2428

Privacybeleid

Jouw data. Duidelijk.

Wij verwerken gezondheidsdata. Dat is gevoelig, en dat nemen we serieus. Dit document legt in gewone taal uit wat we opslaan, waarom, en wat jij daarin te zeggen hebt.

2428 is geen medisch hulpmiddel en niet bedoeld als medisch advies. De berichten en de kalender zijn informatief. Voor medische vragen: raadpleeg een zorgverlener.

Datum laatste update: 3 mei 2026

1. Wie zijn wij

2428 is een dienst van Robby Grob, handelend onder de naam 2428. Voor privacyvragen bereik je ons via privacy@2428.eu.

Vestigingsadres: Thomas Edisonstraat 14, 3284 WD Zuid-Beijerland, Nederland.

2. Welke gegevens verwerken we

Jouw account

  • E-mailadres en (optioneel) je voornaam (via Supabase-authenticatie)
  • Je rol: man of vrouw
  • Cyclusdata (alleen als je rol = vrouw): eerste dag laatste menstruatie en gemiddelde cycluslengte
  • Voorkeuren: tijd dagelijkse melding, push aan/uit, e-mail aan/uit
  • Tier (free, solo, plus of max) en — bij betaald abonnement — Stripe-klant-ID en abonnement-ID

Uitnodigingen die jij verstuurt

  • Naam en e-mailadres van de uitgenodigde persoon (jij voert dit in)
  • Een optionele gok van de cyclus-startdatum die jij invult. Die gok staat tot de uitnodiging behandeld is op de partner-rij in onze database. Accepteert zij de uitnodiging en heeft zij zelf nog geen cyclusdatum ingevuld, dan kopiëren we jouw gok naar haar gebruikersaccount als startwaarde — die ze daarna zelf kan aanpassen of leegmaken in haar instellingen. Trekt zij haar toestemming in of weigert ze, dan blijft de gok niet langer bruikbaar: de partner-rij gaat naar status “revoked” en de cyclus-velden worden niet meer gelezen
  • Een uitnodigingstoken dat na 7 dagen automatisch verloopt

Cyclus-data van de gevolgde persoon

  • Eerste dag laatste menstruatie
  • Gemiddelde cyclusduur

Dit zijn bijzondere persoonsgegevens onder AVG artikel 9 (gezondheidsdata). We verwerken dit alleen na uitdrukkelijke toestemming van de vrouw zelf via onze aparte toestemmingsflow. Trekt zij die toestemming in, dan wordt de cyclusdata gewist.

Push-notificaties

Voor de webversie en PWA gebruiken we de open Web Push-standaard. Per apparaat slaan we het push-endpoint plus de p256dh- en auth-sleutels op. Zonder die data kunnen we geen melding op je telefoon afleveren.

Voor de iOS- en Android-app (Capacitor) gebruiken we Firebase Cloud Messaging (FCM, Google Ireland Limited). Apple gebruikt voor iOS intern het Apple Push Notification service (APNs); FCM is daarvoor de afleverlaag. We slaan dan een FCM device-token op in plaats van de Web-Push-sleutels. De inhoud van de melding zelf passeert in beide gevallen onze server.

Push uitzetten in instellingen wist de inschrijving voor dat apparaat.

Dagelijks AI-bericht

Elke dag genereren we één bericht op basis van de huidige cyclusfase en dagnummer. Naar Anthropic (de AI-leverancier) sturen we alleen de voornaam, de fase en de dag in de cyclus. Geen e-mailadres, geen symptomen, geen stemming, geen partnerdata. Het verstuurde bericht bewaren we in onze database (message log) zodat je geen dubbel bericht krijgt en wij kunnen aantonen wat er verstuurd is.

Buddies (vriendennetwerk)

Buddies zien alleen de fasekleur (groen, amber of rood) van elkaars partner — en alleen als de vrouw expliciet aangeeft dat haar fasekleur met buddies gedeeld mag worden. Geen namen, geen dagen, geen details. Trekt zij die optie in, dan stopt de deling onmiddellijk.

Check-ins en logs

Eenvoudige check-ins (bijvoorbeeld “menstruatie gestart”) en het dagelijkse-berichtenlogboek bewaren we per gebruiker, gekoppeld aan een datum. Verwijder je je account, dan worden deze rijen mee gewist.

3. Op welke grondslag verwerken we

  • Account & dienstverlening: AVG art. 6.1.b — uitvoering van de overeenkomst (jij maakt een account aan en wij leveren de dienst)
  • Cyclus-data van de vrouw: AVG art. 9.2.a — uitdrukkelijke toestemming. De vrouw geeft toestemming via een persoonlijke link. Zonder haar toestemming verwerken we geen gezondheidsdata.
  • Marketing-e-mails: AVG art. 6.1.a — toestemming, alleen als je je aanmeldt voor de wachtlijst of nieuwsbrief.

4. Waarvoor gebruiken we de data

  • Dagelijkse berichten genereren voor de partner
  • De kalender en het dashboard tonen
  • Betalingen verwerken en abonnementen beheren
  • Push-notificaties sturen (alleen met jouw toestemming)
  • Je informeren over wijzigingen in de dienst

We verkopen jouw data niet. Nooit. Aan niemand. Geen adverteerders, geen datamakelaars, geen derde partijen voor eigen gewin.

