🇳🇱 NL
Sub-verwerkers van persoonsgegevens
Deze pagina vermeldt de externe dienstverleners (“sub-verwerkers” onder art. 28 AVG) die persoonsgegevens namens Strenqo verwerken.
1. Voorwoord
Strenqo wordt uitgegeven en beheerd door Andreas Mondo (Italiaanse eenmanszaak, verwerkingsverantwoordelijke).
Bedrijfs- en belastinggegevens weergeven
Andreas Mondo (eenmanszaak) · Via Pianezza 16, 10040 Givoletto (TO), Italië · Btw-nr IT13352600012 · Fiscaal nr MNDNRS05B17L219J · E-mail strenqo-support@strenqo.eu · PEC andreasmondo@ultracert.it
Voor elke sub-verwerker vermelden wij: juridische naam, locatie, land van gegevenshosting, verwerkingsdoel, doorgiftewaarborg voor doorgiften buiten de EU. De lijst weerspiegelt de stand op 24-05-2026. Eventuele nieuwe sub-verwerkers worden met redelijke voorafgaande kennisgeving aan gebruikers gemeld.
2. Actieve sub-verwerkers
2.1 Supabase
- Juridische naam: Supabase Inc.
- Locatie: Verenigde Staten (Delaware)
- Land gegevenshosting: Europese Unie (
eu-west-1) - Doel: PostgreSQL-database, authenticatie, bestandsopslag (Storage), uitvoering van Edge Functions, realtime sync
- Categorieën gegevens: alle gebruikersgegevens (profiel, trainingen, voeding, body check-in, foto's, AI Coach-gesprekken)
- Doorgiftemechanisme: geen doorgifte buiten de EU in rust. Support-toegang door Supabase Inc. (VS) geregeld door DPA met SCC
- Site: supabase.com · Docs: privacy, terms
2.2 OpenAI
- Juridische naam: OpenAI, L.L.C. (VS) en OpenAI Ireland Ltd (EU)
- Locatie: Verenigde Staten / Ierland
- Land gegevenshosting: Verenigde Staten, met initiële verwerking in Dublin voor EU-gebruikers
- Doel: generatie van AI Coach-antwoorden, voedselfoto-analyse, generatie van trainings-/voedingsplannen
- Categorieën gegevens: tekst van AI Coach-gesprekken, voedselfoto's, gebruikerscontext (profiel, recente trainingen, gewicht) — alleen als u uitdrukkelijke toestemming heeft gegeven aan de AI Coach
- Doorgiftemechanisme: EU-VS Data Privacy Framework + SCC. OpenAI staat op de DPF-deelnemerslijst
- Site: openai.com · Docs: DPA, privacy
Opmerking over coach-micro: per 24-05-2026 verstuurt de “micro hint”-coachfunctie geen gegevens naar OpenAI; de server-side functie is niet geïmplementeerd en de app gebruikt een lokaal fallback-template.
2.3 RevenueCat
- Juridische naam: RevenueCat, Inc.
- Locatie / hosting: Verenigde Staten
- Doel: beheer van het Pro-abonnement (synchronisatie van de abonnementsstatus tussen Apple App Store, Google Play en onze servers). Bij accountverwijdering wordt de RevenueCat-abonnee via API cascade-verwijderd
- Categorieën gegevens: UUID gebruiker, abonnementsstatus, product-id, abonnement-lifecycle-events
- Doorgiftemechanisme: SCC in de DPA van RevenueCat
- Opmerkingen: RevenueCat ontvangt geen betalingsgegevens en geen gezondheidsgegevens
- Site: revenuecat.com · Docs: DPA, privacy
2.4 Resend
- Juridische naam: Resend, Inc.
