Privacybeleid Umely B.V.

Versie 1.0 — Vastgesteld april 2026

1. Identiteit en contactgegevens verwerkingsverantwoordelijke

Umely B.V., ingeschreven in het Handelsregister van de Kamer van Koophandel onder nummer 90184688, gevestigd te Lelystad, Nederland, is de verwerkingsverantwoordelijke in de zin van artikel 4, lid 7 van de Algemene Verordening Gegevensbescherming (AVG / EU 2016/679).

Contactadres voor privacyzaken: info@umely.ai

2. Toepassingsgebied

Dit privacybeleid is van toepassing op alle verwerkingen van persoonsgegevens die plaatsvinden in het kader van het gebruik van het e-learningplatform van Umely B.V., inclusief de registratie, het gebruik van de leeromgeving en de afhandeling van betalingen.

3. Categorieën persoonsgegevens en doeleinden

Wij verwerken uitsluitend persoonsgegevens die noodzakelijk zijn voor de in dit artikel genoemde doeleinden. Wij hanteren het beginsel van minimale gegevensverwerking als bedoeld in artikel 5, lid 1, sub c AVG.

3.1 Accountgegevens

Doeleinde: het aanmaken en beheren van een gebruikersaccount.
Gegevens: voor- en achternaam, e-mailadres.
Rechtsgrond: uitvoering van een overeenkomst (artikel 6, lid 1, sub b AVG).

3.2 Betalingsgegevens

Doeleinde: het verwerken en administreren van abonnementsbetalingen.
Gegevens: wij verwerken zelf geen betaalkaartgegevens. De betaalverwerking geschiedt door Stripe Payments Europe, Ltd. Van Stripe ontvangen wij uitsluitend een pseudonieme klant-ID en de abonnementsstatus.
Rechtsgrond: uitvoering van een overeenkomst (artikel 6, lid 1, sub b AVG).

3.3 Voortgangsgegevens

Doeleinde: het bijhouden en weergeven van leervoortgang, inclusief modules, voltooiingspercentage en quizresultaten.
Gegevens: gebruikers-ID, module-ID's, voltooiingspercentages, quizscores en tijdstempels.
Rechtsgrond: uitvoering van een overeenkomst (artikel 6, lid 1, sub b AVG).

3.4 Technische gegevens

Doeleinde: beveiliging van het platform, foutopsporing en fraudepreventie.
Gegevens: IP-adres, browsertype en tijdstempel, opgeslagen in tijdelijke serverlogboeken.
Rechtsgrond: gerechtvaardigd belang (artikel 6, lid 1, sub f AVG). Ons gerechtvaardigde belang bestaat uit het waarborgen van de integriteit en veiligheid van het platform. Dit belang weegt zwaarder dan het privacybelang van de betrokkene, gelet op de beperkte duur van de opslag en de aard van de verwerkte gegevens.

3.5 Transactionele communicatie

Doeleinde: het verzenden van e-mails ter uitvoering van de overeenkomst, waaronder e-mailverificatie en wachtwoordherstel.
Gegevens: e-mailadres.
Rechtsgrond: uitvoering van een overeenkomst (artikel 6, lid 1, sub b AVG).

Wij verwerken geen bijzondere categorieën persoonsgegevens als bedoeld in artikel 9 AVG. Wij verkopen persoonsgegevens niet aan derden en verwerken ze niet ten behoeve van profilering, geautomatiseerde besluitvorming of gerichte advertenties.

4. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld, overeenkomstig artikel 5, lid 1, sub e AVG.

Accountgegevens en voortgangsgegevens: tot 30 dagen na beëindiging van het account, waarna definitieve verwijdering plaatsvindt.
Financiële administratie (waaronder betaalreferenties): 7 jaar na het boekjaar waarin de transactie heeft plaatsgevonden, op grond van artikel 52 van de Algemene wet inzake rijksbelastingen.
Technische logboekgegevens: maximaal 30 dagen, tenzij een beveiligingsincident langere bewaring vereist op grond van een wettelijke verplichting.

5. Ontvangers en subverwerkers

Wij maken gebruik van de volgende subverwerkers. Met iedere subverwerker is een verwerkersovereenkomst gesloten die voldoet aan de vereisten van artikel 28 AVG.

Supabase, Inc.

Functie: authenticatie en databasehosting.
Locatie van verwerking: Europese Unie (EU-regio).
Grondslag voor doorgifte: adequaatheidsbesluit en standaardcontractbepalingen (SCC's).

