Privacyverklaring

Stand: maart 2026 | Versie 1.0

1. Verwerkingsverantwoordelijke

Verantwoordelijk voor de gegevensverwerking op deze website is:

Unicorn Factory Media GmbH
Directie: Daniel Haenle, Florian Konrad
In der Kolling 146
66450 Bexbach, Duitsland
E-mail: hey@bookicorn.net
Btw-ID: DE340084710
Handelsregister: HRB 107099, Amtsgericht Saarbrücken

2. Toepassingsgebied

Deze privacyverklaring geldt voor de websites www.bookicorn.net (klantenmarktplaats, studiozoekfunctie, SEO-pagina's) en app.bookicorn.net (Studio-admin, trainersdashboard, klantendashboard, boekingssysteem). Beide platforms worden geëxploiteerd door Unicorn Factory Media GmbH.

3. Overzicht van de verwerkingen

In het kader van onze diensten verwerken wij de volgende soorten persoonsgegevens:

  • Bestandsgegevens - naam, adres, geboortedatum
  • Contactgegevens - e-mailadres, telefoonnummer
  • Inhoudsgegevens - profielfoto's, berichten, beoordelingen
  • Gebruiksgegevens - bezochte pagina's, toegangstijden, IP-adressen
  • Contractgegevens - boekingsgeschiedenis, lidmaatschappen, cursusinschrijvingen
  • Betalingsgegevens - betalingsgeschiedenis, tegoedstanden, uitbetalingsinformatie
  • Communicatiegegevens - chatberichten, e-mailcorrespondentie

4. Rechtsgrondslagen

De verwerking van persoonsgegevens vindt plaats op basis van de volgende rechtsgrondslagen van de AVG:

  • Art. 6 lid 1 sub a AVG (Toestemming) - de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens, bijv. voor optionele cookies of de nieuwsbrief.
  • Art. 6 lid 1 sub b AVG (Uitvoering van een overeenkomst) - de verwerking is noodzakelijk voor de uitvoering van een overeenkomst, bijv. registratie, cursusboeking, betalingsverwerking.
  • Art. 6 lid 1 sub c AVG (Wettelijke verplichting) - de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting, bijv. fiscale bewaarplichten.
  • Art. 6 lid 1 sub f AVG (Gerechtvaardigd belang) - de verwerking is noodzakelijk voor de behartiging van gerechtvaardigde belangen, bijv. veiligheid van het platform, fraudepreventie, analyse ter verbetering van het aanbod.

5. Registratie en gebruikersaccount

Voor het gebruik van bepaalde functies van ons platform is registratie vereist. De authenticatie gebeurt via Supabase Auth (Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992).

Daarbij worden de volgende gegevens verwerkt:

  • E-mailadres
  • Naam (voor- en achternaam)
  • Wachtwoord (versleuteld opgeslagen, geen toegang in leesbare vorm)

Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst).
Verwijdering: na verwijdering van het account worden de gegevens uiterlijk binnen 30 dagen volledig gewist.

6. Studiobeheer (Admin-gedeelte)

Studio-exploitanten gebruiken het admin-gedeelte op app.bookicorn.net voor het beheer van hun Studio. Daarbij worden de volgende gegevens verwerkt:

  • Studionaam en -beschrijving
  • Adres en locaties
  • Contactgegevens (e-mail, telefoon, website)
  • Bankgegevens (voor uitbetalingen via Stripe Connect)
  • Cursusaanbod, prijzen en roosters
  • Trainersprofielen en toewijzingen

Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst ter beschikbaarstelling van de platformdiensten).

7. Trainersdashboard

Trainers krijgen via app.bookicorn.net toegang tot een eigen dashboard, waarin zij hun toegewezen cursussen, deelnemerslijsten en uitbetalingen kunnen inzien. Daarbij worden de volgende gegevens verwerkt:

  • Naam en contactgegevens
  • Kwalificaties en profielfoto
  • Honoraria en uitbetalingsgeschiedenis
  • Toegewezen cursussen en deelnemerslijsten

Voor automatische uitbetalingen wordt Stripe Connect gebruikt. Trainers doorlopen een onboardingproces bij Stripe, waarbij Stripe de betalingsgegevens rechtstreeks verwerkt.

Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst).

8. Klantendashboard

Geregistreerde deelnemers kunnen via app.bookicorn.net hun boekingen, hun tegoed en hun profiel beheren. Daarbij worden de volgende gegevens verwerkt:

  • Naam en e-mailadres
  • Profielfoto en persoonlijke instellingen
  • Boekingsgeschiedenis (geboekte cursussen, tijdstippen, annuleringen)
  • Tegoedstand (Credits)
  • Betalingsgeschiedenis

Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst).

9. Cursusboekingen en betalingsverwerking

Bij het boeken van cursussen worden de volgende gegevens verwerkt:

  • Naam en e-mailadres van de deelnemer
  • Geboekte cursussen, tijdstippen en boekingsstatus
  • Boekingsgeschiedenis en annuleringen

De betalingsverwerking gebeurt via Stripe (Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, VS). Betalingsgegevens (creditcardnummer, bankgegevens) worden rechtstreeks door Stripe verwerkt en nooit op onze servers opgeslagen.

Stripe is gecertificeerd onder het EU-US Data Privacy Framework en waarborgt daarmee een passend beschermingsniveau. Meer informatie vindt u in de privacyverklaring van Stripe: https://stripe.com/nl/privacy

Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst).

10. Tegoedsysteem (Credits)

Deelnemers kunnen via ons platform tegoedpakketten (Credits) aanschaffen, die worden gebruikt voor het boeken van cursussen. De aankoop gebeurt via Stripe Checkout.

Daarbij worden de volgende gegevens verwerkt:

  • Tegoedstand van het gebruikersaccount
  • Transactiegeschiedenis (aankopen, inwisselingen)
  • Betalingsinformatie (verwerkt door Stripe)

Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst).

11. Chatfunctie

Ons platform biedt een chatfunctie waarmee deelnemers kunnen communiceren met Studio's en trainers. Daarbij worden de volgende gegevens verwerkt:

  • Berichtinhoud (tekst)
  • Tijdstempels van de berichten
  • Afzender- en ontvangerinformatie

Bewaartermijn: berichten worden bewaard voor de duur van het lidmaatschap. Na verwijdering van het account worden alle chatberichten gewist.
Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst).

12. E-mailcommunicatie

De verzending van e-mails gebeurt via de SMTP-dienst van ALL-INKL.COM (Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Duitsland).

De volgende e-mails worden verzonden:

  • Registratiebevestiging en e-mailverificatie
  • Boekingsbevestigingen en annuleringen
  • Cursusherinneringen
  • Betalingsbevestigingen en facturen
  • Accountmeldingen (wachtwoord opnieuw instellen, enz.)

Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst) en art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij het verstrekken van relevante informatie).

13. Cookies en vergelijkbare technologieën

Onze websites maken gebruik van cookies en vergelijkbare technologieën. Wij onderscheiden:

  • Technisch noodzakelijke cookies - deze zijn vereist voor de werking van de website (bijv. sessiecookies, authenticatiecookies). Ze worden geplaatst zonder toestemming. Rechtsgrondslag: art. 6 lid 1 sub f AVG.
  • Optionele cookies - cookies voor analyse- of marketingdoeleinden worden alleen geplaatst met uw uitdrukkelijke toestemming. Rechtsgrondslag: art. 6 lid 1 sub a AVG.

Bij uw eerste bezoek aan onze website wordt een cookiebanner getoond, waarmee u uw toestemming kunt geven of weigeren. U kunt uw instellingen te allen tijde wijzigen via de cookie-instellingen.

14. Hosting

Onze websites worden gehost bij Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, VS).

Daarbij worden automatisch de volgende gegevens verwerkt:

  • IP-adres van het toegangsapparaat
  • Toegangsgegevens (datum, tijdstip, opgevraagde pagina)
  • Overgedragen hoeveelheid gegevens

Vercel is gecertificeerd onder het EU-US Data Privacy Framework. Meer informatie: https://vercel.com/legal/privacy-policy

Rechtsgrondslag: art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij een veilige en efficiënte beschikbaarstelling van onze website).