- Locatie / hosting: Verenigde Staten
- Doel: transactionele e-mails — bevestiging van accountverwijdering, kennisgevingen van beleidsupdates. Niet gebruikt voor marketing
- Categorieën gegevens: e-mailadres ontvanger, inhoud van transactionele e-mails
- Doorgiftemechanisme: EU-VS DPF (+ UK Extension) + SCC. Resend is gecertificeerd op de DPF-deelnemerslijst
- Site: resend.com · Docs: DPA, GDPR
2.5 Sentry
- Juridische naam: Functional Software, Inc. (actief in de EU als Sentry GmbH)
- Locatie: Verenigde Staten (moedermaatschappij) / Duitsland (EU-entiteit)
- Land gegevenshosting: Europese Unie — Duitsland (
ingest.de.sentry.io) - Doel: crashrapportage en foutdiagnose — alleen met uitdrukkelijke toestemming
- Categorieën gegevens: stack traces, breadcrumbs, app-versie, apparaatmodel, OS, pseudonieme gebruikersidentificatie (UUID, geen e-mail). PII geredigeerd via het
beforeSend-filter. Redactie is een mitigatie, geen garantie - Doorgiftemechanisme: geen doorgifte buiten de EU voor crashrapportage
- Site: sentry.io · Docs: DPA, privacy
2.6 Apple
- Juridische naam: Apple Inc. (VS) / Apple Distribution International Ltd (Ierland, voor EU-gebruikers)
- Locatie: Verenigde Staten / Ierland
- Doel: App Store-distributie, in-app aankopen (IAP), push-notificaties (APNs), HealthKit on-device, Sign in with Apple
- Categorieën gegevens: Apple ID (voor IAP), push-token, on-device gezondheidsgegevens (niet door Strenqo aan Apple overgedragen)
- Doorgiftemechanisme: EU-adequaatheidsbesluit (Ierland) / DPF (Apple Inc. gelijst) + waarborgen van het Apple Developer Program
- Site: apple.com · privacy
2.7 Google
- Juridische naam: Google LLC (VS) / Google Ireland Ltd (Ierland, voor EU-gebruikers)
- Locatie: Verenigde Staten / Ierland
- Doel: Google Play-distributie, IAP, push-notificaties (FCM), Health Connect on-device, Google Maps SDK Android (kaarttegel-rendering voor outdoor-cardioroutes)
- Categorieën gegevens: Google-account (voor IAP), push-token, on-device gezondheidsgegevens, GPS-coördinaten (alleen als u outdoor-cardioroutes gebruikt)
- Doorgiftemechanisme: EU-VS DPF (Google LLC gelijst) + SCC
- Site: google.com · privacy
2.8 OpenFoodFacts
- Juridische naam: Open Food Facts (non-profitvereniging)
- Locatie / hosting: Frankrijk (EU)
- Doel: openbare voedseldatabank (zoeken op tekst / barcode)
- Categorieën gegevens: geen persoonsgegevens van de Strenqo-gebruiker — zoekopdrachten bevatten alleen vrije tekst of een barcode, geanonimiseerd voor verzending
- Doorgiftemechanisme: geen doorgifte buiten de EU
- Site: openfoodfacts.org
2.9 ipwho.is
- Locatie / hosting: Verenigde Staten
- Doel: IP-geolocatie — primaire fallback om het land van verblijf af te leiden wanneer lokale fallbacks (profiel, tijdzone, systeemtaal) ontoereikend zijn
- Categorieën gegevens: uitsluitend het IP-adres van de gebruiker. Geen gebruikersidentificatie, geen gezondheidsgegevens, geen cookies
- Doorgiftemechanisme: standaard SCC van de leverancier
- Site: ipwho.is
2.10 ipapi.co
- Juridische naam: Kickfire LLC
- Locatie / hosting: Verenigde Staten
- Doel: IP-geolocatie — secundaire fallback, alleen gebruikt als ipwho.is faalt
- Categorieën gegevens: uitsluitend het IP-adres van de gebruiker
- Doorgiftemechanisme: standaard SCC van de leverancier
- Site: ipapi.co
2.11 Expo (EAS + Auth Proxy)
- Juridische naam: Expo, Inc.
