1. Wie verantwoordelijk is voor je gegevens
Outzy wordt geëxploiteerd door SpectrumLabs B.V., een vennootschap gevestigd in Nederland. SpectrumLabs B.V. is verwerkingsverantwoordelijke voor de in deze verklaring beschreven persoonsgegevens. Bereik ons op support@spectrumlabs.dev, per post: SpectrumLabs B.V., Seinhuiswachter 2, 3034 KH Rotterdam, Nederland. We zijn wettelijk niet verplicht een Functionaris Gegevensbescherming aan te stellen; die rol wordt vervuld door de directie. Het privacyteam bereik je op support@spectrumlabs.dev.
2. Welke persoonsgegevens we verzamelen, en waarom
Voor alle accounts (kinderen en ouders): naam, e-mailadres, taal, de WebAuthn-public-key die je apparaat genereert, het IP-adres dat onze servers raakt, de user-agent en auditlog-regels die acties onder je account beschrijven. Grondslag: uitvoering van een overeenkomst met jou (Art. 6(1)(b) AVG). Voor kindprofielen die in de app worden aangemaakt: een weergavenaam, geboortejaar (niet de volledige datum), een optionele avatar en een grove thuislocatie op buurtniveau (~1,2 km cel, nooit ruwe GPS-coördinaten). Grondslag: toestemming van de ouder die het profiel aanmaakt (Art. 6(1)(a) en Art. 8 AVG). Voor betalende ouders (Outzy Family-abonnees): abonnementsidentifiers van RevenueCat, Stripe, de App Store of de Play Store; het land van het factuuradres; de laatste vier cijfers van de kaart of het type betaalmiddel. We ontvangen nooit je volledige kaartnummer. Grondslag: uitvoering van het abonnementscontract.
3. Wat we nooit verzamelen
We verzamelen of slaan nooit precieze GPS-coördinaten van kinderen op. We lezen nooit je telefoonboek, fotobibliotheek, microfoon of camera, behalve wanneer jij actief iets selecteert om te delen. We draaien geen advertentie-trackers van derden in de kinder-app. We verkopen, verhuren of ruilen geen persoonsgegevens.
4. Specifiek over kinderen
Outzy is bedoeld voor kinderen. Een kind kan zelf een account aanmaken met een naam, een e-mailadres (eigen adres of dat van een ouder) en een passkey. We behandelen alle kindaccounts als personen onder de wettelijke digitale-toestemmingsleeftijd, tenzij de ouder bij het account-link-proces uitdrukkelijk anders bevestigt. Communicatie tussen kinderen is beperkt tot door-veiligheid-geclassificeerde tekst. Vrije chat wordt pas ingeschakeld als minimaal één ouder in een vriendschap een actief Outzy Family-abonnement heeft, zodat een echte volwassene meeleest. AI-moderatie draait op elk bericht voordat het iemand bereikt. Waar de wet van jouw land expliciete ouderlijke toestemming voor een online kindaccount vereist (in Nederland 16, in Duitsland 16, in Frankrijk 15, in Spanje 14, in Ierland en het VK 13, afhankelijk van de jurisdictie), bevestigt de ouder die het account koppelt deze toestemming bij de koppeling.
5. Met wie we gegevens delen
Hosting en infrastructuur: één hostingleverancier in de Europese Economische Ruimte (EER). E-mailbezorging: een transactionele-mailprovider in de EER. Betalingen: Stripe (voor webaankopen) en RevenueCat (voor App Store- en Play Store-aankopen). Apple Inc. en Google LLC verzorgen de feitelijke store-side facturatie op hun platforms. AI-moderatie: een LLM-leverancier waarvan de servers, waar mogelijk, in de EER staan; de moderator ziet alleen de te classificeren tekst, nooit de identiteit. Pushmeldingen: Expo, exploitant van de Expo-pushdienst. Supporttickets via het support-formulier komen alleen in onze eigen interne mailbox. We gebruiken nergens in het product een analytics-SDK, tag manager of advertentienetwerk.
