Privacyverklaring

De verwerkingsverantwoordelijke is Gitaartabs, eigenaar Jan van der Heide.

• E-mail: info@gitaartabs.nl
• Website: gitaartabs.nl

We verwerken alleen wat nodig is om de leeromgeving te laten werken. Concreet:

• Account-gegevens — via Wix Members: voornaam, achternaam, e-mailadres, member-ID en actieve abonnementen. Deze worden beheerd op gitaartabs.nl en opgevraagd via de Wix Headless API.
• Voortgangs-gegevens — welke programma-stappen je hebt afgerond (StepCompletion), welke quiz-pogingen je hebt gedaan (QuizAttempt) en welke songs je hebt geopend (SongActivity).
• Feedback-gegevens — je 👍/👎 reacties per stap (LessonReaction), je programma- evaluaties (ProgramFeedback) en eventuele inzendingen met video of vragen (contact11). Deze gebruiken we om lessen te verbeteren.
• Sessie-gegevens — een sessie-cookie van Wix Headless OAuth; technische logs van Vercel (IP-adres, gebruikt browser-type, request-tijd).
• Voorkeur-gegevens — gekozen niveau en favoriete stijlen, opgeslagen in lokale opslag van je browser. Deze verlaten je apparaat niet.

We verzamelen géén bijzondere persoonsgegevens (gezondheid, religie, etc.).

• Uitvoering van de overeenkomst (art. 6.1.b AVG) — voor toegang tot lessen, voortgang opslaan en inhoud serveren waarvoor je een abonnement hebt.
• Gerechtvaardigd belang (art. 6.1.f) — voor anonieme/aggregeerde feedback-analyse om lessen te verbeteren, en voor security-logs.
• Toestemming (art. 6.1.a) — niet van toepassing zolang we geen analytische of marketing-cookies plaatsen. Indien dat verandert vragen we eerst expliciete toestemming.

We delen gegevens alleen met sub-processors die we technisch nodig hebben. Met elke partij is/wordt een verwerkers­overeenkomst gesloten.

• Wix.com Ltd. (Israël/EU) — host van members-database, content (programma's, blogs, ProTabs) en feedback-collecties. Wix verwerkt onze data volgens hun privacybeleid.
• Vercel Inc. (VS) — hosting van de Next.js-applicatie + serverlogs. Data-overdracht naar buiten de EER op basis van EU-modelclausules en het EU-US Data Privacy Framework.
• Soundslice Inc. (VS) — interactieve tab/akkoord-speler. Wanneer je als ingelogd lid een Soundslice-speler bekijkt, sturen we een geanonimiseerd identificatienummer (een willekeurig UUID-kenmerk dat alleen wij aan jouw account kunnen koppelen) mee naar Soundslice. Dit doen we uitsluitend zodat Soundslice ons correct kan factureren op basis van unieke kijkers, en voorkomt dat dezelfde gebruiker meerdere keren wordt geteld. We delen geen e-mailadres, naam of voortgangsgegevens met Soundslice. Gegevens-overdracht verloopt onder het EU-US Data Privacy Framework.
• Sentry (Functional Software Inc.) — error-tracking voor de productie-omgeving. Wanneer er een technische fout optreedt verzamelen we stack-traces, browser-info en de URL van het verzoek (kan je member-ID in de route-segmenten bevatten) zodat we het probleem kunnen oplossen. De data staat in Sentry's EU-region datacenter, geen data-overdracht buiten de EER.
• Google LLC (Google Workspace) (VS) — voor onze e-mail-mailboxen (info@, janh@, levi@). Wanneer je ons mailt voor support of een AVG-verzoek loopt dat via Google Workspace. EU-US Data Privacy Framework + EU-modelclausules.
• YouTube API Services (Google LLC) (VS) — op artiest- en liedjespagina's tonen we officiële YouTube-video's. Hiervoor gebruiken we de YouTube API Services: de YouTube Data API om de juiste video bij een artiest of liedje te vinden, en de YouTube-speler (IFrame-embed) om die af te spelen. Wanneer je een ingesloten video afspeelt, kan YouTube/Google gegevens verwerken — zoals je IP-adres, apparaat- en browsergegevens — en cookies op je apparaat plaatsen. Dat gebeurt volgens het Privacybeleid van Google. Op het gebruik van de YouTube-functies zijn daarnaast de YouTube Servicevoorwaarden van toepassing.
• Spotify AB (Zweden) — alleen server-side aanroepen vanaf onze backend voor artiest- afbeeldingen en genre-info, op basis van publieke API-keys. Geen persoonsgegevens van leden worden naar Spotify gestuurd.
• Stripe Inc. — betalingen lopen via gitaartabs.nl, niet rechtstreeks via play. Voor checkout-flows worden bezoekers daarheen doorgestuurd. Stripe valt onder Wix's verwerkers-keten.

