Splash Software app

Privacy beleid EasySwim – Splash Software app

Versie: 1.2

1. Wie is wie en waarvoor geldt dit beleid?

• Verwerkingsverantwoordelijke (primair): de aangesloten organisatie (zwembad/lesaanbieder) waarbij u bent ingeschreven en waarmee uw app-account is gekoppeld. Deze organisatie bepaalt de doeleinden en middelen van de verwerking van uw (en uw kind(eren) hun) gegevens binnen de app.
• Verwerker: EasySwim Nederland B.V. (KvK 17193623), Pastoor Spieringsstraat 10A, 5401 GT Uden, Nederland.
  E-mail: privacy@easyswim.com · Tel.: 085-489 6380.
• EasySwim levert de app en verwerkt persoonsgegevens namens de aangesloten organisatie.
  EasySwim als (zelfstandig) verwerkingsverantwoordelijke: voor eigen beveiligingslogbestanden, fout- en crashrapportages, productverbetering, en wanneer u rechtstreeks contact met EasySwim opneemt.

Dit beleid is van toepassing op de mobiele app en de gekoppelde webapp van Splash Software.

2. Welke gegevens verwerken we?
Afhankelijk van de functies die u gebruikt en wat uw locatie (zwembad/lesaanbieder) heeft geactiveerd, kunnen we de volgende categorieën gegevens verwerken:

1. Account- en relatiedata
   Naam, e-mailadres, telefoonnummer, taal, inloggegevens (hash), klant- of gezinsnummer, relatie ouder/voogd ↔ kind, gekoppelde locatie.
2. Kindgegevens (doorgegeven door ouder/voogd of door de locatie)
   Voornaam/achternaam, geboortedatum, lesgroep, aanwezigheidsregistraties, voortgang/leerdoelen/zwemniveaus, notities van de instructeur.
3. Activiteit en gebruik
   Inlogmomenten, interacties met appfuncties (zoals lesaan- of afmeldingen), notificatie-instellingen, push-token(s).
4. Communicatie
   Berichten en e-mails die via de app worden verzonden/ontvangen, supportvragen aan de locatie of EasySwim.
5. Betalingen en boekingen (indien geactiveerd)
   Product/abonnement, factuurnummer/status, betaalstatus en referenties van de betaalprovider. Betalingen in de app verlopen via onze betaalprovider Mollie B.V.. Wij slaan zelf geen betaalkaartgegevens op. Voor automatische incasso’s worden ook bankrekeninggegevens verwerkt (IBAN en tenaamstelling).
6. Apparaat- en technisch loggen
   App- en OS-versie, toestelmodel, (gedeeltelijk) IP-adres, foutmeldingen en crashlogs, voor beveiliging en onderhoud van de app. Ook: device-id + type, user-agent en cookies voor gebruiksgemak (bijv. laatst gekozen planlocatie, winkelwageninhoud).

Bronnen van de gegevens: (a) u als gebruiker/ouder, (b) de aangesloten organisatie (zwembad/lesaanbieder), en (c) automatisch gegenereerd door gebruik van de app.

3. Waarvoor gebruiken we uw gegevens? (doeleinden)

• App-functionaliteit: tonen van lesplanning, aanwezigheidsregistratie, voortgang, berichten en pushnotificaties.
• Relatiebeheer en klantenservice: beantwoorden van vragen en verwerken van verzoeken.
• Beveiliging en misbruikpreventie: het beschermen van accounts en systemen, incidentdetectie.
• Productonderhoud en -verbetering: storingsanalyse, prestatie- en gebruiksmetingen.
• Betalingen/administratie (indien geactiveerd): verwerking van inschrijvingen, betalingen en facturatie door of namens uw locatie.
• Wettelijke verplichtingen: fiscale en administratieve bewaarplichten, en het voldoen aan verzoeken van toezichthouders/autoriteiten.

4. Op basis van welke rechtsgrond?
Afhankelijk van de situatie gelden één of meer van de volgende grondslagen:

• Uitvoering van een overeenkomst (art. 6(1)(b) AVG): leveren van de app-diensten die u gebruikt (bijv. lesoverzicht, berichten, betalingen).
• Gerechtvaardigd belang (art. 6(1)(f) AVG): app-beveiliging, fraudepreventie, service-communicatie over uw lessen of account, productverbetering (met een beperkte impact op de privacy en mét afmeld-/opt-out-mogelijkheden waar passend).
• Toestemming (art. 6(1)(a) AVG): facultatieve functies zoals marketingberichten of bepaalde analytics/SDK’s; u kunt deze toestemming intrekken via de app-instellingen of toestelinstellingen (bijv. pushnotificaties).
• Wettelijke verplichting (art. 6(1)(c) AVG): fiscale administratie, het voldoen aan verzoeken van bevoegde autoriteiten.
• Kinderen en toestemming: bij online diensten geldt in Nederland dat onder de 16 jaar toestemming van een ouder/voogd nodig kan zijn wanneer de grondslag ‘toestemming’ is. De app en de gekoppelde diensten zijn bedoeld voor gebruik door ouders/voogden namens het kind.

