Privacybeleid van de App
Status: maart 2026
Belangrijk Bericht – Vertaling
Deze tekst is een machinale vertaling aangeboden voor uw gemak. Dit is niet wettelijk bindend.
De juridisch bindende versies van dit Privacybeleid zijn beschikbaar op:
Duits – voor gebruikers wiens app-taal op Duits is ingesteld: alma-app.eu/datenschutz
Engels – voor alle andere gebruikers: alma-app.eu/privacy
Als iets in deze vertaling verschilt van de Duitse of Engelse versie, is de toepasselijke bindende versie van kracht. Indien u niet zeker bent welke versie op u van toepassing is, is de Engelse versie van toepassing.
Kernfeiten in een Oogopslag
Wie ik ben: Bastian Matzen / Alma Softwareentwicklung (Eenmanszaak), Kienitzer Str. 113, 12049 Berlijn, Duitsland. Contact: privacy@alma-app.eu | www.alma-app.eu
Uw gegevens bij mij:
✅ Veilig: Versleutelde opslag uitsluitend in de EU (Frankfurt am Main).
✅ Privé: Geen gegevensoverdracht aan derden (behalve aan uw noodcontacten in geval van nood).
✅ Vrijwillig: Gezondheidsgegevens en veel andere details zijn volledig optioneel.
✅ Gecontroleerd: U kunt alles op elk moment bekijken, bewerken of verwijderen.
✅ Transparant: Geen verborgen gegevensgebruik, geen verkoop van uw gegevens.
Uw rechten: Toegang, rectificatie, wissen, draagbaarheid van gegevens, bezwaar, intrekking van toestemming – allemaal mogelijk op elk moment.
Klachten kunnen worden ingediend bij: de Berlijnse Autoriteit voor Gegevensbescherming en Informatievrijheid (datenschutz-berlin.de). Gebruikers in de EER kunnen ook contact opnemen met de toezichthoudende autoriteit in hun land van gewone verblijfplaats. Gebruikers in het Verenigd Koninkrijk kunnen contact opnemen met het Information Commissioner’s Office (ico.org.uk). Gebruikers in Zwitserland kunnen contact opnemen met de Federale Commissaris voor Gegevensbescherming en Informatievrijheid (FDPIC).
1. Gegevensbeheerder en Contact
Ik ben de gegevensbeheerder verantwoordelijk voor gegevensverwerking in het kader van de Alma-app, in de zin van de Algemene Verordening Gegevensbescherming (GDPR), de Gegevensbeschermingsverordening van het Verenigd Koninkrijk (UK GDPR), de Zwitserse Federale Wet op Gegevensbescherming (FADP/DSG) en andere toepasselijke wetten op het gebied van gegevensbescherming:
Bastian Matzen Alma Softwareentwicklung (Eenmanszaak) Kienitzer Str. 113 12049 Berlijn Duitsland
Contactopties Voor privacyvragen (aanbevolen): privacy@alma-app.eu
Voor technische ondersteuning: support@alma-app.eu
Website: www.alma-app.eu
1a. Vertegenwoordiger in het Verenigd Koninkrijk
In overeenstemming met artikel 27 van de UK GDPR hebben we de volgende vertegenwoordiger in het Verenigd Koninkrijk aangesteld voor gegevensbeschermingskwesties:
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ London United Kingdom
Email: privacy@alma-app.eu
2. Overzicht van de App en Zijn Functies
Alma is een app voor persoonlijke veiligheid en communicatie met twee hoofdfuncties:
2.1 Alma Safety Net (Alleen met Connect+ Abonnement)
Automatische veiligheidscontroles in gedefinieerde tijdvensters.
Automatische melding van uw noodcontacten als een controle wordt gemist.
Optionele verzending van locatie- en gezondheidsgegevens in geval van nood.
2.2 Alma Moments (Gratis)
Sociaal netwerk voor het delen van momenten met tot 30 contacten.
