Terug naar home

Privacybeleid

Doojoo — Versie: 29 maart 2026 (bijgewerkt)

1. Inleiding

Doojoo hecht groot belang aan de bescherming van persoonsgegevens. In dit privacybeleid lichten wij toe welke gegevens wij verzamelen, waarvoor wij deze gebruiken en hoe wij deze beschermen. Dit beleid is van toepassing op het gebruik van het Doojoo-platform (doojoo.io) en alle bijbehorende diensten.

2. Verwerkingsverantwoordelijke

Voor de verwerking van persoonsgegevens via het Doojoo-platform geldt het volgende:

  • Doojoo is Verwerker van persoonsgegevens die door Opdrachtgevers (organisaties) worden ingevoerd in hun Tenant-omgeving.
  • Doojoo is Verwerkingsverantwoordelijke voor gegevens die wij verzamelen van bezoekers van onze website (doojoo.io) en van accounthouders die zich direct bij ons registreren.

3. Welke gegevens verzamelen wij

3.1 Accountgegevens

  • Naam, e-mailadres en organisatienaam bij registratie
  • Wachtwoord (versleuteld opgeslagen, nooit leesbaar)
  • Rol binnen de organisatie (Admin, Ontwerper, Manager, Deelnemer)

3.2 Gebruiksgegevens

  • Voortgang in cursussen en modules
  • Resultaten van toetsen en assessments
  • XP-punten, badges en certificaten
  • Inlogmomenten en sessieduur

3.3 AI-gerelateerde gegevens

  • Prompts en instructies die Ontwerpers invoeren bij het gebruik van AI-functies (tekstgeneratie, cursus creatie, Widget Builder)
  • Geüploade documenten (PDF, DOCX, PPTX, TXT) ten behoeve van AI-cursuscreatie
  • AI-creditgebruik per organisatie (aantal gebruikte en resterende credits)

Geüploade documenten en prompts worden uitsluitend verwerkt voor het genereren van de gevraagde content en worden niet opgeslagen door de AI-providers na verwerking. De gegenereerde content wordt opgeslagen binnen de Tenant-omgeving van de Opdrachtgever.

3.4 Doojoo Capture (browserextensie)

  • Screenshots van webpagina's die door de Ontwerper worden gecaptured via de Doojoo Capture Browser-extensie
  • Metadata van gecapturde pagina's: bron-URL, paginatitel, viewport-afmetingen en tijdstip van capture
  • Posities van interactieve elementen (knoppen, links, formuliervelden) op de gecapturde pagina
  • Supabase authenticatietoken (lokaal opgeslagen in de browser via chrome.storage.local)

De extensie maakt uitsluitend screenshots wanneer de gebruiker hier actief opdracht toe geeft. Er worden geen pagina's automatisch gescreend, geen browsegeschiedenis bijgehouden en geen gegevens verzameld buiten het captureproces. Screenshots worden opgeslagen in de Tenant-omgeving van de Opdrachtgever binnen Supabase Storage (Frankfurt, EU). De extensie verzendt geen gegevens naar externe diensten buiten Supabase.

3.5 Betalingsgegevens

  • Factuurgegevens (naam, adres, BTW-nummer)
  • Betalingsgeschiedenis en abonnementsstatus

Creditcardgegevens en bankgegevens worden niet door Doojoo opgeslagen maar rechtstreeks verwerkt door onze betalingsprovider Stripe.

3.6 Technische gegevens

  • IP-adres (niet permanent opgeslagen)
  • Browser- en apparaattype
  • Paginabezoeken via Plausible Analytics (cookieloos, geanonimiseerd, AVG-compliant)

3.7 Gegevens die wij NIET verzamelen

  • Wij gebruiken geen tracking cookies
  • Wij gebruiken geen Google Analytics
  • Wij verkopen geen persoonsgegevens aan derden
  • Wij volgen geen gebruikers buiten het platform
  • De Doojoo Capture extensie registreert geen browsegeschiedenis en maakt geen automatische screenshots; captures worden uitsluitend op verzoek van de gebruiker gemaakt
  • Wij gebruiken geen persoonsgegevens voor het trainen van AI-modellen

4. Doeleinden van verwerking

Wij verwerken persoonsgegevens voor de volgende doeleinden:

  • Het leveren en onderhouden van de Dienst
  • Het aanmaken en beheren van accounts
  • Het bijhouden van leervoortgang en resultaten
  • Het genereren van content met behulp van AI-diensten (tekstgeneratie, cursusstructuren, interactieve widgets) op verzoek van de Ontwerper
  • Het vastleggen en opslaan van website-captures via de Doojoo Capture browserextensie ten behoeve van interactieve simulaties
  • Het verwerken van betalingen en het beheren van abonnementen
  • Het versturen van e-mailnotificaties (welkomstmails, herinneringen, cursustoewijzingen)
  • Het verbeteren van de Dienst op basis van geaggregeerde en geanonimiseerde gebruiksdata
  • Het nakomen van wettelijke verplichtingen

5. Grondslagen

Wij verwerken persoonsgegevens op basis van de volgende grondslagen uit de AVG:

  • Uitvoering van een overeenkomst (Art. 6 lid 1 sub b): noodzakelijk voor het leveren van de Dienst, inclusief AI-functies
  • Gerechtvaardigd belang (Art. 6 lid 1 sub f): verbetering van de Dienst, beveiliging
  • Wettelijke verplichting (Art. 6 lid 1 sub c): fiscale bewaarplicht