Stripe Payments Europe, Ltd.

Functie: betaalverwerking.
Locatie van verwerking: Ierland (EU) en, in beperkte mate, de Verenigde Staten.
Certificering: PCI-DSS niveau 1.
Grondslag voor doorgifte: standaardcontractbepalingen (SCC's) conform artikel 46 AVG.

Anthropic, PBC

Functie: AI-contentgeneratie ten behoeve van het platform.
Toegang: uitsluitend voor beheerders van Umely B.V. Geen gebruikerspersoonsgegevens worden aan Anthropic doorgegeven of door Anthropic verwerkt.
Locatie: Verenigde Staten.
Grondslag voor doorgifte: standaardcontractbepalingen (SCC's) conform artikel 46 AVG.

Buiten de hierboven genoemde subverwerkers worden persoonsgegevens niet aan derden verstrekt, tenzij Umely B.V. daartoe wettelijk verplicht is op grond van een rechterlijk bevel of een wettelijk voorschrift.

6. Rechten van betrokkenen

Op grond van de AVG heeft u de volgende rechten, die u kunt uitoefenen via info@umely.ai:

Recht op inzage (artikel 15 AVG): u kunt opvragen welke persoonsgegevens wij van u verwerken.
Recht op rectificatie (artikel 16 AVG): u kunt onjuiste of onvolledige gegevens laten corrigeren.
Recht op verwijdering (artikel 17 AVG): u kunt verzoeken om verwijdering van uw persoonsgegevens, voor zover geen wettelijke bewaarplicht van toepassing is.
Recht op beperking van de verwerking (artikel 18 AVG): u kunt verzoeken de verwerking tijdelijk te beperken.
Recht op dataportabiliteit (artikel 20 AVG): u kunt verzoeken om overdracht van uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat.
Recht van bezwaar (artikel 21 AVG): u kunt bezwaar maken tegen verwerking op grond van gerechtvaardigd belang.

Wij reageren op uw verzoek binnen de wettelijke termijn van één maand (artikel 12, lid 3 AVG). Deze termijn kan met twee maanden worden verlengd indien de complexiteit van het verzoek dit rechtvaardigt, waarover wij u tijdig informeren.

7. Beveiliging

Wij treffen passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens, overeenkomstig artikel 32 AVG. Dit omvat onder meer:

Versleutelde verbindingen via TLS/HTTPS voor alle datatransport.
Gehashte opslag van wachtwoorden via Supabase Auth (bcrypt).
Betaalgegevens worden uitsluitend verwerkt door Stripe en passeren onze infrastructuur op geen enkel moment.
Toegang tot persoonsgegevens is beperkt tot medewerkers en verwerkers voor wie toegang noodzakelijk is.

Bij een inbreuk in verband met persoonsgegevens die een risico inhoudt voor de rechten en vrijheden van betrokkenen, informeren wij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking, overeenkomstig artikel 33 AVG. Indien de inbreuk waarschijnlijk een hoog risico inhoudt, informeren wij ook de betrokken gebruikers zonder onredelijke vertraging conform artikel 34 AVG.

8. Cookies en vergelijkbare technologieën

Wij plaatsen uitsluitend technisch noodzakelijke cookies en sessieopslaggegevens ten behoeve van authenticatie. Deze cookies zijn vrijgesteld van de toestemmingsverplichting op grond van artikel 11.7a, lid 3 van de Telecommunicatiewet. Wij plaatsen geen tracking-, analyse- of advertentiecookies.

9. Wijzigingen in dit beleid

Wij behouden ons het recht voor dit privacybeleid te wijzigen. Bij materiële wijzigingen informeren wij geregistreerde gebruikers per e-mail minimaal 14 dagen voor inwerkingtreding. De actuele versie van dit beleid is te allen tijde beschikbaar via het platform. De datum van de laatste wijziging is vermeld bovenaan dit document.

10. Klachten en toezichthouder

Indien u van mening bent dat wij uw persoonsgegevens niet in overeenstemming met de AVG verwerken, verzoeken wij u eerst contact met ons op te nemen via info@umely.ai. Wij streven naar een oplossing binnen 30 dagen.

U heeft tevens het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit. In Nederland is dit de Autoriteit Persoonsgegevens, bereikbaar via autoriteitpersoonsgegevens.nl.