Privacyverklaring - ReflectieTrainer
Versie 1.2 - 10 mei 2026
1. Wie zijn wij?
ReflectieTrainer is een product van Bakery Labs en wordt aangeboden door:
Bakery Labs (eenmanszaak Matthijs Bakker) Nederland Email: support@reflectietrainer.nl
Wij zijn verantwoordelijk voor de verwerking van jouw persoonsgegevens zoals beschreven in deze privacyverklaring.
2. Welke gegevens verzamelen wij?
2.1 Gegevens die je zelf verstrekt
| Gegeven | Wanneer | Doel |
|---|---|---|
| Emailadres | Bij uitnodiging of registratie | Toegang verlenen, communicatie |
| Naam (voor- en achternaam) | Bij onboarding | Personalisatie, certificaat |
| Organisatie | Bij trainer-account | Facturatie, groepering |
| Ingevoerde reflecties | Bij open oefeningen | AI-feedback genereren, voortgang trainer |
2.2 Gegevens die automatisch worden verzameld
| Gegeven | Doel |
|---|---|
| Voortgang in oefeningen | Functionaliteit (bijhouden waar je bent) |
| AI-feedback (score, tips, voorbeeldreflectie) | Tonen aan jou en je trainer |
| Gebruiksstatistieken | Verbeteren van de dienst |
| Technische gegevens (IP, browser) | Beveiliging, foutopsporing |
2.3 Gegevens via cookies/analytics
Wij gebruiken PostHog voor analytics. Met jouw toestemming (cookies) verzamelt dit:
- Paginabezoeken
- Klikgedrag
- Sessieduur
- Apparaat- en browserinformatie
Je kunt analytics cookies weigeren via de cookiebanner.
2.4 Server-side analytics (zonder cookies)
Ongeacht je cookievoorkeuren verzamelen wij geaggregeerde, niet-herleidbare paginabezoekgegevens via onze server. Hierbij wordt:
- Geen persoonsprofiel aangemaakt in PostHog (
$process_person_profile: false) - Een dagelijks wisselende, niet-herleidbare hash gebruikt als bezoeker-ID (geen IP-adres of persoonsgegevens opgeslagen)
- Alleen de bezochte pagina, versie en paginatype vastgelegd
Dit dient uitsluitend voor productverbetering (welke versies en oefeningen worden het meest gebruikt). Deze gegevens zijn niet herleidbaar tot individuele personen.
3. Waarvoor gebruiken wij jouw gegevens?
| Doel | Grondslag (AVG) |
|---|---|
| Toegang bieden tot de dienst | Uitvoering overeenkomst |
| AI-feedback genereren op reflecties | Uitvoering overeenkomst |
| Voortgang bijhouden en tonen aan trainer | Uitvoering overeenkomst |
| Communicatie over de dienst (uitnodigingsmails, certificaat) | Uitvoering overeenkomst |
| Verbeteren van de dienst | Gerechtvaardigd belang |
| Facturatie | Wettelijke verplichting |
| Verwerking in het kader van geloofs- of pastorale oefenscenario's | Toestemming (zie sectie 4a) |
4. Sub-processors (delen met derden)
Voor de uitvoering van de Dienst maken wij gebruik van een aantal zorgvuldig geselecteerde sub-processors. Met al deze partijen sluiten wij — waar wettelijk vereist — een verwerkersovereenkomst en/of vertrouwen wij op hun standaardcontractbepalingen. Wij verkopen of verhuren jouw gegevens nooit aan derden.
