Privacybeleid
1. Wie zijn wij?
NutraProtocol is een eenmanszaak, ingeschreven bij de Kamer van Koophandel onder nummer 93086962.
- Website: https://nutraprotocol.org
- E-mail (privacy): [email protected]
- E-mail (algemeen): [email protected]
- Telefoon: +31 6 8421 1302
- Adres: Verdunplein 17, 5627 SZ Eindhoven
- Rechtsvorm: Eenmanszaak
Wij zijn verantwoordelijk voor de verwerking van je persoonsgegevens (in AVG-termen: de “verwerkingsverantwoordelijke”). Voor privacy-vragen kun je rechtstreeks contact met ons opnemen via [email protected].
2. Welke persoonsgegevens verzamelen wij?
2.1 Gegevens die je zelf verstrekt
| Gegeven | Wanneer | Doel |
|---|---|---|
| E-mailadres | Early-access aanmelding | Bevestigingsmail sturen, je informeren over beschikbaarheid |
| Intentkeuze (A/B/C) | Early-access aanmelding | Begrijpen hoe je het protocol wilt gebruiken |
| Feedback (optioneel, max 120 tekens) | Early-access aanmelding | Product verbeteren |
| E-mailadres | Mijn Stack (account aanmaken) | Authenticatie via eenmalig wachtwoord (OTP) |
| Supplementkeuzes | Mijn Stack | Je persoonlijke supplementstack opslaan |
Het verstrekken van je e-mailadres bij early-access of Mijn Stack is vrijwillig. Je bent niet wettelijk verplicht deze gegevens te verstrekken. Zonder e-mailadres kun je de betreffende functie echter niet gebruiken. Het protocol zelf (de baselinevragen en aanbevelingen) is volledig toegankelijk zonder je gegevens te verstrekken.
2.2 Gegevens die automatisch worden verzameld
| Gegeven | Methode | Doel |
|---|---|---|
| Paginabezoeken (pad, referrer) | Server-side analytics | Begrijpen welke pagina’s worden bezocht |
Herkomstbron (?ref= parameter) | Server-side | Begrijpen via welke kanalen bezoekers komen |
| Scrolldiepte, leestijd, klikgedrag | Engagement tracking (ons analyse-script) | Website-ervaring verbeteren |
| Stappen in het baselineproces (onboarding start/voltooiing, stackweergaven, productklikken) | Engagement tracking | Begrijpen hoe bezoekers het stapsgewijze proces doorlopen |
| Klikken op productlinks | Redirect-tracking (/go) | Meten welke producten relevant zijn |
| Tijd tot stack-voltooiing (geanonimiseerd) | Engagement tracking | Procesoptimalisatie |
| A/B-experiment toewijzing en klikken | Engagement tracking | Website-varianten vergelijken |
| IP-adres | Server-side (direct gehashd, niet herleidbaar) | Unieke bezoekers tellen en dubbeltelling voorkomen — het volledige IP-adres wordt niet opgeslagen |
| User-Agent (browsertype) | Server-side (gehashd) | Bot-detectie en deduplicatie |
| Terugkeerbezoek-markering | localStorage (np_v) | Onderscheid nieuwe/terugkerende bezoekers |
| IP-hash voor snelheidsbeperking | Server-side | Voorkomen van misbruik early-access formulier (1 uur bewaard) |
Opmerking: Bezoekersaantallen zijn statistische benaderingen, geen exacte tellingen.
