Privacybeleid
Laatst bijgewerkt: 28 mei 2026
1. Inleiding — wanneer geldt deze policy
Dit privacybeleid beschrijft hoe wij omgaan met persoonsgegevens van bezoekers, leden en deelnemers van het Clean Language Nederland-platform.
Het is van toepassing wanneer je:
- deelneemt aan een van onze events (workshops, trainingen, conferenties, practice groups, proeverijen, etc.);
- je e-mailadres achterlaat via het Save-the-Date formulier op een eventpagina;
- je inschrijft voor onze nieuwsbrief, via het formulier of je profiel beheer pagina;
- een profiel aanmaakt en eventueel jezelf zichtbaar laat zijn op de Community-pagina of als deelnemer/facilitator op een eventpagina;
- of op een andere manier (bijvoorbeeld een email of text bericht verzoek) informatie met ons deelt die wij opslaan of verwerken.
We werken vanuit de gedachte dat jij eigenaar bent van je eigen gegevens. Per veld in je profiel bepaal jij zelf of het publiek zichtbaar is — de standaard is niet publiek. Geen van deze velden zijn verpiclt en je kan ze altijd leeg maken.
2. Wie wij zijn
De verwerkingsverantwoordelijke voor de gegevens op dit platform is:
Pascal Clarkson, handelend onder de naam Art o’ Craft Muldersdreef 335 7328 EH Apeldoorn KvK: 08118323
Voor alle vragen over je persoonsgegevens, voor het uitoefenen van je rechten (zie §8), of voor klachten:
Email mij via privacy@cleanlanguage.nl
Clean Language Nederland is een community-initiatief; Art o’ Craft beheert namens de community de technische infrastructuur en draagt de juridische verantwoordelijkheid voor de gegevensverwerking op dit platform.
3. Welke persoonsgegevens we verwerken
We verwerken alleen die gegevens die nodig zijn voor het functioneren van het platform en de diensten die je actief van ons afneemt. We onderscheiden de volgende categorieën:
Authenticatie
Via Supabase Auth verwerken we:
- je e-mailadres
- de eenmalige magic-link of OTP-code waarmee je inlogt (wachtwoordloos)
We slaan dus geen wachtwoorden op.
Communityprofiel
Als je een profiel aanmaakt op het platform kunnen we de volgende gegevens van je opslaan, op basis van wat jij zelf invult:
- titel of functietitel
- volledige naam
- organisatie + organisatie-URL
- korte beschrijving (bio)
- telefoonnummer
- LinkedIn-URL
- extra link + label naar keuze
- profielfoto (WebP)
- e-mailadres (kan afwijken van je inlog-adres)
Per item bepaal jij zelf of het publiek zichtbaar is via Mijn profiel. De standaard is niet publiek.
Communityrol
Welke rol je in de community vervult: beheerder, facilitator of deelnemer. Deze rol bepaalt waar je toegang toe hebt op het platform.
Eventdeelname
Per event waaraan je deelneemt: de rol die je daar vervult (deelnemer, facilitator, trainer, organisator, vrijwilliger, etc.), of je publiek vermeld wilt worden in de deelnemerslijst van dat event (vinkje op Mijn profiel), en het moment van aan- en afmelden plus je aanwezigheid. Deze deelname-administratie (inclusief aan-/afmeldmomenten en aanwezigheid) blijft bewaard als onderdeel van het historisch overzicht van een event, ook als je je profiel verwijdert; ze verdwijnt wanneer je je account volledig verwijdert.
Save-the-Date
Als je je e-mailadres achterlaat via het Save-the-Date-formulier op een eventpagina, slaan we je e-mailadres + de verwijzing naar dat specifieke event op zodat we je kunnen informeren wanneer het event open gaat voor inschrijving, of als er andere nuttige informatie te delen is over het event.
Uitstaande uitnodigingen
Wanneer een beheerder jou via e-mail uitnodigt voor een event, of als je via Ticket Tailor je inschrijft voor een event en voordat je een account hebt, leggen we tijdelijk je e-mailadres, de uitgenodigde rol, en de bron van de uitnodiging vast. Deze gegevens worden gekoppeld aan je profiel zodra je voor het eerst inlogt.
