Privacy Statement — skINCI SCIEnce

Verwerkingsverantwoordelijke (voor platformgebruikersdata)
Schoonheidssalon Patricia VOF, handelend onder het merk skINCI SCIEnce
Boekentstraat 60, 9451 Haaltert (Kerksken), België
BTW: BE0800 696 693
E-mail: hello@skinciscience.com | Tel.: +32 468 22 01 76
Website: www.skinciscience.com

Inhoudstafel

Wie zijn wij en hoe zijn wij bereikbaar?
Twee verwerkingsrollen: verantwoordelijke en verwerker
Welke persoonsgegevens verwerken wij?
Voor welke doeleinden en op welke rechtsgrondslag?
Bijzondere categorieën van persoonsgegevens (gezondheidsgegevens)
Hoe lang bewaren wij uw gegevens?
Aan wie delen wij uw gegevens?
Doorgifte buiten de EER
Geautomatiseerde besluitvorming en profilering
Beveiliging van uw gegevens
Uw rechten als betrokkene
Cookies en tracking
Wijzigingen aan dit Privacy Statement
Klachten

1. Wie zijn wij en hoe zijn wij bereikbaar?

skINCI SCIEnce is een professioneel AI-gedreven huidanalyseplatform voor schoonheidssalons en huidtherapeuten, aangeboden door Schoonheidssalon Patricia VOF (BTW BE0800 696 693), Boekentstraat 60, 9451 Haaltert (Kerksken), België.

Voor vragen, verzoeken of klachten over de verwerking van uw persoonsgegevens kunt u ons bereiken via:

E-mail: hello@skinciscience.com
Post: Schoonheidssalon Patricia VOF — skINCI SCIEnce, Boekentstraat 60, 9451 Haaltert, België

Wij streven ernaar uw verzoeken binnen 30 kalenderdagen te beantwoorden (termijn conform art. 12 AVG).

2. Twee verwerkingsrollen: verantwoordelijke en verwerker

Het Platform kent twee onderscheiden verwerkingsrelaties die elk een andere juridische grondslag hebben:

2.1 skINCI SCIEnce als verwerkingsverantwoordelijke

Voor de persoonsgegevens van geregistreerde salongebruikers (therapeuten, salonbeheerders) treedt Schoonheidssalon Patricia VOF op als verwerkingsverantwoordelijke in de zin van art. 4(7) AVG. Dit omvat accountgegevens, facturatiegegevens en gebruikslogging.

2.2 skINCI SCIEnce als verwerker

Voor de persoonsgegevens van salonklanten die via het Platform worden verwerkt, treedt Schoonheidssalon Patricia VOF op als verwerker in de zin van art. 4(8) AVG. De salon die het Platform gebruikt, is de verwerkingsverantwoordelijke voor de gegevens van haar eigen klanten. De verwerking van salonklantgegevens is geregeld in de Verwerkersovereenkomst die bij registratie wordt aanvaard.

Dit Privacy Statement behandelt beide verwerkingsrelaties. Salonklanten dienen voor informatie over hun rechten in eerste instantie contact op te nemen met hun salon.

3. Welke persoonsgegevens verwerken wij?

3.1 Gegevens van salongebruikers (verantwoordelijke)

Naam, e-mailadres, telefoonnummer
Salonadressen en BTW-nummer
Factuurgegevens en betalingshistoriek (via Stripe; wij bewaren zelf geen volledige betaalkaartgegevens)
Inloggegevens (gehashed wachtwoord via Supabase Auth)
Gebruikslogging: tijdstip van inloggen, geopende modules, gegenereerde rapporten (geen inhoud), IP-adressen
Abonnements- en creditstatus

