Laatst bijgewerkt: 2 mei 2026
1. Wie is verantwoordelijk?
Emetofobie.nl · KvK 77071824
E-mail: info@emetofobie.nl
2. Welke gegevens verwerk ik?
Ik verwerk alleen gegevens die je zelf aan mij verstrekt of die technisch noodzakelijk zijn voor de werking van deze website:
- Contact & aanmelding: naam, e-mailadres, telefoon-/WhatsAppnummer en eventuele inhoudelijke vraag.
- Coaching: de gespreksinhoud, persoonlijke aantekeningen en eventuele werkbladen die we samen invullen.
- Boekhouding: facturatiegegevens (naam, adres, evt. KvK/BTW) wanneer je een product of traject afneemt.
- Nieuwsbrief: e-mailadres en aanmelddatum, indien je je hiervoor inschrijft.
- Technische gegevens: IP-adres, browser- en apparaatinformatie, en geanonimiseerde site-statistieken via Vercel Speed Insights (geen cookies, geen profilering).
3. Waarom verwerk ik deze gegevens?
- Om je vraag of aanmelding te beantwoorden (uitvoering overeenkomst, AVG art. 6 lid 1 sub b).
- Om coaching uit te voeren en daarbij dossier te houden (uitvoering overeenkomst).
- Om aan wettelijke verplichtingen te voldoen, zoals de belastingadministratie (AVG art. 6 lid 1 sub c — bewaarplicht 7 jaar).
- Om de nieuwsbrief te versturen (toestemming, AVG art. 6 lid 1 sub a — uitschrijven kan altijd onderaan de mail).
- Om de website betrouwbaar te laten functioneren (gerechtvaardigd belang).
4. Met wie worden gegevens gedeeld?
Ik verkoop nooit gegevens. Voor de werking van de site en dienstverlening werk ik samen met de volgende verwerkers, die allen onder een verwerkersovereenkomst en in de EU/EER vallen of voldoen aan een passende doorgifte-grond:
- Netlify (EU/US) — hosting van deze website + Functions. Onder DPA, Netlify Trust Center.
- Neon (EU-Frankfurt) — Postgres-database voor cliëntdossier, orders, sessies. Disk-level encryption + aanvullend field-level AES-256-GCM op vrije-tekst velden van het dossier (notities, evaluaties, check-ins).
- Mollie (NL) — verwerking van betalingen (iDEAL, Bancontact, etc.).
- Resend (EU) — verzending van transactionele e-mails zoals facturen en bevestigingen.
- Vercel Speed Insights — cookieloze performance- metrics (anonieme sessies).
- MailerLite (EU) — beheer van de nieuwsbrieflijst (alleen wanneer je je inschrijft).
- WhatsApp (Meta) — als je via WhatsApp contact opneemt, geldt het privacybeleid van Meta voor het transport.
5. Hoe lang bewaar ik gegevens?
- Contactaanvragen zonder vervolg: maximaal 6 maanden.
- Cliëntdossier: gedurende het traject + 5 jaar na afronding (in lijn met richtlijn voor coaching-dossiers; geen WGBO).
- Boekhouding: 7 jaar (wettelijke fiscale bewaarplicht).
- Nieuwsbriefadres: tot je je uitschrijft.
6. Cookies & tracking
Deze website gebruikt geen tracking-cookies en geen advertentie-cookies. Wel kunnen ingesloten diensten, zoals de Cal.com-boeker op de agenda-pagina, eigen cookies plaatsen wanneer je daar bewust mee instemt. Voor die diensten vraag ik om expliciete toestemming voordat ze geladen worden.
7. Jouw rechten
Je hebt onder de AVG recht op:
- Inzage in je gegevens — direct via je klantportaal (de magic-link in elke factuur-mail).
- Data-portabiliteit: download al je gegevens als JSON-bestand via
/api/account/export(vereist geldige portal-token). - Rectificatie: corrigeer je naam/email via portal of mail.
- Verwijdering ("recht om vergeten te worden"): stuur een mail; bij geen lopende fiscale of dossier- bewaarplicht wordt je data binnen 30 dagen verwijderd.
- Bezwaar tegen verwerking en intrekken van toestemming (bv. nieuwsbrief).
Verzoeken naar info@emetofobie.nl. Ik reageer binnen 30 dagen. Klacht? Dien 'm in bij de Autoriteit Persoonsgegevens.
8. Beveiliging
Concrete technische en organisatorische maatregelen om jouw gegevens te beschermen:
- TLS (HTTPS + HSTS preload) op al het verkeer.
- Field-level encryption (AES-256-GCM) op alle vrije-tekst dossier-velden — notities, evaluaties, check-ins, crisis-records. Bij DB-breach blijft die data ontoegankelijk.
- Two-factor authenticatie (TOTP) verplicht voor admin-toegang.
- Strict Content-Security-Policy + CSP-violation reporting tegen XSS.
- Audit-trail van wie wanneer welk dossier opent of wijzigt (intern, niet zichtbaar voor cliënt).
- Magic-link auth voor klantportaal — geen wachtwoorden om te lekken; tokens vervallen na 24u.
- Rate-limiting op gevoelige endpoints (login-callback, check-in, slot-fetcher).
- Beperkte toegang tot productie-data + regelmatige dependency-updates (wekelijkse
npm auditvia CI).
9. Wijzigingen
Bij wezenlijke wijzigingen van deze verklaring informeer ik je via e-mail (indien je in de nieuwsbrief zit) en/of via een melding op deze pagina.
