Privacyverklaring

1. Wie zijn wij?

Verwerkingsverantwoordelijke: BC Opleidingen B.V., gevestigd te Enkhuizen, ingeschreven bij de Kamer van Koophandel.

Contact voor privacyvragen: info@bc-opleidingen.nl.

Functionaris voor Gegevensbescherming (FG): Wij hebben geen wettelijk verplichte FG aangesteld. Voor vragen kun je terecht bij bovenstaand mailadres.

2. Welke gegevens verwerken wij?

Wij verwerken de volgende categorieën persoonsgegevens:

• Accountgegevens (verplicht): voor- en achternaam, e-mailadres, gehasht wachtwoord (bcrypt, 12 rounds), rol en taal-/tijdzonevoorkeur.
• Optionele profielgegevens: tussenvoegsel, profielfoto, telefoonnummer, geboortedatum, adres, postcode, woonplaats, land, biografie en links naar sociale profielen — alleen als je deze zelf invult.
• Leervoortgang: inschrijvingen, voltooide lessen, toetsresultaten, behaalde certificaten, tijdsbesteding per activiteit en MemoTrainer-statistieken.
• Communicatie: berichten in de berichten-inbox, discussiebijdragen, persoonlijke notities, portfolio-items en gemelde inhoudsfouten.
• Technische en beveiligingsgegevens: IP-adres, browsertype, sessiecookie, audit-log van inlog- en wijzigingsacties (login, wachtwoordwijziging, rolwijziging, certificaatuitgifte, impersonatie door admin).

Wij verzamelen geen bijzondere persoonsgegevens (zoals gezondheid, ras, religie). Wij maken geen gebruik van trackingcookies of advertentienetwerken.

3. Doeleinden en grondslag (AVG)

Wij verwerken je gegevens uitsluitend voor onderstaande doeleinden, telkens op basis van een AVG-grondslag:

• Uitvoering overeenkomst (art. 6 lid 1 sub b): toegang verlenen tot de cursussen waarvoor je bent ingeschreven, voortgang en certificering vastleggen, communicatie via berichten/discussies.
• Gerechtvaardigd belang (art. 6 lid 1 sub f): beveiliging van het platform (audit-logs, rate-limiting, anti-misbruik), kwaliteitsverbetering, voorkomen van fraude.
• Wettelijke verplichting (art. 6 lid 1 sub c): bewaren van diploma- en certificeringsgegevens voor zover wettelijk vereist binnen de duikers-branche, fiscale bewaarplicht voor facturen.
• Toestemming (art. 6 lid 1 sub a): niet-essentiële cookies (alleen voorkeurskeuze) en optionele e-mailnotificaties — alleen na expliciete opt-in via je profielinstellingen.

4. Cookies

Wij gebruiken alleen functionele cookies en localStorage-items. Geen tracking-, advertentie- of analytische cookies van derden.

• __Secure-next-auth.session-token — inlogsessie (HTTP-only, Secure, SameSite=Lax). Verplicht voor functionaliteit.
• bco_cookie_consent_v1 — onthouden van je keuze in de cookie-banner.
• bco-locale — voorkeurstaal (NL/EN/DE/FR/ES).

Bij eerste bezoek vragen wij je toestemming via een cookie-banner. Functionele cookies zijn noodzakelijk en kun je niet uitschakelen zonder dat het platform stopt te werken.

5. Subverwerkers en internationale doorgifte

Voor het leveren van de dienst maken wij gebruik van zorgvuldig geselecteerde subverwerkers. Met elk daarvan is een verwerkersovereenkomst (DPA) afgesloten:

• Vercel Inc. (Verenigde Staten) — hosting van de webapplicatie en globale CDN.
• Supabase Inc. (Verenigde Staten / EU regio) — PostgreSQL database, bestandsopslag en authenticatie. Onze databaseservers staan in een EU-regio.
• TransIP B.V. (Nederland) — domeinregistratie en uitgaande mailservice voor transactionele e-mails.
• Anthropic PBC, OpenAI Inc., Google LLC (Verenigde Staten) — AI-modellen voor automatische vertaling, vraaggeneratie en content-optimalisatie. Belangrijk: alleen lesinhoud en cursus-gerelateerde tekst worden naar AI-modellen verstuurd, geen persoonsgegevens van cursisten.
• Upstash Inc. (Verenigde Staten / EU regio) — Redis voor rate-limiting. Bevat alleen IP-adressen en tijdelijke teller-keys, geen persoonsgegevens.

Voor doorgifte van persoonsgegevens naar de Verenigde Staten baseren wij ons op de EU-VS Data Privacy Framework (DPF) certificering van bovengenoemde Amerikaanse leveranciers, dan wel op de Standaardcontractbepalingen (SCC) van de Europese Commissie waar DPF niet van toepassing is.