5. Met wie delen we gegevens?
We delen persoonsgegevens alleen wanneer nodig:

• Met uw aangesloten organisatie (zwembad/lesaanbieder) en haar gebruikers (instructeurs/administratie) voor het uitvoeren van de lessen en administratie.
• Met verwerkers die ons helpen de app te leveren, zoals hostingproviders, e-mail/push-diensten, storings- en crashrapportage, en – indien geactiveerd – betaal- en incassodiensten.
• Sub-verwerkers: op dit moment maken we gebruik van Strato AG (hosting) voor het verwerken en opslaan van gegevens.
• Met autoriteiten wanneer dat wettelijk verplicht is, of voor het doen gelden van onze rechten.
• Bij bedrijfsovergangen (fusie/overname): we informeren betrokkenen conform de wet.
• Wij verkopen of verhuren uw persoonsgegevens nooit aan derden.

6. Internationale doorgifte
We streven ernaar gegevens binnen de EER te verwerken. Wanneer doorgifte naar landen buiten de EER plaatsvindt, gebruiken we passende waarborgen, zoals EU-standaardcontractbepalingen (SCC’s) of een adequaatheidsbesluit.
Bijvoorbeeld: bij het downloaden en gebruiken van de app via de Apple App Store en Google Play Store kunnen gegevens door Apple en Google buiten de EER (VS) worden verwerkt. Deze partijen vallen onder het EU–US Data Privacy Framework (DPF) of hanteren SCC’s.

7. Bewaartermijnen
App-account en relatiedata: zolang uw account actief is of zolang de aangesloten organisatie de gegevens nodig heeft voor haar dienstverlening. Op verzoek kan uw account worden verwijderd (zie §9).

• Beveiligings- en toegangslogs / crashlogs: beknopt en tijdelijk, in de regel maximaal 90 dagen, tenzij langer nodig voor incidentonderzoek.
• Communicatie en support: wij bewaren support- en communicatiegegevens zolang dit nodig is voor een correcte afhandeling en interne kwaliteitsdoeleinden. Zodra deze niet meer nodig zijn, worden ze verwijderd of geanonimiseerd.
• Financiële administratie (indien van toepassing): conform wettelijke bewaarplicht (meestal 7 jaar).
• Klantdata in Splash: standaard worden gegevens 60 maanden (5 jaar) na verwijderstatus automatisch verwijderd, tenzij de verantwoordelijke dit zelf eerder of later instelt. Hierbij worden directe persoonsgegevens gewist, en overige gegevens geanonimiseerd voor statistiek.
  Wanneer bewaartermijnen verstrijken, worden gegevens gewist of geanonimiseerd.

8. Beveiliging
We treffen passende technische en organisatorische maatregelen, waaronder:

• SSL-versleuteling bij transport,
• encryptie van gevoelige persoonsgegevens in de database,
• strikte toegangscontrole en logging (incl. pogingen tot ongeoorloofde toegang),
• automatische detectie en bescherming (o.a. hammer protection, IP-ban, DDOS protection),
• fysieke beveiliging van IT-voorzieningen,
• tijdige installatie van security patches en updates,
• geheimhoudingsplicht en VOG-screening voor medewerkers,
• bewustwordingstrainingen en bijscholing.
• Dataportabiliteit, dataminimalisatie en privacy-by-design zijn uitgangspunten bij ontwerp en beheer.

9. Uw rechten
U heeft het recht op inzage, rectificatie, wissing, beperking, overdraagbaarheid, en het recht om bezwaar te maken tegen verwerkingen op basis van gerechtvaardigd belang. Als u toestemming heeft gegeven, kunt u die te allen tijde intrekken.

• Voor app-gegevens die onder verantwoordelijkheid van uw locatie vallen: neem contact op met uw zwembad/lesaanbieder (contactgegevens vindt u in de app onder Profiel → Locatie). EasySwim ondersteunt de locatie bij de afhandeling.
• Voor verwerkingen door EasySwim als zelfstandig verantwoordelijke (bijv. beveiligingslogs, direct contact met EasySwim): mail ons via privacy@easyswim.com.

U heeft ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). We vragen u eerst uw verzoek/klacht bij ons of uw locatie in te dienen, zodat we het snel kunnen oplossen.

