Privacybeleid

ReadLab is een educatieve applicatie voor kinderen van 6 tot 12 jaar, gericht op het verbeteren van leesvaardigheid. ReadLab wordt uitgegeven door Gymspiratie B.V. (KvK 90564480), gevestigd in Nederland (hierna: "wij", "ons" of "ReadLab").

Wij verwerken de volgende gegevens:

• Ouders/verzorgers (account): e-mailadres, taalvoorkeur, toestemmingsdatum + policy-versie. Bij gebruik van Apple Sign-In ontvangen wij daarnaast een Apple identifier (provider_id en sub), uw e-mailadres (mogelijk een Apple private-relay-adres) en optioneel uw naam wanneer u die deelt tijdens het inloggen. Deze velden zijn nodig om uw account aan te maken en herkennen.
• Kinderen (kindprofiel): bijnaam (ingevoerd door de ouder; wij vragen uitdrukkelijk om geen echte naam te gebruiken - wij slaan op wat u typt), leeftijd, gekozen avatar, leesniveau, voortgangsgegevens en gamification-cijfers (XP, streak). Wij verzamelen geenadvertentie-ID's, locatiegegevens of cross-app trackinggegevens van kinderen.
• Abonnement (RevenueCat): abonnementsstatus, aankoopgeschiedenis en een anonieme app-identifier. Deze identifier wordt door de RevenueCat-SDK al gegenereerd bij de eerste app-start, dus voordat u een account aanmaakt of toestemming geeft. De identifier bevat geen persoonsgegevens; pas na registratie koppelen wij hem aan uw account.
• Technische gebruiksgegevens (analytics): per sessie loggen wij geanonimiseerd welke oefening werd gestart of voltooid, op welk niveau, hoeveel vragen goed/fout waren, app-versie en platform. Deze gegevens bevatten geen kindprofiel-id of account-id en kunnen niet aan een specifieke gebruiker worden gekoppeld. Doel: voortgangsverbetering, foutopsporing en productverbetering. Bewaartermijn: 90 dagen.
• Technische beveiligingsgegevens: IP-adres, apparaattype, browsertype - uitsluitend voor beveiliging en foutopsporing tijdens een actieve sessie.

Wij verzamelen geen gevoelige persoonsgegevens zoals BSN, gezondheidsgegevens of financiële informatie. Wij verkopen kindgegevens nooit en delen ze niet voor reclame- of profileringsdoeleinden.

Wij verwerken persoonsgegevens uitsluitend voor de doelen waarvoor ze nodig zijn. Per doel benoemen wij de juridische grondslag.

• De app laten werken en voortgang bewaren. Zonder deze gegevens kunnen wij de dienst niet leveren die u afneemt (grondslag: uitvoering van de overeenkomst, AVG Art. 6 lid 1 sub b).
• Ouders inzicht geven in de voortgang van hun kind. Een kerntoezegging van het product die past binnen de redelijke verwachting van de gebruiker (grondslag: gerechtvaardigd belang, AVG Art. 6 lid 1 sub f).
• Voldoen aan wettelijke verplichtingen, waaronder COPPA, AVG en fiscale bewaarplicht (grondslag: wettelijke verplichting, AVG Art. 6 lid 1 sub c).

Omdat onze app gericht is op kinderen jonger dan 16 jaar, vragen wij vooraf uitdrukkelijke toestemming van een ouder of wettelijk verzorger voordat een kind de app kan gebruiken (conform Art. 8 AVG en COPPA). Dit doen wij via een verplichte toestemmingscheckbox in de app op het moment dat de ouder een kindprofiel aanmaakt. De ouder bevestigt hiermee expliciet welke gegevens worden opgeslagen en welke niet.

Zonder toestemming worden geen kindgegevensopgeslagen. Voor de volledigheid: zoals beschreven in sectie 2 genereert de RevenueCat-SDK al bij de eerste app-start een anonieme app-identifier en logt de app geanonimiseerde sessie-gebruiksgegevens. Beide bevatten geen kindgegevens en zijn niet aan een specifieke gebruiker gekoppeld.

