Privacy Policy Privacybeleid

1. Who is responsible for your data 1. Wie verantwoordelijk is voor je gegevens

The data controller is Julian de Haas (sole developer), reachable at dehaasjulian@gmail.com. Questions or requests about this policy can be sent to that address. De verwerkingsverantwoordelijke is Julian de Haas (zelfstandig ontwikkelaar), bereikbaar via dehaasjulian@gmail.com. Vragen of verzoeken over dit beleid kunnen naar dat adres worden gestuurd.

2. Data stored locally on your device 2. Gegevens die lokaal op je apparaat worden opgeslagen

The following data is stored on your iPhone using Apple's UserDefaults and standard iOS storage. It remains on your device unless you are signed in, in which case it is also synced to Firebase Firestore (see section 4). De volgende gegevens worden opgeslagen op je iPhone via Apple's UserDefaults en standaard iOS-opslag. Ze blijven op je apparaat, tenzij je bent ingelogd — in dat geval worden ze ook gesynchroniseerd via Firebase Firestore (zie sectie 4).

• Learning progress — completed modules, quiz scores, and current streak. Leervoortgang — voltooide modules, quizscores en huidige streak.
• Achievements and badges — unlocked milestones in the gamification system. Prestaties en badges — vrijgespeelde mijlpalen in het gamificatiesysteem.
• App preferences — your chosen language, notification settings, and onboarding state. App-voorkeuren — je gekozen taal, meldingsinstellingen en onboarding-status.

3. Apple Sign-In 3. Inloggen met Apple

Signing in is optional. If you choose to sign in with Apple, the following happens: Inloggen is optioneel. Als je kiest voor inloggen met Apple, gebeurt het volgende:

• Apple provides us with a stable anonymous user identifier (a string like 000123.abc…), and optionally your email address and name if you choose to share them at first sign-in. Apple verstrekt ons een stabiele anonieme gebruikers-ID (een string zoals 000123.abc…), en optioneel je e-mailadres en naam als je ervoor kiest deze bij eerste aanmelding te delen.
• This identifier is used to link your learning progress to a Firebase Firestore account so that your data is available across devices or after reinstalling the app. Deze ID wordt gebruikt om je leervoortgang te koppelen aan een Firebase Firestore-account, zodat je gegevens beschikbaar zijn op meerdere apparaten of na herinstallatie.
• Your email address (if shared) is stored in Firebase Firestore solely for account identification. It is never used for marketing. Je e-mailadres (indien gedeeld) wordt uitsluitend opgeslagen in Firebase Firestore voor accountidentificatie. Het wordt nooit gebruikt voor marketing.

Legal basis: Article 6(1)(b) GDPR — performance of a service you have requested (cloud sync of your learning progress). Retention: Until you delete your account (Settings → Sign out → Delete account). Rechtsgrond: Artikel 6(1)(b) AVG — uitvoering van een dienst die je hebt aangevraagd (cloud-synchronisatie van je leervoortgang). Bewaartermijn: Tot je je account verwijdert (Instellingen → Uitloggen → Account verwijderen).

4. Firebase Firestore (cloud sync) 4. Firebase Firestore (cloud-synchronisatie)

When you are signed in, your learning progress, quiz scores, streak, and achievements are stored in Google Firebase Firestore, a cloud database operated by Google LLC (US). This allows your data to persist across devices and app reinstalls. Als je bent ingelogd, worden je leervoortgang, quizscores, streak en prestaties opgeslagen in Google Firebase Firestore, een clouddatabase van Google LLC (VS). Hierdoor blijft je voortgang beschikbaar op meerdere apparaten en na herinstallatie.

Data stored: User ID (from Apple), learning module completion records, quiz results, streak count, badge unlocks, and last-active timestamp. No financial data is stored. Legal basis: Art. 6(1)(b) GDPR — performance of the cloud sync service you opted into. Transfer: Google Cloud servers may be located in the US — see Section 11 on transfers. Opgeslagen gegevens: Gebruikers-ID (van Apple), voortgang per leermodule, quizresultaten, streakteller, vrijgespeelde badges en tijdstip van laatste activiteit. Er worden geen financiële gegevens opgeslagen. Rechtsgrond: Art. 6(1)(b) AVG — uitvoering van de cloud-synchronisatiedienst die je hebt ingeschakeld. Doorgifte: Google Cloud-servers kunnen in de VS staan — zie Sectie 11 over internationale doorgiften.