| Sub-processor | Functie | Welke gegevens | Locatie / jurisdictie |
|---|---|---|---|
| Anthropic | AI-evaluatie van reflecties (Claude-model) | Cliëntuitspraak en jouw reflectietekst (zonder identificerende metadata) | EU/VS — data niet bewaard voor model-training (per Anthropic data-policy voor API-klanten) |
| Mollie B.V. | Betalingsverwerking voor de B2C-aankoop (€39,95) | Naam, e-mailadres, transactie-id, bedrag, betaalmethode. Kaart- en bankgegevens worden uitsluitend door Mollie verwerkt en bereiken onze infrastructuur niet. | EU (Amsterdam) — DNB-vergunninghouder, Mollie privacyverklaring |
| Resend | Verzenden van transactionele e-mail (uitnodigingen, certificaten, password-reset, betaalbevestiging) | Emailadres, naam, transactiecontent | EU/VS — geen marketing-tracking |
| Sentry | Error monitoring en debugging | Stack traces, gestripte error-context (vrije-tekst-velden zoals reflecties worden expliciet niet doorgegeven) | EU-region — PII-stripping toegepast |
| Supabase | Database, authenticatie en bestandsopslag | Account-data, voortgang, reflectietekst, AI-feedback, namen | EU (Frankfurt) |
| PostHog | Product-analytics | Geaggregeerde paginabezoeken; gepersonaliseerde events alleen na cookie-toestemming | EU (Frankfurt) — consent-gated |
| Vercel | Web-hosting + edge-network (CDN) | Verzoeken naar de website, edge-cache | Wereldwijd via CDN; primaire functions draaien in regio fra1 (Frankfurt) |
Door gebruik te maken van de Dienst stem je in met verwerking van jouw gegevens door bovenstaande sub-processors voor de doeleinden zoals beschreven (AI-evaluatie, hosting, e-mail, monitoring en analyse).
4a. Alle oefenscenario's zijn fictief — voer geen echte gegevens in
Belangrijk: alle cliëntuitspraken in ReflectieTrainer zijn fictief. De namen, situaties en context zijn verzonnen om je veilig te laten oefenen.
Voer in jouw reflectietekst nooit echte herleidbare informatie in over:
- patiënten, cliënten, parochianen of bewoners
- leerlingen of studenten
- collega's, familieleden of bekenden
- eigen medische, religieuze of andere bijzondere persoonsgegevens (artikel 9 AVG)
Als jij ervoor kiest om alsnog herleidbare of bijzondere persoonsgegevens te plaatsen, dan ben je daar zelf verantwoordelijk voor. Wij verwerken jouw tekst uitsluitend om AI-feedback te genereren en je voortgang aan jou en (indien van toepassing) je trainer te tonen. Op verzoek verwijderen we je reflectietekst direct (zie sectie 7).
5. Bewaartermijnen
| Gegeven | Bewaartermijn |
|---|---|
| Account / sessiegegevens | Tot 2 jaar na laatste gebruik of op verzoek |
| Reflectietekst en AI-feedback | Tot 2 jaar na laatste activiteit, of eerder op verzoek |
| AI-samenvattingen van studentvoortgang | Idem: tot 2 jaar na laatste activiteit |
| Anonieme scores en voortgangstellingen | Mogelijk langer voor geaggregeerde statistieken, zonder herleidbare inhoud |
| Factuurgegevens en betalingsadministratie (incl. Mollie-transactie-ids, bedragen, datums) | 7 jaar (wettelijke verplichting op grond van artikel 52 AWR) |
| Analytics (PostHog) | 26 maanden |
5a. Verwijderen op verzoek
- Je kunt te allen tijde verwijdering aanvragen via support@reflectietrainer.nl.
- Op verzoek wordt jouw reflectietekst, AI-feedback en bijbehorende samenvattingen direct uit
session_progressentrainer_student_summariesverwijderd. - Anonieme scores en completion-timestamps kunnen wij langer bewaren voor geaggregeerde statistieken, zonder herleidbare inhoud.
- Verwijdering door jouw trainer kan ook plaatsvinden bij afronding of opzegging van de trainingsgroep.
