← Terug naar home

PRIVACYBELEID

Laatst bijgewerkt: 30 maart 2026

1. Identiteit en contactgegevens

SupaWOD is een platform voor CrossFit-boxen, sporters en personal trainers, gevestigd in Nederland. SupaWOD treedt op als verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG/GDPR) voor de persoonsgegevens die via het platform worden verwerkt.

  • Platform: SupaWOD (supawod.nl)
  • E-mail: support@supawod.nl
  • Land: Nederland

Box eigenaren die SupaWOD gebruiken om ledengegevens te verwerken, treden op als zelfstandige verwerkingsverantwoordelijke voor hun eigen leden. SupaWOD fungeert in dat geval als verwerker namens de box eigenaar.

2. Welke persoonsgegevens wij verwerken

2.1 Accountgegevens

Bij het aanmaken van een account verwerken wij:

  • Volledige naam
  • E-mailadres
  • Wachtwoord (uitsluitend als cryptografische hash opgeslagen)
  • Rol (sporter, box eigenaar, coach of personal trainer)
  • Account-aanmaakdatum

2.2 Profielgegevens

  • Profielfoto
  • Bio en sportervaring
  • Geboortedatum, lengte, gewicht
  • Personal Records (PR's)
  • Privacy-instellingen (zichtbaarheid profiel en PR's)

2.3 Gezondheidsgegevens (bijzondere categorie)

Als u de gezondheidstracker gebruikt, kunt u optioneel de volgende gegevens invoeren. Dit zijn bijzondere persoonsgegevens in de zin van artikel 9 AVG:

  • Lichaamsgewicht en vetpercentage
  • Hartslag en VO2 Max
  • Slaapgegevens (duur, kwaliteit)
  • Voedingsinformatie (calorie-inname, macro's)
  • Inspanningsniveaus en herstelduur

Deze gegevens zijn strikt privé: zij zijn uitsluitend zichtbaar voor uzelf. Box eigenaren, coaches en platform administrators hebben hier géén toegang toe.

2.4 Trainingsgegevens

  • Ingediende WOD-scores en resultaten
  • Score type, moeilijkheidsgraad en notities
  • Lesrooster-boekingen en aanwezigheid
  • Trainingsgeschiedenis en streaks

2.5 Betalingsgegevens

Betalingen worden afgehandeld via onze betalingspartner Mollie. SupaWOD slaat géén creditcard- of bankrekeninggegevens op. Wij verwerken:

  • Betalingsstatus en transactie-ID's (van Mollie)
  • Abonnementstype en facturatiestatus
  • Mollie klant-ID

2.6 Locatiegegevens

  • Box-adres en locatie (ingevoerd door box eigenaren)
  • Zoeklocatie bij het vinden van boxen of trainers in de buurt

2.7 Apparaatgegevens

  • IP-adres
  • Browsertype en -versie
  • Apparaattype (desktop, mobiel, tablet)
  • Besturingssysteem

2.8 Communicatiegegevens

  • Berichten binnen het platform (bijv. coach-notities, box-aankondigingen)
  • E-mailnotificaties en voorkeuren
  • Support-verzoeken

3. Doeleinden en rechtsgronden

Wij verwerken uw persoonsgegevens uitsluitend op basis van een geldige rechtsgrond conform de AVG:

3.1 Uitvoering van de overeenkomst (Art. 6(1)(b) AVG)

  • Aanmaken en beheren van uw account
  • Leveren van platformfunctionaliteit (scores, leaderboards, PR's, lesroosters)
  • Verwerken van betalingen en abonnementen
  • Koppelen aan uw CrossFit box of personal trainer
  • Versturen van transactionele e-mails (verificatie, wachtwoordherstel)

3.2 Uitdrukkelijke toestemming (Art. 9(2)(a) AVG)

  • Verwerking van gezondheidsgegevens (gewicht, hartslag, VO2 Max, slaap, voeding) — uitsluitend na uw expliciete toestemming bij registratie
  • U kunt deze toestemming te allen tijde intrekken via uw profielinstellingen. Het intrekken heeft geen terugwerkende kracht op eerdere verwerkingen.