6. Delen met derden

Wij delen persoonsgegevens alleen met de volgende partijen, uitsluitend voor zover noodzakelijk:

  • Supabase (database en authenticatie) — EU-hosting, Frankfurt, Duitsland
  • Netlify (hosting) — verwerking conform EU-recht
  • Resend (e-mailverzending) — alleen e-mailadres en naam voor transactionele e-mails
  • Stripe (betalingsverwerking) — verwerking van betalingsgegevens conform PCI DSS en EU-recht
  • Microsoft Azure OpenAI Service (AI-tekstgeneratie, cursuscreatie en widgetgeneratie) — verwerking binnen de EU (Data Zone Standard, regio Europa). Prompts en documentinhoud worden verwerkt voor het genereren van content en worden niet door Microsoft gebruikt voor het trainen van AI-modellen.
  • Unsplash (afbeeldingen) — alleen zoekopdrachten op basis van onderwerp voor het ophalen van placeholder-afbeeldingen. Geen persoonsgegevens worden gedeeld.
  • Plausible Analytics (website-analyse) — geen persoonsgegevens, volledig geanonimiseerd

Met alle verwerkers zijn verwerkersovereenkomsten gesloten of zijn de verwerkingsvoorwaarden van de betreffende dienst van toepassing. Wij geven geen persoonsgegevens door aan partijen buiten de Europese Economische Ruimte (EER). Alle dataverwerking, inclusief AI-verwerking, vindt plaats binnen de EU.

6.1 AI-verwerking specifiek

Bij het gebruik van AI-functies worden de volgende gegevens naar Microsoft Azure OpenAI gestuurd:

  • Tekstgeneratie en cursuscreatie: De door de Ontwerper ingevoerde prompt, eventuele bestaande blokinhoud, en bij cursuscreatie de inhoud van het geüploade document.
  • Widget Builder: De door de Ontwerper ingevoerde prompt en eventuele bestaande widgetcode.

Alle AI-verwerking vindt plaats binnen de EU via Microsoft Azure OpenAI Data Zone Standard (regio Europa). Er worden geen persoonsgegevens van Deelnemers naar AI-providers gestuurd. Alleen Ontwerpers en Admins hebben toegang tot AI-functies.

7. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen:

  • Versleutelde verbindingen (HTTPS/TLS) voor alle dataverkeer
  • Versleutelde opslag van wachtwoorden (bcrypt)
  • Row Level Security (RLS) in de database: elke organisatie ziet alleen eigen data
  • Dagelijkse automatische backups
  • Data-opslag binnen de EU (Frankfurt, Duitsland)
  • Toegangscontrole op basis van rollen en rechten
  • AI-API-sleutels worden server-side opgeslagen en zijn niet toegankelijk vanuit de browser
  • Widget Builder-output draait in een sandboxed iframe zonder toegang tot het hoofdplatform
  • Doojoo Capture extensie slaat authenticatietokens uitsluitend lokaal op in de browser; captures worden versleuteld verzonden naar Supabase Storage (EU)
  • Regelmatige beveiligingsupdates

8. Bewaartermijnen

  • Accountgegevens: bewaard zolang het account actief is, plus 30 dagen na beëindiging voor data-export
  • Leervoortgang en resultaten: bewaard zolang de organisatie actief is
  • Captures en simulatiedata: bewaard zolang de organisatie actief is. Screenshots worden opgeslagen in Supabase Storage (EU) en verwijderd bij beëindiging van het account
  • AI-prompts en -gebruik: creditgebruik wordt bijgehouden zolang het account actief is. Prompts worden niet separaat bewaard na verwerking
  • Factuurgegevens: 7 jaar (wettelijke bewaarplicht)
  • Websitebezoekstatistieken (Plausible): geanonimiseerd, geen bewaartermijn van toepassing

9. Rechten van betrokkenen

U heeft de volgende rechten met betrekking tot uw persoonsgegevens:

  • Recht op inzage: u kunt opvragen welke gegevens wij van u verwerken
  • Recht op rectificatie: u kunt onjuiste gegevens laten corrigeren
  • Recht op verwijdering: u kunt verzoeken uw gegevens te wissen
  • Recht op beperking: u kunt de verwerking laten beperken
  • Recht op overdraagbaarheid: u kunt uw gegevens in een gangbaar formaat opvragen
  • Recht van bezwaar: u kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang

Voor het uitoefenen van uw rechten kunt u contact opnemen via privacy@doojoo.io. Wij reageren binnen 30 dagen.

Indien u een klacht heeft over de verwerking van uw persoonsgegevens, kunt u een klacht indienen bij de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl).

10. Cookies

Doojoo maakt geen gebruik van tracking cookies of marketing cookies. Wij gebruiken uitsluitend functionele cookies die noodzakelijk zijn voor het functioneren van het platform (sessiebeheer, authenticatie). Voor websiteanalyse gebruiken wij Plausible Analytics, dat volledig cookieloos werkt en geen persoonsgegevens verwerkt. Daarom is geen cookiebanner nodig. Zie ons Cookiebeleid voor meer informatie.

11. Wijzigingen

Dit privacybeleid kan worden gewijzigd. Wijzigingen worden gepubliceerd op onze website. Bij substantiële wijzigingen informeren wij gebruikers per e-mail.

12. Contact

Voor vragen over dit privacybeleid of de verwerking van uw persoonsgegevens:

E-mail: privacy@doojoo.io