6. Beveiliging
Wij nemen passende maatregelen om jouw gegevens te beschermen:
- Versleutelde verbindingen (HTTPS / TLS)
- Toegangscontrole via Row Level Security (RLS) in onze database
- Eigenaarscontrole op elke server-actie
- Regelmatige back-ups
- Hosting binnen de EU waar mogelijk (zie sectie 4)
7. Jouw rechten
Op grond van de AVG heb je de volgende rechten:
| Recht | Betekenis |
|---|---|
| Inzage | Je kunt opvragen welke gegevens wij van je hebben |
| Correctie | Je kunt onjuiste gegevens laten aanpassen |
| Verwijdering | Je kunt vragen om verwijdering van je gegevens |
| Beperking | Je kunt vragen de verwerking te beperken |
| Overdraagbaarheid | Je kunt je gegevens opvragen in een gangbaar formaat |
| Bezwaar | Je kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang |
| Toestemming intrekken | Je kunt gegeven toestemming altijd intrekken |
Verzoek indienen
Stuur een email naar support@reflectietrainer.nl met je verzoek. Wij voeren verwijderings- en inzage-verzoeken binnen 30 dagen uit (Service Level Agreement). Bij verzoeken die identiteits-verificatie vereisen, kunnen wij om een kopie van je ID vragen (BSN en pasfoto mogen worden afgeschermd).
Account-zelfverwijdering
Een knop voor zelf-verwijdering binnen de applicatie is in voorbereiding. Tot die tijd is verwijderen via support@reflectietrainer.nl de aangewezen route. Verwijdering van je account leidt tot verwijdering van alle aan jou gekoppelde reflectietekst, AI-feedback en samenvattingen.
8. Cookies
Noodzakelijke cookies
- Sessie-cookies voor inloggen en sessie-toegang (
rt_session) - Voorkeuren (taalinstelling, cookie-toestemming)
Analytics cookies (optioneel)
- PostHog voor gebruiksstatistieken
Je kunt analytics cookies weigeren via de cookiebanner. De dienst blijft dan volledig functioneel.
9. Trainers en deelnemers
Als je trainer bent:
- Je bent mede-verantwoordelijk voor de gegevens van je deelnemers
- Je mag alleen deelnemers toevoegen die daarmee instemmen
- Je ziet per deelnemer: scores, voortgang, de reflectietekst die is ingevoerd en de AI-feedback die daarop gegenereerd is (zie sectie 9a)
Als je deelnemer bent:
- Je trainer kan zien welke oefeningen je hebt gedaan en je scores
- Je trainer kan ook je ingevoerde reflectietekst en de bijbehorende AI-feedback zien — dit is bedoeld zodat de trainer je voortgang inhoudelijk kan begeleiden
- Andere deelnemers in je groep zien jouw gegevens niet
- Andere trainers (buiten je eigen trainingsgroep) zien jouw gegevens niet
- Je kunt je eigen gegevens altijd inzien en laten verwijderen (zie sectie 7 en 9a)
Magic-link risico
Toegang voor deelnemers wordt verleend via een unieke uitnodigingslink (magic link) per e-mail. Doorsturen van deze e-mail aan een derde geeft die derde feitelijk toegang tot de Dienst onder jouw sessie gedurende de looptijd (typisch 3 maanden). Wij raden aan deze e-mail vertrouwelijk te behandelen. Bij vermoeden van misbruik kun je via support@reflectietrainer.nl verzoeken om de sessie te invalideren.
9a. Trainingsgegevens in het trainer-dashboard
Sinds de introductie van het trainer-dashboard (2026) bewaren wij aanvullende gegevens om trainers in staat te stellen de voortgang van hun groep te volgen.
Welke gegevens bewaren we?
| Gegeven | Inhoud | Opslag |
|---|---|---|
reflection_text | De reflectietekst die je zelf hebt ingevoerd bij een open oefening | session_progress |
feedback_json | De door AI gegenereerde feedback op jouw reflectie (score, wat ging goed, tips, voorbeeldreflectie) | session_progress |
| AI-samenvattingen | Geaggregeerde samenvattingen van je voortgang per trainingsgroep | trainer_student_summaries |
| Scores en voortgang | Welke oefeningen je hebt afgerond, met welke score en wanneer | session_progress |
Hoe lang bewaren we het?
Zie sectie 5a — kort samengevat: looptijd van de trainingsgroep + 30 dagen grace-periode.
Wie ziet het?
