Privacyverklaring

Verwerkingsverantwoordelijke in de zin van de AVG is NexKyn, gevestigd te Barendrecht, Nederland. Contact: privacy@nexkyn.app.

We verwerken alleen gegevens die strikt nodig zijn voor het product:

• Account: naam, e-mailadres en de OAuth-identificatie van Google of Microsoft (we slaan nooit wachtwoorden op).
• Profiel: voornaam, achternaam, geboortedatum (verplicht — we controleren dat je 16 jaar of ouder bent), woonplaats, land, optionele bio en optionele profielfoto-URL.
• Akkoord met voorwaarden: de datum waarop je akkoord ging met deze privacyverklaring en de gebruiksvoorwaarden, plus de versie die je toen accepteerde. We bewaren dit als bewijs van geldige toestemming.
• Telefoon: mobiel nummer — geverifieerd met een eenmalige sms-code, daarna alleen opgeslagen als hash (sha-256 + pepper) voor anti-dubbel-account-checks. Je ruwe nummer zien alleen jij en beheerders van netwerken waar jij dat hebt gedeeld.
• Lidmaatschappen: de netwerken waar je in zit, wie je daar heeft toegelaten (endorsement-chain) en je rol.
• Inhoud die jij toevoegt: diensten, ervaringen, privé-feedback, uitnodigingen.
• Technisch: IP-adres bij inloggen (max 30 dagen bewaard), user agent, crashrapporten (optioneel, via Sentry — zie §7).

• Dienstverlening: je account laten werken, je lidmaatschappen tonen, zoekresultaten genereren, ervaringen publiceren.
• Beveiliging: frauduleuze logins detecteren, dubbele accounts weren, rate-limiting toepassen.
• Communicatie: uitnodigingsmails, sms-verificatiecodes, kritieke account-meldingen (bv. nieuw apparaat).
• Productverbetering: geanonimiseerde gebruiksstatistieken en crashrapporten, alleen als jij daarvoor toestemming geeft.

We baseren onze verwerking op artikel 6 AVG: uitvoering van de gebruikersovereenkomst (lid 1b), wettelijke verplichtingen (bv. fiscale bewaartermijnen, 1c), gerechtvaardigd belang voor beveiliging en leeftijdscontrole (1f) en jouw toestemming voor optionele tracking (1a). We verwerken je geboortedatum specifiek om te controleren dat je minimaal 16 jaar bent, conform artikel 8 AVG.

Zo min mogelijk. Concreet:

• Andere netwerkleden zien van jou wat jij per netwerk hebt aangezet (naam, bio, gedeelde diensten, gedeelde ervaringen).
• Verwerkers: Microsoft Azure (hosting, EU West), Google / Microsoft (alleen het OAuth-proces), Brevo (transactionele e-mail en sms-verificatie), PostHog (anonieme app-gebruiksstatistieken, alleen met jouw toestemming). Elke verwerker heeft een DPA getekend. PostHog slaat statistiekgegevens op in de EU; eventuele verdere verwerking valt onder de EU-modelcontractbepalingen (SCC) en het EU-VS Data Privacy Framework.
• Nooit: adverteerders, data brokers, AI-trainingspartijen.

Onze infrastructuur draait op Microsoft Azure in West-Europa (Nederland). Back-ups blijven binnen de EER. Broncode en logs staan in de EU. Anonieme app-gebruiksstatistieken (PostHog, alleen met jouw toestemming) worden in de EU opgeslagen; eventuele verdere verwerking valt onder de EU-modelcontractbepalingen (SCC) en het EU-VS Data Privacy Framework.

• Account + profiel: tot jij je account verwijdert. Daarna verwijderen we binnen 30 dagen, behalve wat wettelijk moet blijven.
• Ervaringen die je schreef: anoniem bewaard (naam verdwijnt) zodat andere leden ze nog wel kunnen lezen.
• Login IP-adressen: 30 dagen.
• Crashrapporten: 90 dagen, alleen als je opt-in hebt gegeven.

Je hebt recht op inzage, rectificatie, verwijdering, dataportabiliteit en bezwaar:

• Inzage / portabiliteit: via je profielpagina kun je een JSON-export downloaden van alles wat we over je hebben.
• Rectificatie: profielvelden bewerk je direct in de app.
• Verwijdering: één klik onder “Account verwijderen” — we vragen een bevestiging en voeren het binnen 30 dagen uit.
• Bezwaar: mail privacy@nexkyn.app.

Vind je dat we je rechten onvoldoende respecteren, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens.

We gebruiken vier functionele cookies: nexkyn_access_token + nexkyn_refresh_token (sessie; httpOnly, SameSite=Lax), nexkyn_locale (taalvoorkeur) en nexkyn_theme (licht/donker). Geen trackingcookies. Geen third-party cookies.

Als we deze verklaring materieel wijzigen, krijg je een in-app melding plus een e-mail. Kleine redactionele aanpassingen publiceren we direct met een nieuw “laatst bijgewerkt”-datum bovenaan.

Vragen over deze verklaring? Mail privacy@nexkyn.app of gebruik het contactformulier.