Privacybeleid

1. Introductie

Dit privacybeleid is van toepassing op alle diensten van GymDash, onderdeel van Bromeo Design (KvK 80963501), gevestigd in Nederland. GymDash biedt gym management software aan voor sportscholen, CrossFit boxes, personal training studio's, yogastudio's en vergelijkbare ondernemingen.

Wij hechten veel waarde aan de bescherming van je persoonsgegevens en gaan hier zorgvuldig mee om. In dit beleid leggen we uit welke gegevens we verzamelen, waarom we dat doen en welke rechten je hebt.

Dit beleid is voor het laatst bijgewerkt in april 2026.

2. Welke gegevens verzamelen wij

Afhankelijk van hoe je GymDash gebruikt, kunnen we de volgende gegevens verzamelen:

Accountgegevens

  • Naam en e-mailadres
  • Wachtwoord (opgeslagen als hash, nooit als platte tekst)
  • Rol binnen het platform (admin, coach, atleet)

Gymgegevens

  • Naam en slug van de gym
  • Branding-instellingen (logo, kleuren)
  • Contactgegevens en locatie

Ledengegevens

  • Naam en e-mailadres
  • Lidmaatschapsstatus (actief, gepauzeerd, opgezegd)
  • Credits, boekingen en trainingshistorie

Betalingsgegevens

  • Betalingen worden verwerkt via Mollie
  • Wij slaan geen creditcard- of bankgegevens op in onze database
  • Wij bewaren enkel transactie-ID's en factuurgegevens

Gebruiksgegevens

  • IP-adres en browsertype
  • Bezochte pagina's en klikgedrag
  • Analytische gegevens voor productverbetering

3. Waarom verzamelen wij gegevens

Wij verwerken je persoonsgegevens voor de volgende doeleinden:

  • Dienstverlening — Om je account te beheren, je gym te laten functioneren en je leden toegang te geven tot het platform.
  • Facturatie — Om abonnementen te verwerken, facturen op te stellen en betalingen bij te houden.
  • Communicatie — Om je te informeren over belangrijke wijzigingen, serviceberichten en ondersteuning te bieden.
  • Productverbetering — Om het platform te analyseren en te verbeteren op basis van gebruikspatronen.
  • Wettelijke verplichtingen — Om te voldoen aan fiscale en administratieve verplichtingen.

4. Rechtsgrond

De verwerking van persoonsgegevens is gebaseerd op de volgende rechtsgronden uit de Algemene Verordening Gegevensbescherming (AVG):

  • Uitvoering van de overeenkomst (Art. 6 lid 1b AVG) — De verwerking is noodzakelijk om onze dienst aan je te leveren en je account te beheren.
  • Gerechtvaardigd belang (Art. 6 lid 1f AVG) — Wij hebben een gerechtvaardigd belang bij het verbeteren van ons platform, het voorkomen van fraude en het waarborgen van de veiligheid.
  • Toestemming (Art. 6 lid 1a AVG) — Voor het verzenden van marketingcommunicatie vragen wij je voorafgaande toestemming. Je kunt deze toestemming op elk moment intrekken.

5. Delen met derden

Wij delen je gegevens uitsluitend met derde partijen die noodzakelijk zijn voor de werking van onze dienst. Wij verkopen je gegevens nooit aan derden.

  • Mollie — Voor het verwerken van betalingen (iDEAL, SEPA, creditcard). Mollie is een gecertificeerde betaaldienstverlener onder toezicht van De Nederlandsche Bank.
  • Supabase — Voor hosting en databaseopslag. Onze data wordt opgeslagen op servers binnen de Europese Unie.
  • Google — Voor AI-functionaliteiten binnen GymDash (zoals het genereren van WODs). Gegevens worden verwerkt conform de Google Cloud-verwerkersovereenkomst.

6. Bewaartermijn

Wij bewaren je persoonsgegevens niet langer dan noodzakelijk:

  • Accountgegevens — Zolang je account actief is, plus maximaal 2 jaar na opzegging.
  • Factuurgegevens — 7 jaar na het boekjaar waarin de factuur is opgesteld, conform de wettelijke bewaarplicht.
  • Verwijdering — Na een verwijderingsverzoek worden je gegevens binnen 30 dagen uit onze systemen verwijderd, tenzij een wettelijke bewaarplicht van toepassing is.

7. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om je gegevens te beschermen tegen ongeautoriseerde toegang, verlies of wijziging:

  • Alle communicatie verloopt via SSL/TLS-encryptie (HTTPS)
  • Databasetoegang is beveiligd met Row Level Security (RLS)
  • Wachtwoorden worden opgeslagen als versleutelde hashes
  • Er worden regelmatig geautomatiseerde backups gemaakt
  • Toegang tot productiesystemen is beperkt tot geautoriseerde medewerkers

8. Jouw rechten (AVG)

Op grond van de AVG heb je de volgende rechten met betrekking tot je persoonsgegevens:

  • Recht op inzage — Je kunt opvragen welke gegevens wij van je verwerken.
  • Recht op rectificatie — Je kunt onjuiste of onvolledige gegevens laten corrigeren.
  • Recht op verwijdering — Je kunt verzoeken om je gegevens te laten verwijderen.
  • Recht op beperking — Je kunt de verwerking van je gegevens laten beperken.
  • Recht op dataportabiliteit — Je kunt je gegevens in een gestructureerd formaat ontvangen om over te dragen aan een andere dienstverlener.
  • Recht van bezwaar — Je kunt bezwaar maken tegen de verwerking van je gegevens op basis van gerechtvaardigd belang.

Om een van deze rechten uit te oefenen, neem contact met ons op via privacy@gymdash.nl. Wij reageren binnen 30 dagen op je verzoek. Je hebt daarnaast altijd het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

9. Cookies

GymDash maakt gebruik van een beperkt aantal cookies:

  • Functionele cookies — Noodzakelijk voor de werking van het platform, zoals sessie- en authenticatiecookies.
  • Geen tracking cookies — Wij plaatsen geen cookies van derden voor het volgen van je surfgedrag.
  • Geen advertentiecookies — Wij gebruiken geen cookies voor het tonen van gepersonaliseerde advertenties.

10. Wijzigingen

Wij behouden ons het recht voor om dit privacybeleid te wijzigen. Bij wezenlijke wijzigingen informeren wij je via e-mail of via een melding in het platform. We raden je aan om dit beleid regelmatig te raadplegen.

Laatste update: april 2026.

11. Contact

Heb je vragen over dit privacybeleid of over de manier waarop wij met je gegevens omgaan? Neem dan contact met ons op:

GymDash, onderdeel van Bromeo Design (KvK 80963501)
E-mail: privacy@gymdash.nl