- Alleen de trainer(s) van jouw trainingsgroep zien jouw reflectietekst, AI-feedback en samenvatting
- Andere studenten in je groep zien jouw gegevens niet
- Trainers van andere groepen zien jouw gegevens niet
- ReflectieTrainer-beheerders hebben technisch toegang voor onderhoud en support, maar raadplegen de inhoud alleen indien strikt noodzakelijk
Toegangscontrole wordt afgedwongen via Row Level Security (RLS) in onze database en een eigenaarscontrole op elke serveractie.
Fictieve oefenscenario's
Alle cliëntuitspraken in ReflectieTrainer zijn fictief. De cliëntuitspraken zijn verzonnen trainingsscenario's voor Motivational Interviewing, geen echte patiënten of cliënten. Een reflectie die je invoert betreft dus een oefensituatie, niet een persoon uit je beroepspraktijk.
Adviseer: voeg in je reflectietekst geen herleidbare informatie toe over echte cliënten, patiënten, collega's of familieleden.
9b. Eigen scenario's (pilot, feature-flag)
Sinds 2026 kunnen geselecteerde gebruikers eigen oefenscenario's aanmaken. Deze functionaliteit is beschikbaar voor een beperkte groep deelnemers en alleen na expliciete activatie door een beheerder.
Welke gegevens bewaren we?
| Gegeven | Inhoud | Opslag |
|---|---|---|
| Titel + cliënt-uitspraak + context | De geparafraseerde oefenscenario's die je zelf invoert | custom_scenarios |
| Reflectiepogingen | Je reflectietekst per poging, het gekozen reflectietype en de AI-feedback | custom_scenario_attempts |
Waarvoor gebruiken we het?
| Doel | Grondslag (AVG) |
|---|---|
| Je eigen oefenbibliotheek aanbieden en de AI-feedback genereren | Uitvoering overeenkomst |
| De feedbackkwaliteit van onze AI-evaluator monitoren en verbeteren | Gerechtvaardigd belang |
Beoordeling door ons team
Eigen scenario's en de AI-feedback erop kunnen door ons team worden beoordeeld om te onderzoeken waar de AI-evaluator goed of minder goed werkt op input buiten onze gecureerde catalogus. Dit is de enige verwerking met een ander doel dan jouw eigen oefening.
Bewaartermijn en geanonimiseerde retentie na verwijdering
-
Zolang je het scenario in je bibliotheek houdt: bewaard zoals hierboven beschreven, gekoppeld aan jouw account.
-
Bij verwijdering door jou: het oorspronkelijke scenario en alle bijbehorende pogingen worden direct uit je bibliotheek verwijderd. Een geanonimiseerde kopie wordt bewaard voor het kwaliteitswerk hierboven. Deze kopie bevat:
- De cliënt-uitspraak en de context (zoals jij die hebt ingevoerd)
- Het reflectietype, je reflectietekst en de AI-feedback
- Een op de dag afgeronde datum (geen tijdstip)
- Geen account-ID, e-mailadres, scenario-ID of titel
Deze velden zijn niet herleidbaar tot jou als individu.
-
Bij verwijdering van je account: alle scenario's en pogingen worden eveneens verwijderd; de geanonimiseerde kopie blijft bewaard onder dezelfde voorwaarden.
Wie ziet het?
- Alleen ReflectieTrainer-beheerders hebben toegang tot de geanonimiseerde kopieën, en uitsluitend via een interne reviewpagina met server-side roltoetsing.
- Trainers zien je eigen scenario's niet — ook niet de scenario's die je aanmaakt terwijl je in een trainingsgroep zit.
Adviseer
Schrijf altijd geparafraseerd: gebruik geen echte namen, geboortedata, woonadressen of andere herleidbare gegevens van cliënten, patiënten, collega's of familieleden.
10. Wijzigingen
Wij kunnen deze privacyverklaring wijzigen. Substantiële wijzigingen kondigen wij minimaal 30 dagen van tevoren aan via email of de website.
11. Klachten
Niet tevreden over hoe wij met je gegevens omgaan? Neem eerst contact met ons op. Je kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens: www.autoriteitpersoonsgegevens.nl
12. Contact
Vragen over privacy?
Email: support@reflectietrainer.nl
Deze privacyverklaring is voor het laatst bijgewerkt op 1 mei 2026.