3.2 Gegevens van salonklanten (verwerker namens de salon)

Naam, e-mailadres, geboortedatum
Huidtype, huidtoestand en huidklachten
Bijzondere categorieën (gezondheidsgegevens — zie ook art. 5): allergieën, aandoeningen, actieve medicatie, hormonale situatie (zwangerschap, IVF, menopauze)
Leefstijlgegevens: stress, slaappatroon, voeding, rookgedrag
Foto's van de huid (selfie, gezichtszones, macrofoto's, hals/décolleté)
Meetwaarden van huidanalyserapparaten (door therapeut ingevoerd of gefotografeerd)
Digitale handtekening voor GDPR-toestemming (met tijdstempel)
Gegenereerde AI-rapporten en behandeladviezen
Notities van de therapeut

4. Voor welke doeleinden en op welke rechtsgrondslag?

Doel	Betrokkene	Rechtsgrondslag (AVG)
Accountbeheer en toegangsverlening tot het Platform	Salongebruiker	Uitvoering overeenkomst (art. 6 lid 1 b)
Facturatie en betalingsverwerking	Salongebruiker	Uitvoering overeenkomst (art. 6 lid 1 b) + wettelijke verplichting (art. 6 lid 1 c)
Verwerking huidanalysegegevens en rapportgeneratie	Salonklant	Uitdrukkelijke toestemming (art. 9 lid 2 a) + uitvoering dienstverlening (art. 6 lid 1 b) — verkregen door de salon
Opslag en herbekijken van historische rapporten	Salonklant	Toestemming betrokkene (verkregen door de salon) + gerechtvaardigd belang salon
Opvolging en gepersonaliseerde e-mails naar salonklanten	Salonklant	Toestemming betrokkene (verkregen door de salon, art. 6 lid 1 a)
Beveiliging van het Platform en fraudedetectie	Salongebruiker	Gerechtvaardigd belang (art. 6 lid 1 f)
Verbetering van het Platform (anonieme gebruiksstatistieken)	Salongebruiker	Gerechtvaardigd belang (art. 6 lid 1 f) — geanonimiseerde data
Naleving van wettelijke verplichtingen (boekhoudwetgeving)	Salongebruiker	Wettelijke verplichting (art. 6 lid 1 c)

5. Bijzondere categorieën van persoonsgegevens (gezondheidsgegevens) Art. 9 AVG

Het Platform verwerkt bijzondere categorieën van persoonsgegevens in de zin van art. 9 AVG, met name gezondheidsgegevens van salonklanten: allergieën, chronische aandoeningen, actieve medicatie, hormonale situaties (zwangerschap, IVF, menopauze), huidaandoeningen en andere medisch relevante informatie.

Deze gegevens worden uitsluitend verwerkt:

Op basis van de uitdrukkelijke toestemming van de salonklant (art. 9 lid 2 a AVG), verkregen via de digitale handtekening in de klantintake.
Voor het doel waarvoor de toestemming is gegeven: het opstellen van een gepersonaliseerd huidanalyserapport en behandeladvies.
Met passende technische en organisatorische beveiligingsmaatregelen (zie art. 10).

De salon is als verwerkingsverantwoordelijke verplicht te beschikken over een geldige rechtsgrondslag voor het verwerken van deze bijzondere categorieën en dient hierover de salonklant correct te informeren conform art. 13/14 AVG.

    Aandacht voor salons: Gezondheidsgegevens zijn bijzondere categorieën persoonsgegevens. Als salon (verwerkingsverantwoordelijke) bent u verplicht de salonklant expliciet te informeren over de verwerking van deze gegevens vóór of bij de intake. De digitale handtekening via het Platform registreert de toestemming, maar u blijft zelf verantwoordelijk voor de correcte informatieverstrekking.
  

6. Hoe lang bewaren wij uw gegevens?

Categorie	Bewaartermijn	Reden
Accountgegevens salongebruiker	Duur abonnement + 2 jaar	Contractuele verplichtingen, eventuele klachten
Facturatiegegevens	7 jaar	Belgische boekhoudwetgeving (art. 26 W.Venn.)
Huidanalysegegevens salonklant (incl. foto's en rapporten)	Zolang de salon actief is + 30 dagen na opzegging voor export	Dienstverlening + recht op export
GDPR-toestemmingen (digitale handtekeningen)	5 jaar na laatste verwerking	Bewijslast conform art. 7 AVG
Inloglogging / beveiligingslogs	12 maanden	Beveiligings- en fraudedetectie
Credits en transactiegeschiedenis	7 jaar	Belgische boekhoudwetgeving

Na afloop van de bewaartermijn worden gegevens veilig en onomkeerbaar gewist of geanonimiseerd.