15. Serverlogbestanden

Bij elk bezoek aan onze websites worden automatisch de volgende gegevens verzameld in serverlogbestanden:

  • Browsertype en -versie
  • Gebruikt besturingssysteem
  • Referrer-URL (eerder bezochte pagina)
  • IP-adres van de toegangscomputer
  • Tijdstip van het serververzoek

Deze gegevens worden niet samengevoegd met andere gegevensbronnen. De verwijdering gebeurt automatisch na 30 dagen.

Rechtsgrondslag: art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij het waarborgen van een storingsvrije werking).

16. Contactformulier

Wanneer u ons via het contactformulier vragen stelt, worden uw gegevens uit het aanvraagformulier, inclusief de daarin door u opgegeven contactgegevens, door ons opgeslagen voor de afhandeling van de aanvraag en voor het geval van eventuele vervolgvragen. Wij geven deze gegevens niet door zonder uw toestemming.

Daarnaast wordt bij het versturen van het contactformulier technische herkomstinformatie doorgegeven (instappagina, verwijzende website, eventuele campagneparameters). Deze gegevens worden uitsluitend gebruikt om ons aanbod te verbeteren en worden alleen bewaard voor de duur van de sessie in de browser (session storage). Er worden geen cookies geplaatst en geen gegevens aan derden doorgegeven.

Rechtsgrondslag: art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij de efficiënte afhandeling van aanvragen).

17. Derde aanbieders en verwerkers

Voor het verlenen van onze diensten maken wij gebruik van de volgende derde aanbieders:

  • Supabase Inc. (Singapore) - database en authenticatie. De gegevens worden opgeslagen op AWS-servers in de EU (Frankfurt).
  • Vercel Inc. (VS) - hosting en Content Delivery Network (CDN). Gecertificeerd onder het EU-US Data Privacy Framework.
  • Stripe Inc. (VS) - betalingsverwerking en uitbetalingen. Gecertificeerd onder het EU-US Data Privacy Framework.
  • ALL-INKL.COM - Neue Medien Münnich (Duitsland) - e-mailverzending via SMTP. Gegevensverwerking uitsluitend in Duitsland.
  • Amazon Web Services EMEA SARL (EU) - cloudinfrastructuur (via Supabase). Datacenter in Frankfurt (eu-central-1).

Met alle verwerkers hebben wij verwerkersovereenkomsten conform art. 28 AVG gesloten. Alle Amerikaanse aanbieders zijn gecertificeerd onder het EU-US Data Privacy Framework of er bestaan standaardcontractbepalingen (Standard Contractual Clauses, SCC's).

18. Agenda-synchronisatie (Google en Apple)

Met de add-on „Agenda-synchronisatie" kunnen Studio-eigenaren en trainers hun Bookicorn-cursustijden exporteren naar hun eigen Google- of Apple iCloud-agenda. De verbinding verloopt voor Google via OAuth 2.0 met de scope https://www.googleapis.com/auth/calendar.app.created. Deze scope geeft uitsluitend lees- en schrijftoegang tot agenda's die Bookicorn zelf heeft aangemaakt. Andere privéagenda's blijven onzichtbaar voor Bookicorn.

De volgende gegevens worden in de gekoppelde externe agenda als gebeurtenis opgeslagen: cursusnaam, datum, tijdstip, locatie, trainersnaam, categorie en het aantal en de namen van de ingeschreven deelnemers. Deze gegevens zijn uitsluitend afkomstig uit het Bookicorn-backend.

De volgende gegevens worden serverzijdig bij Bookicorn opgeslagen: het e-mailadres van het gekoppelde Google- of Apple-account, de naam en URL van de aangemaakte agenda en versleutelde toegangstokens (AES-256-GCM). OAuth-refreshtokens worden uitsluitend in versleutelde vorm opgeslagen en alleen gebruikt om nieuwe toegangstokens te genereren. Bij Apple iCloud wordt een door de gebruiker aangemaakt app-specifiek wachtwoord versleuteld opgeslagen.