- Locatie / hosting: Verenigde Staten
- Doel:
- Auth Proxy: tijdens “Sign in with Google” passeert de OAuth-autorisatiecode via
auth.expo.ioalvorens te worden uitgewisseld voor het finale token - Expo Application Services (EAS): infrastructuur voor app-build en Over-The-Air-updates
- Auth Proxy: tijdens “Sign in with Google” passeert de OAuth-autorisatiecode via
- Categorieën gegevens (auth proxy): Google OAuth-autorisatiecode in transit, refresh token in transit. Geen gezondheidsgegevens ontvangen. Finale sessie rechtstreeks beheerd door Supabase Auth
- Doorgiftemechanisme: EU-VS DPF + SCC
- Site: expo.dev
3. Gegevensbronnen van derden via OAuth (zelfstandige verwerkingsverantwoordelijken)
De hieronder genoemde leveranciers zijn geen sub-verwerkers van Strenqo op grond van art. 28 AVG. Het zijn zelfstandige verwerkingsverantwoordelijken van de gegevens die zij van uw wearable-apparaat verzamelen. Na uw autorisatie via OAuth versturen zij een deel van die gegevens naar onze backend, waar Strenqo de verwerkingsverantwoordelijke van de geïmporteerde kopie wordt. Wij vermelden ze hier, naast onze sub-verwerkers, voor volledige transparantie over de gegevensstroom.
3.1 Whoop
- Juridische naam: Whoop, Inc.
- Locatie: Verenigde Staten (Boston, Massachusetts)
- Land gegevenshosting (aan hun kant): Verenigde Staten
- Hun rol: zelfstandige verwerkingsverantwoordelijke (verzamelt gegevens van uw Whoop-strap onder hun eigen privacybeleid)
- Gegevens die wij ontvangen na uw OAuth-toestemming: ruwe HRV (RMSSD), rusthartslag, slaapfasen (duur van diep/REM/licht/wakker/in_bed/asleep), polstemperatuurafwijking, hartslagsamples per training (waar blootgesteld door hun API), begin- en eindtijdstempels van trainingen en sporttype
- Gegevens die wij bewust NIET ontvangen: Whoop recovery score, strain score (0–21), sleep performance score, day strain — d.w.z. alle eigen afgeleide metrics
- Doorgiftemechanisme (leverancier → Strenqo): SCC in de Whoop API-data-sharing-overeenkomst; de geïmporteerde kopie wordt vervolgens opgeslagen in onze Supabase-backend (EU)
- Intrekking: Profiel → Verbonden gezondheid → Verbreken (trekt het refresh-token zowel op onze backend als bij Whoop in); ook intrekbaar via uw Whoop-accountdashboard
- Site: whoop.com
- Beleid van de leverancier: whoop.com/legal/privacy
3.2 Oura
- Juridische naam: Ōura Health Oy
- Locatie: Finland (Oulu) — Europese Unie
- Land gegevenshosting (aan hun kant): Europese Unie (Finland)
- Hun rol: zelfstandige verwerkingsverantwoordelijke
- Gegevens die wij ontvangen na uw OAuth-toestemming: ruwe HRV, rusthartslag, slaapfasen, SpO₂-metingen, trainingsmetadata, polstemperatuurafwijking
- Gegevens die wij bewust NIET ontvangen: Oura readiness score, sleep score, activity score
- Doorgiftemechanisme: intra-EU (Oura is een EU-verwerkingsverantwoordelijke). Onze kopie wordt gehost in Supabase EU
- Intrekking: Profiel → Verbonden gezondheid → Verbreken; ook intrekbaar via uw Oura-accountdashboard
- Site: ouraring.com
- Beleid van de leverancier: ouraring.com/privacy
3.3 Modelclausule — toekomstige cloud-wearable-leveranciers
Strenqo kan in de toekomst verdere cloud-wearable-platforms integreren onder hetzelfde OAuth-model (voorbeelden zijn Garmin Connect, Polar Flow, Fitbit / Google Fit, Suunto, Coros, Withings, Samsung Health). Wanneer dit gebeurt:
- De leverancier wordt aan deze sectie toegevoegd met hetzelfde detailniveau (juridische naam, locatie, land van gegevenshosting, gegevens die wij ontvangen, gegevens die wij niet ontvangen, doorgiftemechanisme, intrekkingspad).
