Verwerkersovereenkomst (DPA)
Laatst bijgewerkt: 19/6/2026 · Versie 1.0
Deze verwerkersovereenkomst (Data Processing Agreement) is van toepassing wanneer u (school, organisatie of ouder) LeerVlam gebruikt en LeerVlam persoonsgegevens verwerkt namens u in de zin van artikel 28 AVG/GDPR. Voor scholen en organisaties kan op verzoek een ondertekend exemplaar worden bezorgd via info@leervlam.com.
1. Partijen
Verwerkingsverantwoordelijke: de gebruiker (ouder, school of organisatie).
Verwerker: Martine Vanherle — Neuradhynova, Terbermenweg 120, 3540 Herk-de-Stad, België — ondernemingsnummer BE0552.579.603. Contactpersoon: Martine Edwarda Victoria Vanherle, +32 499 60 13 36, info@leervlam.com.
2. Voorwerp & duur
LeerVlam verwerkt persoonsgegevens uitsluitend om de leeromgeving te leveren (account, kindprofielen, leerdata, optionele AI-functies). De overeenkomst loopt zolang u een actief account heeft, en eindigt bij opzegging — daarna gelden de retentietermijnen hieronder.
3. Categorieën van betrokkenen en gegevens
- Ouders/begeleiders: e-mail, weergavenaam, abonnement-historiek.
- Kinderen: voornaam of pseudoniem, leerjaar, leervoorkeuren, voortgang, mood- checkins, optionele spraak/foto-uploads.
- Technisch: auth-sessies, IP bij login (kortstondig).
4. Subverwerkers
Wij maken gebruik van de volgende subverwerkers. Wijzigingen worden minstens 30 dagen vooraf gecommuniceerd.
| Subverwerker | Doel | Locatie |
|---|---|---|
| Lovable Cloud (Supabase) | Hosting database, auth, storage, edge-functies | EU (Frankfurt) |
| Cloudflare Workers | Server-side rendering & edge-routing | Globaal (EU-prioritair) |
| Stripe Payments Europe | Betalingsverwerking abonnementen | EU (Ierland) |
| Lovable AI Gateway | Tutor-, evaluatie- en samenvattingsmodellen | EU/VS (DPA + SCC) |
| ElevenLabs | Voorlees-stem (TTS) | EU/VS (DPA + SCC) |
| YouTube (embed) | Optionele leervideo's, no-cookie modus | Globaal |
5. Retentietermijnen
Wij hanteren strikte bewaartermijnen. Een dagelijkse cron-job (run_retention_cleanup) ruimt automatisch op:
| Gegevens | Bewaartermijn | Actie |
|---|---|---|
| Account & leerdata | Zolang account actief | Verwijderd binnen 7 dagen na verzoek (grace period) |
| Paywall-events | 90 dagen | Hard delete |
| Funnel-events | 180 dagen | Hard delete |
| Probleemmeldingen (gesloten) | 365 dagen | Hard delete + bijlages |
| TTS-audio cache | 180 dagen sinds laatste gebruik | Hard delete |
| Mood-checkin notities | 24 maanden | Geanonimiseerd (score blijft) |
| Spraakopnames (drama) | 30 dagen | Hard delete tenzij in portfolio |
| Boekhouding (Stripe) | 7 jaar | Wettelijke verplichting (BE) |
6. Beveiligingsmaatregelen
- HTTPS/TLS 1.2+ overal, HSTS op productie.
- Row-Level Security per gebruiker en per kindprofiel.
- Service-role keys uitsluitend server-side, nooit in browser-bundles.
- Rate-limiting op publieke endpoints en probleemmeldingen.
- PII-stripping in analytics-logs (e-mail, naam, IP, user-agent).
- Dagelijkse back-ups, encrypted at rest.
7. Rechten van betrokkenen
Ouders/begeleiders kunnen hun gegevens en die van hun kindprofielen op elk moment uitoefenen via Instellingen → Mijn gegevens:
- Export — JSON-bundel met alle profiel-, leer- en transactiedata.
- Verwijdering — start een verzoek met 7 dagen bedenktijd; daarna wordt het account en alle gerelateerde data definitief verwijderd.
- Toestemming intrekken — via de cookie-banner (functioneel / analyse).
Onafhankelijk verzoek? Mail info@leervlam.com — antwoord binnen 30 dagen. Klacht: Gegevensbeschermingsautoriteit (GBA), Drukpersstraat 35, 1000 Brussel.
8. Datalek-procedure
LeerVlam meldt een datalek binnen 72 uur aan de verwerkingsverantwoordelijke (en indien verplicht aan de GBA), met aard, omvang, getroffen gegevens en mitigatie-stappen.
9. Beëindiging
Bij beëindiging van het account wordt alle persoonlijke data verwijderd binnen de grace period (7 dagen) en de retentietermijnen hierboven; boekhoudkundige gegevens blijven 7 jaar bewaard conform Belgische wetgeving.
10. Contact & PDF
Voor een ondertekend DPA-exemplaar of bijkomende vragen: info@leervlam.com. Een PDF-versie kan op verzoek worden bezorgd.