2.3 Gegevens die wij NIET verzamelen
- Wij gebruiken geen Google Analytics, Facebook Pixel of vergelijkbare tracking van derden
- Wij plaatsen geen cookies. Alle lokale opslag gebeurt via localStorage in je browser
- Wij verzamelen geen locatiegegevens, camera- of microfoontogang
- De website bevat geautomatiseerde logica die op basis van je antwoorden (land, zonblootstelling, dieet, vormvoorkeur, budget) een gepersonaliseerd supplementoverzicht samenstelt. Dit is geen geautomatiseerde besluitvorming in de zin van AVG art. 22: het heeft geen rechtsgevolgen en geen vergelijkbaar wezenlijk effect op jou. Het betreft uitsluitend informatieve suggesties die je vrijblijvend kunt gebruiken
- Antwoorden op de baselinevragen (execution flow) worden alleen lokaal in je browser opgeslagen en niet naar onze server gestuurd, tenzij je een account aanmaakt
3. Waarvoor gebruiken wij je gegevens?
| Doel | Rechtsgrondslag (AVG) | Specifiek belang |
|---|---|---|
| Bevestigingsmail sturen na aanmelding | Uitvoering overeenkomst (art. 6 lid 1 sub b) | — |
| Account en supplementstack beheren | Uitvoering overeenkomst (art. 6 lid 1 sub b) | — |
| Website-analytics en verbetering | Gerechtvaardigd belang (art. 6 lid 1 sub f) | Het verbeteren van de gebruikerservaring en het optimaliseren van de website op basis van geaggregeerd, niet-herleidbaar bezoekersgedrag |
| Engagement-analyse (scroll, leestijd, klikken, execution flow) | Gerechtvaardigd belang (art. 6 lid 1 sub f) | Begrijpen hoe bezoekers het protocol gebruiken om de informatie beter vindbaar en toegankelijker te maken |
| Affiliate-klikregistratie | Gerechtvaardigd belang (art. 6 lid 1 sub f) | Meten welke productaanbevelingen aansluiten bij de behoefte van bezoekers |
| Fraude- en botpreventie (incl. snelheidsbeperking) | Gerechtvaardigd belang (art. 6 lid 1 sub f) | Bescherming van de dienst tegen misbruik |
| A/B-experimenten | Gerechtvaardigd belang (art. 6 lid 1 sub f) | Vaststellen welke presentatievorm het meest effectief is |
Belangenafweging
Voor elke verwerking op basis van gerechtvaardigd belang hebben wij beoordeeld of jouw belangen zwaarder wegen dan de onze. Onze conclusie is dat de impact op jouw privacy beperkt is, omdat:
- Wij geen volledige IP-adressen opslaan (alleen niet-herleidbare hashes)
- Wij geen cookies plaatsen
- Alle analytische gegevens geaggregeerd en niet op individueel niveau worden verwerkt
- Gegevens automatisch worden verwijderd na 30-90 dagen
- Je browser-instellingen (Do Not Track) worden gerespecteerd
Je hebt altijd het recht om bezwaar te maken tegen verwerking op basis van gerechtvaardigd belang (zie sectie 9).
4. Met wie delen wij gegevens?
Wij verkopen of verhuren je gegevens nooit aan derden. De volgende dienstverleners verwerken gegevens namens ons:
| Dienstverlener | Functie | Vestiging | Doorgifte-waarborg |
|---|---|---|---|
| Cloudflare, Inc. | Hosting, CDN, dataopslag | VS | EU-VS Data Privacy Framework (DPF-gecertificeerd) + DPA |
| Supabase, Inc. | Authenticatie en database (Mijn Stack) | VS | Standard Contractual Clauses (SCCs) + DPA |
| Resend, Inc. | Transactionele e-mail | VS | EU-VS Data Privacy Framework (DPF-gecertificeerd) + DPA |
Cloudflare en Resend zijn gecertificeerd onder het EU-VS Data Privacy Framework, waarvoor de Europese Commissie in juli 2023 een adequaatheidsbesluit heeft genomen. Voor Supabase maken wij gebruik van Standard Contractual Clauses (SCCs) als waarborg voor een passend beschermingsniveau.
Affiliate-partners
Wanneer je op een productlink klikt, word je doorgestuurd naar de webshop van de betreffende verkoper (o.a. bol.com). Vanaf dat moment geldt het privacybeleid van die verkoper. Wij delen geen persoonsgegevens met affiliate-partners — alleen het feit dat er een klik heeft plaatsgevonden wordt geregistreerd (zonder identificerende gegevens).