7. Aan wie delen wij uw gegevens?

Wij verkopen uw persoonsgegevens nooit aan derden. Wij delen gegevens uitsluitend met de volgende categorieën van verwerkers, op basis van een verwerkersovereenkomst of adequaatheidsbesluit:

Ontvanger / Sub-verwerker	Doel	Locatie
Supabase Inc.	Databasehosting, authenticatie, bestandsopslag (foto's en meetwaarden)	EU-datacenters (Frankfurt)
Anthropic PBC	AI-rapportgeneratie via Claude API	VS — adequaatheidsmaatregelen (SCCs)
Stripe Inc.	Betalingsverwerking (abonnementen en credits)	VS/EU — adequaatheidsmaatregelen (SCCs)
Vercel Inc.	Webhosting en deployment van het Platform	EU-regio

Bij een wettelijke verplichting of gerechtelijk bevel kunnen gegevens worden verstrekt aan bevoegde autoriteiten. Wij informeren u hierover voor zover wettelijk toegestaan.

8. Doorgifte buiten de EER

Bepaalde sub-verwerkers (Anthropic, Stripe) zijn gevestigd buiten de Europese Economische Ruimte (EER). Deze doorgiften vinden uitsluitend plaats op basis van passende waarborgen in de zin van art. 46 AVG, meer bepaald standaardcontractbepalingen (SCC's) goedgekeurd door de Europese Commissie.

Huidanalysegegevens verwerkt door de Anthropic API worden uitsluitend doorgegeven voor het genereren van het rapport en worden niet door Anthropic bewaard of gebruikt voor het trainen van AI-modellen, conform onze verwerkersovereenkomst.

Alle primaire opslag van persoonsgegevens (database, foto's) vindt plaats op EU-servers (Frankfurt) via Supabase.

9. Geautomatiseerde besluitvorming en profilering Art. 22 AVG

Het Platform maakt gebruik van AI-modellen (Claude van Anthropic) om huidanalyserapporten te genereren op basis van de door de salonklant en de therapeut ingevoerde gegevens. Dit constitueert geautomatiseerde verwerking die een significante invloed kan hebben op de aanbevelingen die de salonklant ontvangt.

Wij wijzen erop dat:

De gegenereerde rapporten altijd door een menselijke therapeut worden beoordeeld en gecommuniceerd. Er is geen volledig geautomatiseerde besluitvorming zonder menselijke tussenkomst in de zin van art. 22 lid 1 AVG.
De rapporten ondersteunende adviezen zijn en geen medische diagnoses of behandelingsplannen in de klinische zin vervangen.
De therapeut te allen tijde de eindverantwoordelijkheid draagt voor het advies aan de salonklant.

10. Beveiliging van uw gegevens

Wij treffen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen ongeoorloofde toegang, verlies, vernietiging of openbaarmaking. Concreet:

Versleuteling: alle gegevensoverdracht verloopt via TLS 1.2 of hoger (HTTPS). Foto's en rapporten worden versleuteld opgeslagen.
Toegangscontrole: Row Level Security (RLS) in Supabase zorgt ervoor dat elke salon uitsluitend haar eigen klantgegevens kan raadplegen. Technisch is het onmogelijk dat salon A de data van salon B ziet.
Authenticatie: JWT-gebaseerde sessies met verificatie via Supabase Auth. Wachtwoorden worden nooit in leesbare vorm opgeslagen.
API-beveiliging: de Anthropic API-sleutel is server-side opgeslagen via een Supabase Edge Function en is niet zichtbaar in de frontend.
Datalokalisatie: primaire opslag in EU-datacenters (Frankfurt).
Incidentbeheer: bij een datalek dat een risico inhoudt voor uw rechten en vrijheden, melden wij dit binnen 72 uur aan de Gegevensbeschermingsautoriteit conform art. 33 AVG, en informeren wij de betrokkenen conform art. 34 AVG.

