Privacybeleid

Wat we verzamelen, waarom, en hoe je controle houdt over je gegevens.

Laatst bijgewerkt: 1 juni 2026

1. Wie we zijn

The Accountability Club (“wij”, “ons”) is een prive accountability-werkplek voor solo gebruikers en duo’s. De dienst wordt aangeboden vanaf theaccountability.club. Verwerkingsverantwoordelijke: Ben Sestig, Nederland.

Vragen over je gegevens? Mail privacy@theaccountability.club.

2. Welke gegevens we verzamelen

Account

• Email-adres, voor inloggen, magic links en sessie-bevestigingen.
• Naam (voornaam), gebruikt als label in je omgeving.
• Wachtwoord, opgeslagen als bcrypt-hash. Wij zien je wachtwoord nooit in leesbare vorm.
• Aangemaakt op, laatste login, abonnement-tier (Free / Paid).

Google-login (optioneel)

Als je inlogt via Google, ontvangen wij van Google:

• Je email-adres en bevestiging dat Google die heeft geverifieerd.
• Je naam en (indien beschikbaar) profielfoto-URL.
• Je Google account-ID (subject identifier) om dezelfde gebruiker te herkennen.

We slaan geen Google-wachtwoord op, OAuth betekent dat Google de login afhandelt.

Google Calendar (optioneel)

Als je de Calendar-koppeling activeert, maken we een agenda-afspraak aan in jouw primaire Google Calendar voor elke geplande accountability-sessie. We vragen de scope https://www.googleapis.com/auth/calendar.events: deze scope geeft ons toegang tot het aanmaken, bewerken en verwijderen van afspraken die wij namens jou plaatsen. We lezen geen andere afspraken in je agenda. Je kunt deze toegang op elk moment intrekken via je Google account-instellingen.

Microsoft-login + Outlook Calendar (optioneel)

Als je inlogt via Microsoft of je Outlook-agenda koppelt, ontvangen we via Microsoft Graph:

• Je email-adres, naam en Microsoft account-ID (Azure AD object ID).
• De mogelijkheid om afspraken aan te maken in jouw primaire agenda met scope Calendars.ReadWrite, identieke werking als de Google-variant.

We lezen geen andere agenda-items, mail, of bestanden. Toegang intrekken kan via myaccount.microsoft.com/permissions.

Apple-login (optioneel)

Als je inlogt met Apple, ontvangen we je email-adres (of Apple’s privé-relay-adres, als je je e-mail verbergt), je naam (alleen de eerste keer dat je inlogt) en je Apple-gebruikers-ID om je te herkennen. Apple handelt de login af; we zien nooit een Apple-wachtwoord. Sign in with Apple geeft ons alleen je identiteit, geen toegang tot je iCloud, agenda of andere Apple-gegevens. Beheren kan via appleid.apple.com → Sign in with Apple.

Facebook-login (optioneel)

Als je inlogt via Facebook, ontvangen we van Meta je email-adres, je naam en je Facebook-gebruikers-ID (openbaar profiel). We vragen niets anders op, geen berichten, vrienden of andere gegevens, en Facebook-login geeft geen agenda-toegang. Facebook handelt de login af; we zien nooit een Facebook-wachtwoord. Toegang intrekken kan via Facebook → Instellingen → Apps en websites.

Sessie-gegevens

• Doelen (week/maand/kwartaal/jaar), notities en checklist-items die je in je omgeving invult.
• Transcripts van live sessies (alleen bij Paid). Maximaal 30 dagen bewaard, daarna automatisch verwijderd.
• Voice notes (audio-opnames van maximaal ~2 minuten). Maximaal 30 notes per omgeving (FIFO). Audio wordt opgeslagen op onze server; bij Paid wordt automatisch een transcript gegenereerd via OpenAI Whisper.
• AI-feedback die door je AI Accountability Partner is gegenereerd op basis van bovenstaande input.

Betalingsgegevens

Betalingen lopen via Mollie (iDEAL, kaart en SEPA-incasso). Wij slaan alleen je Mollie customer-ID en abonnement-status op. Betaalgegevens zien wij nooit; die blijven bij Mollie.

WhatsApp-koppeling (optioneel)

Als je dagelijkse herinneringen via WhatsApp Business aanzet, slaan we je telefoonnummer op en gebruiken Meta’s WhatsApp Business API om berichten te versturen.

Technische gegevens

• IP-adres, tijdelijk bewaard voor rate-limiting (anti-misbruik). Wordt na 7 dagen verwijderd.
• Sessie-cookie, standaard PHP-sessiecookie om je login te onthouden. Geen tracking-cookies, geen analytics-cookies.

