Privacy- en Cookieverklaring – Gymlads

Versie: 1-4-2026

Gymlads wordt aangeboden door Youcommerce, gevestigd te Turnhoutseweg 22, 5541NX, Reusel KvK 90286499, btw NL004803779B29 ("Gymlads", "wij").

Contact privacy: info@gymlads.nl

Deze verklaring is opgesteld in het Nederlands. De Nederlandse versie is leidend. De Engelse vertaling hieronder is uitsluitend ter informatie; bij tegenstrijdigheden prevaleert de Nederlandse tekst.

1. Waar gaat deze verklaring over?

In deze verklaring leggen we uit:

  • welke persoonsgegevens we verwerken;

  • waarom we dat doen en op welke grondslag;

  • met wie we gegevens delen;

  • hoe lang we gegevens bewaren;

  • welke rechten je hebt.

2. Welke persoonsgegevens verwerken we?

2.1 Account- en profielgegevens

  • e-mailadres, (eventueel) naam/gebruikersnaam

  • accountinstellingen

  • (technisch) wachtwoord-hash (wij zien je wachtwoord niet)

2.2 Trainings- en voortgangsgegevens (kan gezondheidsdata zijn)

  • trainingslogs: oefeningen, sets, reps, gewichten, rust, frequentie

  • doelen (bijv. sterker/fitter worden)

  • gewicht en lichaamsmetingen (bijv. taille/heupen)

  • leeftijd

  • geslacht

  • voortgangsstatistieken en trenddata

Let op: data die iets zegt over je fysieke gezondheid kan als gezondheidsgegevens worden gezien en valt onder extra bescherming.

2.3 App- en apparaatgegevens

  • IP-adres, apparaat- en browserinformatie

  • app events (bijv. onboarding voltooid, training gelogd)

  • advertentie-id's (bijv. IDFA/GAID) als je daarvoor toestemming geeft (waar relevant)

  • pushnotificatie-token: als je toestemming geeft voor pushberichten, verwerken we een apparaattoken om je meldingen te sturen (bijv. trainingsherinneringen of updates). Je kunt deze toestemming op elk moment intrekken via je apparaatinstellingen.

2.4 Betalingsgegevens

  • aankoopgegevens (abonnementstype, datum, bedrag)

  • factuur-/transactiegegevens

  • betaalgegevens worden verwerkt door onze betaalprovider (Stripe). Wij krijgen geen volledige kaartgegevens.

2.5 Communicatie

  • e-mails/berichten naar support

  • feedback en enquêtes (als je die invult)

3. Waarvoor gebruiken we jouw gegevens?

Doel

Voorbeelden

Grondslag

Dienst leveren

account aanmaken, toegang geven, abonnement beheren

uitvoering overeenkomst

Persoonlijke coaching/AI output

schema's, progressiechecks, adviezen op basis van jouw logs

uitvoering overeenkomst + (waar nodig) toestemming voor gezondheidsdata

Support

vragen beantwoorden, problemen oplossen

uitvoering overeenkomst / gerechtvaardigd belang

Betalingen en administratie

facturatie, boekhouding

wettelijke verplichting

Beveiliging & misbruikpreventie

fraudepreventie, logging, rate limiting

gerechtvaardigd belang

Productverbetering/analytics

foutanalyse, feature-usage

gerechtvaardigd belang of toestemming (bij tracking)

Marketing (ads/retargeting)

Meta/Google remarketing

toestemming (tracking/marketing cookies)

Push notificaties

trainingsherinneringen, updates

toestemming

4. Gezondheidsgegevens en toestemming

Als je gegevens invult zoals gewicht, metingen en trainingspatronen, verwerken we mogelijk gezondheidsgegevens. Die mogen alleen verwerkt worden onder strikte voorwaarden, zoals uitdrukkelijke toestemming.

Door deze gegevens in te voeren en de coachingfuncties te gebruiken geef je toestemming voor verwerking van deze gegevens voor coaching en voortgang binnen Gymlads.

Je kunt toestemming intrekken door te mailen naar info@gymlads.nl. Als je dit doet, kan het zijn dat bepaalde coachingfuncties niet meer werken (omdat de kerninput ontbreekt).

5. AI, profilering en geautomatiseerde beslissingen

Gymlads gebruikt (deels) geautomatiseerde verwerking om trainingsadviezen te personaliseren (profilering in de zin van de AVG).

Dit is bedoeld om jou betere adviezen te geven, niet om juridische of vergelijkbare "ingrijpende" beslissingen over je te nemen.

Je kunt contact opnemen als je vragen hebt over hoe adviezen tot stand komen of als je iets wilt laten corrigeren.

6. Met wie delen we gegevens?

We delen persoonsgegevens alleen als dat nodig is om de Dienst te leveren, of als we daartoe wettelijk verplicht zijn.