10. Pushnotificaties en voorkeuren
U kunt pushnotificaties beheren in de app en/of in de toestelinstellingen. Service-berichten over lessen of account kunnen noodzakelijk zijn voor de dienstverlening.

11. Cookies en SDK’s in de app
De app gebruikt geen marketing- of trackingcookies. Voor pushmeldingen en stabiliteit wordt gebruikgemaakt van de functionaliteiten van Apple en Google.

12. Datalekken
Bij een (vermoedelijk) datalek nemen we passende maatregelen en informeren we – waar vereist – de Autoriteit Persoonsgegevens en de betrokkenen.
Conform onze verwerkersovereenkomst geldt: wij melden een datalek altijd binnen 48 uur na ontdekking aan de verwerkingsverantwoordelijke.
Denkt u dat er een lek is? Neem direct contact op met uw locatie en/of EasySwim via privacy@easyswim.com.

13. Contact
EasySwim Nederland B.V.
Pastoor Spieringsstraat 10A, 5401 GT Uden, Nederland
E-mail: privacy@easyswim.com · Tel.: 085-489 6388

Voor vragen over uw inschrijving of kindgegevens: neem contact op met uw zwembad/lesaanbieder (gegevens zichtbaar in de app).

14. Wijzigingen in dit beleid
We kunnen dit beleid aanpassen. Bij wezenlijke wijzigingen informeren we u via de app of e-mail. De actuele versie is steeds beschikbaar bij EasySwim.

15. Begrippenlijst (verkort)

• Aangesloten organisatie: het zwembad/de lesaanbieder waarbij u bent ingeschreven.
• Locatie: het zwembad/de lesaanbieder waarbij u bent ingeschreven.
• Sub-verwerker: derde partij die door EasySwim wordt ingezet, o.a. Strato AG (hosting).

######  ENGLISH ######

Privacy Policy EasySwim – Splash Software app

Version: 1.2

1. Who is who and what does this policy cover?

• Controller (primary): the affiliated organization (swimming school/lesson provider) where you are registered and with which your app account is linked. This organization determines the purposes and means of processing your (and your children’s) data within the app.
• Processor: EasySwim Nederland B.V. (KvK 17193623), Pastoor Spieringsstraat 10A, 5401 GT Uden, The Netherlands.
  Email: privacy@easyswim.com · Tel.: +31 (0)85-489 6380.
• EasySwim provides the app and processes personal data on behalf of the affiliated organization.
  EasySwim as (independent) controller: for its own security logs, error and crash reports, product improvement, and when you contact EasySwim directly.

This policy applies to the mobile app and the connected web app of Splash Software.

2. What data do we process?
Depending on the features you use and what your location (swimming school/lesson provider) has activated, we may process the following categories of data:

1. Account and relationship data
   Name, email address, phone number, language, login data (hash), customer or family number, parent/guardian ↔ child relationship, linked location.
2. Child data (provided by parent/guardian or by the location)
   First/last name, date of birth, lesson group, attendance records, progress/learning goals/swimming levels, instructor notes.
3. Activity and usage
   Login times, interactions with app functions (such as lesson sign-ins/outs), notification settings, push token(s).
4. Communication
   Messages and emails sent/received via the app, support questions to the location or EasySwim.
5. Payments and bookings (if activated)
   Product/subscription, invoice number/status, payment status and references from the payment provider. Payments in the app are processed via our payment provider Mollie B.V.. We do not store payment card details. For direct debits, bank account data (IBAN and account holder name) are also processed.
6. Device and technical logging
   App and OS version, device model, (partial) IP address, error messages and crash logs, for security and maintenance of the app. Also: device ID + type, user agent and cookies for convenience (e.g., last chosen planning location, shopping cart contents).

Sources of the data: (a) you as user/parent, (b) the affiliated organization (swimming school/lesson provider), and (c) automatically generated by use of the app.

3. What do we use your data for? (purposes)

• App functionality: showing lesson schedules, attendance records, progress, messages and push notifications.
• Relationship management and customer service: responding to questions and handling requests.
• Security and misuse prevention: protecting accounts and systems, incident detection.
• Product maintenance and improvement: error analysis, performance and usage measurements.
• Payments/administration (if activated): processing registrations, payments and invoicing by or on behalf of your location.
• Legal obligations: tax and administrative retention requirements, and complying with requests from regulators/authorities.