3.3 Gerechtvaardigd belang (Art. 6(1)(f) AVG)

  • Beveiliging van het platform (loggen van IP-adressen, detectie van misbruik)
  • Technische analyse en foutopsporing
  • Verbetering van de gebruikerservaring

3.4 Wettelijke verplichting (Art. 6(1)(c) AVG)

  • Bewaren van factuurgegevens conform fiscale bewaarplicht (7 jaar)

4. Bewaartermijnen

Wij bewaren uw gegevens niet langer dan noodzakelijk voor het doel waarvoor ze zijn verzameld:

  • Accountgegevens: Gedurende de looptijd van uw account, plus maximaal 30 dagen na verwijdering (voor back-upherstel)
  • Profielgegevens: Gedurende de looptijd van uw account
  • Gezondheidsgegevens: Gedurende de looptijd van uw account of tot intrekking van toestemming; daarna direct verwijderd
  • Trainingsgegevens: Gedurende de looptijd van uw account
  • Betalingsgegevens: 7 jaar na de transactie (wettelijke bewaarplicht)
  • Apparaatgegevens / logbestanden: Maximaal 90 dagen
  • Communicatiegegevens: Gedurende de looptijd van uw account

Na verwijdering van uw account worden alle persoonsgegevens permanent gewist, tenzij een wettelijke bewaarplicht van toepassing is.

5. Delen met derden

Wij verkopen uw gegevens nooit aan derden. Wij delen uw gegevens uitsluitend met de volgende partijen, voor zover noodzakelijk voor de dienstverlening:

5.1 Hosting en infrastructuur

  • Supabase (database en authenticatie) — servers in de EU (Frankfurt, Duitsland). Verwerkersovereenkomst aanwezig.
  • Vercel (website hosting en edge network) — globaal CDN met verwerking in de EU waar mogelijk. Verwerkersovereenkomst aanwezig.

5.2 Betalingen

  • Mollie (betalingsverwerking) — gevestigd in Nederland, PCI-DSS gecertificeerd. Wij delen uitsluitend de noodzakelijke gegevens (bedrag, klant-ID).

5.3 E-mail

  • Resend (transactionele e-mails) — e-mailadres en naam worden gedeeld voor het verzenden van verificatie- en notificatie-e-mails.

5.4 Optionele integraties

  • Google Calendar — alleen als u deze integratie zelf activeert. SupaWOD deelt dan lesroostergegevens met uw Google-account.

5.5 Toegang binnen het platform

  • Uzelf: Volledige toegang tot al uw eigen gegevens
  • Box eigenaren en coaches: Naam, scores, boekingen en publieke profielinformatie van hun leden
  • Andere sporters: Naam en scores op leaderboards (afhankelijk van uw privacy-instellingen)
  • Platform administrators: Profielgegevens voor ondersteuning, maar niet uw gezondheidsgegevens

6. Doorgifte buiten de EU

Wij streven ernaar uw gegevens binnen de Europese Economische Ruimte (EER) te houden. Voor de volgende diensten kan doorgifte naar de Verenigde Staten plaatsvinden:

  • Vercel — gebruikt een globaal edge network. Primaire verwerking vindt plaats in de EU. Voor doorgifte naar de VS zijn Standard Contractual Clauses (SCC's) van toepassing.
  • Resend — e-mailverzending kan via servers in de VS verlopen. SCC's zijn van toepassing.
  • Google (bij optionele Calendar-integratie) — verwerking in de VS onder SCC's en het EU-US Data Privacy Framework.

Supabase draait op servers in Frankfurt (EU) en valt volledig binnen de EER.

7. Uw rechten

Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

  • Recht op inzage (Art. 15 AVG) — U kunt opvragen welke gegevens wij van u verwerken.
  • Recht op rectificatie (Art. 16 AVG) — U kunt onjuiste gegevens laten corrigeren.
  • Recht op verwijdering (Art. 17 AVG) — U kunt verzoeken uw gegevens te wissen (“recht op vergetelheid”).
  • Recht op beperking (Art. 18 AVG) — U kunt de verwerking laten beperken.
  • Recht op overdraagbaarheid (Art. 20 AVG) — U kunt uw gegevens in een gestructureerd, gangbaar formaat opvragen.
  • Recht van bezwaar (Art. 21 AVG) — U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
  • Recht op intrekking toestemming — U kunt uw toestemming voor de verwerking van gezondheidsgegevens te allen tijde intrekken.

U kunt uw rechten uitoefenen door een e-mail te sturen naar support@supawod.nl. Wij reageren binnen 30 dagen.

