Endospot App
Menu

Privacyverklaring

Laatst bijgewerkt: 19 mei 2026
Contact privacy/support: support@endospot.nl

1. Wie is verantwoordelijk?

Endospot is verantwoordelijk voor de verwerking van persoonsgegevens binnen de Endospot app, store, community, cursussen, content en bijbehorende diensten.

  • Naam: Endospot
  • Contactgegevens: support@endospot.nl

In deze privacyverklaring gebruiken we “Endospot”, “wij”, “ons” en “onze” voor de aanbieder van de dienst. Met “jij”, “je” en “gebruiker” bedoelen we iedereen die Endospot gebruikt.

 

2. Waarvoor geldt deze privacyverklaring?

Deze privacyverklaring geldt voor:

  • de Endospot mobiele app;
  • de Endospot Store en checkout;
  • Gratis accounts;
  • Endospot Tracker;
  • Endospot Member;
  • Losse cursussen en digitale leercontent;
  • Communityfuncties, buddyfuncties en chats;
  • Notificaties, feedback, support en accountbeheer;
  • Exportfuncties, zoals een artsvoorbereiding of PDF-export;
  • CMS-gestuurde content die in de app of store wordt getoond.

Deze verklaring geldt voor de productieversie en, waar relevant, voor test- en stagingvarianten.

De mobiele app kent deze varianten:

3. Welke gegevens verwerken wij?

Wij verwerken alleen gegevens die nodig zijn om Endospot te leveren, te beveiligen, te verbeteren of wettelijk te beheren.

3.1 Account- en contactgegevens

Dit kan gaan om:

  • e-mailadres;
  • naam of weergavenaam;
  • account-id, interne user-id en auth-id;
  • wachtwoordhash of authenticatiegegevens;
  • loginstatus, sessietokens, refresh tokens en apparaten/sessies;
  • voorkeurstaal, appvariant en consentversies;
  • support-, feedback- en klachtberichten.

3.2 Profiel- en onboardinggegevens

Dit kan gaan om:

  • leeftijdscontrole en bevestiging dat je 18 jaar of ouder bent;
  • diagnosefase, levensfase, doelen en voorkeuren;
  • profieltekst, avatar of profielfoto;
  • community- of buddyvoorkeuren;
  • toegankelijkheidsvoorkeuren en andere appinstellingen.

3.3 Gezondheidsgegevens en trackinggegevens

Endospot kan gezondheidsgegevens verwerken. Gezondheidsgegevens zijn bijzondere persoonsgegevens en krijgen extra bescherming.

Dit kan gaan om:

  • pijnscores en vormen van pijn;
  • endobelly, vermoeidheid, bloedverlies, slaapkwaliteit, humeur, stress en energie;
  • extra symptomen die je zelf selecteert of invult;
  • cyclusgegevens, menstruatiegegevens en no-cycle-instellingen;
  • notities, vrije tekst en reflectievelden;
  • medicatieherinneringen en schema’s;
  • trendoverzichten, symptoominzichten en afgeleide patronen;
  • gegevens die in een artsvoorbereiding, data-export of PDF-export worden opgenomen.

Vrije tekstvelden kunnen gevoelige informatie bevatten. Vul daar alleen informatie in die je echt in Endospot wilt opslaan.

Deze trackinggegevens worden met aanvullende applicatieversleuteling opgeslagen. De databasehosting bewaart de gevoelige payload als ciphertext en kan deze inhoud niet zelf ontsleutelen.

3.4 Community, buddy’s en chats

Dit kan gaan om:

  • posts, comments, likes/reacties en meldingen;
  • groepslidmaatschappen en groepsvolgstatus;
  • buddyverzoeken, buddyconnecties en buddy-callouts;
  • directe chatberichten;
  • moderatiegegevens, zoals meldingen, redenen, acties en status;
  • openbare of beperkte profielgegevens die nodig zijn voor communityfuncties.

