Privacybeleid

Je dromen zijn persoonlijk. We behandelen ze met zorg.

Versie 2.2 — 10 juli 2026

1. Wie zijn wij

Dreamalizing is een dienst van Elk River Holding B.V., gevestigd in Nederland (KvK 78040787). Wij zijn de verwerkingsverantwoordelijke voor je persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG).

E-mail: privacy@dreamalizing.com

2. Wat is Dreamalizing

Dreamalizing is een app voor droomverkenning, geïnspireerd door de dieptepsychologie van Carl Jung. Je typt je droom of gebruikt dicteren op je apparaat, beantwoordt persoonlijke vragen en ontvangt een reflectie. Dreamalizing is geen therapie en geeft geen medisch of psychiatrisch advies.

3. Welke gegevens verzamelen we

Gegevens die je zelf verstrekt

  • E-mailadres — bij registratie
  • Droomteksten — getypt of via dicteren op je apparaat; Dreamalizing bewaart geen audio-opname
  • Sessieantwoorden — je antwoorden op de verkenningsvragen
  • Profielgegevens (optioneel) — voornaam, geboortedatum, geslacht, land, tijdzone
  • Feedback — beoordelingen en opmerkingen over sessies

Gegevens die automatisch worden verzameld

  • IP-adres — bij inloggen en foutmeldingen
  • User-agent — browsertype en apparaat (bij foutmeldingen en sessieregistratie)
  • Gebruiksgebeurtenissen — bijv. "sessie gestart", "export aangevraagd" (geen inhoudelijke data)
  • Technische foutmeldingen — foutcodes en stacktraces, nooit droominhoud

Gegevens die we NIET verzamelen

  • Locatiegegevens (GPS)
  • Contactlijsten of adresboek
  • Foto's, bestanden of camera-toegang
  • Advertentie-ID's
  • Financiële of betaalgegevens

4. Hoe en waarom verwerken we je gegevens

a) Uitvoering van de overeenkomst (Art. 6(1)(b) AVG)

  • Aanmaken en beheren van je account
  • Verwerken van droomteksten voor analyse
  • Genereren van sessievragen en samenvattingen
  • Dataexport op jouw verzoek

b) Toestemming (Art. 6(1)(a) AVG)

  • Bijhouden van terugkerende motieven (patroonherkenning over dromen heen)
  • Marketingcommunicatie per e-mail
  • Delen met een menselijke coach (toekomstige functie)

Je kunt toestemming op elk moment intrekken via je profielinstellingen. Intrekking heeft geen terugwerkende kracht op eerder uitgevoerde verwerkingen.

c) Gerechtvaardigd belang (Art. 6(1)(f) AVG)

  • Beveiligingsmonitoring en fraudepreventie (IP-logging, accountvergrendeling na mislukte pogingen)
  • Foutopsporing en dienstverbetering
  • Anonieme gebruiksstatistieken

5. Bijzondere persoonsgegevens

Droominhoud kan informatie bevatten over je gezondheid, emoties of psychologische staat. Dit kan worden beschouwd als bijzondere persoonsgegevens onder Art. 9 AVG. De rechtsgrond voor deze verwerking is je uitdrukkelijke toestemming (Art. 9(2)(a) AVG), die je geeft bij het aanmaken van een account en het vastleggen van dromen.

6. AI-verwerking van je droomgegevens

Je droomtekst wordt verwerkt door ons eigen taalmodel op servers binnen de Europese Unie. Je gegevens worden versleuteld opgeslagen en je droomtekst wordt niet naar externe AI-diensten gestuurd.

Waarborgen

  • Droominhoud wordt voor AI-verwerking niet naar externe AI-aanbieders gestuurd
  • Tekstcorrectie, vragen en analyse gebruiken ons eigen taalmodel op servers binnen de Europese Unie.
  • Droominhoud wordt niet gebruikt om modellen van derden te trainen
  • Bij onbereikbaarheid van het lokale model is er geen cloudfallback voor droominhoud

7. Delen met derden

Wij verkopen je gegevens nooit. Je gegevens worden uitsluitend gedeeld met:

PartijDoelGegevens
Google AnalyticsWebsitebezoekstatistieken (alleen marketingsite)Geanonimiseerde bezoekdata, cookies
SMTP-mailserver (eigen beheer)E-mailbezorgingE-mailadres, verificatielinks

Wij delen geen droominhoud met adverteerders, marketeers of andere commerciële partijen.

8. Beveiliging

We nemen de beveiliging van je droomgegevens uiterst serieus.