Bestanden
profielfoto’s die je zelf hebt geüpload (maximaal 2 MB, WebP/PNG/JPEG)Event afbeeldingen: omslagfoto’s van events, geüpload door beheerders
4. Doel en grondslag van verwerking
Per categorie hanteren we de volgende grondslag conform AVG art. 6:
| Verwerking | Doel | Grondslag |
|---|---|---|
| Authenticatie | Toegang verlenen tot het platform | Uitvoering van de overeenkomst |
| Communityprofiel | Jezelf voorstellen aan de community | Uitvoering / toestemming |
| Communityrol | Toegang tot beheer- of facilitator-functies | Uitvoering van de overeenkomst |
| Eventdeelname | Bijhouden wie aan welk event meedoet | Uitvoering van de overeenkomst |
| Zichtbaarheid van profiel elementen | Tonen op publieke pagina’s | Toestemming |
| Save-the-Date | Op de hoogte houden van een specifiek event | Toestemming |
| Uitstaande uitnodigingen | Uitnodigingsproces voltooien | Gerechtvaardigd belang |
| Nieuwsbrief / Kit-tags | Inhoudelijke updates per onderwerp | Toestemming |
| Beveiligingscontroles (Turnstile, bot-detectie) | Spam en misbruik tegengaan | Gerechtvaardigd belang |
Je kunt je toestemming op elk moment intrekken door een instelling te wijzigen, je profiel te verwijderen, of contact op te nemen via privacy@cleanlanguage.nl.
5. Bewaartermijnen
- Account- en profielgegevens: bewaard zolang je account actief is. Op de pagina Mijn account heb je twee opties:
- Verwijder mijn profiel — wist al je persoonlijke profielgegevens (naam, foto, biografie, links) en haalt je naam van alle deelnemerslijsten. Je account en de (niet-publieke) vastlegging dat je aan events hebt deelgenomen blijven bestaan, zodat je later opnieuw een profiel kunt inrichten.
- Verwijder mijn account — verwijdert je account en álle gekoppelde gegevens definitief: je profiel, je rollen, je aanmeldingen voor events en je Save-the-Date-inschrijvingen. Dit is onomkeerbaar.
- Niet-bevestigde accounts (verlopen uitnodigingen): als een account nooit is bevestigd (de magic-link in de uitnodiging is nooit aangeklikt) en er geen profiel aan hangt, verwijderen we het automatisch 6 maanden na het laatste event waaraan het gekoppeld was — of, als er geen eventkoppeling is, 6 maanden na het aanmaken. Accounts waarvan alleen het profiel is verwijderd maar die wél bevestigd zijn, vallen hier níet onder: je hebt dan bewust gekozen je account te behouden.
- Save-the-Date e-mailadressen: bewaard zolang ze relevant zijn voor het betreffende event (in de regel tot het event de status
afgelopenheeft). Op verzoek eerder verwijderd, en automatisch verwijderd wanneer je je account verwijdert. - Uitstaande uitnodigingen: opgenomen in je profiel zodra je voor het eerst inlogt. Niet-geaccepteerde uitnodigingen blijven momenteel staan; aan een vervaltermijn wordt gewerkt.
- Eventarchief (historische deelnemerslijsten): bewaard als onderdeel van het historisch overzicht van afgelopen events, tenzij je individueel om verwijdering verzoekt.
Op verzoek (via privacy@cleanlanguage.nl) verwijderen we je gegevens binnen 30 dagen, tenzij een wettelijke bewaarplicht zich daartegen verzet.
6. Delen met derden
Voor het functioneren van het platform werken we samen met een aantal externe dienstverleners onder hun standaard verwerkersvoorwaarden:
Supabase
- Vestiging: Ierland (
eu-west-1) - Rol: Database, authenticatie en bestandsopslag voor het platform.
