Versie 2 — laatst bijgewerkt 5 mei 2026
Privacyverklaring
BC Opleidingen B.V. (hierna: "wij") hecht veel waarde aan een zorgvuldige omgang met je persoonsgegevens. In deze verklaring leggen we uit welke gegevens we verwerken op het BCO Leerplatform (learningapp.nl), waarom, en welke rechten je daarbij hebt onder de Algemene Verordening Gegevensbescherming (AVG / GDPR).
1. Wie zijn wij?
Verwerkingsverantwoordelijke: BC Opleidingen B.V., gevestigd te Enkhuizen, ingeschreven bij de Kamer van Koophandel.
Contact voor privacyvragen: info@bc-opleidingen.nl.
Functionaris voor Gegevensbescherming (FG): Wij hebben geen wettelijk verplichte FG aangesteld. Voor vragen kun je terecht bij bovenstaand mailadres.
2. Welke gegevens verwerken wij?
Wij verwerken de volgende categorieën persoonsgegevens:
- Accountgegevens (verplicht): voor- en achternaam, e-mailadres, veilig opgeslagen wachtwoord, rol en taal-/tijdzonevoorkeur.
- Optionele profielgegevens: tussenvoegsel, profielfoto, telefoonnummer, geboortedatum, adres, postcode, woonplaats, land, biografie en links naar sociale profielen — alleen als je deze zelf invult.
- Leervoortgang: inschrijvingen, voltooide lessen, toetsresultaten, behaalde certificaten, tijdsbesteding per activiteit en MemoTrainer-statistieken.
- Communicatie: berichten in de berichten-inbox, discussiebijdragen, persoonlijke notities, portfolio-items en gemelde inhoudsfouten.
- Technische en beveiligingsgegevens: IP-adres, browsertype, sessiecookie, audit-log van inlog- en wijzigingsacties (login, wachtwoordwijziging, rolwijziging, certificaatuitgifte, impersonatie door admin).
Wij verzamelen geen bijzondere persoonsgegevens (zoals gezondheid, ras, religie). Wij maken geen gebruik van trackingcookies of advertentienetwerken.
3. Doeleinden en grondslag (AVG)
Wij verwerken je gegevens uitsluitend voor onderstaande doeleinden, telkens op basis van een AVG-grondslag:
- Uitvoering overeenkomst (art. 6 lid 1 sub b): toegang verlenen tot de cursussen waarvoor je bent ingeschreven, voortgang en certificering vastleggen, communicatie via berichten/discussies.
- Gerechtvaardigd belang (art. 6 lid 1 sub f): beveiliging van het platform (audit-logs, rate-limiting, anti-misbruik), kwaliteitsverbetering, voorkomen van fraude.
- Wettelijke verplichting (art. 6 lid 1 sub c): bewaren van diploma- en certificeringsgegevens voor zover wettelijk vereist binnen de duikers-branche, fiscale bewaarplicht voor facturen.
- Toestemming (art. 6 lid 1 sub a): niet-essentiële cookies (alleen voorkeurskeuze) en optionele e-mailnotificaties — alleen na expliciete opt-in via je profielinstellingen.
4. Cookies
Wij gebruiken alleen functionele cookies en localStorage-items. Geen tracking-, advertentie- of analytische cookies van derden.
- een inlogsessie-cookie (verplicht om ingelogd te kunnen blijven)
- een cookie dat je keuze in de cookie-banner onthoudt
- een cookie met je voorkeurstaal
Bij eerste bezoek vragen wij je toestemming via een cookie-banner. Functionele cookies zijn noodzakelijk en kun je niet uitschakelen zonder dat het platform stopt te werken.
5. Subverwerkers en internationale doorgifte
Voor het leveren van de dienst maken wij gebruik van zorgvuldig geselecteerde subverwerkers. Met elk daarvan is een verwerkersovereenkomst (DPA) afgesloten:
- Vercel Inc. (Verenigde Staten) — hosting van de webapplicatie en globale CDN.
- Supabase Inc. (Verenigde Staten / EU regio) — PostgreSQL database, bestandsopslag en authenticatie. Onze databaseservers staan in een EU-regio.
- TransIP B.V. (Nederland) — domeinregistratie en uitgaande mailservice voor transactionele e-mails.
- Anthropic PBC, OpenAI Inc., Google LLC (Verenigde Staten) — AI-modellen voor automatische vertaling, vraaggeneratie en content-optimalisatie. Belangrijk: alleen lesinhoud en cursus-gerelateerde tekst worden naar AI-modellen verstuurd, geen persoonsgegevens van cursisten.
