Juridisch · Schoolbaas.nl

Privacy Policy

Bij Schoolbaas.nl draait alles om de herinneringen van jouw kind. Dat verplicht ons om uiterst zorgvuldig met persoonsgegevens om te gaan. In dit beleid leggen we uit wat we verzamelen, waarom, en wat jouw rechten zijn.

Versie 1.0 · Laatst bijgewerkt op 7 mei 2026
Let op: dit beleid is opgesteld als professioneel uitgangsmodel volgens de AVG/GDPR en geldende Nederlandse wetgeving. Laat het vóór publicatie reviewen door een privacyjurist of Functionaris Gegevensbescherming en stem het af op je definitieve verwerkers, hosting en datastromen.

1. Inleiding

Schoolbaas.nl is een educatieve app waarin kinderen rekenen en taal oefenen door eigen herinneringen vrij te spelen. Het is een product dat letterlijk gevoed wordt door persoonlijke foto's en momenten van een gezin. Daarom nemen we privacy buitengewoon serieus. Dit beleid beschrijft hoe wij omgaan met persoonsgegevens van Ouders en hun Kinderen.

Wij verwerken persoonsgegevens conform de Algemene verordening gegevensbescherming (AVG / GDPR), de Uitvoeringswet AVG en aanvullende relevante wet- en regelgeving zoals de Telecommunicatiewet (cookies).

2. Wie zijn wij

De verwerkingsverantwoordelijke in de zin van de AVG is:

  • [VUL IN: Statutaire naam B.V.] (handelsnaam: Schoolbaas.nl)
  • Adres: [VUL IN: Straat en huisnummer], [VUL IN: Postcode] [VUL IN: Vestigingsplaats], Nederland
  • KvK: [VUL IN: KVK-nummer]
  • Privacy-contact: privacy@schoolbaas.nl

[VUL IN: indien je een Functionaris Gegevensbescherming (FG) hebt aangewezen, vermeld dan hier diens naam en contactgegevens.]

3. Voor wie geldt dit beleid

Dit beleid is van toepassing op:

  • Ouders die een Account aanmaken of beheren;
  • Kinderen wier gegevens worden verwerkt via een door de Ouder beheerd Kindprofiel;
  • Bezoekers van onze website https://schoolbaas.nl;
  • Personen die contact met ons opnemen via e-mail of support.

4. Welke gegevens we verwerken

Gegevens van de Ouder

  • e-mailadres (verplicht);
  • voornaam en eventueel achternaam (optioneel);
  • versleuteld opgeslagen wachtwoord;
  • betaalmethode-verwijzing (token), factuuradres, betaalstatus en factuurhistorie;
  • IP-adres, browser, apparaat-type en grof land voor beveiliging en foutdetectie;
  • communicatie tussen jou en ons support-team.

Gegevens van het Kind (Kindprofiel)

  • voornaam of bijnaam (door de Ouder gekozen);
  • leeftijdsindicatie of leerjaar (groep 3 t/m 8);
  • door de Ouder ingestelde fotocategorieën en geüploade foto's;
  • leervoortgang: gemaakte opdrachten, scores, niveau, sessieduur, streak en welke foto's zijn vrijgespeeld;
  • technische logs (sessie-id's) voor stabiliteit en foutmeldingen.

We vragen nooit achternaam, adres, telefoonnummer, BSN of schoolgegevens van het Kind. Het Kind kan binnen Schoolbaas.nl niet communiceren met derden en heeft geen publiek profiel.

5. Foto's en herinneringen

Foto's vormen de kern van Schoolbaas.nl. We behandelen ze met dezelfde zorgvuldigheid als gevoelige gegevens, ook al zijn het juridisch geen "bijzondere persoonsgegevens" in de zin van artikel 9 AVG (tenzij ze bijvoorbeeld religieuze of medische informatie zouden onthullen).