Deel geen gezondheidsgegevens of persoonsgegevens van anderen zonder hun toestemming.

Communitycontent, buddygegevens en directe chatberichten worden met aanvullende applicatieversleuteling opgeslagen. Ontsleuteling loopt via de Endospot API/runtime wanneer dat nodig is om de functie te leveren, zoals tonen, modereren, support of beveiliging.

3.5 Betalingen, memberships en cursussen

Dit kan gaan om:

  • gekozen abonnement, cursus of bundel;
  • betaalstatus en orderregels;
  • kortingscodes, factuurperiode, prijs, valuta en betaalmethode;
  • Mollie customer-id, payment-id, mandate-id of subscription-id;
  • membershipstatus, startdatum, einddatum, verlengingsstatus en cancellation-at-period-end;
  • cursusinschrijvingen, toegang en voortgang;
  • juridische checkout-consent voor directe digitale levering en herroeping.

Wij slaan geen volledige betaalkaartgegevens op. Betalingen worden afgehandeld via de betaalprovider.

3.6 Technische gegevens en apparaatdata

Dit kan gaan om:

  • IP-adres;
  • apparaat- en appinformatie;
  • operating system, appversie, buildvariant en release channel;
  • pushnotificatie-token;
  • notificatievoorkeuren en lokale notificatiestatus;
  • foutmeldingen, crashrapporten en diagnostische logs;
  • beveiligingslogs, rate-limitgegevens en fraudepreventielogs;
  • cachegegevens en lokale appopslag.

Als crashreporting of diagnostics zijn ingeschakeld, kunnen technische foutgegevens naar een monitoringdienst (Sentry) worden gestuurd.

 

4. Waarvoor gebruiken wij je gegevens?

Wij gebruiken je gegevens voor:

  • account aanmaken, inloggen en sessies herstellen;
  • onboarding, toestemming en leeftijdscontrole vastleggen;
  • tracking, cyclus, medicatie, trends en exports leveren;
  • memberships, cursussen, betalingen en toegang beheren;
  • community, buddy’s en chats mogelijk maken;
  • meldingen en pushnotificaties sturen als je daarvoor toestemming geeft of deze functie gebruikt;
  • support leveren en klachten behandelen;
  • veiligheidsmaatregelen nemen, misbruik voorkomen en fouten oplossen;
  • wettelijke administratie en bewijsvoering bij betalingen bijhouden;
  • de app technisch verbeteren en stabiel houden;
  • privacyverzoeken, datalekprocedures en compliance uitvoeren.

Wij gebruiken gezondheidsgegevens niet om verzekeraars, werkgevers of andere derden zelfstandig te informeren. Wij delen gegevens alleen als jij daar zelf voor kiest, als dit nodig is om de dienst te leveren, of als wij daar wettelijk toe verplicht zijn.

 

5. Op welke grondslagen verwerken wij gegevens?

Wij verwerken persoonsgegevens alleen als daar een geldige AVG-grondslag voor is.

Doel Voorbeelden Waarschijnlijke grondslag
Account en login account aanmaken, sessie beheren, beveiliging uitvoering overeenkomst; gerechtvaardigd belang voor beveiliging
Onboarding en consent 18+ bevestiging, voorwaarden, privacyversie, medische disclaimer uitvoering overeenkomst; wettelijke verplichting; gerechtvaardigd belang voor bewijsvoering
Betaalde diensten memberships, cursussen, betalingen, factuurstatus uitvoering overeenkomst; wettelijke verplichting voor administratie
Gezondheids- en trackingfuncties symptomen, cyclus, medicatie, trends, exports uitvoering overeenkomst; uitdrukkelijke toestemming of andere toepasselijke uitzondering voor bijzondere persoonsgegevens
Community en chats posts, comments, buddy’s, directe berichten uitvoering overeenkomst; gerechtvaardigd belang voor veiligheid en moderatie
Pushnotificaties reminders, communityupdates, chats toestemming; uitvoering overeenkomst voor gevraagde functionele notificaties
Support en klachten e-mail, probleemoplossing, herstelacties gerechtvaardigd belang; uitvoering overeenkomst
Beveiliging en fraudepreventie logs, rate limiting, misbruikdetectie gerechtvaardigd belang; wettelijke verplichting waar van toepassing
Crashlogs en diagnostics technische foutcontext, releasekwaliteit gerechtvaardigd belang of toestemming, afhankelijk van inrichting
Wettelijke administratie betaalhistorie, fiscale administratie, juridische bewijsvoering wettelijke verplichting; gerechtvaardigd belang