- Upstash Inc. (Verenigde Staten / EU regio) — Redis voor rate-limiting. Bevat alleen IP-adressen en tijdelijke teller-keys, geen persoonsgegevens.
Voor doorgifte van persoonsgegevens naar de Verenigde Staten baseren wij ons op de EU-VS Data Privacy Framework (DPF) certificering van bovengenoemde Amerikaanse leveranciers, dan wel op de Standaardcontractbepalingen (SCC) van de Europese Commissie waar DPF niet van toepassing is.
6. Bewaartermijnen
- Accountgegevens: zolang je account actief is, plus een herstel-window van 30 dagen na verwijdering. Daarna worden alle gegevens definitief verwijderd door een geautomatiseerde dagelijkse opruim-job.
- Behaalde certificaten en diploma's: 7 jaar na afgifte (in lijn met fiscale en branche-specifieke bewaarplicht). Na verwijdering van het account worden certificaten geanonimiseerd of gepseudonimiseerd bewaard.
- Toetsresultaten en voortgang: zolang het account actief is. Worden bij accountverwijdering verwijderd, met uitzondering van data die in certificaten verwerkt is.
- Audit-logs (login, security events): 12 maanden, daarna geanonimiseerd of verwijderd.
- Communicatie (berichten, discussies, notities): zolang het account actief is. Bij accountverwijdering worden berichten van de verzender verwijderd; bij conversaties met andere actieve gebruikers blijft de tekst zichtbaar maar wordt de afzender losgekoppeld.
- Cookie-keuze: 12 maanden vanaf de laatste bevestiging.
7. Beveiliging
Wij nemen passende technische en organisatorische maatregelen om je persoonsgegevens te beschermen, waaronder:
- versleuteling van gegevens tijdens transport
- veilige opslag van wachtwoorden (eenrichtings-hashing)
- toegangscontrole en audit-logging van gevoelige acties
- bescherming tegen misbruik via rate-limiting
- dagelijkse database-backups
- periodieke interne beveiligingsbeoordelingen
Mocht zich ondanks deze maatregelen toch een datalek voordoen, dan volgen wij de procedure beschreven in sectie 9.
8. Jouw rechten (AVG)
Onder de AVG heb je recht op:
- Inzage (art. 15) — vraag een kopie aan van de gegevens die wij over je bewaren. Beschikbaar als JSON-download via Profielinstellingen → Privacy & data → Data exporteren.
- Rectificatie (art. 16) — onjuiste gegevens laten corrigeren. Doe dit zelf via je profielinstellingen of mail ons.
- Wissing / vergetelheid (art. 17) — verwijdering van je account via Profielinstellingen → Privacy & data → Account verwijderen. Bevestiging met je wachtwoord en bevestigingstekst is vereist.
- Beperking (art. 18) — verzoek om bepaalde verwerking tijdelijk stop te zetten.
- Dataportabiliteit (art. 20) — download van je gegevens in JSON-formaat (zelfde knop als bij Inzage).
- Bezwaar (art. 21) — tegen verwerking op basis van gerechtvaardigd belang.
- Intrekken toestemming — voor verwerkingen op basis van toestemming, bijvoorbeeld e-mailnotificaties (uitschakelbaar in profiel).
- Klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) als je vindt dat wij je rechten schenden.
Stuur verzoeken naar info@bc-opleidingen.nl. Wij reageren binnen één maand, conform de AVG.
9. Datalek-procedure
Bij een datalek dat een hoog risico oplevert voor de rechten en vrijheden van betrokkenen volgen wij de procedure uit de AVG:
- Binnen 72 uur na ontdekking melden wij het lek bij de Autoriteit Persoonsgegevens, indien meldingsplichtig.
- Wij informeren direct getroffen gebruikers via e-mail wanneer het lek waarschijnlijk een hoog risico voor hun privacy oplevert.
- Wij analyseren de oorzaak, beperken de schade en treffen maatregelen om herhaling te voorkomen. Het incident en de getroffen maatregelen worden vastgelegd in onze interne incidentregistratie.
Heb je zelf een vermoeden van een datalek (bv. een verdacht bericht of zichtbaarheid van data van een andere gebruiker)? Mail dit direct naar info@bc-opleidingen.nl.
10. Wijzigingen en contact
Wijzigingen in deze privacyverklaring publiceren wij op deze pagina. Bij ingrijpende wijzigingen die invloed hebben op de verwerking van je persoonsgegevens informeren wij actieve gebruikers per e-mail.
Contact:
BC Opleidingen B.V. — Beroepsduikers Centrum
E-mail: info@bc-opleidingen.nl
Web: learningapp.nl