Verifieerbare ouder-toestemming (Art. 8 AVG & COPPA §312.5): Wij combineren Apple Sign-In (authenticatie via een geverifieerde Apple ID) met een expliciete toestemmings-checkbox bij het aanmaken van een kindprofiel, server-side vastlegging van de toestemmings- datum en policy-versie, en een parental PIN-gate vóór destructieve acties. Deze combinatie beschouwen wij als “redelijke inspanning” onder Art. 8 AVG. Wij verzamelen minimale gegevens (geen tracking-SDKs, geen advertising-ID, geen foto- of video-opnames) en delen géén kindgegevens met derden voor advertentie- of profiling-doeleinden. Voor Amerikaanse gebruikers (COPPA): zie ook sectie 10 hieronder.

Toestemming pauzeren of intrekken: U kunt uw toestemming op elk moment pauzeren (kindprofiel blijft bewaard, er wordt geen nieuwe voortgang opgeslagen en het kind kan niet oefenen tot u hervat) of definitief intrekken (kindprofiel en alle voortgangsdata worden verwijderd). Beide opties staan in het ouder-dashboard in de app (kindprofiel → Toestemming pauzeren / Kindprofiel verwijderen). Alternatief kunt u een e-mail sturen naar privacy@readlab.app.

Gegevens verwijderen: U kunt het kindprofiel en alle bijbehorende data direct verwijderen via het ouder-dashboard in de app. Alternatief kunt u een e-mail sturen naar privacy@readlab.app.

Wij verkopen uw gegevens nooit. Wij delen gegevens uitsluitend met:

• Supabase (databasehosting, gevestigd in de EU) - privacybeleid.
• Vercel (webhosting voor de website, gevestigd in de VS - EU-US Data Privacy Framework + SCCs van toepassing; DPA via Vercel-standaardovereenkomst) - privacybeleid.
• Brevo (gevestigd in de EU) - voor authenticatie, verwerking van wachtlijst-aanmeldingen en het versturen van nieuwsbrieven (zowel via de website als de app) - privacybeleid.
• RevenueCat (in-app aankopen en abonnementen, gevestigd in de VS - SCCs van toepassing) - privacybeleid.

Derden mogen uw gegevens niet gebruiken voor eigen doeleinden.

Geen advertentienetwerken: wij delen geen persoonlijke gegevens met advertentienetwerken zoals Meta of Google.

Internationale doorgifte: Supabase en Brevo verwerken gegevens binnen de EU. Vercel en RevenueCat zijn gevestigd in de VS; voor deze partijen zijn Standard Contractual Clauses (SCCs) van toepassing om een passend beschermingsniveau te waarborgen.

Alle gegevens worden versleuteld opgeslagen en verstuurd (HTTPS/TLS). Toegang tot persoonsgegevens is beperkt tot bevoegde medewerkers.

• Waitlist e-mailadressen: tot 6 maanden na lancering of bij uitschrijving.
• Accountgegevens en voortgang: zolang het account actief is + maximaal 1 jaar na beëindiging.

Op grond van de AVG heeft u de volgende rechten:

• Recht op inzage (Art. 15): U kunt opvragen welke gegevens wij van u verwerken.
• Recht op rectificatie (Art. 16): U kunt onjuiste gegevens laten corrigeren.
• Recht op verwijdering (Art. 17): U kunt verzoeken om verwijdering van uw gegevens.
• Recht op beperking (Art. 18): U kunt de verwerking van uw gegevens laten beperken.
• Recht op dataportabiliteit (Art. 20): U kunt uw gegevens in een gestructureerd formaat ontvangen.
• Recht op bezwaar (Art. 21): U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
• Geautomatiseerde besluitvorming (Art. 22): Wij nemen geen besluiten op basis van uitsluitend geautomatiseerde verwerking die rechtsgevolgen voor u hebben.