- Privacybeleid: https://supabase.com/privacy
Gegevens blijven binnen de Europese Economische Ruimte; geen verdere doorgifte buiten de EER.
Resend
- Vestiging: Verenigde Staten
- Rol: Verzending van transactionele e-mail (magic links, OTP-codes, Save-the-Date-bevestigingen, uitnodigingen) via Supabase Auth SMTP.
- Privacybeleid: https://resend.com/legal/privacy-policy
Doorgifte naar de Verenigde Staten vindt plaats onder het EU-US Data Privacy Framework (DPF) en/of Standard Contractual Clauses (SCCs).
Cloudflare
- Vestiging: Verenigde Staten, met edge-knooppunten in de EER
- Rol: Hosting van het platform (Cloudflare Pages), server-side functies (Cloudflare Pages Functions), en bot-bescherming op de loginpagina (Cloudflare Turnstile).
- Privacybeleid: https://www.cloudflare.com/privacypolicy/
Doorgifte naar de Verenigde Staten vindt plaats onder het EU-US Data Privacy Framework (DPF) en/of Standard Contractual Clauses (SCCs).
Kit (voorheen ConvertKit)
- Vestiging: Verenigde Staten
- Rol: Beheer van de nieuwsbriefabonneerlijst en tagsysteem voor doelgroepsegmentatie.
- Privacybeleid: https://kit.com/privacy
Doorgifte naar de Verenigde Staten vindt plaats onder het EU-US Data Privacy Framework (DPF) en/of Standard Contractual Clauses (SCCs).
Ticket Tailor
- Vestiging: Verenigd Koninkrijk
- Rol: Ticketverkoop voor events. Bij een ticketboeking ontvangen wij via een webhook je naam, e-mailadres en boekingsgegevens, die we koppelen aan een eventrol (of aan een uitstaande uitnodiging als je nog geen account hebt).
- Privacybeleid: https://www.tickettailor.com/privacy/
Doorgifte naar het Verenigd Koninkrijk valt onder de adequaatheidsbeslissing van de Europese Commissie voor het VK.
Operationele dienstverlener zonder toegang tot persoonsgegevens
Voor het periodiek aanroepen van interne, geautomatiseerde taken gebruiken we cron-job.org (Duitsland). Deze dienst verwerkt geen persoonsgegevens van platformgebruikers — alleen technische verzoeken aan onze eigen platform-endpoints.
7. Doorgifte buiten de EER
Een deel van bovengenoemde dienstverleners is gevestigd buiten de Europese Economische Ruimte.
Voor doorgifte naar de Verenigde Staten (Resend, Cloudflare, Kit) baseren we ons op:
- het EU-US Data Privacy Framework (DPF) — de huidige geldende adequaatheidsregeling sinds juli 2023; deze partijen zijn DPF-gecertificeerd; en/of
- Standard Contractual Clauses (SCCs) als aanvullende juridische waarborg.
Voor doorgifte naar het Verenigd Koninkrijk (Ticket Tailor) baseren we ons op de adequaatheidsbeslissing van de Europese Commissie voor het VK.
Supabase en cron-job.org zijn binnen de EER gevestigd; daar is geen aanvullende waarborg nodig.
8. Jouw rechten als betrokkene
Onder de AVG heb je de volgende rechten met betrekking tot je persoonsgegevens:
- Recht op inzage — je kunt opvragen welke gegevens we van je hebben.
- Recht op rectificatie — onjuiste gegevens laten corrigeren.
- Recht op verwijdering — je gegevens laten wissen (“recht om vergeten te worden”). Je kunt dit zelf doen via Mijn account: Verwijder mijn profiel wist je profielgegevens, Verwijder mijn account verwijdert je account en alle gekoppelde gegevens volledig.
- Recht op beperking van de verwerking — bijvoorbeeld als je de juistheid betwist.
- Recht op dataportabiliteit — je gegevens in een gestructureerd, gangbaar en machineleesbaar formaat ontvangen.
- Recht van bezwaar tegen verwerking op basis van gerechtvaardigd belang.
- Recht om je toestemming in te trekken — voor alle verwerking gebaseerd op toestemming, op elk moment.
- Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Om een verzoek in te dienen, stuur een e-mail naar privacy@cleanlanguage.nl. We reageren binnen één maand.
9. Cookies en lokale opslag
Het platform gebruikt geen tracking- of analyse-cookies. We categoriseren de cookies en lokale opslag in drie groepen:
Functioneel (geen toestemming vereist)
Deze items zijn nodig om het platform te laten werken:
- Supabase Auth-sessie in
localStorage(sleutels met prefixsb-) — houdt je ingelogd na het klikken op de magic link. cl_auth_next_pathinlocalStorage— onthoudt naar welke pagina je wilde gaan voordat je inlogde, zodat je daar terechtkomt na bevestiging.cl_build_triggered_atencl_build_linkinsessionStorage(alleen tijdens een browsertab) — tonen een statusbericht terwijl een platformbewerking wordt verwerkt en zichtbaar wordt op het publieke deel van de site.cl_locale_preferenceinlocalStorage— onthoudt je gekozen taal (NL of EN) zodat je bij een volgend bezoek meteen in de juiste taal landt.cl_locale_banner_dismissedinlocalStorage— onthoudt dat je de melding “deze site is ook beschikbaar in een andere taal” hebt weggeklikt, zodat we die niet opnieuw tonen.
Beveiliging (geen toestemming vereist)
- Cloudflare
__cf_bm— bot-detectiecookie ingesteld door Cloudflare als hosting-platform. - Cloudflare Turnstile-cookies — gezet tijdens de captcha-verificatie op de loginpagina; alleen actief tijdens de loginhandeling.
Ingesloten van derden
- Kit-nieuwsbriefformulier op
/community— Kit kan via hun script eigen cookies plaatsen wanneer hun formulier wordt geladen. Zie het privacybeleid van Kit voor de exacte cookies en hun doel.
Op dit moment gebruiken we geen analytische of marketing-diensten (geen Google Analytics, Plausible, of Cloudflare Web Analytics). Als dat in de toekomst verandert, werken we dit privacybeleid bij voordat de wijziging live gaat.
10. Beveiliging
We hebben de volgende maatregelen genomen om je gegevens te beschermen:
- Wachtwoordloze authenticatie — we werken met magic links en eenmalige codes via je e-mail. Er worden geen wachtwoorden opgeslagen op het platform.
- Row-Level Security (RLS) — toegang tot gegevens in onze database wordt op rij-niveau geregeld door beleidsregels op de database zelf, niet alleen op applicatieniveau. Dit is onze primaire beveiligingsgrens; de publieke API-sleutel (“anon key”) die in de browser staat geeft op zichzelf geen toegang tot persoonsgegevens — alleen tot wat de RLS-regels expliciet vrijgeven.
- Server-side geheimen blijven server-side — de krachtige beheersleutel van onze database wordt alleen gebruikt binnen server-side functies en bereikt nooit de browser.
- HTTPS/TLS — al het verkeer naar en van het platform is versleuteld via Cloudflare.
- Bot-bescherming op login — Cloudflare Turnstile filtert geautomatiseerde aanvallen op het inlogformulier.
11. Wijzigingen in deze policy
We werken dit privacybeleid bij wanneer onze gegevensverwerking verandert — bijvoorbeeld wanneer we een functie toevoegen die nieuwe categorieën gegevens verwerkt, of wanneer we een externe dienstverlener toevoegen of verwijderen.
De datum bovenaan deze pagina (“Laatst bijgewerkt”) geeft aan wanneer we deze policy voor het laatst hebben aangepast. Substantiële wijzigingen kondigen we vooraf aan via de community-kanalen (e-mail, Community-pagina).
12. Contact
Voor alle vragen, verzoeken of klachten met betrekking tot je persoonsgegevens:
E-mail: privacy@cleanlanguage.nl
Post: Art o’ Craft Muldersdreef 335 7328 EH Apeldoorn
We reageren in de regel binnen één werkdag en uiterlijk binnen één maand op formele AVG-verzoeken.