5. Wie ontvangt de data

We werken met een beperkt aantal verwerkers. Alle partijen zijn contractueel gebonden aan de AVG; voor partijen buiten de EER passen we Standard Contractual Clauses toe.

  • Supabase — authenticatie (e-mail, OAuth-sessies). Servers in EU (Frankfurt). Supabase Inc., VS — SCC’s van toepassing
  • Neon — onze applicatie-database (PostgreSQL) waarin alle accountdata, cyclusdata, partners, vrienden en berichten staan. Servers in EU (Frankfurt). Neon Inc., VS — SCC’s van toepassing
  • Anthropic — AI-berichten (Claude). Ontvangt alleen voornaam + cyclusfase + dagnummer; geen e-mail, geen symptomen, geen partnerdata. Anthropic PBC, VS — SCC’s van toepassing
  • Stripe — betalingen en abonnementen. Stripe Payments Europe Ltd. (Ierland), met onderverwerkers in de VS — SCC’s van toepassing
  • Resend — transactionele e-mails (uitnodigingen, herinneringen). Resend Inc., VS, met EU-afleverroute — SCC’s van toepassing
  • Vercel — hosting van de applicatie. Functions en edge in EU-regio (fra1, Frankfurt). Vercel Inc., VS — SCC’s van toepassing
  • Firebase Cloud Messaging — alleen aflevering van push-notificaties op de native iOS/Android-app via FCM (en intern APNs voor iOS). Google Ireland Limited; verwerking conform Google’s standaard SCC’s

Een actuele en volledige lijst — inclusief functie, vestigingsland en privacy-link per leverancier — vind je op /privacy/subprocessors.

6. Hoe lang bewaren we data

  • Actief account: zolang je account bestaat
  • Na verwijdering account:via “Account verwijderen” in instellingen — alle persoonsgegevens, partners, vrienden, check-ins, berichten en push-inschrijvingen direct gewist (cascade vanuit de gebruikersrij)
  • Cyclus-data vrouw: zij kan op elk moment toestemming intrekken via haar consent-link — data verwijderd binnen 30 dagen
  • Uitnodigingstokens: partner- en buddy-uitnodigingen verlopen automatisch na 7 dagen
  • Trial-herinneringen: automatische herinnerings-mails worden ten hoogste 7 dagen vooruit ingepland
  • Ingetrokken toestemmingen:de partner-rij wordt op “revoked” gezet en blijft minimaal bewaard om het audit-log sluitend te houden
  • Audit-log toestemming: 7 jaar (wettelijke bewijslast, alleen voor juridische doeleinden)

7. Jouw rechten

Onder de AVG (art. 15–22) heb je de volgende rechten:

  • Inzage en overdraagbaarheid: klik op Instellingen → sectie AccountDownload mijn data. Je krijgt direct een JSON-bestand met al je gegevens (technisch: GET /api/account/export)
  • Correctie: alle accountvelden — naam, cyclusdata, meldingstijd, push, e-mail — zijn direct aan te passen onder Instellingen; voor overige correcties: e-mail
  • Verwijdering: klik op Instellingen → sectie AccountAccount verwijderen. Je e-mailadres invullen ter bevestiging is voldoende — dit wist je profiel, cyclus, partners, vrienden, check-ins en push-inschrijvingen direct en onomkeerbaar (cascade vanuit de gebruikersrij, plus verwijdering van de Supabase auth-rij)
  • Toestemming intrekken: op elk moment, zonder opgaaf van reden — de gevolgde persoon via haar consent-link, alle gebruikers via instellingen
  • Klacht indienen: bij de Autoriteit Persoonsgegevens

Specifiek voor de gevolgde persoon

Wie via een uitnodiging een account heeft aangemaakt, kan haar eigen cyclusgegevens beheren in de app onder Instellingen → Mijn cyclus, en haar account of subscription op elk moment beëindigen.

Voor alle verzoeken: stuur een e-mail naar privacy@2428.eu. We reageren binnen 30 dagen.

8. Beveiliging

  • HTTPS op alle verbindingen
  • Applicatie-database (Neon Postgres) versleuteld at rest en in transit
  • Auth-sessies via Supabase, JWT-tokens met beperkte geldigheidsduur
  • Toegang tot productie-data beperkt tot de verwerkingsverantwoordelijke

9. Wat doen we bij een datalek

Bij een datalek met waarschijnlijk risico voor jou:

  • Melding bij de Autoriteit Persoonsgegevens binnen 72 uur
  • Directe melding aan de betrokkenen via e-mail

10. Cookies

We gebruiken alleen functionele cookies:

  • Supabase auth-sessie: noodzakelijk om ingelogd te blijven
  • Stripe checkout: noodzakelijk voor betalingen

Geen tracking-cookies. Geen advertentie-cookies. Als we dat ooit veranderen, vragen we eerst toestemming.

11. Wijzigingen

We kunnen dit privacybeleid aanpassen. Bij wezenlijke wijzigingen informeren we je per e-mail. De datum onderaan geeft aan wanneer de laatste versie is gepubliceerd.

12. Klacht indienen

Ben je niet tevreden met hoe we met jouw data omgaan? Neem eerst contact met ons op via privacy@2428.eu. Kom je er niet uit, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens.

Laatste update: 3 mei 2026 — Robby Grob h.o.d.n. 2428, Thomas Edisonstraat 14, 3284 WD Zuid-Beijerland — privacy@2428.eu