Privacybeleid

AVG/GDPR Compliant

Laatst bijgewerkt: 30 november 2025

1. Inleiding

Lumio ("wij", "ons", "onze") respecteert uw privacy en zet zich in voor de bescherming van uw persoonsgegevens. Dit privacybeleid legt uit hoe wij persoonsgegevens verzamelen, gebruiken, delen en beschermen wanneer u gebruik maakt van ons platform voor onderwijsbeheer.

Dit privacybeleid is opgesteld in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de Nederlandse privacywetgeving.

2. Contactgegevens

Voor vragen over dit privacybeleid of over de verwerking van uw persoonsgegevens kunt u contact met ons opnemen:

Lumio

E-mail: privacy@lumio.nl

3. Welke persoonsgegevens verzamelen wij?

Identificatiegegevens

  • Naam (voornaam en achternaam)
  • E-mailadres
  • Telefoonnummer (optioneel)
  • Functie/rol binnen de organisatie

Onderwijsgegevens

  • Lesplanning en roosters
  • Voortgangsgegevens en cijfers
  • Lesnotities en evaluaties
  • Leerdoelen en voortgang
  • Presentiegegevens
  • Vakken en specialisaties

Financiële gegevens

  • Factuurgegevens
  • Betalingsinformatie
  • BTW-nummer (indien van toepassing)
  • Bankrekeningnummer (voor facturatie)

Technische gegevens

  • IP-adres
  • Browser type en versie
  • Apparaat informatie
  • Gebruikspatronen en activiteitenlogs
  • Login geschiedenis

Communicatiegegevens

  • E-mailcorrespondentie
  • Berichten via het platform
  • Notificatievoorkeuren

Contactgegevens ouders/verzorgers

  • Naam van ouder/verzorger
  • E-mailadres
  • Telefoonnummer
  • Relatie tot leerling
  • Noodcontactgegevens
4. Waarom verwerken wij uw gegevens?
Rechtsgrondslagen voor verwerking

Uitvoering van de overeenkomst

Contractueel

Wij verwerken uw gegevens om onze diensten te kunnen leveren, waaronder:

  • Accountbeheer en authenticatie
  • Lesplanning en roosterbeheer
  • Voortgangsregistratie
  • Facturatie en betalingsverwerking
  • Communicatie via het platform

Gerechtvaardigd belang

Legitiem

Wij verwerken gegevens op basis van gerechtvaardigd belang voor:

  • Beveiliging en fraudepreventie
  • Verbetering van onze diensten
  • Technische ondersteuning en troubleshooting
  • Analyses en rapportages (geanonimiseerd)

Toestemming

Optioneel

Voor bepaalde verwerkingen vragen wij uw expliciete toestemming:

  • Marketingcommunicatie (optioneel)
  • Gebruik van cookies voor analytics
  • Delen van gegevens met derden voor marketingdoeleinden

Wettelijke verplichting

Verplicht

Wij kunnen gegevens verwerken om te voldoen aan wettelijke verplichtingen:

  • Bewaarplicht voor facturen (7 jaar)
  • Belastingwetgeving
  • Onderwijsregelgeving
5. Met wie delen wij uw gegevens?

Wij delen uw gegevens alleen met derden wanneer dit noodzakelijk is voor de levering van onze diensten of wanneer dit wettelijk verplicht is. Alle derden zijn contractueel verplicht om uw gegevens te beschermen.

5.1 Dienstenverleners (processors)

Supabase
EU

Hosting, database en authenticatie. Gegevens worden opgeslagen binnen de EU.

Resend
AVG

E-mailverzending. Gegevens worden verwerkt volgens AVG-standaarden.

OpenAI
Anoniem

AI-gegenereerde samenvattingen. Persoonlijke identificatiegegevens worden geanonimiseerd voordat ze naar OpenAI worden gestuurd.

Vercel
EU

Hosting van de applicatie. Gegevens worden opgeslagen binnen de EU.

5.2 Toekomstige integraties

In de toekomst kunnen wij integraties aanbieden met:

Google Calendar
Magister
Moneybird
Mollie/Stripe

U wordt altijd geïnformeerd voordat nieuwe integraties worden geactiveerd en kunt deze weigeren.

6. Hoe lang bewaren wij uw gegevens?

Wij bewaren uw gegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld:

Actieve accounts

Zolang uw account actief is en u gebruik maakt van onze diensten.