- Gebruikers worden vooraf geïnformeerd via de
notify-policy-updateEdge Function en/of in-app. - Hetzelfde principe geldt: Strenqo importeert alleen de ruwe biometrische gegevens die strikt noodzakelijk zijn voor zijn eigen algoritmen; wij importeren niet de eigen scores van de leverancier.
- Elke leverancier blijft een zelfstandige verwerkingsverantwoordelijke. Het zijn geen art. 28-sub-verwerkers.
4. Sub-verwerkers die wij NIET gebruiken
Voor transparantie: Strenqo gebruikt geen:
- SDK's van derden voor reclame (AdMob, Meta Audience Network, Unity Ads, AppLovin, IronSource)
- SDK's van derden voor analytics (Google Analytics for Firebase, Mixpanel, Amplitude, PostHog, Heap)
- Attributie / mobile measurement SDK's (AppsFlyer, Adjust, Branch, Singular)
- Gedragstrackers (Facebook SDK, TikTok SDK)
- Diensten voor cross-context profilering voor marketingdoeleinden
5. Samenvatting per gegevenstype
| Gegevenstype | Sub-verwerkers die het zien | Opmerkingen |
|---|---|---|
| Profiel, trainingen, voeding, gewicht, foto's | Supabase (EU) | Volledige hosting |
| AI Coach-gesprekken + gebruikerscontext | Supabase (EU) + OpenAI (VS) | OpenAI alleen als “AI-datatoestemming”-schakelaar aan staat (standaard aan) |
| Gebruikersidentificatie voor abonnement | Supabase (EU) + RevenueCat (VS) | Alleen Pro-abonnees; cascade-verwijderd bij verwijdering |
| Transactionele e-mails | Resend (VS) | Gelokaliseerd in 8 talen |
| Crashrapporten | Sentry (EU/Duitsland) | Alleen als schakelaar aan; per markt gedifferentieerde standaard |
| Push-tokens | Apple (VS) / Google (VS) | Alleen als notificaties zijn ingeschakeld |
| GPS-coördinaten (outdoor cardio) | Google Maps SDK (VS) | GPS Clip van 200 m kan worden toegepast |
| Voedselzoektocht | OpenFoodFacts (FR) | Geen gebruikers-PII verzonden |
| IP-adres (marktgeolocatie) | ipwho.is, ipapi.co (VS) | Alleen als lokale fallbacks ontoereikend zijn |
| OAuth-code (Sign in with Google) | Expo Auth Proxy (VS) | Alleen tijdens Google-login |
| Ruwe biometrische gegevens van cloud-wearables (HRV, slaapfasen, HR-samples) | Whoop (VS), Oura (EU) — zie §3 | Zelfstandige verwerkingsverantwoordelijken; gegevens stromen pas binnen na uitdrukkelijke OAuth-toestemming; eigen scores van de leverancier worden NIET geïmporteerd |
6. Kennisgeving van wijzigingen
Wij voegen sub-verwerkers alleen toe, verwijderen of vervangen ze om legitieme operationele redenen. De datum bovenaan wordt bijgewerkt. Voor wezenlijke wijzigingen (bijv. nieuwe sub-verwerker in een derde land, nieuwe doorgifte buiten de EU, nieuw type gedeelde gegevens) worden gebruikers per e-mail geïnformeerd via de notify-policy-update Edge Function en/of in-app. U kunt altijd toestemming voor optionele verwerkingen intrekken of het account verwijderen.
7. Contact
- Verwerkingsverantwoordelijke: Andreas Mondo (eenmanszaak) — Via Pianezza 16, 10040 Givoletto (TO), Italië
- E-mail: strenqo-support@strenqo.eu
- PEC: andreasmondo@ultracert.it
- FG/DPO: niet aangewezen (zie Privacybeleid §1 voor de motivering)