Versleuteling

  • Droomteksten, sessieantwoorden, citaten en notities worden versleuteld opgeslagen met AES-256-GCM (Galois/Counter Mode)
  • Elke gebruiker heeft een eigen versleutelingssleutel (envelope encryption met HKDF-SHA256)
  • Wachtwoorden worden gehasht met Argon2id (memory-hard, 64 MB)

Authenticatie

  • JWT-tokens ondertekend met RS256 (RSA-SHA256), geldig voor 15 minuten
  • Refresh tokens met rotatiedetectie: bij hergebruik van een gebruikt token worden alle tokens in die sessie ongeldig
  • Account wordt vergrendeld na 5 mislukte inlogpogingen (15 minuten)

Infrastructuur

  • Productie-API, database en ons eigen taalmodel draaien op servers binnen de Europese Unie.
  • Eigen PostgreSQL-database (geen cloud-databasedienst van derden)
  • Technische logs worden automatisch gesanitiseerd: droominhoud, e-mailadressen en tokens worden verwijderd uit logberichten

9. Bewaartermijnen

GegevensBewaartermijn
DroominhoudOnbeperkt — bewaard zolang het account bestaat
AccountgegevensTot verwijderverzoek
Zacht verwijderde dataGeen automatische verwijdertermijn aangetoond voor afzonderlijk zacht verwijderde dromen
Versleutelingssleutels na expungeOnmiddellijk verwijderd
Toegangslogs30 dagen
Authenticatiegebeurtenissen90 dagen
AI-gebruiksmetrics (tokenaantallen)90 dagen
Foutmeldingen30 dagen
Audittrail1 jaar
Back-ups na verwijderingMomenteel is geen werkende productieback-up aangetoond; daarom beloven we geen back-upbewaartermijn of herstel

10. Je rechten onder de AVG

Recht op inzage (Art. 15)

Vraag op welke gegevens we van je hebben. Dit kan via de export-functie in de app.

Recht op rectificatie (Art. 16)

Corrigeer onjuiste gegevens via je profiel in de app.

Recht op verwijdering (Art. 17)

  • Afzonderlijke droom verwijderen: verdwijnt uit je zichtbare archief; er is momenteel geen aangetoonde automatische purge-termijn voor dit soft-deletepad
  • Account verwijderen: na bevestiging wordt het account direct hard verwijderd; profiel, dromen, sessies en overige persoonsgegevens worden gewist en versleutelingssleutels vernietigd
  • Geen herstelperiode: accountverwijdering is na bevestiging onomkeerbaar. De actuele back-upstatus staat in de bewaartermijnentabel hierboven

Recht op dataportabiliteit (Art. 20)

Download al je gegevens als ZIP-bestand (JSON-formaat) via de export-functie. Dit bevat: droomteksten (ontsleuteld), sessievragen en -antwoorden, motieven, profielgegevens en toestemmingsgeschiedenis.

Recht op beperking van verwerking (Art. 18)

Neem contact op via privacy@dreamalizing.com.

Recht van bezwaar (Art. 21)

Je kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang. Neem contact op via privacy@dreamalizing.com.

Toestemming intrekken (Art. 7)

Intrekken kan op elk moment via je profielinstellingen (audio-opslag, motieftracking, marketing-e-mails). Intrekking heeft geen terugwerkende kracht.

11. Cookies en lokale opslag

Cookies

De Dreamalizing-app plaatst geen HTTP-cookies. De marketingwebsite (dreamalizing.com) gebruikt Google Analytics, waarvoor standaard Google-cookies worden geplaatst. Je kunt deze weigeren via je browserinstellingen.

Lokale opslag op je apparaat

  • Authenticatietokens — in SecureStore (iOS/Android) of localStorage (web)
  • Gebruikersprofiel cache — voor snellere weergave
  • Marketingherkomst (UTM-parameters) — om te weten via welk kanaal je ons hebt gevonden

12. Kinderen

Dreamalizing is bedoeld voor gebruikers van 13 jaar en ouder. We verzamelen niet bewust gegevens van kinderen jonger dan 13 jaar. Als je ontdekt dat een kind jonger dan 13 een account heeft aangemaakt, neem dan contact op via privacy@dreamalizing.com, zodat we het account kunnen verwijderen.

Voor gebruikers tussen 13 en 16 jaar kan toestemming van een ouder of voogd vereist zijn, afhankelijk van het land van verblijf (Art. 8 AVG).

13. Incognito-modus

Dreamalizing biedt een incognito-modus. Wanneer je een droom in incognito-modus vastlegt:

  • De droom wordt niet gekoppeld aan het motieven-systeem
  • De droom wordt niet meegenomen in patroonherkenning

De droomtekst zelf wordt wel versleuteld opgeslagen zodat je deze kunt terugvinden, maar kan op elk moment door jou worden verwijderd.

14. Internationale doorgifte van gegevens

Account- en droomgegevens worden opgeslagen op servers binnen de Europese Unie. AI-verwerking van droominhoud vindt eveneens plaats op servers binnen de Europese Unie; tussen deze servers loopt droominhoud via een private verbinding.

De marketingwebsite gebruikt Google Analytics (VS). Hiervoor gelden EU Standard Contractual Clauses (SCC's). Dit betreft uitsluitend geanonimiseerde bezoekstatistieken, geen droominhoud of persoonsgegevens.

15. Wijzigingen in dit beleid

We kunnen dit privacybeleid wijzigen. Bij substantiële wijzigingen stellen we je op de hoogte via e-mail of een melding in de app. De actuele versie is altijd beschikbaar op dreamalizing.com/nl/privacy.

16. Datalekken

In het geval van een datalek dat een risico vormt voor jouw rechten en vrijheden, melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens. Als het lek een hoog risico voor jou persoonlijk inhoudt, stellen wij je ook direct op de hoogte.

17. Contact en klachten

Vragen, verzoeken of klachten over privacy:

Je hebt het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens of bij de toezichthouder in jouw EU-lidstaat.