PRIVACY · COHORT-PLATFORM
Wat we van je weten en waarom.
Wie is verantwoordelijk?
Mossel.ai (Jessica Mossel, KvK-vermelding op de hoofdsite) is verwerkingsverantwoordelijke voor je gegevens binnen het Sprint-platform. Voor klant-cohorts (Jacs, CM&P) treden Mossel.ai en de klant gezamenlijk op als verantwoordelijken; afspraken liggen vast in een verwerkers-overeenkomst. Vragen of klachten gaan naar jessica@mossel.ai.
Welke gegevens verwerken we?
- Email-adres: voor magic-link login en cohort-toegang.
- Voortgang per sessie: welke sessies je hebt gestart en voltooid.
- Submissions: je antwoorden op rubric-vragen, je reflecties en eventuele links naar je eigen werk-output.
- Tijdstempels: wanneer je inlogt, wanneer je iets inlevert.
- Sessie-fingerprint: een korte hash van je browser-eigenschappen (besturingssysteem, schermgrootte, tijdzone, taal) plus de userAgent-string. Per login één keer berekend. Wordt gebruikt voor anti-sharing-detectie. Zie hierna.
- Punten en voortgangs-score: de punten, badges en mastery die je verdient, plus de teamscore van je team.
- Wat je deelt in de feed: posts en reacties die je zelf bewust plaatst in de cohort-feed, met je naam erbij.
- Vragen aan je trainer: de vragen die je via het platform aan Jessica stelt.
We verwerken geen IP-adressen, geen tracking-cookies en geen cross-site fingerprints. De enige cookie is een functionele session-cookie van Firebase Authentication, nodig om je ingelogd te houden.
Waarom verwerken we het?
Wettelijke basis: artikel 6.1.b AVG (uitvoering van de overeenkomst). Je werkgever heeft een Sprint bij Mossel.ai afgenomen en jij krijgt toegang als deelnemer. Wij verwerken niet meer dan nodig is om de Sprint uit te voeren en jou en je trainer (Jessica) zicht te geven op je voortgang.
Wie krijgt jouw gegevens te zien?
- Jij ziet alles op je eigen dashboard en kunt het downloaden via /data-export.
- Jessica (jouw trainer) ziet je email, voortgang, ingeleverde opdrachten, punten en vragen binnen jouw cohort. Niet die van andere cohorts.
- Je teamcaptain is een collega uit je eigen team met een coach-rol. Die ziet jouw voortgang en je ingeleverde opdrachten, om je te kunnen helpen. Je privé-concepten (nog niet ingeleverd) en je individuele punten blijven voor de teamcaptain verborgen.
- De leiding van jouw organisatie ziet, als dat met je werkgever is afgesproken, wie er meedoet, de teamindeling en wie sessies heeft afgerond. Niet de inhoud van je werk, niet je punten, niet de feed.
- Andere deelnemers in jouw cohort zien niets van je werk, behalve wat je zelf bewust deelt in de cohort-feed. Wat je daar deelt staat mét je naam erbij: zichtbaar voor je cohort, dus niet anoniem.
- Sub-verwerker: Google (Firebase Authentication +
Firestore). Data staat in de EU-multi-region
eur3. We hebben een DPA met Google. - Openbaar: alleen je behaalde certificaat is via een verificatielink te checken (voornaam, cohort-naam, datum). Je email en je werk staan daar niet op.
We verkopen geen data. We delen geen data met adverteerders. We gebruiken geen analytics-providers in de cohort-omgeving.
Anti-sharing borging
Je account is persoonsgebonden. Twee borgingen zijn actief:
- Eén actieve sessie tegelijk: bij inloggen op een tweede apparaat verdrijft de nieuwe sessie automatisch de oude. Op het verdrongen apparaat moet je opnieuw inloggen om verder te werken. Dit gebeurt zichtbaar, zodat je weet dat het is gebeurd.
- Sessie-fingerprint: per login berekenen we een korte hash van je browser-eigenschappen. Voor je trainer is zichtbaar hoeveel unieke fingerprints binnen 7 dagen op één account hebben ingelogd. De hash zelf is geen identifier; meerdere mensen op hetzelfde apparaat-type krijgen dezelfde hash.
Doel: redelijk borgen dat één account door één persoon wordt gebruikt, zonder drempels voor de eerlijke deelnemer. We gebruiken geen MFA via SMS, geen IP-locking en geen biometrie.
Hoe lang bewaren we het?
Submissions en voortgang bewaren we tot één jaar na het einde van jouw cohort. Daarna pseudonimiseren we de data: jouw email wordt verwijderd, de payloads blijven anoniem bewaard voor curriculum- verbetering. Wil je dat alles direct weg gaat? Mail jessica@mossel.ai; binnen 30 dagen verwijderd.
Jouw rechten
- Inzage: download je volledige data via de knop op /data-export.
- Correctie: pas je eigen reflecties aan door opnieuw in te leveren.
- Verwijdering: stuur een mail naar jessica@mossel.ai. Dit beëindigt ook je deelname aan de Sprint.
- Dataportabiliteit: de export op /data-export is een machine-leesbaar JSON-bestand.
- Klacht indienen: bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).
Wat veranderen we niet zonder mailen?
Als we deze verklaring veranderen op een manier die jouw rechten raakt, krijg je een mail vóór de wijziging ingaat. Kleinere verduidelijkingen plaatsen we direct met een nieuwe datum bovenaan.