Automatisch bericht in de sociale feed als een controle wordt gemist (indien ingeschakeld).
Wederzijdse bevestiging van vriendschap is vereist.
2.3 Minimale Leeftijd
Het gebruik van de Alma-app is toegestaan voor personen van 16 jaar en ouder. Personen onder de 16 jaar mogen de app niet gebruiken. Bij registratie bevestigt u dat u minimaal 16 jaar oud bent.
3. Welke Gegevens Worden Verwerkt?
3.1 Verplichte Gegevens Bij Registratie
Voor het gebruik van de app heb ik de volgende gegevens nodig (Wettelijke basis: Art. 6(1)(b) GDPR – Uitvoering van een contract):
E-mailadres – voor het aanmaken van account, communicatie en wachtwoord herstellen.
Wachtwoord – opgeslagen in versleutelde vorm en gebruikt voor accountbeveiliging.
Voornaam – voor personalisatie en weergave aan uw contacten.
Achternaam – voor volledige identificatie.
3.2 Optionele Profielgegevens
U kunt vrijwillig de volgende gegevens verstrekken (Wettelijke basis: Art. 6(1)(a) GDPR – Toestemming):
Profielfoto – voor personalisatie en sociale functies.
Geboortedatum – voor leeftijdsverificatie.
Telefoonnummer – als alternatieve contactmethode.
Adres – voor informatie over noodsituaties.
Biografie – voor sociale functies.
Stad – voor sociale functies en zoeken.
3.3 Gezondheidsgegevens (Alleen Connect+, Volledig Optioneel)
Deze speciale gegevenscategorieën onder art. 9 GDPR worden alleen verwerkt met uw expliciete toestemming.
Verzamelde gegevens: Bloedsgroep, allergieën, medicijnen, medische aandoeningen, huisdieren, informatie over huissleutel, andere informatie over noodsituaties.
Wettelijke basis: Art. 9(2)(a) GDPR (Expliciete toestemming).
Beveiliging: Deze gegevens worden opgeslagen met AES-256-versleuteling en verzonden alleen naar uw bevestigde noodcontacten in geval van nood.
3.4 Locatiegegevens (Optioneel)
Locatietracking is volledig optioneel en kan in drie modi werken (Wettelijke basis: Art. 6(1)(a) GDPR – Toestemming):
Opslaan bij Controle – Locatie wordt handmatig alleen vastgelegd bij controle.
Altijd Verzenden – Locatie wordt op de achtergrond bijgewerkt. Technisch wordt alleen de laatst bekende locatie opgeslagen; de vorige wordt overschreven.
Uitgeschakeld – Geen locatie wordt vastgelegd of gedeeld.
Opmerking: Locatiegegevens worden automatisch verwijderd na 30 dagen inactiviteit.
3.5 Controlegegevens
Tijdens controles worden de volgende gegevens vastgelegd:
Controletijd – voor veiligheidsbewaking (Bewaring: 90 dagen voor Connect+).
Apparaatgegevens – voor foutanalyse (Bewaring: 90 dagen).
Laatst bekende locatie – voor noodsituatieswaarschuwingen (Bewaring: max. 30 dagen, overschreven).
3.6 Sociale Gegevens (Alma Moments)
Bij het gebruik van sociale functies worden de volgende gegevens verwerkt: Posts (tekst, afbeeldingen, video’s), reacties, likes, verbindingen en stemmingsemoji’s.
Wettelijke basis: Art. 6(1)(b) GDPR (Uitvoering van contract voor het leveren van sociale functies) en Art. 6(1)(a) GDPR (voor vrijwillige inhoud).
3.7 Technische Gegevens
De volgende technische gegevens worden verwerkt voor de werking van de app:
Apparaattype en OS – voor app-optimalisatie en foutanalyse (Wettelijke basis: Art. 6(1)(f) GDPR).