Veel gegevens kunt u ook zelf beheren via uw profielinstellingen op het platform, waar u uw gegevens kunt inzien, wijzigen en uw privacy-instellingen kunt aanpassen.

8. Cookies en tracking

SupaWOD gebruikt uitsluitend strikt noodzakelijke cookies die essentieel zijn voor het functioneren van het platform. Op grond van de ePrivacy- richtlijn is hiervoor geen toestemming vereist.

  • Supabase sessie-cookie (sb-*-auth-token) — Houdt u ingelogd. HttpOnly, Secure, SameSite=Lax. Verloopt bij het sluiten van de sessie of na de ingestelde sessieduur.
  • Voorkeurscookie — Slaat uw interface-voorkeuren op (bijv. sidebar- status). Eerste partij, niet-gevoelig.

Wij gebruiken geen tracking cookies, advertentiecookies, analytics van derden of social media trackers. Er is daarom geen cookie-consent-banner nodig.

9. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen:

  • Row Level Security (RLS) — Elke gebruiker heeft via de database uitsluitend toegang tot eigen gegevens. Gezondheidsdata is extra afgeschermd.
  • Versleuteling — Alle verbindingen via HTTPS/TLS. Wachtwoorden worden gehasht opgeslagen (bcrypt). Database-verbindingen zijn versleuteld.
  • Rate limiting — Bescherming tegen brute-force aanvallen op authenticatie-endpoints.
  • Toegangscontrole — Rolgebaseerde toegang (sporter, coach, box eigenaar, administrator) met strikte scheiding van rechten.
  • Incidentprocedure — Bij een datalek informeren wij de Autoriteit Persoonsgegevens binnen 72 uur en betrokken gebruikers zonder onredelijke vertraging.

10. Privacy-instellingen

U kunt in uw profielinstellingen bepalen wie uw gegevens kan zien:

  • Profiel zichtbaarheid: Openbaar, alleen box-leden, of privé
  • PR zichtbaarheid: Openbaar, alleen box-leden, of privé
  • Gezondheidsdata: Altijd privé — niet deelbaar

11. Verwerkersovereenkomst voor box eigenaren

Wanneer u als box eigenaar SupaWOD gebruikt om persoonsgegevens van uw leden te verwerken, fungeert SupaWOD als verwerker in de zin van artikel 28 AVG. Door akkoord te gaan met deze voorwaarden bij registratie, komt een verwerkersovereenkomst tot stand met de volgende kernafspraken:

  • SupaWOD verwerkt persoonsgegevens van uw leden uitsluitend in uw opdracht en conform uw instructies.
  • Wij treffen passende technische en organisatorische beveiligingsmaatregelen (zie sectie 9).
  • Wij schakelen uitsluitend sub-verwerkers in die zijn vermeld in sectie 5 van dit privacybeleid, met wie verwerkersovereenkomsten zijn gesloten.
  • Wij verlenen medewerking aan het uitoefenen van rechten van betrokkenen (uw leden).
  • Na beëindiging van de overeenkomst verwijderen wij alle persoonsgegevens, tenzij een wettelijke bewaarplicht van toepassing is.
  • Wij melden datalekken aan u als verwerkingsverantwoordelijke zonder onredelijke vertraging.

12. Wijzigingen in dit privacybeleid

Wij behouden ons het recht voor dit privacybeleid te wijzigen. Bij significante wijzigingen informeren wij u via:

  • Een melding op het platform
  • Een e-mail naar het bij ons bekende e-mailadres

De datum “Laatst bijgewerkt” bovenaan dit document wordt bij elke wijziging aangepast. Wij raden u aan dit beleid regelmatig te raadplegen.

13. Klachten

Heeft u een klacht over de manier waarop wij met uw persoonsgegevens omgaan? Neem dan eerst contact met ons op via support@supawod.nl. Wij proberen uw klacht zo snel mogelijk op te lossen.

Komt u er met ons niet uit, dan heeft u het recht een klacht in te dienen bij de toezichthouder:

  • Autoriteit Persoonsgegevens
  • Website: autoriteitpersoonsgegevens.nl
  • Telefoon: 088 - 1805 250

14. Contact

Vragen over dit privacybeleid of over de verwerking van uw persoonsgegevens? Neem contact met ons op:

  • E-mail: support@supawod.nl
  • Platform: Via de helpfunctie in uw dashboard