1. Wie zijn wij?
Vytrix is een fitness- en welzijnsapplicatie ontwikkeld door Vincent Maas (eenmanszaak), gevestigd in Nederland.
- Verwerkingsverantwoordelijke: Vincent Maas / Vytrix
- Privacy-contact: privacy@vytrix.app
- Beroep / Appeals (DSA): appeals@vytrix.app
- Functionaris voor Gegevensbescherming (FG / DPO): wordt aangesteld voor v1.0 launch (large-scale Article 9 verwerking — verplicht onder AVG Art. 37(1)(c))
2. Welke gegevens verzamelen wij?
2.1 Accountgegevens
Naam, e-mailadres, gebruikersnaam, profielfoto (avatar), geboortedatum, geslacht.
2.2 Trainings- en activiteitsgegevens
Oefeningen, sets, reps, gewichten, trainingsduur, trainingstemplates, routines, persoonlijke records, aangepaste oefeningen.
2.3 Gezondheidsgegevens (bijzondere categorie — AVG Artikel 9)
Deze gegevens worden alleen verwerkt na jouw uitdrukkelijke toestemming (AVG Art. 9(2)(a)) en de toestemming kan op elk moment worden ingetrokken via Instellingen → Privacy → Toestemming intrekken — even eenvoudig als het geven ervan.
- Slaapdata: bedtijd, wektijd, slaapduur, slaapkwaliteit, slaapfases.
- Voedingsdata: voedsellogboek, calorieën, macronutriënten, micronutriënten, waterinname, supplementen.
- Lichaamsmetingen: gewicht, BMI, vetpercentage, omtrekken, lean body mass, body water mass.
- Hartslagdata: hartslag (BPM), HR-zones, hersteldata, HR-variabiliteit (HRV).
- Voortgangsfoto's: lichaamsfoto's met metadata.
- Maaltijdfoto's (optioneel): kortstondig verwerkt door OpenAI (VS, DPF + SCC + Zero Data Retention). Alleen geëxtraheerde voedingsdata wordt opgeslagen.
- Productfoto's (barcode/label-scan): identiek aan maaltijdfoto's.
- Menstruatiecyclus (optioneel): zie aparte sectie hieronder.
2.3a Menstruatiecyclus en reproductieve gezondheid
Reproductieve gezondheidsdata verdient bijzondere aandacht. Vytrix volgt hiervoor de Mozilla / Privacy International best-practices voor period-tracking apps in een post-Roe geopolitiek klimaat.
Wat verzamelen wij? Startdatum laatste menstruatie, cycluslengte (21-35 dagen), periode-lengte (3-10 dagen), afgeleide cyclusfase (menstruatie / folliculair / ovulatie / luteaal).
Hoe gebruiken wij deze data? Automatische luteale-fase calorie-aanpassing (+150 kcal, uitschakelbaar), notificaties over verwachte vochtretentie (uitschakelbaar), visuele indicatoren in trainingskalender, fase-specifieke trainingstips.
Garanties:
- Optioneel — alleen actief als jij de cyclus-tracking aanzet (default uit).
- EU-only opslag — uitsluitend op Supabase Ireland (eu-west-1). Geen back-up of replicatie naar VS-servers.
- Niet zichtbaar voor coaches — ongeacht overige permissies.
- Niet gedeeld met OpenAI — cyclus-data wordt niet meegegeven aan AI-functionaliteit.
- Niet gebruikt voor advertenties of profiling — wij doen geen advertenties.
- Onafhankelijk verwijderbaar — je kunt cyclusdata verwijderen zonder de rest van je account te verwijderen.
- Geen verstrekking aan buitenlandse autoriteiten — behalve op grond van Nederlandse rechterlijke uitspraak.