6. Bewaartermijnen

• Accountgegevens: zolang je account actief is. Bij verwijdering worden gegevens direct verwijderd; herstel is daarna niet meer mogelijk.
• Behaalde certificaten en diploma's: 7 jaar na afgifte (in lijn met fiscale en branche-specifieke bewaarplicht). Na verwijdering van het account worden certificaten geanonimiseerd of gepseudonimiseerd bewaard.
• Toetsresultaten en voortgang: zolang het account actief is. Worden bij accountverwijdering verwijderd, met uitzondering van data die in certificaten verwerkt is.
• Audit-logs (login, security events): 12 maanden, daarna geanonimiseerd of verwijderd.
• Communicatie (berichten, discussies, notities): zolang het account actief is. Bij accountverwijdering worden berichten van de verzender verwijderd; bij conversaties met andere actieve gebruikers blijft de tekst zichtbaar maar wordt de afzender losgekoppeld.
• Cookie-keuze: 12 maanden vanaf de laatste bevestiging.

7. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om je gegevens te beschermen, waaronder:

• Versleuteling in transit: alle verbindingen via HTTPS/TLS 1.3.
• Gehashte wachtwoorden: bcrypt met 12 rounds. Wij kunnen je wachtwoord nooit terughalen — alleen resetten via een tijdelijke link met geldigheidsduur van 1 uur.
• Wachtwoord-policy: minimaal 10 tekens. Bij eerste login wordt een tijdelijk wachtwoord verplicht vervangen.
• Rate-limiting: 10 inlogpogingen per IP per 15 minuten, 20 AI-aanroepen per gebruiker per uur.
• Audit-logs: alle gevoelige acties (login, wachtwoordwijziging, rolwijziging, certificaatuitgifte, beheerderslogins en -impersonaties) worden gelogd met tijdstempel en IP.
• Self-destruct guards: beheerders kunnen niet hun eigen account uitschakelen, zichzelf de beheerdersrol ontnemen of zichzelf verwijderen indien zij de laatste beheerder zijn.
• HTML-sanitization: gebruikersinhoud wordt gefilterd om XSS te voorkomen.
• Dagelijkse database-backups: via Supabase met geautomatiseerde retentie.

Wij streven naar voortdurende verbetering van onze beveiliging en voeren periodiek interne security-reviews uit. Tweefactor-authenticatie (2FA) is op dit moment niet beschikbaar maar staat op de roadmap.

8. Jouw rechten (AVG)

Onder de AVG heb je recht op:

• Inzage (art. 15) — vraag een kopie aan van de gegevens die wij over je bewaren. Beschikbaar als JSON-download via Profielinstellingen → Privacy & data → Data exporteren.
• Rectificatie (art. 16) — onjuiste gegevens laten corrigeren. Doe dit zelf via je profielinstellingen of mail ons.
• Wissing / vergetelheid (art. 17) — verwijdering van je account via Profielinstellingen → Privacy & data → Account verwijderen. Bevestiging met je wachtwoord en bevestigingstekst is vereist.
• Beperking (art. 18) — verzoek om bepaalde verwerking tijdelijk stop te zetten.
• Dataportabiliteit (art. 20) — download van je gegevens in JSON-formaat (zelfde knop als bij Inzage).
• Bezwaar (art. 21) — tegen verwerking op basis van gerechtvaardigd belang.
• Intrekken toestemming — voor verwerkingen op basis van toestemming, bijvoorbeeld e-mailnotificaties (uitschakelbaar in profiel).
• Klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) als je vindt dat wij je rechten schenden.

Stuur verzoeken naar info@bc-opleidingen.nl. Wij reageren binnen één maand, conform de AVG.

9. Datalek-procedure

Bij een datalek dat een hoog risico oplevert voor de rechten en vrijheden van betrokkenen volgen wij de procedure uit de AVG:

• Binnen 72 uur na ontdekking melden wij het lek bij de Autoriteit Persoonsgegevens, indien meldingsplichtig.
• Wij informeren direct getroffen gebruikers via e-mail wanneer het lek waarschijnlijk een hoog risico voor hun privacy oplevert.
• Wij analyseren de oorzaak, beperken de schade en treffen maatregelen om herhaling te voorkomen. Het incident en de getroffen maatregelen worden vastgelegd in onze interne incidentregistratie.

Heb je zelf een vermoeden van een datalek (bv. een verdacht bericht of zichtbaarheid van data van een andere gebruiker)? Mail dit direct naar info@bc-opleidingen.nl.

10. Wijzigingen en contact

Wijzigingen in deze privacyverklaring publiceren wij op deze pagina. Bij ingrijpende wijzigingen die invloed hebben op de verwerking van je persoonsgegevens informeren wij actieve gebruikers per e-mail.

Contact:
BC Opleidingen B.V. — Beroepsduikers Centrum
E-mail: info@bc-opleidingen.nl
Web: learningapp.nl