Voor gezondheidsgegevens geldt dat wij naast een AVG-grondslag ook een geldige uitzondering nodig hebben op het verbod om bijzondere persoonsgegevens te verwerken. In de consumentenapp is dat in de praktijk vooral uitdrukkelijke toestemming voor specifieke gezondheidsfuncties, tenzij een andere wettelijke uitzondering duidelijk van toepassing is.

 

6. Gezondheidsgegevens

Gezondheidsgegevens zijn volgens de AVG bijzondere persoonsgegevens. Wij verwerken deze gegevens alleen als dit nodig is voor Endospot-functies die je gebruikt en als daarvoor een geldige uitzondering bestaat.

Je kunt Endospot deels gebruiken zonder alle gezondheidsvelden in te vullen. Sommige functies werken minder goed of niet als je bepaalde gegevens niet geeft.

Wij raden af om gegevens van anderen in je eigen account te plaatsen. Als je gegevens met een arts of behandelaar wilt delen, doe je dat zelf via een export, screenshot, PDF of gesprek.

Endospot is geen medisch hulpmiddel, stelt geen diagnose en vervangt geen arts, behandelaar of spoedzorg.

 

7. Met wie delen wij gegevens?

Wij verkopen je persoonsgegevens niet.

Wij kunnen gegevens delen met partijen die nodig zijn om Endospot te leveren:

Partij of categorie Rol Mogelijke gegevens
Supabase authenticatie, database, opslag, realtime/projecties accountgegevens, sessies, appdata, uploads, media; gevoelige apppayloads worden als ciphertext opgeslagen zonder Supabase-decryptiesleutels
Mollie betalingen en abonnementen betaalmetadata, customer-id, payment-id, mandate-id, subscription-id
Expo, Apple en Google pushnotificaties, appdistributie, updates push tokens, technische apparaatdata, appinstallatiegegevens
Sentry of vergelijkbare monitoring crashreporting en foutdiagnostiek als ingeschakeld technische logs en foutcontext
Hostingprovider API, store en CMS hosting serverlogs, requestdata, appdata
Supabase Storage of vergelijkbare mediaopslag CMS- en communitymedia afbeeldingen, uploads en technische metadata
E-mailprovider transactionele e-mail en support e-mailadres en berichtinhoud
Juridische, administratieve of security-adviseurs ondersteuning bij verplichtingen alleen noodzakelijke gegevens

Met verwerkers sluiten wij waar nodig verwerkersovereenkomsten. 

 

8. Pushnotificaties

Pushnotificaties zijn optioneel. Je kunt toestemming geven of weigeren via je apparaat en via de appinstellingen.

Wij kunnen notificaties sturen voor:

  • reminders;
  • community- of buddyupdates;
  • directe berichten;
  • cursus- of membershipinformatie;
  • belangrijke account- of veiligheidsmeldingen.

Je kunt notificaties uitschakelen in de app of via de instellingen van je apparaat. Voor het bezorgen van pushnotificaties gebruiken wij technische tokens. Die tokens zijn nodig om een melding bij jouw apparaat te krijgen.