• Account-gegevens — zolang je een actief lidmaatschap hebt, plus 12 maanden na opzegging voor onze administratie. Op verzoek korter.
• Cancellation-feedback en hulp-inzendingen (vragen, video's) — 24 maanden na laatste activiteit op het record.
• Programma-voortgang en quiz-resultaten — 18 maanden voor activity-stats; behaalde certificaten blijven zolang je account actief is.
• Subscription- en factuurhistorie — 7 jaar (Nederlandse belastingplicht — Wet op de Omzetbelasting art. 34). Wordt gepseudonimiseerd zodra mogelijk na een verwijderingsverzoek.
• Server-logs (Vercel) — maximaal 30 dagen, daarna automatisch verwijderd.
• Error-events (Sentry) — 90 dagen, daarna automatisch verwijderd.

Onze leeromgeving is bedoeld voor gebruikers vanaf 16 jaar. Onder de Algemene Verordening Gegevensbescherming (AVG, artikel 8) en de Nederlandse Uitvoeringswet AVG kunnen kinderen onder de 16 jaar geen rechtsgeldige toestemming geven voor het verwerken van hun persoonsgegevens in een online dienst.

Maakt een ouder of voogd voor een kind onder de 16 een account aan? Dan blijft de ouder of voogd verantwoordelijk voor het account, het gebruik en de toestemming voor de gegevensverwerking. Wij verzamelen uitsluitend gegevens die nodig zijn om de dienst te leveren (e-mailadres, naam, voortgang in lessen) en gebruiken deze niet voor profilering, gedrags- tracking of marketing richting minderjarigen.

Constateer je dat een kind onder 16 zelfstandig een account heeft aangemaakt zonder jouw toestemming? Mail info@gitaartabs.nl — we verwijderen het account en de bijbehorende gegevens onmiddellijk.

Onder de AVG heb je de volgende rechten:

• Recht op inzage in je gegevens
• Recht op correctie van onjuiste gegevens
• Recht op verwijdering (“recht om vergeten te worden”)
• Recht op beperking van de verwerking
• Recht op overdraagbaarheid (data-portabiliteit)
• Recht op bezwaar tegen verwerking op basis van gerechtvaardigd belang
• Recht om gegeven toestemming in te trekken

Stuur een mail naar info@gitaartabs.nl met je verzoek. Wij reageren binnen 30 dagen en vragen waar nodig om aanvullende identificatie zodat we zeker weten dat het verzoek bij de juiste persoon hoort.

Heb je een klacht over hoe wij met je gegevens omgaan? Stuur ons eerst een mail — we lossen het graag rechtstreeks op. Komen we er niet uit, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens.

Een gedetailleerd overzicht van wat we in cookies en localStorage bewaren staat op de aparte pagina Cookies en lokale opslag.

We mogen deze verklaring aanpassen wanneer wet- of regelgeving of onze diensten wijzigen. Bij belangrijke wijzigingen informeren we actieve leden vooraf per e-mail. De laatste wijzigingsdatum staat onderaan deze pagina.