3. Hoe we je gegevens gebruiken

• De dienst leveren: je omgeving tonen, sessies plannen, doelen opslaan, AI-feedback genereren.
• Communicatie: agenda-uitnodigingen, magic links, herinneringen, sessie-samenvattingen.
• Betaling: abonnement-status synchroniseren met Mollie.
• Beveiliging: misbruik herkennen via rate-limiting en logs.

We gebruiken jouw gegevens niet voor advertenties. We verkopen geen gegevens aan derden.

4. AI-training: wat wel en niet

Je sessie-data (doelen, transcripts, voice notes) blijft prive in jouw omgeving en wordt niet als zodanig gebruikt om onze AI te trainen. Wel kunnen we geanonimiseerde en geaggregeerde patronen meenemen in productverbetering , welke vragen werken, waar mensen vastlopen, zonder dat individuele input te herleiden is. Voor de inferentie zelf gebruiken we Anthropic Claude (zie sectie 5); Anthropic gebruikt API-verkeer standaard niet om hun modellen te trainen.

5. Met wie we gegevens delen

We werken met deze sub-verwerkers die strikt noodzakelijke gegevens ontvangen:

• Anthropic (Claude API), je goals/transcript-tekst wordt naar Claude gestuurd om AI-feedback te genereren.
• OpenAI (Whisper API), voice notes worden naar OpenAI gestuurd om transcripts te genereren (Paid).
• Google, OAuth-login en (optioneel) Calendar API.
• Microsoft, OAuth-login en (optioneel) Outlook Calendar via Microsoft Graph.
• Apple, Sign in with Apple (alleen login / identiteit).
• Mollie, betalingen (iDEAL, kaart, SEPA-incasso).
• Postmark, transactionele e-mail (magic links, herinneringen).
• Meta, Facebook-login (als je die gebruikt) en de WhatsApp Business API (alleen als je WhatsApp activeert).
• Deepgram, live spraak-naar-tekst tijdens je live sessies.
• Sentry, error-monitoring. Ontvangt automatische foutrapporten (stack traces, request URL, user-id zonder PII) zodat we bugs sneller oplossen. Geen sessie-inhoud of doelen.
• STRATO, onze hostingprovider in Duitsland; alle bestanden en database staan op STRATO-servers (EU).

Buiten deze sub-verwerkers delen we niets, tenzij we wettelijk verplicht zijn (bijvoorbeeld een rechtsgeldige rechterlijke beschikking).

6. Google API Services User Data Policy (Limited Use)

7. Beveiliging

• Verkeer van en naar de site loopt over HTTPS / TLS.
• Wachtwoorden worden opgeslagen als bcrypt-hashes.
• Sessie- en API-tokens worden cryptografisch random gegenereerd.
• Toegang tot de server is beperkt tot de eigenaar; bestanden in _private/ zijn niet via het web bereikbaar.
• Geen enkel systeem is 100% veilig, gebruik een sterk, uniek wachtwoord of log in via Google.

8. Bewaartermijnen

• Account-gegevens: zolang je account actief is, plus tot 30 dagen na verwijderverzoek.
• Doelen en notities: zolang je omgeving bestaat; verwijderd zodra je je omgeving sluit.
• Transcripts van live sessies: 30 dagen, daarna automatisch verwijderd.
• Voice notes: maximaal 30 per omgeving (oudste valt eraf wanneer een nieuwe wordt toegevoegd).
• Rate-limit logs: 7 dagen.
• Mollie betalingsgegevens: zoals vereist door financiële wetgeving (doorgaans 7 jaar bij Mollie; wij bewaren alleen de referentie).

9. Jouw rechten

Onder de AVG / GDPR heb je het recht om:

• Een kopie op te vragen van de gegevens die we over je hebben (inzagerecht).
• Je gegevens te laten corrigeren als ze fout zijn.
• Je gegevens te laten verwijderen (recht op vergetelheid).
• Je toestemming voor Google Calendar / WhatsApp op elk moment in te trekken.
• Een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Stuur verzoeken naar privacy@theaccountability.club. We reageren binnen 30 dagen.

10. Cookies

We gebruiken één functionele sessie-cookie (PHPSESSID) om je login te onthouden. Geen analytics, geen advertentie-cookies, geen third-party tracking. Daarom hebben we ook geen cookie-banner.

11. Wijzigingen aan dit beleid

Als we wezenlijke wijzigingen aanbrengen, informeren we actieve gebruikers per e-mail. De laatste-gewijzigd-datum bovenaan deze pagina toont altijd wanneer dit document voor het laatst is bijgewerkt.

12. Contact

Algemene vragen: hello@theaccountability.club
Privacy-verzoeken: privacy@theaccountability.club