 

9. Lokale opslag, cookies en vergelijkbare technieken

De mobiele app kan gegevens lokaal op je apparaat opslaan, bijvoorbeeld:

  • sessiegegevens;
  • onboarding- of voorkeurstatus;
  • notificatie-inboxstatus;
  • toegankelijkheidsvoorkeuren;
  • cachegegevens voor performance;
  • tijdelijke checkout- of navigatiestatus;
  • lokale avatar- of mediacache.

De Endospot Store kan cookies, local storage of vergelijkbare technieken gebruiken om loginstatus, winkelmandje, checkout, SSO en beveiliging goed te laten werken. Als wij tracking- of marketingcookies gebruiken, vragen wij daarvoor toestemming waar dat verplicht is.

 

10. Hoe lang bewaren wij gegevens?

Wij bewaren persoonsgegevens niet langer dan nodig is voor het doel waarvoor we ze verwerken, tenzij een wettelijke bewaarplicht geldt.

Concept-bewaartermijnen voor publicatiecheck:

Gegevenscategorie Concept-bewaartermijn
Accountgegevens zolang je account actief is, wanneer je je account verwijderd worden deze gegevens verwijderd
Gezondheids- en trackinggegevens zolang je account actief is of totdat je verwijdering vraagt. Wanneer je je account verwijderd worden deze gegevens verwijderd
Communitycontent zolang je account actief is of zolang nodig voor communitycontext, veiligheid en moderatie
Chatberichten zolang je account actief is of zolang nodig voor de chatfunctie, veiligheid en misbruikonderzoek. Wanneer je je account verwijderd worden deze gegevens verwijderd
Betaal- en administratieve gegevens zolang wettelijk vereist voor administratie, belasting en geschilafhandeling
Checkout-consent en juridische bewijsdata zolang nodig voor bewijsvoering rond digitale levering, herroeping en betalingen
Supportberichten zolang nodig voor afhandeling, kwaliteitscontrole en bewijsvoering
Beveiligingslogs beperkt en proportioneel, afhankelijk van securitydoel
Crashlogs en diagnostics Deze gegevens worden geanonimiseerd opgeslagen voor maximaal 30 dagen.

11. Beveiliging

Wij nemen technische en organisatorische maatregelen om persoonsgegevens te beschermen. Denk aan:

  • toegangscontrole;
  • versleuteling waar passend;
  • beveiligde verbindingen;
  • row-level security en beperkte database-toegang;
  • scheiding tussen productie, staging en development;
  • logging en monitoring;
  • beperking van toegang tot gevoelige gegevens;
  • periodieke controle van afhankelijkheden en configuratie.

Voor de hieronder genoemde gevoelige onderdelen gebruiken wij aanvullende applicatieversleuteling. Dat betekent dat de Databasehosting de versleutelde inhoud als ciphertext opslaat en zelf niet over de applicatiesleutels beschikt om die inhoud te ontsleutelen. Ontsleuteling gebeurt alleen via de Endospot API/runtime wanneer dat nodig is voor de functie die je gebruikt.

Deze aanvullende applicatieversleuteling geldt voor:

  • dagelijkse trackinglogs, zoals pijnscore, humeur, energie, stress, belly, slaap, extra symptomen, GI-/blaas-/menopauzevelden en notities;
  • cyclus- en bloedingslogs;
  • gevoelige user-contentprofielen die worden gebruikt voor gepersonaliseerde content;
  • communitycontent zoals posts, comments, buddyverzoeken, buddy-callouts, reports en moderatiegegevens;
  • directe chatberichten;
  • support- en feedbackberichten waar die via de encrypted supportflow worden opgeslagen.

Niet elk technisch veld is versleuteld. Metadata die nodig is voor werking, beveiliging, autorisatie, sortering, synchronisatie of administratie kan leesbaar blijven, zoals user-id’s, record-id’s, datums, statusvelden, group-id’s, conversation-id’s, betaalmetadata en auditgegevens. De inhoudelijke gevoelige payload wordt voor de hierboven genoemde categorieën als ciphertext opgeslagen.