  • Foto's worden versleuteld opgeslagen bij onze hostingpartner [VUL IN: naam hostingpartner, bv. AWS/Hetzner, regio EU].
  • Foto's zijn uitsluitend toegankelijk vanuit het Account waarin ze zijn geüpload en het bijbehorende Kindprofiel. Onze medewerkers hebben standaard geen toegang tot foto's; alleen in uitzonderlijke gevallen (bijvoorbeeld een door jou gemeld technisch probleem of een wettelijk verplicht onderzoek) en altijd onder strikte voorwaarden.
  • We gebruiken foto's nooit voor advertenties, marketing, doorverkoop, het trainen van AI/ML-modellen of het verbeteren van onze algoritmes.
  • Je kunt op elk moment individuele foto's, een hele categorie of het volledige plakboek verwijderen. Verwijderde foto's worden binnen 30 dagen ook uit back-ups gewist.

6. Gegevens van kinderen

Schoolbaas.nl is gemaakt voor kinderen van 5 tot en met 12 jaar. Voor de verwerking van persoonsgegevens van kinderen onder de 16 jaar is in Nederland uitdrukkelijke toestemming van een ouder of wettelijk vertegenwoordiger vereist (artikel 8 AVG juncto Uitvoeringswet AVG).

  • Een Kind kan geen zelfstandig account aanmaken. Een Kindprofiel bestaat alleen binnen een door een Ouder beheerd Account.
  • Bij het aanmaken van het Kindprofiel verleent de Ouder uitdrukkelijke toestemming voor de verwerking van persoonsgegevens van het Kind voor de doelen beschreven in dit beleid.
  • De Ouder kan deze toestemming op elk moment intrekken door het Kindprofiel of het Account te verwijderen. Wij stoppen de verwerking dan zo snel mogelijk en uiterlijk binnen 30 dagen.
  • Wij profileren het Kind niet voor commerciële doeleinden, tonen geen reclame en bieden geen in-app aankopen.
  • Het adaptieve leeralgoritme verwerkt prestatiegegevens van het Kind uitsluitend om de opdrachten op het juiste niveau aan te bieden. Dit is geen profilering met rechtsgevolgen en is noodzakelijk voor de uitvoering van de Dienst.

Wij hebben passende waarborgen genomen specifiek voor minderjarigen, waaronder dataminimalisatie (we vragen alleen een voornaam of bijnaam), reclame-vrijheid, en geen contact tussen Kinderen en derden binnen de Dienst.

7. Doelen en rechtsgronden van verwerking

Wij verwerken persoonsgegevens uitsluitend voor de volgende doelen:

  • Het leveren van Schoolbaas.nl — accountbeheer, leveren van de leeromgeving, opslag van foto's en plakboek, voortgangsregistratie. Rechtsgrond: uitvoering van de overeenkomst (artikel 6 lid 1 sub b AVG).
  • Verwerking van persoonsgegevens van het Kind. Rechtsgrond: uitdrukkelijke toestemming van de Ouder als wettelijk vertegenwoordiger (artikel 6 lid 1 sub a juncto artikel 8 AVG).
  • Facturatie, betalingen en boekhouding. Rechtsgrond: uitvoering van de overeenkomst en wettelijke verplichting (artikel 6 lid 1 sub b en c AVG); fiscale bewaarplicht.
  • Ondersteuning, e-mailcommunicatie en service-mails (zoals over je abonnement, beveiliging of belangrijke wijzigingen). Rechtsgrond: uitvoering van de overeenkomst en gerechtvaardigd belang.
  • Beveiliging, fraudepreventie en foutdetectie. Rechtsgrond: gerechtvaardigd belang (artikel 6 lid 1 sub f AVG).
  • Productverbetering met geaggregeerde, niet-herleidbare statistieken. Rechtsgrond: gerechtvaardigd belang. Wij gebruiken hier geen foto's of inhoud uit plakboeken voor.
  • Optionele nieuwsbrief. Rechtsgrond: uitdrukkelijke toestemming. Je kunt deze toestemming op elk moment intrekken via de afmeldlink in de e-mail.