Bookicorn leest geen inhoud van vreemde agenda's, vraagt geen contacten op, verstuurt geen gegevens aan derden en gebruikt de agendagegevens uitsluitend voor de in- en uitgaande synchronisatie van cursustijden. Bij het verbreken van de verbinding („Disconnect") worden de tokens onmiddellijk verwijderd. De aangemaakte Bookicorn-agenda blijft in het externe account bestaan en kan daar handmatig worden verwijderd.

Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de add-on-overeenkomst) en art. 6 lid 1 sub a AVG (toestemming van de gebruiker door een actieve OAuth-connect-flow).

Ontvangers van gegevens: Google LLC (VS, gecertificeerd onder het EU-US Data Privacy Framework) bij een Google-verbinding, Apple Inc. (VS, gecertificeerd onder het EU-US Data Privacy Framework) bij een iCloud-verbinding.

Deze app gebruikt en verzendt van Google API's verkregen informatie in overeenstemming met het Google API Services User Data Policy, met inbegrip van de Limited-Use-vereisten.

19. Gegevensverstrekking aan Studio's

Bij een cursusboeking worden de volgende gegevens verstrekt aan het betreffende Studio:

  • Naam van de deelnemer
  • E-mailadres
  • Boekingsdetails (cursus, tijdstip, status)

De verstrekking gebeurt ter uitvoering van de boekingsovereenkomst. Studio's zijn zelf verantwoordelijk voor de verwerking van de aan hen verstrekte gegevens. Tussen Bookicorn en de Studio's bestaat een verwerkersovereenkomst.

Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst).

20. Rechten van betrokkenen

U heeft de volgende rechten met betrekking tot uw persoonsgegevens:

  • Art. 15 AVG - Recht op inzage: u heeft het recht om inzage te krijgen in uw bij ons opgeslagen persoonsgegevens.
  • Art. 16 AVG - Recht op rectificatie: u heeft het recht om correctie van onjuiste of aanvulling van uw gegevens te verlangen.
  • Art. 17 AVG - Recht op verwijdering: u heeft het recht om verwijdering van uw persoonsgegevens te verlangen, voor zover geen wettelijke bewaarplichten zich daartegen verzetten.
  • Art. 18 AVG - Recht op beperking van de verwerking: u heeft het recht om beperking van de verwerking van uw gegevens te verlangen.
  • Art. 20 AVG - Recht op overdraagbaarheid van gegevens: u heeft het recht om uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen.
  • Art. 21 AVG - Recht van bezwaar: u heeft het recht om te allen tijde bezwaar te maken tegen de verwerking van uw gegevens, voor zover de verwerking berust op een gerechtvaardigd belang.
  • Art. 7 lid 3 AVG - Recht op intrekking van de toestemming: u heeft het recht een gegeven toestemming te allen tijde in te trekken. De rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking blijft hierdoor onaangetast.

Om uw rechten uit te oefenen kunt u ons te allen tijde contacteren: hey@bookicorn.net

21. Bewaartermijn

Wij bewaren persoonsgegevens alleen zolang als nodig is voor de betreffende verwerkingsdoeleinden of zolang wettelijke bewaartermijnen dit voorschrijven.

  • Handels- en fiscaalrechtelijke bewaartermijnen: tot 10 jaar (§ 257 HGB, § 147 AO)
  • Boekingsgegevens: voor de duur van de zakelijke relatie, daarna conform de wettelijke bewaartermijnen
  • Gebruikersaccounts: verwijdering binnen 30 dagen na verwijdering van het account
  • Serverlogs: verwijdering na 30 dagen

22. Klachtrecht

U heeft het recht om een klacht in te dienen bij een toezichthoudende autoriteit voor gegevensbescherming over de verwerking van uw persoonsgegevens.

De voor ons bevoegde toezichthoudende autoriteit is:

Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12
66111 Saarbrücken
Duitsland

23. Wijzigingen van deze privacyverklaring

Wij behouden ons het recht voor deze privacyverklaring aan te passen om deze in overeenstemming te brengen met gewijzigde rechtssituaties of bij wijzigingen van de dienst en de gegevensverwerking. De actuele versie is steeds op deze pagina beschikbaar.