Privacybeleid
Je dromen zijn persoonlijk. We behandelen ze met zorg.
Versie 2.2 — 10 juli 2026
1. Wie zijn wij
Dreamalizing is een dienst van Elk River Holding B.V., gevestigd in Nederland (KvK 78040787). Wij zijn de verwerkingsverantwoordelijke voor je persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG).
E-mail: privacy@dreamalizing.com
2. Wat is Dreamalizing
Dreamalizing is een app voor droomverkenning, geïnspireerd door de dieptepsychologie van Carl Jung. Je typt je droom of gebruikt dicteren op je apparaat, beantwoordt persoonlijke vragen en ontvangt een reflectie. Dreamalizing is geen therapie en geeft geen medisch of psychiatrisch advies.
3. Welke gegevens verzamelen we
Gegevens die je zelf verstrekt
- E-mailadres — bij registratie
- Droomteksten — getypt of via dicteren op je apparaat; Dreamalizing bewaart geen audio-opname
- Sessieantwoorden — je antwoorden op de verkenningsvragen
- Profielgegevens (optioneel) — voornaam, geboortedatum, geslacht, land, tijdzone
- Feedback — beoordelingen en opmerkingen over sessies
Gegevens die automatisch worden verzameld
- IP-adres — bij inloggen en foutmeldingen
- User-agent — browsertype en apparaat (bij foutmeldingen en sessieregistratie)
- Gebruiksgebeurtenissen — bijv. "sessie gestart", "export aangevraagd" (geen inhoudelijke data)
- Technische foutmeldingen — foutcodes en stacktraces, nooit droominhoud
Gegevens die we NIET verzamelen
- Locatiegegevens (GPS)
- Contactlijsten of adresboek
- Foto's, bestanden of camera-toegang
- Advertentie-ID's
- Financiële of betaalgegevens
4. Hoe en waarom verwerken we je gegevens
a) Uitvoering van de overeenkomst (Art. 6(1)(b) AVG)
- Aanmaken en beheren van je account
- Verwerken van droomteksten voor analyse
- Genereren van sessievragen en samenvattingen
- Dataexport op jouw verzoek
b) Toestemming (Art. 6(1)(a) AVG)
- Bijhouden van terugkerende motieven (patroonherkenning over dromen heen)
- Marketingcommunicatie per e-mail
- Delen met een menselijke coach (toekomstige functie)
Je kunt toestemming op elk moment intrekken via je profielinstellingen. Intrekking heeft geen terugwerkende kracht op eerder uitgevoerde verwerkingen.
c) Gerechtvaardigd belang (Art. 6(1)(f) AVG)
- Beveiligingsmonitoring en fraudepreventie (IP-logging, accountvergrendeling na mislukte pogingen)
- Foutopsporing en dienstverbetering
- Anonieme gebruiksstatistieken
5. Bijzondere persoonsgegevens
Droominhoud kan informatie bevatten over je gezondheid, emoties of psychologische staat. Dit kan worden beschouwd als bijzondere persoonsgegevens onder Art. 9 AVG. De rechtsgrond voor deze verwerking is je uitdrukkelijke toestemming (Art. 9(2)(a) AVG), die je geeft bij het aanmaken van een account en het vastleggen van dromen.
6. AI-verwerking van je droomgegevens
Je droomtekst wordt verwerkt door ons eigen taalmodel op servers binnen de Europese Unie. Je gegevens worden versleuteld opgeslagen en je droomtekst wordt niet naar externe AI-diensten gestuurd.
Waarborgen
- Droominhoud wordt voor AI-verwerking niet naar externe AI-aanbieders gestuurd
- Tekstcorrectie, vragen en analyse gebruiken ons eigen taalmodel op servers binnen de Europese Unie.
- Droominhoud wordt niet gebruikt om modellen van derden te trainen
- Bij onbereikbaarheid van het lokale model is er geen cloudfallback voor droominhoud
7. Delen met derden
Wij verkopen je gegevens nooit. Je gegevens worden uitsluitend gedeeld met:
| Partij | Doel | Gegevens |
|---|---|---|
| Google Analytics | Websitebezoekstatistieken (alleen marketingsite) | Geanonimiseerde bezoekdata, cookies |
| SMTP-mailserver (eigen beheer) | E-mailbezorging | E-mailadres, verificatielinks |
Wij delen geen droominhoud met adverteerders, marketeers of andere commerciële partijen.
8. Beveiliging
We nemen de beveiliging van je droomgegevens uiterst serieus.
Versleuteling
- Droomteksten, sessieantwoorden, citaten en notities worden versleuteld opgeslagen met AES-256-GCM (Galois/Counter Mode)
- Elke gebruiker heeft een eigen versleutelingssleutel (envelope encryption met HKDF-SHA256)
- Wachtwoorden worden gehasht met Argon2id (memory-hard, 64 MB)
Authenticatie
- JWT-tokens ondertekend met RS256 (RSA-SHA256), geldig voor 15 minuten
- Refresh tokens met rotatiedetectie: bij hergebruik van een gebruikt token worden alle tokens in die sessie ongeldig
- Account wordt vergrendeld na 5 mislukte inlogpogingen (15 minuten)
Infrastructuur
- Productie-API, database en ons eigen taalmodel draaien op servers binnen de Europese Unie.