App-versie – voor ondersteuning en updates (Wettelijke basis: Art. 6(1)(f) GDPR).
FCM-Token – voor push-meldingen (Wettelijke basis: Art. 6(1)(b) GDPR).
Tijdzone – voor juiste controletijd (Wettelijke basis: Art. 6(1)(b) GDPR).
Serverlogbestanden – voor infrastructuurbeveiliging en verdediging tegen aanvallen (Wettelijke basis: Art. 6(1)(f) GDPR).
3.8 Marketingcommunicatie (Optioneel)
Alleen als u tijdens registratie of later in instellingen hebt ingestemd door het vak aan te vinken, zal ik uw e-mailadres en naam verwerken om tips, appnieuws en updates (Nieuwsbrief) te verzenden.
Wettelijke basis: Art. 6(1)(a) GDPR (Toestemming).
Afmelden: U kunt zich op elk moment afmelden via de afmeldingslink in elke e-mail of in de meldingsinstellingen van de app. Intrekking van toestemming heeft geen invloed op de rechtmatigheid van verwerking op basis van toestemming voor de intrekking.
4. Doeleinden van Gegevensverwerking
Ik verwerk uw gegevens voor de volgende doeleinden:
Uitvoering van Contract (Art. 6(1)(b) GDPR): Levering van de app, controles, waarschuwingen, abonnementsbeheer.
Toestemming (Art. 6(1)(a) GDPR): Gezondheidsgegevens, locatie delen, optionele profielgegevens, marketing.
Gerechtvaardigd Belang (Art. 6(1)(f) GDPR): Fraudepreventie, technische veiligheid, probleemoplossing.
Wettelijke Verplichtingen (Art. 6(1)(c) GDPR): Bewaringsverplichting, verzoeken van autoriteiten.
Opmerking over Geautomatiseerde Besluitvorming: Er vindt geen geautomatiseerde besluitvorming of profilering plaats in de zin van art. 22 GDPR die rechtsgevolgen voor u heeft. Alarmtriggers zijn gebaseerd uitsluitend op tijdvensters en regels (If-Then-logica) die persoonlijk door u zijn gedefinieerd.
5. Gegevensontvangers en Verwerkers
5.1 Dienstverleners
Ik werk met de volgende dienstverleners om de app uit te voeren:
Google Firebase (Google Ireland Ltd.) – voor hosting, database en authenticatie. Locatie: Frankfurt am Main (europe-west3). Garantie voor gegevensbescherming: EU-US Data Privacy Framework (DPF), Google Cloud DPA.
RevenueCat – voor abonnementsbeheer (verwerkte gegevens: abonnementsstatus, aankoopdatum, pseudoniem App User ID, transactiemetadata). Locatie: USA (AWS). Garantie voor gegevensbescherming: EU Standard Contractual Clauses (SCCs), DPA. Voor overdrachten vanuit het Verenigd Koninkrijk: UK International Data Transfer Agreement (IDTA) of UK Addendum op EU SCCs. Voor overdrachten vanuit Zwitserland: naleving van FADP/DSG-vereisten.
Mailgun (Sinch) – voor e-mailbezorging. Locatie: EU. Garantie voor gegevensbescherming: DPA, GDPR-conform.
Algolia – voor gebruikerszoeking. Locatie: EU. Garantie voor gegevensbescherming: DPA, GDPR-conform.
5.2 Voorwaardelijke Gegevensoverdracht (Meldingskanalen)
Overdracht naar deze diensten vindt alleen plaats als uw noodcontact deze kanalen uitdrukkelijk kiest:
Meta (WhatsApp Cloud API) – alleen als WhatsApp door het contact wordt gekozen. Meta is gecertificeerd onder EU-US Data Privacy Framework. Voor overdrachten vanuit het Verenigd Koninkrijk is de UK Extension op EU-US DPF van toepassing.