2.3b Health Connect / HealthKit permissies
Op Android-apparaten kun je Vytrix verbinden met Health Connect. Permissies worden alleen gevraagd wanneer je de bijbehorende functie activeert:
| Permissie | Doel |
|---|---|
| READ_ACTIVE_CALORIES_BURNED | Calorieverbruik in dagoverzicht |
| READ_STEPS | Stappen tonen + wekelijks volume |
| READ_WEIGHT / WRITE_WEIGHT | Gewicht synchroniseren tussen apps |
| READ_BODY_FAT / WRITE_BODY_FAT | Vetpercentage synchroniseren |
| READ_LEAN_BODY_MASS / WRITE_LEAN_BODY_MASS | Spiermassa synchroniseren |
| READ_BODY_WATER_MASS / WRITE_BODY_WATER_MASS | Lichaamswater synchroniseren |
| READ_BASAL_METABOLIC_RATE | BMR voor calorie-doel |
| READ_SLEEP | Slaap-import voor herstel-correlatie |
| READ_HEART_RATE | Hartslag tijdens trainingen |
Op iOS gebruiken we de equivalente HealthKit-categorieën. Je kunt elke permissie afzonderlijk intrekken via de Health Connect-instellingen op je apparaat.
2.3c Limited Use Statement (Health Connect)
Het gebruik van informatie ontvangen vanuit Health Connect voldoet aan het Health Connect Permissions-beleid, inclusief de Limited Use-vereisten.
Concreet:
- Wij gebruiken Health Connect-data uitsluitend voor de in §2.3b genoemde functies.
- Wij delen Health Connect-data nooit met advertentienetwerken, dataverwerkers voor marketing, kredietverstrekkers, verzekeraars of werkgevers.
- Wij gebruiken Health Connect-data niet voor het bepalen van werkgelegenheid, verzekerbaarheid of voor ongeautoriseerde sociale deling.
- Wij verkopen Health Connect-data niet door aan derden onder enige omstandigheid.
2.4 Sociale gegevens en berichten
- Feed-content: posts, reacties, likes, vriendschappen, uitdagingen, leaderboard-deelnames.
- Directe berichten en groepschats: tekst en gedeelde inhoud (foto's, links, food-shares, workout-shares). Berichten zijn alleen zichtbaar voor afzender, ontvanger(s) en — bij gerapporteerde inhoud — onze moderatieprocedure. Niet gedeeld met derden.
- UGC-moderatie metadata: rapportages worden opgeslagen in
social_reports; rapportages over jou zijn voor jou niet zichtbaar.
2.5 Coach-client gegevens
Trainingsprogramma's, voortgang, berichten met je coach (indien van toepassing). De coach is een onafhankelijke verwerkingsverantwoordelijke. Reproductieve gezondheidsdata (§2.3a) is uitgesloten van coach-toegang.
2.6 Technische gegevens en apparaat-ID's
Apparaattype, besturingssysteem, app-versie. Wij verzamelen géén Android Advertising ID (AD_ID) of Apple Identifier for Advertisers (IDFA). We gebruiken wel een Firebase Installation ID en een push-notificatie-token voor account-koppeling, fraudepreventie en notificaties.
2.6a Achtergrond-functies (Foreground Service)
Tijdens een training kan de app een rust-timer (60-300 seconden) op de vergrendelschermnotificatie tonen. Er wordt geen locatie-tracking, audio-opname of andere achtergrondverwerking uitgevoerd buiten deze door jou gestarte timer.
2.7 Locatiegegevens (optioneel)
Bij gebruik van "sportschool detecteren" verzamelt de app eenmalig je geschatte locatie (stadsniveau, niet precies). Locatie wordt niet continu gevolgd en niet op onze servers opgeslagen, behalve als je een sportschool aan je profiel koppelt (alleen die coördinaten).
2.8 App-prestatie en analytics
- Crashrapporten via Firebase Crashlytics (Google Ireland Limited, EU). Geen persoonlijke trainings-, gezondheids-, of cyclusdata.
- App-interacties via onze eigen Supabase-analytics op EU-servers. Gepseudonimiseerd.
- Diagnostische gegevens zoals app-versie, OS-versie, apparaatmodel.
Deze gegevens worden niet gedeeld met derden voor marketing of advertenties.