5. Firebase Analytics 5. Firebase Analytics

The app uses Google Firebase Analytics to understand how the app is used. Firebase Analytics collects: De app gebruikt Google Firebase Analytics om te begrijpen hoe de app wordt gebruikt. Firebase Analytics verzamelt:

• App events (e.g., which modules are opened, quiz completions, session length). App-gebeurtenissen (bijv. welke modules worden geopend, quizvoltooiingen, sessieduur).
• Device type and operating system version. Apparaattype en versie van het besturingssysteem.
• Approximate location derived from IP address (country/city level, not precise location). Geschatte locatie afgeleid van IP-adres (op land-/stadsniveau, geen nauwkeurige locatie).
• A Firebase Analytics instance ID. When you are signed in with Apple, this ID is associated with your Firebase user account so that events can be attributed to a single user across sessions and devices. Een Firebase Analytics instantie-ID. Als je bent ingelogd met Apple, wordt deze ID gekoppeld aan je Firebase-account zodat gebeurtenissen over sessies en apparaten heen aan één gebruiker kunnen worden toegeschreven.

No financial data, names, or email addresses are included in Analytics events. Data is processed by Google LLC (US) — see Section 11. Er worden geen financiële gegevens, namen of e-mailadressen meegestuurd in Analytics-gebeurtenissen. Gegevens worden verwerkt door Google LLC (VS) — zie Sectie 11.

Legal basis: Art. 6(1)(f) GDPR — our legitimate interest in understanding app usage to improve the product. Opt-out: You can disable Analytics data sharing in iOS Settings → Privacy & Security → Apple Advertising (limits ad tracking). You can also enable "Limit Ad Tracking" which signals Firebase to disable advertising-related features. Rechtsgrond: Art. 6(1)(f) AVG — ons gerechtvaardigd belang bij het begrijpen van app-gebruik om het product te verbeteren. Opt-out: Je kunt gegevens delen voor Analytics beperken via iOS-instellingen → Privacy & beveiliging → Apple adverteren. Je kunt ook "Beperk advertentietracking" inschakelen, wat Firebase instrueert reclame-gerelateerde functies uit te schakelen.

6. Firebase Crashlytics 6. Firebase Crashlytics

The app uses Firebase Crashlytics to automatically report crashes and errors. When a crash occurs, a report is sent to Google containing: De app gebruikt Firebase Crashlytics om crashes en fouten automatisch te rapporteren. Wanneer een crash optreedt, wordt een rapport verstuurd naar Google met:

• Stack trace and exception type. Stack trace en uitzonderingstype.
• Device model, iOS version, and app version. Apparaatmodel, iOS-versie en app-versie.
• A Crashlytics installation UUID (not linked to your name or Apple account). Een Crashlytics installatie-UUID (niet gekoppeld aan je naam of Apple-account).

Crash reports do not contain your learning data or any personal content from within the app. Legal basis: Art. 6(1)(f) GDPR — legitimate interest in diagnosing and fixing software defects. Data is processed by Google LLC (US) — see Section 11. Crashrapporten bevatten geen leergegevens of persoonlijke inhoud uit de app. Rechtsgrond: Art. 6(1)(f) AVG — gerechtvaardigd belang bij het diagnosticeren en oplossen van softwarefouten. Gegevens worden verwerkt door Google LLC (VS) — zie Sectie 11.

7. Firebase App Check 7. Firebase App Check

The app uses Firebase App Check to protect its backend from unauthorized access and abuse. App Check uses Apple's App Attest framework (on iOS 14+ devices) to generate a short-lived cryptographic attestation token that proves requests originate from an authentic, unmodified copy of Rendementje running on a genuine Apple device. On older devices, Apple's DeviceCheck API is used as a fallback. De app gebruikt Firebase App Check om de backend te beschermen tegen ongeautoriseerde toegang en misbruik. App Check maakt gebruik van Apple's App Attest-framework (op iOS 14+ apparaten) om een kortdurend cryptografisch attestatietoken te genereren dat bewijst dat verzoeken afkomstig zijn van een authentieke, ongewijzigde versie van Rendementje op een echt Apple-apparaat. Op oudere apparaten wordt Apple's DeviceCheck API gebruikt als terugvaloptie.

These attestation tokens are ephemeral (they expire within minutes), contain no personal data, and are not linked to your identity. They are processed by Apple and Google Firebase solely to verify the integrity of the request. Legal basis: Art. 6(1)(f) GDPR — legitimate interest in protecting our backend services from abuse and unauthorized access. Deze attestatietokens zijn tijdelijk (ze verlopen binnen enkele minuten), bevatten geen persoonsgegevens en zijn niet gekoppeld aan je identiteit. Ze worden verwerkt door Apple en Google Firebase uitsluitend om de integriteit van het verzoek te verifiëren. Rechtsgrond: Art. 6(1)(f) AVG — gerechtvaardigd belang bij de bescherming van onze backend-diensten tegen misbruik en ongeautoriseerde toegang.

