De Hoop, gevestigd aan Provincialeweg 70 te 3329 KP Dordrecht, is verantwoordelijk voor de verwerking van persoonsgegevens zoals weergegeven in deze privacyverklaring.

Contactgegevens: www.dehoop.org

Provincialeweg 70

3329 KP Dordrecht

078-6111111

Functionaris Gegevensbescherming

Jan-Kees Obbink is de Functionaris Gegevensbescherming van De Hoop. Hij is te bereiken via: privacy@dehoop.org

Persoonsgegevens die wij verwerken

De Hoop verwerkt uw persoonsgegevens omdat u gebruik maakt van onze diensten en/of omdat u deze zelf aan ons verstrekt.

Hieronder vindt u een overzicht van de persoonsgegevens die wij verwerken met betrekking tot de Inner app:

• Naam
• Emailadres
• Afspeelgeschiedenis
• Wachtwoord

De Hoop verwerkt uw persoonsgegevens voor de volgende doelen, wat betreft de Inner app:

• Verifiëren van een account Inner-app
• Gebruikservaring / voortgang monitoren Inner-app

Dit gebeurt op basis van vrije en gerichte toestemming, tenzij deze niet is vereist omdat de gegevensverwerking plaatsvindt in het kader van het uitvoeren van een overeenkomst, het nakomen van een wettelijke verplichting, ter vrijwaring van een vitaal belang van u en/of een gerechtvaardigd bedrijfsbelang van ons.

Hoe lang we persoonsgegevens bewaren

Zolang de gebruiker zijn account behoudt. Pas wanneer het account wordt verwijderd, worden alle persoonsgegevens verwijderd.

Delen van persoonsgegevens met derden

Naam en Afspeelgeschiedenis worden opgeslagen in Sanity. Emailadres/wachtwoord in Auth0 (authenticatieprovider) en Stripe (betalingsprovider).

Cookies, of vergelijkbare technieken

Bij gebruik van de app worden dat de app worden geen cookies opgeslagen.

Gegevens inzien, aanpassen of verwijderen

U heeft het recht om uw persoonsgegevens in te zien, te corrigeren of te verwijderen. Daarnaast heeft u het recht om uw eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens door De Hoop en heeft u het recht op gegevensoverdraagbaarheid. Dat betekent dat u bij ons een verzoek kunt indienen om uw persoonsgegevens waarover wij beschikken in een computerbestand naar u of een andere, door u genoemde organisatie, te sturen.

U kunt een verzoek tot inzage, correctie, verwijdering, gegevensoverdraging van uw persoonsgegevens of verzoek tot intrekking van uw toestemming of bezwaar op de verwerking van uw persoonsgegevens sturen naar privacy@dehoop.org.

Om er zeker van te zijn dat het verzoek door u is gedaan, vragen wij u een kopie van uw identiteitsbewijs met het verzoek mee te sturen. Maak in deze kopie uw pasfoto, MRZ (machine readable zone, de strook met nummers onderaan het paspoort), paspoortnummer en Burgerservicenummer (BSN) zwart. Dit ter bescherming van uw privacy. We reageren zo snel mogelijk, maar binnen vier weken, op uw verzoek.

De Hoop wil u er tevens op wijzen dat u de mogelijkheid heeft om een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens. Dat kan via de volgende link: https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons

Hoe wij uw persoonsgegevens in de Inner-app beveiligen

We hanteren een ‘security-by-design’-aanpak bij de ontwikkeling en het beheer van deze applicatie. Dat betekent dat beveiliging structureel is meegenomen in ontwerp, infrastructuur en onderhoud. De belangrijkste maatregelen zijn:

1. Beveiligde infrastructuur (cloud-diensten)
   • De backend en data worden uitsluitend gehost bij ISO 27001-, SOC 2- en GDPR-gecertificeerde cloudproviders (Auth0, Stripe, Sanity via Google Cloud).
   • Alle verbindingen tussen app, API’s en backend verlopen via TLS 1.2+ versleutelde communicatie (HTTPS).
   • Er is geen directe toegang tot servers of databases vanaf het publieke internet; beheer vindt plaats via beveiligde, geauthenticeerde interfaces.
2. Authenticatie en autorisatie
   • Auth0 verzorgt de gebruikersauthenticatie; wachtwoorden worden hash- en salted opgeslagen met moderne algoritmen (bcrypt).
   • Inloggegevens worden nooit door Eight of DeHoop GGZ opgeslagen in platte

tekst.

• Bij gebruik van Apple ID of Google ID vindt authenticatie plaats via OAuth 2.0 / OpenID Connect met korte-levensduur tokens.
• Er is rate limiting en brute-force-detectie op loginpogingen

3. Applicatie- en API-beveiliging
   • De app en backend gebruiken token-based access (JWT’s) met beperkte geldigheid.
   • API’s accepteren uitsluitend geauthenticeerde verzoeken; er is input-validatie en bescherming tegen SQL-/NoSQL-injectie, XSS, en CSRF.
   • Alleen de noodzakelijke data wordt verwerkt (‘data-minimization’).
4. Beheer en updates
   • Regelmatige security-patches en dependency-updates via geautomatiseerde CI/CD-pijplijnen.
   • Interne toegang bij Eight is beperkt via multi-factor-authenticatie (MFA) en role-based access control (RBAC).
   • Back-ups van content worden automatisch en versleuteld uitgevoerd.
5. Monitoring en incident-respons
   • Continue monitoring op ongeautoriseerde toegang, foutmeldingen en verdachte activiteit.
   • Datalekken worden binnen 48 uur gemeld aan DeHoop GGZ conform de AVG.
6. Geen opslag van gevoelige gezondheidsdata
   • De app verwerkt geen bijzondere persoonsgegevens in de zin van de AVG.
   • Alleen minimale gebruikersinformatie (naam, e-mail, abonnementsstatus) wordt verwerkt, met scheiding tussen authenticatie (Auth0), betaling (Stripe) en content (Sanity).