11. Uw rechten als betrokkene Art. 15–22 AVG

U heeft als betrokkene de volgende rechten ten aanzien van de persoonsgegevens die wij als verwerkingsverantwoordelijke over u verwerken (salongebruikersdata). Voor salonklantgegevens (verwerker) verwijzen wij u naar de salon die het Platform gebruikt.

Recht op inzage (art. 15) U kunt opvragen welke persoonsgegevens wij van u verwerken en een kopie ontvangen.

Recht op rectificatie (art. 16) U kunt onjuiste of onvolledige gegevens laten corrigeren.

Recht op wissing (art. 17) U kunt verzoeken uw gegevens te wissen wanneer deze niet langer noodzakelijk zijn, mits er geen wettelijke bewaarverplichting geldt.

Recht op beperking (art. 18) U kunt de verwerking van uw gegevens laten beperken in bepaalde omstandigheden.

Recht op overdraagbaarheid (art. 20) U kunt uw gegevens ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat (export).

Recht van bezwaar (art. 21) U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.

Recht op intrekking toestemming (art. 7 lid 3) Wanneer verwerking berust op uw toestemming, kunt u die te allen tijde intrekken zonder opgave van reden.

Recht op geen volledig geautomatiseerde besluitvorming (art. 22) U heeft het recht op menselijke tussenkomst bij geautomatiseerde beslissingen die u significant beïnvloeden.

Om een verzoek in te dienen, stuurt u een e-mail naar hello@skinciscience.com met vermelding van uw naam, het type verzoek en (indien nodig) een bewijs van identiteit. Wij reageren binnen 30 kalenderdagen. Bij complexe of veeltallige verzoeken kan de termijn worden verlengd met 60 dagen, na kennisgeving.

12. Cookies en tracking

De marketinghomepage van skINCI SCIEnce (skinciscience.com) maakt gebruik van de volgende cookies:

Cookie	Type	Doel	Bewaarduur
Supabase Auth Token	Strikt noodzakelijk	Authenticatie van ingelogde salongebruikers	Sessie / 1 week
Voorkeursinstellingen	Functioneel	Opslaan van gebruikersvoorkeuren (bv. filters)	1 jaar

Wij maken geen gebruik van tracking- of advertentiecookies van derden op het Platform zelf. Op de openbare marketingpagina kan Google Analytics actief zijn voor anonieme bezoekersstatistieken. U kunt cookies weigeren of verwijderen via uw browserinstellingen, maar dit kan de werking van het Platform beïnvloeden.

13. Wijzigingen aan dit Privacy Statement

Wij behouden het recht om dit Privacy Statement te wijzigen. Materiële wijzigingen worden minimaal 30 dagen voor inwerkingtreding per e-mail aangekondigd aan geregistreerde salongebruikers. De meest recente versie is altijd beschikbaar op skinciscience.com/privacy-statement.

De datum van de laatste wijziging staat vermeld bovenaan dit document. Wij raden u aan dit Privacy Statement periodiek te raadplegen.

14. Klachten

Heeft u een klacht over de manier waarop wij uw persoonsgegevens verwerken, dan kunt u ons contacteren via hello@skinciscience.com. Wij behandelen uw klacht zo snel mogelijk en uiterlijk binnen 30 kalenderdagen.

U heeft tevens het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit:

België: Gegevensbeschermingsautoriteit (GBA) — www.gegevensbeschermingsautoriteit.be — contact@apd-gba.be — +32 2 274 48 00
Nederland: Autoriteit Persoonsgegevens (AP) — www.autoriteitpersoonsgegevens.nl

Dit doet geen afbreuk aan uw recht om een klacht in te dienen bij de toezichthoudende autoriteit van de lidstaat waar u gewoonlijk verblijft, werkt of waar de vermeende inbreuk heeft plaatsgevonden.