8. Firebase Cloud Messaging (push notifications) 8. Firebase Cloud Messaging (pushmeldingen)

If you grant notification permission (iOS will ask), the app registers a push token with Firebase Cloud Messaging (FCM) to enable learning reminders and streak notifications. The push token is a device-level identifier managed by Apple and Firebase. We send notifications only for app-related purposes (e.g., "You have a 3-day streak!"). We do not send marketing messages. Als je toestemming geeft voor meldingen (iOS vraagt dit), registreert de app een push-token bij Firebase Cloud Messaging (FCM) voor leerherinneringen en streaknotificaties. Het push-token is een apparaat-ID die beheerd wordt door Apple en Firebase. We versturen meldingen uitsluitend voor app-gerelateerde doeleinden (bijv. "Je hebt een streak van 3 dagen!"). We versturen geen marketingberichten.

Legal basis: Art. 6(1)(a) GDPR — your consent, given when iOS asks "Allow Rendementje to send you notifications?" You can withdraw consent at any time via iOS Settings → Rendementje → Notifications → Allow Notifications (off). Rechtsgrond: Art. 6(1)(a) AVG — jouw toestemming, gegeven wanneer iOS vraagt "Mag Rendementje je meldingen sturen?" Je kunt toestemming te allen tijde intrekken via iOS-instellingen → Rendementje → Meldingen → Sta meldingen toe (uit).

9. rendementje.nl website — Contentsquare 9. Website rendementje.nl — Contentsquare

The rendementje.nl marketing website uses Contentsquare, a web analytics service that collects session data including page scrolling behaviour, click patterns, and mouse movements to produce aggregate heatmaps and usage reports. Contentsquare may process your IP address, browser type, and session duration. De marketingwebsite rendementje.nl maakt gebruik van Contentsquare, een webanalysedienst die sessiegegevens verzamelt, waaronder scrollgedrag, klikpatronen en muisbewegingen, om geaggregeerde heatmaps en gebruiksrapporten te maken. Contentsquare kan je IP-adres, browsertype en sessieduur verwerken.

Contentsquare is a French company operating under EU data protection rules and subject to a Data Processing Agreement. Session data collected on rendementje.nl is not linked to your in-app account or learning progress. Contentsquare is een Frans bedrijf dat opereert onder de Europese privacyregels en gebonden is aan een verwerkersovereenkomst. Sessiegegevens die op rendementje.nl worden verzameld, zijn niet gekoppeld aan je in-app-account of leervoortgang.

Legal basis: Art. 6(1)(f) GDPR — legitimate interest in understanding how visitors use the website to improve it. Opt-out: You can opt out of Contentsquare data collection at privacy.contentsquare.com/opt-out. Rechtsgrond: Art. 6(1)(f) AVG — gerechtvaardigd belang bij het begrijpen hoe bezoekers de website gebruiken om deze te verbeteren. Opt-out: Je kunt je afmelden voor gegevensverzameling door Contentsquare via privacy.contentsquare.com/opt-out.

11. International data transfers 11. Internationale gegevensdoorgiften

Firebase Firestore, Firebase Analytics, Firebase Crashlytics, Firebase App Check, and Firebase Cloud Messaging are services of Google LLC, which may store and process data on servers in the United States. These transfers are covered by Google's Standard Contractual Clauses (SCCs) approved by the European Commission, as described in Firebase's privacy documentation. Google is also certified under the EU–US Data Privacy Framework. Firebase Firestore, Firebase Analytics, Firebase Crashlytics, Firebase App Check en Firebase Cloud Messaging zijn diensten van Google LLC, die gegevens kunnen opslaan en verwerken op servers in de Verenigde Staten. Deze doorgiften zijn gedekt door de door de Europese Commissie goedgekeurde Standaardcontractbepalingen (SCC's) van Google, zoals beschreven in Firebase's privacydocumentatie. Google is ook gecertificeerd onder het EU–VS Gegevensprivacyraamwerk.

Contentsquare is a French company and processes data within the EU/EEA. Contentsquare is een Frans bedrijf en verwerkt gegevens binnen de EU/EER.