Telegram – Het gebruik van Telegram vindt alleen plaats als uw noodcontact dit kanaal actief kiest. In dit geval stemt uw contact rechtstreeks in met gegevensverwerking door Telegram (mogelijk op servers buiten de EU).
5.3 Geen Gegevensoverdracht aan Derden
Uw gegevens worden niet verkocht.
Geen overdracht voor advertentiedoeleinden van derden.
Geen overdracht aan gegevensmakelaars.
Uitzondering: Uw noodcontacten ontvangen de informatie die u in geval van nood hebt bekendgemaakt.
6. Gegevensopslag en Verwijdering
6.1 Opslaglocatie
Alle gegevens worden primair opgeslagen in de Europese Unie (Frankfurt am Main, Google Cloud-regio europe-west3).
6.2 Opslagduur en Automatische Verwijdering
Controlegeschiedenis: Automatisch verwijderd na 90 dagen.
Locatiegegevens: Automatisch verwijderd na 30 dagen inactiviteit (of voortdurend overschreven).
Serverlogbestanden: Automatisch verwijderd na 90 dagen (voor foutanalyse/verdediging tegen aanvallen).
Uitnodigingslinks: Automatisch verwijderd na 7 dagen.
Gezondheidsgegevens: Verwijdering na 12 maanden inactiviteit.
Accountgegevens: Verwijdering na 24 maanden inactiviteit.
Herinneringen Vóór Verwijdering van Inactiviteit:
Na 12 maanden zonder aanmelding: Automatische verwijdering van gezondheidsgegevens; herinnerings-e-mail verzonden.
Na 13 maanden zonder reactie: Verdere herinnering.
Na 23 maanden inactiviteit: Uiteindelijke waarschuwe-mail.
Na 24 maanden zonder reactie: Volledig accountverwijdering.
Uitzondering voor Actieve Abonnementen: Zolang een betaald Connect+-abonnement actief is, vindt geen automatische verwijdering van inactiviteit plaats.
Factureringsgegevens: Factureringsgegevens (naam, adres, transactiegegevens) worden 10 jaar opgeslagen in overeenstemming met belastingbewaringsvereisten (§ 147 AO). Deze gegevens worden gescheiden van gebruiksgegevens bewaard.
Verwijderde accounts worden permanent en onherroepelijk verwijderd na een respijt van 30 dagen.
Belangrijk: Na aanvraag voor accountverwijdering wordt het gebruik onmiddellijk beëindigd. Vanaf dit moment worden er geen controleherinneringen, alarmen of andere meldingen geactiveerd – noch voor u, noch voor uw noodcontacten. Bovendien is uw profiel in Alma Moments niet langer zichtbaar. Definitieve fysieke verwijdering van alle gegevens vindt plaats na de respijt van 30 dagen.
7. Gegevensbeveiliging
Ik gebruik moderne beveiligingsnormen:
Versleuteling: TLS 1.2+ voor gegevensoverdracht (Transit) en opslag op AES-256-versleutelde servers (At Rest) voor gevoelige gegevens.
Toegangscontrole: Firebase Security Rules, strikte authenticatie.
App-beveiliging: Firebase App Check, optionele biometrische bescherming (Connect+), apart instellingsvergrendeling.
8. Uw Rechten
U hebt op elk moment de volgende rechten (conform Art. 15-21 GDPR):
Toegang en Gegevensexport: In de app onder Instellingen → Privacy.
Rectificatie: U kunt alle profiel- en gezondheidsgegevens zelf bewerken in de app.
Wissen: U kunt individuele gegevens of uw gehele account direct in de app verwijderen.
Beperking van Verwerking (Art. 18 GDPR): U kunt beperking van verwerking aanvragen, bijvoorbeeld als u de nauwkeurigheid van uw gegevens betwist of de verwerking illegaal is.
Intrekking van Toestemming: U kunt toestemming (bijv. locatie, gezondheidsgegevens, marketing) op elk moment in instellingen intrekken. Intrekking heeft geen invloed op de rechtmatigheid van verwerking vóór de intrekking.
