duitsland) — applicatie-servers en database
  • Foto's op encrypted block storage bij Hetzner (niet in externe object-store)
  • Backups dagelijks, EU-only, encrypted

6. Met wie delen wij data

Alleen met onze sub-processors, elk met een getekende DPA:

Partij Waarom Wat zij zien Locatie
Hetzner Hosting Alles (encrypted at rest) EU
Cloudflare DNS + edge IP-adressen (7 dagen log) EU
Anthropic AI coach + foto-analyse Berichten + foto's (Zero Data Retention) EU endpoint
PostHog Product analytics Geanonimiseerde events (opt-out beschikbaar) EU (Frankfurt)
Stripe Betalingen Payment data (geen gezondheidsdata) EU (Ierland)
Resend Email Emailadres + inhoud van transactionele mails EU (Frankfurt)

Wij verkopen geen data aan derden en gebruiken het niet voor advertising.

7. Jouw rechten

Je hebt de volgende rechten onder de AVG:

  • Inzage — bekijk al je data live op /settings/privacy/my-data
  • Rectificatie — pas alles aan in de app zelf
  • Verwijdering — verwijder bulk per categorie of je hele account (48u grace)
  • Beperking — zet photo mode op DISABLED, retention op 0, AI coach uit
  • Dataportabiliteit — exporteer CSV of JSON per categorie via /api/privacy/export/*
  • Bezwaar — opt-out per feature in /settings/privacy
  • Geen geautomatiseerde besluitvorming — onze AI geeft advies, jij beslist altijd zelf

Om een recht uit te oefenen: meestal kun je het zelf in de app regelen. Lukt het niet? Mail [email protected].

8. Beveiliging

  • EU-only hosting bij Hetzner, encrypted at rest
  • TLS 1.3 op alle verbindingen
  • Auth.js v5 met JWT stateless sessions
  • Audit logging van alle data-actions
  • Photo privacy modes (FULL, SILHOUETTE, DISABLED) — jij bepaalt
  • Self-hosted foto storage — geen externe object-store als extra risicopunt

9. Kinderen

Formari is alleen voor volwassenen (18+). We verwerken geen data van minderjarigen. Als je denkt dat we per ongeluk data van een minderjarige hebben verzameld, mail ons — we verwijderen het direct.

10. Cookies

We gebruiken alleen essentiële cookies voor authenticatie en session-management. Geen tracking cookies, geen advertising cookies, geen third-party social pixels.

11. Wijzigingen in dit beleid

Bij material changes informeren we je 30 dagen vooraf via email. Voor kleine tekstuele fixes (typos, verduidelijkingen) updaten we de datum bovenaan deze pagina.

Oude versies van dit beleid blijven beschikbaar op /privacy/v{n} voor audit trail.

12. Klachten

Niet tevreden over hoe we met je data omgaan?

  1. Mail ons eerst op [email protected] — we lossen het liefst direct op
  2. Blijf je ontevreden? Je kunt klagen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl

13. Contact

Infracode B.V. Eindhoven, Nederland Email: [email protected]

Voor technische of product-vragen: [email protected]