8. Geen profilering of advertenties

Wij doen niet aan:

  • het bouwen van advertentieprofielen van Ouders of Kinderen;
  • het verkopen of verhuren van persoonsgegevens aan derden;
  • het tonen van advertenties of in-app aankopen aan Kinderen;
  • het gebruiken van foto's of plakboeken voor het trainen van AI- of machine learning-modellen.

9. Met wie wij gegevens delen

We delen persoonsgegevens uitsluitend met zorgvuldig geselecteerde verwerkers die ons helpen bij het leveren van de Dienst. Met al deze partijen hebben wij een verwerkersovereenkomst gesloten conform artikel 28 AVG. Op dit moment werken wij onder andere met:

  • Hosting & opslag: [VUL IN: bv. AWS Frankfurt / Hetzner Helsinki] — opslag van database, foto's en logs binnen de EU/EER.
  • Betaalverwerking: [VUL IN: bv. Mollie B.V. / Stripe Payments Europe Ltd.] — verwerking van iDEAL, SEPA-incasso en/of creditcardbetalingen.
  • E-mailbezorging: [VUL IN: bv. Postmark / SendGrid] — verzending van transactionele en service-mails.
  • Customer support: [VUL IN: bv. HelpScout / Front] — afhandeling van jouw vragen.
  • Foutmonitoring: [VUL IN: bv. Sentry] — detectie van technische fouten, met dataminimalisatie.
  • Privacy-vriendelijke productanalytics: [VUL IN: bv. Plausible / PostHog EU] — geanonimiseerde gebruiksstatistieken.

Daarnaast kunnen wij gegevens delen met bevoegde autoriteiten indien dat wettelijk verplicht is (bijvoorbeeld op basis van een gerechtelijk bevel) of om onze rechten te beschermen.

Wij verkopen of verhuren nooit persoonsgegevens aan derden voor marketingdoeleinden.

10. Internationale doorgifte

Wij geven er sterk de voorkeur aan persoonsgegevens binnen de Europese Economische Ruimte (EER) te verwerken. Indien een verwerker incidenteel gegevens buiten de EER verwerkt, zorgen wij voor passende waarborgen, zoals de modelcontractbepalingen van de Europese Commissie (Standard Contractual Clauses) en aanvullende technische maatregelen.

11. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan nodig voor de doelen waarvoor ze zijn verzameld:

  • Account- en profielgegevens: gedurende de looptijd van het Abonnement. Na opzegging worden ze binnen 30 dagen verwijderd, tenzij een wettelijke bewaarplicht anders bepaalt.
  • Foto's: totdat ze actief worden verwijderd door de Ouder, of binnen 30 dagen na opzegging van het Abonnement.
  • Voortgangsgegevens: gekoppeld aan het Kindprofiel; verwijderd bij verwijdering van het profiel of het Account.
  • Facturen en betaalgegevens: 7 jaar, op grond van fiscale bewaarplicht (artikel 52 Algemene wet inzake rijksbelastingen).
  • Beveiligings- en serverlogs: maximaal 90 dagen, behoudens onderzoek bij incidenten.
  • Supportcorrespondentie: tot 24 maanden na het laatste contactmoment.

12. Cookies & analytics

Op https://schoolbaas.nl gebruiken wij minimale, privacyvriendelijke cookies en vergelijkbare technieken:

  • Functionele cookies: noodzakelijk voor het laten werken van de website en het Account (bv. inloggen). Geen toestemming vereist.
  • Analytics: [VUL IN: bv. Plausible / PostHog EU] — geaggregeerde bezoekersstatistieken zonder individuele tracking, geen advertentiecookies.
  • Wij plaatsen geen tracking pixels van advertentienetwerken zoals Meta of Google Ads, en geen social media-trackers.

Vereist je gekozen analytics tooling toestemming (TCF/IAB)? Dan tonen wij een cookiebanner waarmee je voorkeuren beheert. Zie ook onze aparte Cookiepagina voor een volledig overzicht.