Recht van Bezwaar (Art. 21 GDPR): Als gegevensverwerking gebaseerd is op gerechtvaardigd belang (Art. 6(1)(f) GDPR), hebt u op elk moment het recht om bezwaar in te dienen om redenen voortvloeiend uit uw bijzondere situatie.
Recht in te Dienen Klacht: U kunt contact opnemen met de bevoegde toezichthoudende autoriteit voor gegevensbescherming. Voor gebruikers in Duitsland is dit de Berlijnse Autoriteit voor Gegevensbescherming en Informatievrijheid (datenschutz-berlin.de). Gebruikers in de Europese Economische Ruimte (EER) kunnen contact opnemen met de toezichthoudende autoriteit in hun land van gewone verblijfplaats, werklocatie of plaats van vermeende schending. Een lijst van toezichthoudende autoriteiten is beschikbaar op edpb.europa.eu. Gebruikers in het Verenigd Koninkrijk kunnen contact opnemen met het Information Commissioner’s Office (ICO): ico.org.uk. Gebruikers in Zwitserland kunnen contact opnemen met de Federale Commissaris voor Gegevensbescherming en Informatievrijheid (FDPIC): edoeb.admin.ch.
9. Speciale Verwerkingssituaties
9.1 Noodsituatiewaarschuwing (Alleen Connect+)
In geval van gemiste controle worden uw noodcontacten gewaarschuwd. Alleen gegevens die u in uw profiel hebt opgeslagen en hebt geautoriseerd voor openbaarmaking (bijv. locatie, gezondheidsgegevens) worden verzonden. Wettelijke basis:
Art. 6(1)(b) GDPR (Uitvoering van Contract)
Art. 9(2)(a) GDPR (Expliciete Toestemming voor Gezondheidsgegevens)
Aanvullend Art. 9(2)(c) GDPR (Bescherming van Vitale Belangen), voor fysieke integriteit in noodsituaties.
9.2 Uitnodiging van Noodcontacten
Om de privacy van derden te beschermen, voert u contactgegevens van andere personen niet rechtstreeks in de app in.
Linkmakin: U genereert een persoonlijke uitnodigingslink in de app.
Verzenden: U stuurt deze link naar uw vertrouwde persoon via een kanaal naar keuze (bijv. WhatsApp, E-mail).
Registratie: Uw vertrouwde persoon opent de link en voert onafhankelijk zijn contactgegevens en gewenst meldingskanaal in. Zolang de link niet wordt gebruikt, worden er geen gegevens van uw contacten opgeslagen. Ongebruikte links verlopen na 7 dagen.
9.3 U als Noodcontact
Als u een uitnodiging accepteert, stemt u ermee in dat uw verstrekte contactgegevens (Naam, E-mail/Telefoon/Handle) worden opgeslagen voor noodsituatieswaarschuwingen. U kunt zich op elk moment afmelden via een opt-out-link in de berichten.
9.4 Externe Instellingen (Connect+)
U kunt een vertrouwde persoon tijdelijk toegang verlenen (via een gegenereerde code) om de app voor u in te stellen en instellingen te beheren. Na succesvolle verbinding blijft deze toegang bestaan totdat u deze in de app intrekt. Voor uw veiligheid worden alle wijzigingen aangebracht door de vertrouwde persoon geregistreerd (Controlelogboek).
Wettelijke basis: Art. 6(1)(b) GDPR (Uitvoering van Contract, functie geïnitieerd door gebruiker).
10. Verificatie Derde Partijen
Google Sign-In: Verzonden gegevens bevatten e-mail, naam, profielfoto. (Privacy: policies.google.com/privacy)
Apple Sign-In: Verzonden gegevens bevatten e-mail (of relais adres) en naam. (Privacy: apple.com/legal/privacy)
11. Push-Meldingen
Ik gebruik push-meldingen voor controleherinneringen, alarmen en sociale interactie.