6. Waar je gegevens worden opgeslagen
Op servers die fysiek in de Europese Unie staan. Back-ups zijn versleuteld opgeslagen. We dragen geen persoonsgegevens over buiten de Europese Economische Ruimte tenzij een van onze verwerkers dat doet onder EU Standaard Contractuele Bedingen (Art. 46 AVG); dat geldt momenteel alleen voor RevenueCat en Stripe voor facturatiegerelateerde data. Het ouder-leesbare data-export-eindpunt vermeldt welke SCC-verwerkers voor jouw account zijn gebruikt.
7. Hoe lang we je gegevens bewaren
Accountgegevens: zolang het account bestaat, daarna verwijderd binnen 90 dagen na het verzoek tot verwijdering. Auditlog-regels van veiligheidsrelevante acties: 365 dagen, ook na accountverwijdering, op grond van het gerechtvaardigd belang (Art. 6(1)(f) AVG) om verzoeken van opsporingsdiensten, kinderveiligheidsincidenten en account-overnames te kunnen onderzoeken. Back-ups: binnen 35 dagen geroteerd. Betalingsgegevens: 7 jaar bewaard om te voldoen aan artikel 52 van de Algemene Wet inzake Rijksbelastingen.
8. Jouw rechten onder de AVG
Je hebt het recht om: inzage te krijgen in je persoonsgegevens (Art. 15); ze te laten corrigeren (Art. 16); ze te laten verwijderen (Art. 17); de verwerking te laten beperken (Art. 18); ze in een overdraagbaar formaat te ontvangen (Art. 20); bezwaar te maken tegen verwerking op basis van gerechtvaardigd belang (Art. 21); een gegeven toestemming in te trekken (Art. 7); en een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) of bij de toezichthouder in jouw land. Mail support@spectrumlabs.dev vanaf het adres dat aan je account is gekoppeld, of gebruik in de app "Mijn gegevens downloaden" / "Mijn account verwijderen". We reageren binnen 30 dagen.
9. Cookies en vergelijkbare technologieën
De marketingsite (de pagina's op outzy.app buiten de app om) gebruikt één strikt-noodzakelijke cookie om je gekozen taal te onthouden, en één sessiecookie als je bent ingelogd. We gebruiken geen analytics-cookies, advertentiecookies of trackers van derden. De mobiele app gebruikt geen cookies; daar wordt platform-eigen lokale opslag gebruikt om de sessie actief te houden. Zie onze cookieverklaring voor de volledige lijst.
10. Beveiliging
Je account is beschermd met een passkey die aan je apparaat is gebonden (Face ID, Touch ID of de PIN van je apparaat). Outzy slaat geen wachtwoorden op, omdat het er geen gebruikt. Gevoelige acties (laatste passkey verwijderen, kindprofiel verwijderen, abonnement opzeggen) vereisen een verse passkey-bevestiging. Data in transit wordt versleuteld met TLS 1.2 of hoger. Data at rest in de database wordt versleuteld via de standaard schijf-encryptie van de cloudleverancier; gevoelige velden (passkey-credentials, auditlog-payload) worden bovendien op applicatieniveau versleuteld via de encrypted casts van Laravel.
11. Geautomatiseerde besluitvorming
AI-gebaseerde inhoudsmoderatie is geautomatiseerd. Wanneer een moderatiebesluit jou raakt (bijvoorbeeld een verborgen bericht of een beperkt account), word je geïnformeerd en kun je een menselijke beoordeling aanvragen via support@spectrumlabs.dev. We doen geen profilering voor advertentie- of marketingdoeleinden.
12. Wijzigingen van deze verklaring
Wanneer we deze verklaring zo wijzigen dat het jou raakt (een nieuwe verwerker, een nieuwe gegevenscategorie, een langere bewaartermijn), mailen we alle accounthouders minimaal 30 dagen vooraf. Eerdere versies bewaren we op outzy.app/privacy/history.
13. Contact en klachten
Privacyvragen: support@spectrumlabs.dev. Veiligheidsmeldingen: support@spectrumlabs.dev. Overig: support@spectrumlabs.dev. Per post: SpectrumLabs B.V., Seinhuiswachter 2, 3034 KH Rotterdam, Nederland. Ben je niet tevreden met onze reactie, dan heb je het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl of bij de toezichthouder in het EU-land waar je woont of werkt.