Na beëindiging account

Gegevens worden verwijderd binnen 90 dagen na beëindiging, tenzij wettelijke bewaarplichten van toepassing zijn.

Facturen

Bewaard volgens wettelijke bewaarplicht van 7 jaar voor belastingdoeleinden.

Audit logs

Bewaard voor 90 dagen voor beveiligings- en compliance-doeleinden.

Leerlinggegevens

Bewaard volgens onderwijsregelgeving. Na beëindiging van de dienstverlening kunnen gegevens worden overgedragen aan de onderwijsorganisatie.

7. Beveiliging van uw gegevens

Wij nemen passende technische en organisatorische maatregelen om uw gegevens te beschermen:

Technische maatregelen

Versleuteling in transit (HTTPS/TLS)
Versleuteling at rest
Row-Level Security (RLS)
Twee-factor authenticatie (2FA)
Security audits
Beveiligde backups

Organisatorische maatregelen

Toegangscontrole op basis van rollen
Training van personeel
Incident response procedures
Regelmatige reviews van toegangsrechten
8. Uw rechten onder de AVG

U heeft de volgende rechten met betrekking tot uw persoonsgegevens:

Recht op inzage

U heeft het recht om te weten welke gegevens wij van u verwerken.

Recht op rectificatie

U kunt onjuiste of onvolledige gegevens laten corrigeren.

Recht op verwijdering

U kunt vragen om verwijdering van uw gegevens, tenzij wij wettelijk verplicht zijn deze te bewaren.

Recht op beperking

U kunt vragen om beperking van de verwerking van uw gegevens.

Recht op dataportabiliteit

U kunt uw gegevens in een gestructureerd formaat ontvangen.

Recht van bezwaar

U kunt bezwaar maken tegen bepaalde verwerkingen van uw gegevens.

Recht om toestemming in te trekken

Wanneer verwerking op basis van toestemming plaatsvindt, kunt u deze altijd intrekken.

Hoe kunt u uw rechten uitoefenen?

Neem contact met ons op via privacy@lumio.nl. Wij reageren binnen 30 dagen op uw verzoek.

9. Cookies en tracking

Wij gebruiken cookies en vergelijkbare technologieën voor:

Functionele cookies:

Noodzakelijk voor het functioneren van het platform (authenticatie, sessiebeheer)

Analytische cookies:
Optioneel

Voor het verbeteren van onze diensten (met uw toestemming)

U kunt uw cookievoorkeuren beheren via uw browserinstellingen. Houd er rekening mee dat het uitschakelen van functionele cookies de functionaliteit van het platform kan beïnvloeden.

10. Internationale doorgifte

Uw gegevens worden primair opgeslagen en verwerkt binnen de Europese Unie. Wanneer wij gegevens delen met diensten buiten de EU (zoals OpenAI), zorgen wij voor passende waarborgen:

Standard Contractual Clauses (SCC's)
Anonimisering van gegevens
Minimale gegevensverwerking
11. Bescherming van minderjarigen

Belangrijk voor leerlingen onder de 16 jaar

Voor leerlingen onder de 16 jaar is toestemming van een ouder of voogd vereist voor het gebruik van het platform. Leerlingen van 16 jaar en ouder kunnen zelf toestemming geven.

Wij nemen extra maatregelen om de privacy van minderjarigen te beschermen en verwerken alleen gegevens die noodzakelijk zijn voor de dienstverlening.

12. Wijzigingen in dit privacybeleid

Wij kunnen dit privacybeleid van tijd tot tijd bijwerken. Belangrijke wijzigingen zullen wij communiceren via e-mail of via een melding in het platform.

Wij raden u aan dit privacybeleid regelmatig te raadplegen om op de hoogte te blijven van hoe wij uw gegevens beschermen.

13. Klachten en contact

Als u vragen heeft over dit privacybeleid of als u niet tevreden bent met hoe wij omgaan met uw gegevens, kunt u contact met ons opnemen:

Contactgegevens

E-mail: privacy@lumio.nl

U heeft ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) als u van mening bent dat wij uw gegevens niet op de juiste manier verwerken.

Autoriteit Persoonsgegevens

Website: www.autoriteitpersoonsgegevens.nl

DocumentatieServicevoorwaardenInloggen