In de mobiele app gebruiken wij geen cookies in de strikte zin; vergelijkbare lokale opslag wordt uitsluitend gebruikt voor het functioneren van de app.

13. Push notifications & e-mail

  • Push notifications zijn standaard uit en kunnen door de Ouder worden aangezet voor herinneringen aan oefenmomenten of streak-meldingen voor het Kind.
  • Service-e-mails (over je abonnement, beveiliging, belangrijke wijzigingen) sturen wij altijd. Marketing-e-mails alleen na uitdrukkelijke toestemming, met een afmeldlink in elke mail.

14. Beveiliging

Wij nemen passende technische en organisatorische maatregelen, waaronder:

  • versleuteling van verkeer (TLS 1.2+) en versleuteling van gevoelige data in rust;
  • moderne hashing (Argon2 of vergelijkbaar) voor wachtwoorden;
  • strikte toegangscontrole, multi-factor authenticatie voor medewerkers met toegang;
  • least-privilege principe en logging van interne toegang;
  • regelmatige back-ups en getest herstelbeleid;
  • periodieke security-reviews en, waar relevant, een Data Protection Impact Assessment (DPIA).

Geen enkel systeem is volledig waterdicht. Heb je het vermoeden van een beveiligingsincident? Mail dan direct privacy@schoolbaas.nl.

15. Datalekken

Wij hebben een interne procedure voor het herkennen en behandelen van datalekken. Indien een datalek waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen, melden wij dit binnen 72 uur bij de Autoriteit Persoonsgegevens en informeren wij de betrokkenen zonder onnodige vertraging, conform artikel 33 en 34 AVG.

16. Jouw rechten

Onder de AVG heb je (en heeft jouw kind, vertegenwoordigd door jou) de volgende rechten:

  • Inzage in de persoonsgegevens die wij verwerken;
  • Correctie van onjuiste of onvolledige gegevens;
  • Verwijdering ("recht op vergetelheid") van persoonsgegevens, voor zover de wet dit toelaat;
  • Beperking van de verwerking;
  • Bezwaar tegen verwerking op basis van gerechtvaardigd belang;
  • Dataportabiliteit: een kopie ontvangen in een gestructureerd, gangbaar formaat;
  • Het intrekken van toestemming die je eerder hebt gegeven, zonder dat dit de rechtmatigheid van eerdere verwerking aantast.

De meeste rechten kun je direct uitoefenen vanuit het Account (gegevens inzien, foto's verwijderen, profiel of Account verwijderen). Voor andere verzoeken stuur je een e-mail aan privacy@schoolbaas.nl. Wij reageren in beginsel binnen vier weken; bij complexe verzoeken kan deze termijn met maximaal twee maanden worden verlengd, waarover wij je dan informeren.

Wij kunnen je vragen om je identiteit aan te tonen voordat we het verzoek uitvoeren, om te voorkomen dat gegevens aan onbevoegden worden vrijgegeven. Zie ook onze aparte pagina AVG-rechten uitoefenen.

17. Klacht bij de Autoriteit Persoonsgegevens

Ben je het niet eens met hoe wij met jouw persoonsgegevens omgaan en komen we er samen niet uit? Dan heb je het recht een klacht in te dienen bij de Nederlandse Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

18. Wijzigingen in dit beleid

Wij kunnen dit privacybeleid van tijd tot tijd aanpassen. De meest actuele versie staat altijd op https://schoolbaas.nl/privacy. Materiële wijzigingen kondigen wij ten minste 30 dagen vóór ingangsdatum aan via e-mail of een melding in het Account.

19. Contact

Vragen of verzoeken over privacy? Neem contact op via:

  • E-mail: privacy@schoolbaas.nl
  • Postadres: [VUL IN: Straat en huisnummer], [VUL IN: Postcode] [VUL IN: Vestigingsplaats], Nederland

© 2026 [VUL IN: Statutaire naam B.V.]. Versie 1.0 — 7 mei 2026.