6.1 Verwerkers (dienstverleners)

  • Hosting/cloud provider – voor opslag en beschikbaarheid van de app

  • E-mail/CRM provider – voor onboarding- en transactie-e-mails

  • Analytics (bijv. Google Analytics / Firebase) – indien ingeschakeld

  • Advertentieplatforms (Meta / Google) – indien je marketingtoestemming geeft

  • Betaalprovider: Stripe – voor betalingsverwerking

  • AI-leverancier: OpenAI – voor het genereren van gepersonaliseerde coaching-output. Aan OpenAI worden uitsluitend geanonimiseerde trainings- en gezondheidsgegevens doorgegeven (zoals gewicht, metingen en trainingslogs). Persoonlijk identificeerbare gegevens zoals naam en e-mailadres worden nooit meegestuurd.

  • Automatiseringstools (bijv. Zapier) – indien ingezet voor interne workflows

Met verwerkers sluiten we verwerkersovereenkomsten, zodat zij jouw gegevens alleen in onze opdracht verwerken.

6.2 Wettelijke verplichtingen

We kunnen gegevens delen met autoriteiten als we daar wettelijk toe verplicht zijn.

7. Doorgifte buiten de EER

Sommige leveranciers (waaronder OpenAI en Google) kunnen data verwerken buiten de Europese Economische Ruimte (bijv. VS). Als dat gebeurt, gebruiken we passende waarborgen (bijv. standaardcontractbepalingen van de Europese Commissie) en waar nodig aanvullende maatregelen.

8. Bewaartermijnen

We bewaren persoonsgegevens niet langer dan nodig is.

  • Account- en trainingsdata: zolang je account actief is. Na verwijdering: verwijderen/anonimiseren binnen 60 dagen, tenzij we iets langer moeten bewaren (bijv. voor beveiliging/geschillen).

  • Betalings- en factuurgegevens: 7 jaar (belasting/administratie).

  • Supporttickets: 24 maanden na afronding.

  • Advertentie-/analyticsdata: conform instellingen/retentie (bijv. 14 maanden), en afhankelijk van cookie-toestemming.

9. Jouw rechten

Je hebt onder de AVG o.a. recht op:

  • inzage, correctie, verwijdering

  • beperking van verwerking

  • dataportabiliteit (waar van toepassing)

  • bezwaar (bij verwerking op basis van gerechtvaardigd belang)

  • intrekken van toestemming (voor marketing/gezondheidsdata)

  • klacht indienen bij de Autoriteit Persoonsgegevens

Aanvragen kun je doen via info@gymlads.nl. We reageren in principe binnen 1 maand.

10. Beveiliging

We nemen passende technische en organisatorische maatregelen, zoals:

  • versleutelde verbinding (TLS/HTTPS)

  • toegangscontrole en least-privilege

  • logging en monitoring

  • (waar relevant) encryptie van gevoelige data

Geen enkel systeem is 100% veilig; bij een datalek volgen we de wettelijke meldplichten.

11. Cookies en vergelijkbare technieken (website en app)

We gebruiken cookies en vergelijkbare technieken (zoals SDK's in de app) voor:

  • Functioneel (nodig voor werking, bijv. sessies/veiligheid) – geen toestemming nodig.

  • Analytics (meting, verbetering) – soms toestemming nodig, afhankelijk van impact.

  • Marketing/tracking (retargeting, conversies) – altijd toestemming vereist.

11.1 Marketing cookies (Meta/Google)

Als je toestemming geeft, kunnen we:

  • meten welke ads werken (conversies)

  • retargeting doen (bijv. bezoekers opnieuw bereiken)

12. Kinderen

Gymlads is niet bedoeld voor kinderen onder 16 jaar. Als we merken dat we onbedoeld gegevens van kinderen verwerken, verwijderen we die.

13. Wijzigingen

We kunnen deze verklaring aanpassen. De nieuwste versie staat op de website en in de app. Bij belangrijke wijzigingen informeren we je.

14. Contact en klachten

  • Vragen of verzoeken: info@gymlads.nl

  • Klacht: Autoriteit Persoonsgegevens (AP)

Privacy and Cookie Policy – Gymlads

Version: 11-2-2026

Gymlads is offered by Youcommerce, located at Turnhoutseweg 22, 5541NX, Reusel, Chamber of Commerce 90286499, VAT NL004803779B29 ("Gymlads", "we").

Privacy contact: info@gymlads.nl

This policy was drafted in Dutch. The Dutch version is leading. The English translation below is for informational purposes only; in case of any inconsistency, the Dutch text prevails.

1. What is this policy about?

In this policy we explain:

  • which personal data we process;

  • why we do so and on what legal basis;

  • with whom we share data;

  • how long we retain data;

  • what rights you have.

2. What personal data do we process?

2.1 Account and profile data

  • email address, (optionally) name/username

  • account settings

  • (technical) password hash (we cannot see your password)

2.2 Training and progress data (may constitute health data)

  • training logs: exercises, sets, reps, weights, rest, frequency

  • goals (e.g. getting stronger/fitter)

  • weight and body measurements (e.g. waist/hips)

  • age

  • gender

  • progress statistics and trend data

Please note: data relating to your physical health may be considered health data and is subject to additional protection.

