Wat zijn sub-verwerkers?
Sub-verwerkers zijn derde partijen die persoonsgegevens namens Vytrix verwerken. Onder de AVG zijn wij verplicht hen te identificeren, een verwerkersovereenkomst (DPA) met hen te sluiten, en wijzigingen in deze lijst minimaal 30 dagen vóór ingangsdatum aan te kondigen.
Heb je bezwaar tegen een nieuwe sub-verwerker op gegevensbeschermingsgronden? Neem contact op via privacy@vytrix.app vóór de ingangsdatum.
Actuele sub-verwerkers (mei 2026)
| Sub-verwerker | Doel | Locatie | Transfer-mechanisme |
|---|---|---|---|
| Supabase Inc. | Database, Auth, Storage, Edge Functions | EU (Ierland — AWS eu-west-1) | DPA + SCCs |
| Amazon Web Services (AWS) | Cloud-infrastructuur (sub-verwerker van Supabase) | EU (Ierland) | Via Supabase DPA |
| Google Ireland Limited (Firebase Crashlytics + Cloud Messaging) | Crash-rapportage en push-notificaties | EU + cross-border | EU-US DPF + Google DPA met SCCs |
| RevenueCat Inc. | Abonnementenbeheer en IAP entitlements | VS | EU-US DPF + RevenueCat DPA met SCCs |
| Stripe Payments Europe, Ltd. | Betalingsverwerking (web-checkout en affiliate-uitbetalingen) | EU (Ierland) / VS | EU-US DPF + Stripe DPA met SCCs |
| OpenAI | AI Coach (chat) en foto-analyse maaltijden/producten | VS | EU-US DPF + OpenAI DPA met SCCs + Zero Data Retention |
| Apple Inc. (App Store, IAP, Sign in with Apple) | App-distributie en authenticatie | VS / EU | DPF + Apple Developer Agreement |
| Google LLC (Google Play, Play Billing, Sign in with Google) | App-distributie en authenticatie | VS / EU | DPF + Google Play Developer Distribution Agreement |
| Resend / Postmark (TBD — EU-region) | Transactional email | EU-region | DPA + EU-residency |
Welke gegevens gaan naar welke sub-verwerker?
| Categorie | Supabase | Firebase | RevenueCat | OpenAI |
|---|---|---|---|---|
| Account (naam, e-mail) | Ja | ID alleen, voor push | ID alleen, entitlements | Nee |
| Trainingsdata | Ja | Nee | Nee | Nee |
| Voedingsdata | Ja | Nee | Nee | Alleen via foto-AI |
| Slaap / lichaam / hartslag | Ja | Nee (uitgesloten van Crashlytics keys) | Nee | Alleen indien user prompt |
| Voortgangsfoto's | Ja (private bucket) | Nee | Nee | Nee |
| Maaltijd-/productfoto's | Nee (kortstondig in geheugen) | Nee | Nee | Ja (kortstondig, ZDR — niet bewaard) |
| Menstruatiecyclus | Ja (EU-only) | Nee | Nee | Nee |
| Sociale content | Ja | Nee | Nee | Nee |
| Crash-logs (geen PII / geen health) | Nee | Ja | Nee | Nee |
| Subscription transactional data | Entitlement-state | Nee | Ja | Nee |
Bijzondere waarborgen per sub-verwerker
Supabase — Art. 9 health data
- Vytrix heeft schriftelijke erkenning verkregen / aangevraagd dat verwerking van Art. 9-gezondheidsdata binnen de overeengekomen scope valt
- EU-region (Ierland, eu-west-1) is vastgelegd; geen cross-region replicatie of backup
Firebase Crashlytics — exclusion van health data
- IP-collection is uitgeschakeld
- Custom keys en logs bevatten geen persoonlijke trainings-, gezondheids-, voedings-, of cyclusdata
- Alleen technische velden (app-versie, OS-versie, device-model) en gepseudonimiseerde user_id
RevenueCat — exclusion van Art. 9
- RevenueCat's DPA verbiedt Art. 9-data
- Wij sturen alleen attribuut-IDs en transactionele data; geen koppeling aan health-data of cyclus-data
OpenAI — Zero Data Retention + metadata-strip
- ZDR-header (
store=false) in alle API-calls - EXIF-metadata wordt vóór upload gestript van foto's
- Geen account-identifiers of e-mailadressen in prompts
- Foto-AI heeft een kill-switch flag voor globale uitschakeling (bijvoorbeeld bij DPF-invalidatie)
Hoe handelen wij wijzigingen af?
- Nieuwe sub-verwerker: publicatie minimaal 30 dagen vooraf op deze pagina + e-mailmelding aan geregistreerde gebruikers.
- Bezwaar: via privacy@vytrix.app. Bij gegrond bezwaar zoeken wij een alternatief; lukt dat niet, dan kun je je account opzeggen met restitutie van vooruitbetaalde abonnementsgelden.
- Wijziging van locatie of transfer-mechanisme: publicatie + e-mail.
- Verwijdering van een sub-verwerker: publicatie; gegevens worden binnen 90 dagen door de verwerker verwijderd of geretourneerd.
Contact
Vragen over sub-verwerkers? privacy@vytrix.app