2.8a Geen advertentie-ID
Vytrix vraagt geen toegang tot AD_ID of IDFA. Wij tonen geen advertenties en delen je gegevens niet met advertentienetwerken.
3. Waarom verwerken wij je gegevens en op welke grondslag?
| Gegevens | Doel | AVG Art. 6 | AVG Art. 9 |
|---|---|---|---|
| Account | Account aanmaken/beheren | 6(1)(b) | n.v.t. |
| Training (geïsoleerd) | Trainingen bijhouden | 6(1)(b) | n.v.t. |
| Health-data (longitudinaal) | Gezondheidsanalyse | 6(1)(a) | 9(2)(a) |
| Foto-AI maaltijd/product | Voedingsherkenning | 6(1)(a) | 9(2)(a) |
| Menstruatiecyclus | Cyclus-bewustzijn, calorie-aanpassing | 6(1)(a) | 9(2)(a) |
| Sociale interactie + berichten | Sociaal platform | 6(1)(b) | n.v.t. |
| Locatie (geschatte, sportschool) | Sportschoolherkenning | 6(1)(a) | n.v.t. |
| Crashlytics + analytics | App-stabiliteit + foutdiagnose | 6(1)(f) | n.v.t. |
| Notificatie-token | Notificaties leveren | 6(1)(b) | n.v.t. |
4. Met wie delen wij je gegevens?
4.1 Je coach (indien van toepassing)
Alleen de datacategorieën waarvoor je toestemming hebt gegeven. Reproductieve gezondheidsdata is uitgesloten van coach-toegang.
4.2 Dienstverleners (verwerkers)
| Verwerker | Dienst | Locatie | Transfer-mechanisme |
|---|---|---|---|
| Supabase Inc. | Database, auth, storage | EU (Ierland) | DPA + SCCs |
| Firebase (Google Ireland Limited) | Crashlytics + push | EU + cross-border | DPF + SCCs |
| RevenueCat Inc. | IAP entitlements | VS | DPF + SCCs (geen Art. 9) |
| OpenAI | AI Coach + foto-AI | VS | DPF + SCCs + ZDR |
| Apple HealthKit / Google Health Connect | Health-data on-device | n.v.t. (lokaal) | n.v.t. |
Volledige sub-processor lijst: vytrix.app/subverwerkers.
Wijzigingen in sub-processors worden minimaal 30 dagen vóór ingangsdatum aangekondigd. Bezwaar op gegevensbeschermingsgronden? privacy@vytrix.app.
4.3 Andere gebruikers
Alleen informatie die je zelf deelt via sociale functies, beperkt door je privacy-instellingen.
4.4 Wij delen NIET
- Met advertentienetwerken
- Met data brokers
- Met werkgevers, verzekeraars of kredietverstrekkers
- Met buitenlandse autoriteiten (behalve bij Nederlandse rechterlijke uitspraak)
- Met enige derde partij voor marketingdoeleinden
5. Internationale doorgifte
Je gegevens worden primair verwerkt op servers in de EU (Ierland). Een aantal aanvullende verwerkers (Firebase, RevenueCat, OpenAI) zijn gevestigd in de VS en gecertificeerd onder het EU-US Data Privacy Framework (DPF). Op 3 september 2025 heeft het Gerecht van de EU het beroep tegen het DPF (Latombe v Commissie, T-553/23) verworpen; het besluit is nog onder appel bij het Hof van Justitie. Het DPF is op het moment van schrijven (mei 2026) een geldig overdrachtsmechanisme.
Als secundaire grondslag hebben wij met al deze verwerkers Standard Contractual Clauses (SCCs) afgesloten, conform AVG Art. 46(2)(c). Een Transfer Impact Assessment (TIA) is op verzoek beschikbaar via privacy@vytrix.app.
Reproductieve gezondheidsdata (§2.3a) wordt nooit cross-border getransfereerd; deze blijft uitsluitend op EU-servers.