2.3 App and device data

  • IP address, device and browser information

  • app events (e.g. onboarding completed, workout logged)

  • advertising IDs (e.g. IDFA/GAID) if you give consent (where applicable)

  • push notification token: if you consent to push notifications, we process a device token to send you alerts (e.g. workout reminders or updates). You can withdraw this consent at any time via your device settings.

2.4 Payment data

  • purchase data (subscription type, date, amount)

  • invoice/transaction data

  • payment details are processed by our payment provider (Stripe). We do not receive full card details.

2.5 Communications

  • emails/messages to support

  • feedback and surveys (if you complete them)

3. How do we use your data?

Purpose

Examples

Legal basis

Providing the service

creating accounts, granting access, managing subscriptions

performance of contract

Personal coaching/AI output

schedules, progress checks, advice based on your logs

performance of contract + (where required) consent for health data

Support

answering questions, resolving issues

performance of contract / legitimate interest

Payments and administration

invoicing, accounting

legal obligation

Security & abuse prevention

fraud prevention, logging, rate limiting

legitimate interest

Product improvement/analytics

error analysis, feature usage

legitimate interest or consent (for tracking)

Marketing (ads/retargeting)

Meta/Google remarketing

consent (tracking/marketing cookies)

Push notifications

workout reminders, updates

consent

4. Health data and consent

If you enter data such as weight, measurements and training patterns, we may process health data. This is only permitted under strict conditions, such as explicit consent.

By entering this data and using the coaching features, you consent to the processing of this data for coaching and progress tracking within Gymlads.

You can withdraw your consent by emailing info@gymlads.nl. If you do so, certain coaching features may no longer work (as the core input is missing).

5. AI, profiling and automated decisions

Gymlads uses (partially) automated processing to personalise training advice (profiling within the meaning of the GDPR).

This is intended to provide you with better advice, not to make legal or similarly significant decisions about you.

You can contact us if you have questions about how advice is generated or if you wish to have something corrected.

6. With whom do we share data?

We only share personal data where necessary to provide the Service, or where we are legally required to do so.

6.1 Processors (service providers)

  • Hosting/cloud provider – for app storage and availability

  • Email/CRM provider – for onboarding and transactional emails

  • Analytics (e.g. Google Analytics / Firebase) – if enabled

  • Advertising platforms (Meta / Google) – if you give marketing consent

  • Payment provider: Stripe – for payment processing

  • AI provider: OpenAI – for generating personalised coaching output. Only anonymised training and health data (such as weight, measurements and training logs) is shared with OpenAI. Personally identifiable information such as name and email address is never included.

  • Automation tools (e.g. Zapier) – if used for internal workflows

We enter into data processing agreements with processors so that they only process your data on our behalf.

6.2 Legal obligations

We may share data with authorities where legally required to do so.

7. Transfers outside the EEA

Some providers (including OpenAI and Google) may process data outside the European Economic Area (e.g. the US). Where this occurs, we use appropriate safeguards (e.g. Standard Contractual Clauses from the European Commission) and additional measures where necessary.

8. Retention periods

We do not retain personal data longer than necessary.

  • Account and training data: for as long as your account is active. After deletion: deleted/anonymised within 60 days, unless we need to retain it longer (e.g. for security/disputes).

  • Payment and invoice data: 7 years (tax/administration).

  • Support tickets: 24 months after resolution.

  • Advertising/analytics data: in accordance with settings/retention (e.g. 14 months), and subject to cookie consent.

9. Your rights

Under the GDPR you have the right to:

  • access, rectification, erasure

  • restriction of processing

  • data portability (where applicable)

  • object (where processing is based on legitimate interest)

  • withdraw consent (for marketing/health data)

  • lodge a complaint with the Dutch Data Protection Authority (Autoriteit Persoonsgegevens)

Requests can be submitted via info@gymlads.nl. We will respond within one month.

10. Security

We take appropriate technical and organisational measures, including:

  • encrypted connections (TLS/HTTPS)

  • access controls and least-privilege principles

  • logging and monitoring

  • (where relevant) encryption of sensitive data

No system is 100% secure; in the event of a data breach we follow statutory notification obligations.

11. Cookies and similar technologies (website and app)

We use cookies and similar technologies (such as SDKs in the app) for:

  • Functional (required for operation, e.g. sessions/security) – no consent required.

  • Analytics (measurement, improvement) – sometimes requires consent, depending on impact.

  • Marketing/tracking (retargeting, conversions) – consent always required.

11.1 Marketing cookies (Meta/Google)

If you give consent, we may:

  • measure which ads are effective (conversions)

  • run retargeting campaigns (e.g. re-reaching visitors)

12. Children

Gymlads is not intended for children under the age of 16. If we discover that we have unintentionally processed data from children, we will delete it.

13. Changes

We may update this policy. The latest version is available on our website and in the app. We will notify you of any significant changes.

14. Contact and complaints

  • Questions or requests: info@gymlads.nl

  • Complaint: Dutch Data Protection Authority (Autoriteit Persoonsgegevens / AP)