Veel van deze rechten kunt u direct uitoefenen in de app via het ouder-dashboard:

• Inzage: exporteer al uw accountdata als JSON-bestand.
• Rectificatie: pas de naam of leeftijd van een kind direct aan.
• Verwijdering: verwijder een kindprofiel inclusief alle voortgangsdata.
• Intrekking toestemming: pauzeer of trek ouderlijke toestemming per kind in.

Wat bevat de JSON-export? Per ouder: e-mailadres, aanmaakdatum van het account, taalvoorkeur, toestemmings-datum en policy-versie, abonnementsstatus (Pro/Free), en alle door u opgegeven accountmetadata (bijvoorbeeld uw naam). Per kindprofiel: naam, bijnaam, avatar-keuze, leeftijd, huidig niveau, aanmaakdatum, soft-delete-status, volledige oefenvoortgang (exercise-id, score, tijdstip), totaal XP, streak, laatste oefen-datum, schermtijd- instellingen, toestemming-status en eventuele pauze-datum. Aanvullend - indien u ooit een aankoop heeft gedaan - bevat de export uw volledige abonnements­historie vanuit RevenueCat: aankopen, vernieuwingen, entitlements en de beheer-URL voor uw App Store-/Play Store-abonnement.

Voor overige verzoeken kunt u een e-mail sturen naar privacy@readlab.app. Wij reageren binnen 30 dagen.

Klachtrecht: U heeft het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens ( autoriteitpersoonsgegevens.nl).

ReadLab
E-mail: privacy@readlab.app

ReadLab richt zich op kinderen van 6-12 jaar. In de Verenigde Staten valt deze groep onder de Children's Online Privacy Protection Act (COPPA) - specifiek kinderen jonger dan 13. Deze sectie legt uit hoe wij aan COPPA voldoen.

Operator & contact: ReadLab wordt uitgegeven door Gymspiratie B.V. (KvK 90564480), gevestigd te Den Haag, Nederland. Vragen, verzoeken of klachten kunnen worden gericht aan privacy@readlab.app. Wij reageren binnen 30 dagen.

Gegevens die wij verzamelen over kinderen: naam (voornaam), optionele bijnaam, leeftijd, avatar-keuze, leer- voortgang (exercise-ID, score, tijdstip), XP en streak. Wij verzamelen géén geboortedatum, locatie, foto, video, audio, social-media-gegevens, of contact­informatie van het kind. Zie sectie 2 voor de volledige gegevens­inventaris.

Hoe wij ouder-toestemming verifiëren (COPPA §312.5): Zie sectie 4. Wij gebruiken Apple Sign-In + expliciete toestemming- checkbox + parental PIN als “reasonable effort”. Deze methode is gedocumenteerd in onze interne DPIA (Data Protection Impact Assessment) en wordt periodiek geëvalueerd.

Rechten van ouders onder COPPA:

• Review:u kunt de gegevens die wij over uw kind bewaren opvragen via de “Exporteer mijn gegevens”- knop in de app (JSON-bestand) of via e-mail naar privacy@readlab.app.
• Refusal of further collection: u kunt de toestemming pauzeren of definitief intrekken. Pauzeren stopt onmiddellijk alle nieuwe gegevens-verzameling; definitief intrekken verwijdert ook bestaande gegevens.
• Deletion: u kunt het kindprofiel en alle bijbehorende gegevens op elk moment laten verwijderen via de app of per e-mail.

Geen third-party data-sharing voor advertenties: Wij delen geen kindgegevens met derden voor advertentie-, profiling- of analyse-doeleinden. Dit is conform de FTC COPPA- update van 2025 (effectief 22 april 2026), die third-party data- sharing bij kinderapps expliciet aanscherpt.

Safe Harbor-programma: ReadLab is momenteel niet aangesloten bij een FTC-goedgekeurd COPPA Safe Harbor-programma. Wij volgen echter de COPPA-regels zoals vastgelegd in de FTC Rule (16 CFR Part 312) rechtstreeks.

FTC-klacht: als u van mening bent dat wij niet aan COPPA voldoen, kunt u een klacht indienen bij de Amerikaanse Federal Trade Commission via reportfraud.ftc.gov.