6. Bewaartermijnen
| Gegevens | Bewaartermijn |
|---|---|
| Accountgegevens | Tot account-verwijdering |
| Trainings- en activiteitsgegevens | Tot account-verwijdering |
| Gezondheidsgegevens | Tot toestemming intrekking of account-verwijdering |
| Menstruatiecyclus-data | Afzonderlijk verwijderbaar |
| Sociale content | Tot account-verwijdering of zelf-deletion |
| Soft-deleted items (prullenbak) | 90 dagen |
| Gegevens na account-verwijdering | Volledig verwijderd binnen 90 dagen |
| Wettelijk verplichte fiscale records (gepseudonimiseerd) | 7 jaar (Wet op de omzetbelasting Art. 52) |
| Crashlytics technische logs | 90 dagen |
| Audit-logs voor fraudepreventie | 12 maanden |
| Consent-records | 5 jaar na intrekking |
7. Jouw rechten
Je hebt de volgende rechten onder de AVG:
- Inzage (Art. 15) — bekijk je gegevens via Instellingen → Privacy
- Rectificatie (Art. 16) — wijzig je gegevens in de app
- Wissing (Art. 17) — verwijder je account via Instellingen → Account; of via vytrix.app/account-verwijderen
- Beperking (Art. 18) — trek toestemming per categorie in
- Overdraagbaarheid (Art. 20) — JSON-export via Instellingen → Privacy → "Mijn data exporteren"
- Bezwaar (Art. 21) — trek toestemming in
- Toestemming intrekken (Art. 7(3)) — een tik per categorie. Even eenvoudig als geven; geen invloed op rechtmatigheid eerdere verwerking.
- Geautomatiseerde besluitvorming (Art. 22) — Vytrix neemt geen besluiten met juridische of vergelijkbaar significante effecten.
Heb je een klacht? Dan kun je terecht bij:
- Autoriteit Persoonsgegevens (AP) — Nederland: autoriteitpersoonsgegevens.nl
- Gegevensbeschermingsautoriteit (GBA) — België
- BfDI — Duitsland
- CNIL — Frankrijk
8. Toestemmingbeheer
Je kunt toestemming per categorie geven, bekijken en intrekken via Instellingen → Privacy → Toestemming.
Het intrekken is even eenvoudig als het geven (een tik). Geen gevolgen voor de rechtmatigheid van eerdere verwerking.
9. Doelgroep en leeftijd
Vytrix is bedoeld voor volwassenen van 18 jaar en ouder. Wij verwerken bewust geen persoonsgegevens van minderjarigen.
Bij registratie wordt de geboortedatum gecontroleerd via een neutrale leeftijds-picker. Gebruikers jonger dan 18 kunnen geen account aanmaken. Indien wij ontdekken dat een minderjarige toch een account heeft aangemaakt, verwijderen wij dat account en alle bijbehorende gegevens.
10. Beveiliging
- AES-256 versleuteling at-rest
- TLS 1.3 encryptie in-transit; geen cleartext-traffic
- EU-hosting (Ierland)
- Row Level Security (RLS) op alle tabellen met persoonsgegevens
- JWT-authenticatie via Supabase Auth
- Privé opslagbuckets; toegang via tijdelijke signed URLs (24h)
- Coach-client data isolatie via RLS + consent checks
- Geautomatiseerde retentie-cleanup (pg_cron)
- BDSG §22(2) "passende en specifieke maatregelen" voor Duitse gebruikers
12. Wijzigingen
Bij wezenlijke wijzigingen in dit privacybeleid informeren wij je proactief via:
- Een in-app banner bij eerstvolgend gebruik
- Een blokkerende modal die hernieuwde toestemming vraagt voor de gewijzigde verwerkingen
- Een e-mail naar het bij ons bekende adres
Niet-wezenlijke wijzigingen (taalkundige aanscherping, typo's) worden alleen via versie-update op deze pagina gepubliceerd.
13. Contact
- Privacy-vragen: privacy@vytrix.app
- Beroep tegen moderatie-acties (DSA Art. 20): appeals@vytrix.app
Postadres en bedrijfsregistratie worden gepubliceerd op vytrix.app/contact.