4. On what legal basis?
Depending on the situation, one or more of the following legal bases apply:

• Performance of a contract (Art. 6(1)(b) GDPR): providing the app services you use (e.g., lesson overview, messages, payments).
• Legitimate interest (Art. 6(1)(f) GDPR): app security, fraud prevention, service communication about your lessons or account, product improvement (with limited privacy impact and with opt-out options where appropriate).
• Consent (Art. 6(1)(a) GDPR): optional features such as marketing messages or certain analytics/SDKs; you may withdraw this consent at any time via the app settings or device settings (e.g., push notifications).
• Legal obligation (Art. 6(1)(c) GDPR): tax administration, complying with requests from competent authorities.
• Children and consent: under Dutch law, online services require parental consent for children under 16 when the legal basis is ‘consent’. The app and related services are intended for use by parents/guardians on behalf of the child.

5. With whom do we share data?
We only share personal data when necessary:

• With your affiliated organization (swimming school/lesson provider) and its staff (instructors/administration) for carrying out lessons and administration.
• With processors that help us deliver the app, such as hosting providers, email/push services, error and crash reporting, and – if activated – payment and direct debit services.
• Sub-processors: at present we use Strato AG (hosting) for processing and storing data.
• With authorities when legally required, or to assert our rights.
• In case of corporate transitions (merger/acquisition): we will inform data subjects in accordance with the law.
• We never sell or rent your personal data to third parties.

6. International transfers
We aim to process data within the EEA. Where transfers outside the EEA occur, we use appropriate safeguards, such as EU Standard Contractual Clauses (SCCs) or an adequacy decision.
For example: when downloading and using the app via the Apple App Store and Google Play Store, data may be processed by Apple and Google outside the EEA (US). These parties fall under the EU–US Data Privacy Framework (DPF) or use SCCs.

7. Retention periods
App account and relationship data: as long as your account is active or as long as the affiliated organization needs the data for its services. You can request deletion of your account (see §9).

• Security and access logs / crash logs: brief and temporary, generally no more than 90 days, unless needed longer for incident investigation.
• Communication and support: we retain support and communication data as long as necessary for proper handling and internal quality purposes. Once no longer needed, these will be deleted or anonymized.
• Financial administration (if applicable): according to legal retention obligations (usually 7 years).
• Customer data in Splash: by default, data is automatically deleted 60 months (5 years) after deletion status, unless the controller sets a shorter or longer period. Direct personal data is deleted, and remaining data is anonymized for statistics.
  When retention periods expire, data is deleted or anonymized.

8. Security
We take appropriate technical and organizational measures, including:

• SSL encryption during transmission,
• encryption of sensitive personal data in the database,
• strict access control and logging (incl. attempts of unauthorized access),
• automatic detection and protection (e.g., hammer protection, IP ban, DDOS protection),
• physical security of IT facilities,
• timely installation of security patches and updates,
• confidentiality obligation and screening (VOG) for employees,
• awareness training and refresher courses.
• Data portability, data minimization and privacy-by-design are guiding principles in design and management.

9. Your rights
You have the right of access, rectification, erasure, restriction, portability, and the right to object to processing based on legitimate interest. If you have given consent, you can withdraw it at any time.

• For app data under the responsibility of your location: contact your swimming school/lesson provider (contact details are visible in the app under Profile → Location). EasySwim supports the location in handling the request.
• For processing by EasySwim as independent controller (e.g., security logs, direct contact with EasySwim): email us at privacy@easyswim.com.

You also have the right to lodge a complaint with the Dutch Data Protection Authority (autoriteitpersoonsgegevens.nl). We ask you to first submit your request/complaint to us or your location, so that we can resolve it quickly.

10. Push notifications and preferences
You can manage push notifications in the app and/or in device settings. Service messages about lessons or accounts may be necessary for the service.

11. Cookies and SDKs in the app
The app does not use marketing or tracking cookies. For push notifications and stability we use the functionalities of Apple and Google.

12. Data breaches
In case of a (suspected) data breach, we will take appropriate measures and inform – where required – the Dutch Data Protection Authority and the data subjects.
According to our processor agreement, we always report a data breach within 48 hours of discovery to the controller.
Do you suspect a breach? Contact your location and/or EasySwim immediately via privacy@easyswim.com.

13. Contact
EasySwim Nederland B.V.
Pastoor Spieringsstraat 10A, 5401 GT Uden, The Netherlands
Email: privacy@easyswim.com · Tel.: +31 (0)85-489 6388

For questions about your registration or child data: contact your swimming school/lesson provider (details visible in the app).

14. Changes to this policy
We may amend this policy. In case of material changes, we will notify you via the app or email. The current version is always available at EasySwim.

15. Glossary (short)

• Affiliated organization: the swimming school/lesson provider where you are registered.
• Location: the swimming school/lesson provider where you are registered.
• Sub-processor: third party engaged by EasySwim, e.g., Strato AG (hosting).