Wettelijke basis: Art. 6(1)(b) GDPR (voor contractfuncties zoals alarmen) en Art. 6(1)(f) GDPR (voor sociale meldingen).
Controle: U kunt de meeste meldingstypen in app-instellingen beheren. Kritieke veiligheidsmeldingen maken deel uit van de kernservice.
12. Analyse en Probleemoplossing
12.1 Firebase Analytics
Ik gebruik Firebase Analytics in een geminimaliseerde gegevensconfiguratie voor app-stabiliteit en foutbeheer.
Privacymaatregelen: Advertentie-ID’s (IDFA/AAID) worden niet verzameld. IP-anonimisering is ingeschakeld.
Doel: Geanonimiseerde crash- en gebruiksstatistieken voor technische optimalisatie.
Wettelijke basis: Art. 6(1)(f) GDPR (Gerechtvaardigd belang in foutvrij functioneren en beveiliging van de app).
12.2 Firebase Crashlytics
Bij app-crashes worden technische details (stack trace, apparaatgegevens) verzonden om fouten op te lossen. Geen direct identificeerbare gegevens worden in crashrapporten opgeslagen.
12.3 ePrivacy en Elektronische Communicatie
Toegang tot bepaalde apparaatfuncties en opslag van technische informatie op het apparaat (bijv. FCM-tokens) kan onderworpen zijn aan nationale wetgeving die de ePrivacy-richtlijn (2002/58/EC) implementeert. In het Verenigd Koninkrijk gelden de Privacy and Electronic Communications Regulations 2003 (PECR). In Zwitserland gelden de bepalingen van de Telecommunicatiewet (TCA/FMG). Waar toestemming vereist is onder toepasselijk recht, wordt deze verkregen vóór relevante toegang.
13. Wijzigingen in Dit Privacybeleid
Ik behoud het recht dit Privacybeleid te wijzigen. Bij substantiële wijzigingen wordt u via de app of e-mail ingelicht. De huidige versie is altijd beschikbaar in de app en op de website.
14. Internationale Gegevensoverdrachten
Primaire gegevensopslag vindt plaats in de Europese Unie (Frankfurt am Main). Waar gegevens worden overgedragen aan dienstverleners buiten de EER (zie Sectie 5), vertrouw ik op de volgende waarborgen:
EU-US Data Privacy Framework (DPF): Voor overdrachten naar in de VS gevestigde bedrijven die onder DPF zijn gecertificeerd (bijv. Google, Meta).
EU Standard Contractual Clauses (SCCs): Voor overdrachten naar bedrijven die niet onder DPF zijn gecertificeerd (bijv. RevenueCat).
Voor overdrachten vanuit het Verenigd Koninkrijk: Ik gebruik UK International Data Transfer Agreement (IDTA) of UK Addendum op EU SCCs, evenals UK Extension op EU-US DPF, waar van toepassing.
Voor overdrachten die Zwitserland betreffen: Ik voldoe aan de vereisten van de Zwitserse Federale Wet op Gegevensbescherming (FADP/DSG), inclusief erkenning van passendheidsbesluiten door de Federale Raad en het gebruik van standaardcontractbepalingen waar nodig.
Voor meer details over afzonderlijke dienstverleners, zie Sectie 5.
15. Gebruikers Buiten EU/EER, Verenigd Koninkrijk en Zwitserland
Voor gebruikers in landen die niet onder GDPR, UK GDPR of Zwitserse FADP vallen, past de Dienstverlener dezelfde technische en organisatorische maatregelen toe als voor gebruikers in het bereik van GDPR. Verplichte bepalingen voor gegevensbescherming van het land van gewone verblijfplaats van de gebruiker blijven onveranderd.
16. Contact
Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlin
Email: privacy@alma-app.eu
Website: www.alma-app.eu