Wat we van je weten en waarom.

Wie is verantwoordelijk?

Mossel.ai (Jessica Mossel, KvK-vermelding op de hoofdsite) is verwerkingsverantwoordelijke voor je gegevens binnen het Sprint-platform. Voor klant-cohorts (Jacs, CM&P) treden Mossel.ai en de klant gezamenlijk op als verantwoordelijken; afspraken liggen vast in een verwerkers-overeenkomst. Vragen of klachten gaan naar jessica@mossel.ai.

Welke gegevens verwerken we?

• Email-adres: voor magic-link login en cohort-toegang.
• Voortgang per MW: welke mini-workflows je hebt gestart en voltooid.
• Submissions: je antwoorden op rubric-vragen, je reflecties en eventuele links naar je eigen werk-output.
• Tijdstempels: wanneer je inlogt, wanneer je iets inlevert.
• Sessie-fingerprint: een korte hash van je browser-eigenschappen (besturingssysteem, schermgrootte, tijdzone, taal) plus de userAgent-string. Per login één keer berekend. Wordt gebruikt voor anti-sharing-detectie. Zie hierna.

We verwerken geen IP-adressen, geen tracking-cookies en geen cross-site fingerprints. De enige cookie is een functionele session-cookie van Firebase Authentication, nodig om je ingelogd te houden.

Waarom verwerken we het?

Wettelijke basis: artikel 6.1.b AVG (uitvoering van de overeenkomst). Je werkgever heeft een Sprint bij Mossel.ai afgenomen en jij krijgt toegang als deelnemer. Wij verwerken niet meer dan nodig is om de Sprint uit te voeren en jou en je trainer (Jessica) zicht te geven op je voortgang.

Wie krijgt jouw gegevens te zien?

• Jij ziet alles op je eigen dashboard.
• Jessica (jouw trainer) ziet je email, voortgang en submissions binnen jouw cohort. Niet die van andere cohorts.
• Andere deelnemers in jouw cohort zien niets, tenzij je zelf bewust kiest om een output anoniem te delen.
• Sub-verwerker: Google (Firebase Authentication + Firestore). Data staat in de EU-multi-region eur3. We hebben een DPA met Google.

We verkopen geen data. We delen geen data met adverteerders. We gebruiken geen analytics-providers in de cohort-omgeving.

Anti-sharing borging

Je account is persoonsgebonden. Twee borgingen zijn actief:

• Eén actieve sessie tegelijk: bij inloggen op een tweede apparaat verdrijft de nieuwe sessie automatisch de oude. Op het verdrongen apparaat moet je opnieuw inloggen om verder te werken. Dit gebeurt zichtbaar, zodat je weet dat het is gebeurd.
• Sessie-fingerprint: per login berekenen we een korte hash van je browser-eigenschappen. Voor je trainer is zichtbaar hoeveel unieke fingerprints binnen 7 dagen op één account hebben ingelogd. De hash zelf is geen identifier; meerdere mensen op hetzelfde apparaat-type krijgen dezelfde hash.

Doel: redelijk borgen dat één account door één persoon wordt gebruikt, zonder drempels voor de eerlijke deelnemer. We gebruiken geen MFA via SMS, geen IP-locking en geen biometrie.

Hoe lang bewaren we het?

Submissions en voortgang bewaren we tot één jaar na het einde van jouw cohort. Daarna pseudonimiseren we de data: jouw email wordt verwijderd, de payloads blijven anoniem bewaard voor curriculum- verbetering. Wil je dat alles direct weg gaat? Mail jessica@mossel.ai; binnen 30 dagen verwijderd.

Jouw rechten

• Inzage: download je volledige data via de knop op /data-export.
• Correctie: pas je eigen reflecties aan door opnieuw in te leveren.
• Verwijdering: stuur een mail naar jessica@mossel.ai. Dit beëindigt ook je deelname aan de Sprint.
• Dataportabiliteit: de export op /data-export is een machine-leesbaar JSON-bestand.
• Klacht indienen: bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

Wat veranderen we niet zonder mailen?

Als we deze verklaring veranderen op een manier die jouw rechten raakt, krijg je een mail vóór de wijziging ingaat. Kleinere verduidelijkingen plaatsen we direct met een nieuwe datum bovenaan.