Interne notificaties
Bij een early-access aanmelding sturen wij een interne notificatie naar onszelf met een geanonimiseerd e-mailadres (bijv. abc***@domein.nl), je intentkeuze en een tijdstempel. Dit is uitsluitend voor onze eigen administratie.
5. Hoe lang bewaren wij je gegevens?
| Gegeven | Bewaartermijn |
|---|---|
| Early-access aanmelding (e-mail, intent, feedback) | 90 dagen (automatische verwijdering) |
| Paginabezoeken en herkomstbronnen | 30 dagen |
| Engagement- en klikgegevens | 90 dagen |
| Productkliks (affiliate) | 90 dagen |
| A/B-experimentgegevens | 90 dagen |
| Misbruikpreventie | 1 uur |
| Mijn Stack account en supplementkeuzes | Zolang je account actief is; na verwijdering binnen 30 dagen gewist |
| localStorage in je browser | Totdat je deze zelf wist via je browserinstellingen |
6. Lokale opslag (localStorage)
Wij gebruiken localStorage in je browser. Zie ons Cookiebeleid voor de volledige lijst en uitleg. Samengevat:
- Functioneel (altijd actief): themavoorkeur, opgeslagen baselinevragen, aanmeldstatus
- Analytisch (alleen na toestemming): terugkeerbezoek-markering, poll-apparaat-ID
Antwoorden op de baselinevragen worden alleen lokaal in je browser opgeslagen en niet naar onze server gestuurd.
7. Do Not Track (DNT)
Wij respecteren het Do Not Track-signaal van je browser. Als je browser DNT verstuurt, worden er geen analytics- of engagementgegevens verzameld via ons eigen tracking-script.
8. Beveiliging
Wij nemen passende technische en organisatorische maatregelen om je gegevens te beschermen:
- HTTPS-versleuteling op alle pagina’s (HSTS ingeschakeld)
- Strikte Content Security Policy (CSP)
- Geen opslag van volledige IP-adressen
- Toegangsbeperking tot interne beheersystemen
- Automatische gegevensverwijdering via TTL-mechanismen
9. Je rechten
Op grond van de AVG heb je de volgende rechten:
| Recht | Toelichting |
|---|---|
| Inzage (art. 15) | Opvragen welke gegevens wij van je hebben |
| Rectificatie (art. 16) | Onjuiste gegevens laten corrigeren |
| Verwijdering (art. 17) | Vragen om verwijdering van je gegevens |
| Beperking (art. 18) | Vragen de verwerking te beperken |
| Overdraagbaarheid (art. 20) | Je gegevens opvragen in een machineleesbaar formaat |
| Bezwaar (art. 21) | Bezwaar maken tegen verwerking op basis van gerechtvaardigd belang |
| Intrekking toestemming (art. 7) | Eerder gegeven toestemming op elk moment intrekken |
Neem contact op via [email protected]. Wij reageren zo spoedig mogelijk, uiterlijk binnen één maand. Bij complexe verzoeken kan deze termijn eenmaal met twee maanden worden verlengd; wij informeren je daarover binnen de eerste maand.
Klacht indienen
Als je niet tevreden bent over de afhandeling van je verzoek, kun je een klacht indienen bij de Autoriteit Persoonsgegevens:
- Website: autoriteitpersoonsgegevens.nl
- Telefoon: 070 - 888 85 00
- Adres: Bezuidenhoutseweg 30, 2594 AV Den Haag
10. Minderjarigen
NutraProtocol is gericht op volwassenen (18+). Wij verzamelen niet bewust gegevens van personen jonger dan 16 jaar. Als je vermoedt dat een minderjarige gegevens heeft verstrekt, neem dan contact met ons op via [email protected] zodat wij deze kunnen verwijderen.
11. Wijzigingen
Wij kunnen dit privacybeleid aanpassen. Wezenlijke wijzigingen worden aangekondigd op de website en — als je een account hebt — per e-mail. De meest recente versie is altijd beschikbaar op nutraprotocol.org/vegan-baseline/privacybeleid.html.