- Eigen PostgreSQL-database (geen cloud-databasedienst van derden)
- Technische logs worden automatisch gesanitiseerd: droominhoud, e-mailadressen en tokens worden verwijderd uit logberichten
9. Bewaartermijnen
| Gegevens | Bewaartermijn |
|---|---|
| Droominhoud | Onbeperkt — bewaard zolang het account bestaat |
| Accountgegevens | Tot verwijderverzoek |
| Zacht verwijderde data | Geen automatische verwijdertermijn aangetoond voor afzonderlijk zacht verwijderde dromen |
| Versleutelingssleutels na expunge | Onmiddellijk verwijderd |
| Toegangslogs | 30 dagen |
| Authenticatiegebeurtenissen | 90 dagen |
| AI-gebruiksmetrics (tokenaantallen) | 90 dagen |
| Foutmeldingen | 30 dagen |
| Audittrail | 1 jaar |
| Back-ups na verwijdering | Momenteel is geen werkende productieback-up aangetoond; daarom beloven we geen back-upbewaartermijn of herstel |
10. Je rechten onder de AVG
Recht op inzage (Art. 15)
Vraag op welke gegevens we van je hebben. Dit kan via de export-functie in de app.
Recht op rectificatie (Art. 16)
Corrigeer onjuiste gegevens via je profiel in de app.
Recht op verwijdering (Art. 17)
- Afzonderlijke droom verwijderen: verdwijnt uit je zichtbare archief; er is momenteel geen aangetoonde automatische purge-termijn voor dit soft-deletepad
- Account verwijderen: na bevestiging wordt het account direct hard verwijderd; profiel, dromen, sessies en overige persoonsgegevens worden gewist en versleutelingssleutels vernietigd
- Geen herstelperiode: accountverwijdering is na bevestiging onomkeerbaar. De actuele back-upstatus staat in de bewaartermijnentabel hierboven
Recht op dataportabiliteit (Art. 20)
Download al je gegevens als ZIP-bestand (JSON-formaat) via de export-functie. Dit bevat: droomteksten (ontsleuteld), sessievragen en -antwoorden, motieven, profielgegevens en toestemmingsgeschiedenis.
Recht op beperking van verwerking (Art. 18)
Neem contact op via privacy@dreamalizing.com.
Recht van bezwaar (Art. 21)
Je kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang. Neem contact op via privacy@dreamalizing.com.
Toestemming intrekken (Art. 7)
Intrekken kan op elk moment via je profielinstellingen (audio-opslag, motieftracking, marketing-e-mails). Intrekking heeft geen terugwerkende kracht.
11. Cookies en lokale opslag
Cookies
De Dreamalizing-app plaatst geen HTTP-cookies. De marketingwebsite (dreamalizing.com) gebruikt Google Analytics, waarvoor standaard Google-cookies worden geplaatst. Je kunt deze weigeren via je browserinstellingen.
Lokale opslag op je apparaat
- Authenticatietokens — in SecureStore (iOS/Android) of localStorage (web)
- Gebruikersprofiel cache — voor snellere weergave
- Marketingherkomst (UTM-parameters) — om te weten via welk kanaal je ons hebt gevonden
12. Kinderen
Dreamalizing is bedoeld voor gebruikers van 13 jaar en ouder. We verzamelen niet bewust gegevens van kinderen jonger dan 13 jaar. Als je ontdekt dat een kind jonger dan 13 een account heeft aangemaakt, neem dan contact op via privacy@dreamalizing.com, zodat we het account kunnen verwijderen.
Voor gebruikers tussen 13 en 16 jaar kan toestemming van een ouder of voogd vereist zijn, afhankelijk van het land van verblijf (Art. 8 AVG).
13. Incognito-modus
Dreamalizing biedt een incognito-modus. Wanneer je een droom in incognito-modus vastlegt:
- De droom wordt niet gekoppeld aan het motieven-systeem
- De droom wordt niet meegenomen in patroonherkenning
De droomtekst zelf wordt wel versleuteld opgeslagen zodat je deze kunt terugvinden, maar kan op elk moment door jou worden verwijderd.
14. Internationale doorgifte van gegevens
Account- en droomgegevens worden opgeslagen op servers binnen de Europese Unie. AI-verwerking van droominhoud vindt eveneens plaats op servers binnen de Europese Unie; tussen deze servers loopt droominhoud via een private verbinding.
De marketingwebsite gebruikt Google Analytics (VS). Hiervoor gelden EU Standard Contractual Clauses (SCC's). Dit betreft uitsluitend geanonimiseerde bezoekstatistieken, geen droominhoud of persoonsgegevens.
15. Wijzigingen in dit beleid
We kunnen dit privacybeleid wijzigen. Bij substantiële wijzigingen stellen we je op de hoogte via e-mail of een melding in de app. De actuele versie is altijd beschikbaar op dreamalizing.com/nl/privacy.
16. Datalekken
In het geval van een datalek dat een risico vormt voor jouw rechten en vrijheden, melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens. Als het lek een hoog risico voor jou persoonlijk inhoudt, stellen wij je ook direct op de hoogte.
17. Contact en klachten
Vragen, verzoeken of klachten over privacy:
- E-mail: privacy@dreamalizing.com
- Verantwoordelijke: Elk River Holding B.V., KvK 78040787
Je hebt het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens of bij de toezichthouder in jouw EU-lidstaat.