Daarnaast beperken wij directe database-toegang tot gevoelige tabellen.

Versleuteling verlaagt het risico bij onbevoegde toegang tot de database, maar betekent niet dat Endospot zelf nooit gegevens kan ontsleutelen. Voor functies zoals het tonen van je eigen logs, chats, exports, supportonderzoek, moderatie, beveiliging en wettelijke verplichtingen kan verwerking in leesbare vorm noodzakelijk zijn via bevoegde Endospot-systemen of bevoegde medewerkers met passende toegangsrechten.

Geen enkel systeem is volledig risicovrij. Meld vermoedens van misbruik, datalekken of onbevoegde toegang zo snel mogelijk via support@endospot.nl.

 

12. Datalekken

Als er een datalek plaatsvindt, beoordelen wij de aard, omvang en risico’s. Als dat wettelijk verplicht is, melden wij het datalek bij de Autoriteit Persoonsgegevens en informeren wij betrokken gebruikers.

Wij houden een intern datalekregister bij voor datalekken die onder de AVG vallen.

 

13. Jouw privacyrechten

Je hebt onder de AVG verschillende rechten. Afhankelijk van de situatie kun je ons vragen om:

  • inzage in je persoonsgegevens;
  • correctie van onjuiste of incomplete gegevens;
  • verwijdering van gegevens;
  • beperking van verwerking;
  • overdracht van gegevens in een digitaal formaat;
  • bezwaar tegen bepaalde verwerkingen;
  • intrekking van toestemming, zonder dat dit eerdere rechtmatige verwerking ongeldig maakt;

Stuur je verzoek naar support@endospot.nl. Wij kunnen je vragen om informatie waarmee we je identiteit veilig kunnen controleren. Stuur geen kopie van je identiteitsbewijs mee tenzij wij daar expliciet en veilig om vragen.

Wij reageren in principe binnen 1 maand. Als een verzoek complex is of veel verzoeken omvat, kunnen wij deze termijn verlengen zoals de AVG toestaat. In dat geval informeren wij je daarover.

 

14. Account verwijderen, abonnementen en data-export

Endospot ondersteunt data-export en accountverwijdering. Je kunt ook contact opnemen via support@endospot.nl.

Bij accountverwijdering verwijderen of anonimiseren wij je gegevens, behalve gegevens die wij moeten bewaren vanwege wettelijke verplichtingen, bewijsvoering, beveiliging, openstaande betalingen, lopende abonnementsafhandeling of legitieme geschilafhandeling.

Communitycontent kan in sommige gevallen verwijderd, geanonimiseerd of losgekoppeld worden, afhankelijk van technische context, veiligheid en rechten van anderen.

 

15. Kinderen

Endospot is bedoeld voor gebruikers van 18 jaar en ouder. Wij willen niet bewust persoonsgegevens verwerken van gebruikers onder deze leeftijdsgrens. Als je denkt dat een minderjarige toch een account heeft aangemaakt, neem dan contact op via support@endospot.nl.

 

16. Geautomatiseerde besluitvorming

Endospot kan automatische regels gebruiken om toegang tot functies te bepalen, bijvoorbeeld of je toegang hebt tot Tracker-, Member- of cursusfunctionaliteit. Dit is gebaseerd op je account-, entitlement- en betaalstatus.

 

17. Wijzigingen in deze privacyverklaring

Wij kunnen deze privacyverklaring aanpassen als Endospot, wetgeving, techniek of onze verwerkingen veranderen.

Bij belangrijke wijzigingen informeren wij je via de app, e-mail, store of website. De nieuwste versie staat in de app, store, website of CMS-contentomgeving.

 

18. Klachten

Als je een vraag of klacht hebt over privacy, mail support@endospot.nl. Wij proberen je klacht zorgvuldig te behandelen.

Je hebt ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

 

Menu

Endospot App