12. Your rights under GDPR 12. Jouw rechten onder de AVG

If you are in the EU/EEA, you have the following rights regarding your personal data: Als je in de EU/EER woont, heb je de volgende rechten met betrekking tot je persoonsgegevens:

• Access (Art. 15): Request a copy of the data we hold about you. Inzage (Art. 15): Vraag een kopie op van de gegevens die wij over jou bewaren.
• Rectification (Art. 16): Request correction of inaccurate data. Rectificatie (Art. 16): Verzoek om correctie van onjuiste gegevens.
• Erasure (Art. 17): Request deletion of your data ("right to be forgotten"). Wissing (Art. 17): Verzoek om verwijdering van je gegevens ("recht op vergetelheid").
• Restriction (Art. 18): Request that processing of your data is restricted. Beperking (Art. 18): Verzoek om beperking van de verwerking van je gegevens.
• Portability (Art. 20): Receive your data in a structured, machine-readable format. Overdraagbaarheid (Art. 20): Ontvang je gegevens in een gestructureerd, machineleesbaar formaat.
• Objection (Art. 21): Object to processing based on legitimate interests (e.g., Analytics, Crashlytics). Bezwaar (Art. 21): Maak bezwaar tegen verwerking op basis van gerechtvaardigde belangen (bijv. Analytics, Crashlytics).
• Withdraw consent (Art. 7): Withdraw any consent you have given (e.g., push notifications) at any time without affecting prior processing. Toestemming intrekken (Art. 7): Trek gegeven toestemming (bijv. pushmeldingen) te allen tijde in, zonder dat dit gevolgen heeft voor eerdere verwerking.

To exercise any of these rights, email dehaasjulian@gmail.com. We will respond within 30 days. You also have the right to lodge a complaint with the Dutch supervisory authority: Autoriteit Persoonsgegevens — autoriteitpersoonsgegevens.nl. Om een van deze rechten uit te oefenen, stuur een e-mail naar dehaasjulian@gmail.com. We reageren binnen 30 dagen. Je hebt ook het recht een klacht in te dienen bij de Nederlandse toezichthouder: Autoriteit Persoonsgegevens — autoriteitpersoonsgegevens.nl.

13. Deleting your data 13. Je gegevens verwijderen

• Delete cloud data: Settings → Delete account. This removes your Firestore document and disassociates your Apple Sign-In account. Cloudgegevens verwijderen: Instellingen → Account verwijderen. Dit verwijdert je Firestore-document en ontkoppelt je Apple-account.
• Delete local data: Delete the Rendementje app from your iPhone. All local progress and preferences are removed. Lokale gegevens verwijderen: Verwijder de Rendementje-app van je iPhone. Alle lokale voortgang en voorkeuren worden gewist.
• Disable push notifications: iOS Settings → Rendementje → Notifications → Allow Notifications (off). Pushmeldingen uitschakelen: iOS-instellingen → Rendementje → Meldingen → Sta meldingen toe (uit).

14. Data retention 14. Bewaartermijnen

Firestore (cloud sync): Retained until you delete your account. Firebase Analytics: Event data is retained by Google for up to 14 months by default. Firebase Crashlytics: Crash reports are retained by Google for 90 days. Push tokens (FCM): Retained until you disable notifications or delete the app. Local device data: Retained until you delete the app. Firestore (cloud sync): Bewaard totdat je je account verwijdert. Firebase Analytics: Gebeurtenisdata wordt door Google standaard maximaal 14 maanden bewaard. Firebase Crashlytics: Crashrapporten worden door Google 90 dagen bewaard. Push-tokens (FCM): Bewaard totdat je meldingen uitschakelt of de app verwijdert. Lokale apparaatgegevens: Bewaard totdat je de app verwijdert.

15. Children's privacy 15. Privacy van minderjarigen

Rendementje is not directed at children under 16. If you are under 16, please do not create an account or use the cloud sync features. We do not knowingly collect personal data from children under 16. If we become aware that we have done so, we will delete that data promptly. Rendementje is niet gericht op kinderen onder de 16 jaar. Als je jonger dan 16 bent, maak dan geen account aan en gebruik de cloud-synchronisatiefuncties niet. We verzamelen bewust geen persoonsgegevens van kinderen onder de 16 jaar. Als we hiervan op de hoogte raken, verwijderen we die gegevens onmiddellijk.

16. Changes to this policy 16. Wijzigingen in dit beleid

Material changes will be reflected by updating the "Last updated" date at the top of this page. If a change significantly affects your rights (e.g., a new category of personal data collected), we will also post a notice in the app. Wezenlijke wijzigingen worden doorgevoerd door de datum "Laatst bijgewerkt" bovenaan deze pagina bij te werken. Als een wijziging significant van invloed is op je rechten (bijv. een nieuwe categorie persoonsgegevens), plaatsen we ook een melding in de app.

17. Contact 17. Contact

Privacy questions or requests: dehaasjulian@gmail.com. We aim to respond within 30 days. For unresolved complaints, contact the Autoriteit Persoonsgegevens at autoriteitpersoonsgegevens.nl. Privacyvragen of -verzoeken: dehaasjulian@gmail.com. We streven naar een reactie binnen 30 dagen. Voor onopgeloste klachten kun je terecht bij de Autoriteit Persoonsgegevens op autoriteitpersoonsgegevens.nl.