Privacyverklaring
Laatst bijgewerkt: januari 2026
Sommie hecht veel waarde aan de bescherming van jouw persoonsgegevens. In deze privacyverklaring leggen we in duidelijke taal uit welke gegevens we verzamelen, waarom we dat doen, hoe lang we ze bewaren en wat jouw rechten zijn. Deze verklaring is opgesteld in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR). We hebben deze tekst zo geschreven dat ook scholieren van 13 jaar en ouder hem kunnen begrijpen.
1. Wie is verantwoordelijk voor je gegevens?
Sommie B.V. is de verwerkingsverantwoordelijke. Dit betekent dat wij bepalen welke gegevens we verzamelen en waarvoor we ze gebruiken. Wij zijn verantwoordelijk voor de zorgvuldige omgang met je persoonsgegevens.
2. Welke gegevens verzamelen we?
We verzamelen alleen gegevens die noodzakelijk zijn voor het leveren van onze dienst. Hieronder vind je precies welke gegevens we verwerken en waarom:
Accountgegevens
- E-mailadres - om in te loggen en belangrijke berichten te ontvangen
- Naam - zodat we je persoonlijk kunnen aanspreken
- Wachtwoord - veilig versleuteld opgeslagen, wij kunnen je wachtwoord niet inzien
Schoolgegevens (leerlinggegevens)
Via de Somtoday Connect API ontvangen we schoolgerelateerde gegevens. Dit zijn gegevens die Somtoday al heeft:
- Schoolnaam en leslocatie
- Rooster en lesuren
- Huiswerk en opdrachten
- Toetsen en cijfers (indien beschikbaar via Somtoday)
Apparaatgegevens
- Serienummer - om je Sommie-apparaat te identificeren
- Koppelcodes - om je apparaat aan je account te verbinden
- Verbindingsstatus - om te controleren of je apparaat online is
Betalingsgegevens
Betalingen worden verwerkt door Mollie, een gecertificeerde betaaldienst. Wij slaan zelf geen creditcard- of bankgegevens op. Mollie heeft eigen beveiligingsmaatregelen en een privacybeleid dat je kunt vinden op mollie.com.
E-mailcommunicatie
E-mails (zoals orderbevestigingen, verzendberichten en wachtwoord-resets) worden verzonden via Resend. Dit is een e-maildienst die alleen je e-mailadres ontvangt voor het bezorgen van onze berichten.
3. Op welke grond verwerken wij je gegevens?
Volgens de wet (AVG) moeten we een geldige reden hebben om je gegevens te verwerken. Hieronder staat per type verwerking welke rechtsgrond we gebruiken:
| Verwerking | Rechtsgrond |
|---|---|
| Leveren van de Sommie-dienst, tonen van schoolgegevens, verwerken van bestellingen | Uitvoering overeenkomst (Art. 6.1.b AVG) |
| Beveiliging, fraudepreventie, verbetering van de dienst, technische ondersteuning | Gerechtvaardigd belang (Art. 6.1.f AVG) |
| Bewaren van facturen en betalingsgegevens voor de belastingdienst | Wettelijke verplichting (Art. 6.1.c AVG) |
| Nieuwsbrieven en optionele marketing (indien van toepassing) | Toestemming (Art. 6.1.a AVG) |
4. Hoe lang bewaren we je gegevens?
We bewaren je gegevens niet langer dan noodzakelijk. Hieronder vind je de bewaartermijnen per type gegevens:
| Soort gegevens | Bewaartermijn |
|---|---|
| Accountgegevens | Tot je zelf je account verwijdert, plus 30 dagen bedenktijd waarin je je account nog kunt herstellen |
| Apparaatgegevens | Tot 2 jaar na laatste activiteit |
| Schoolgegevens | Real-time synchronisatie, tijdelijk gecached (5-30 minuten) en niet permanent opgeslagen |
| Betalingsgegevens | 7 jaar (wettelijke bewaarplicht) |
| Technische logs | 30 dagen |
5. Wat zijn jouw rechten?
Onder de AVG heb je verschillende rechten met betrekking tot je persoonsgegevens. Hieronder leggen we uit wat je kunt doen:
Recht op inzage
Je mag opvragen welke gegevens we van je hebben. We sturen je dan een overzicht.
Stuur een e-mail naar privacy@sommie.nl met als onderwerp 'Inzageverzoek' en vermeld je e-mailadres waarmee je bent geregistreerd.
Recht op correctie
Kloppen je gegevens niet? Dan kun je ons vragen om ze aan te passen.
Stuur een e-mail naar privacy@sommie.nl met als onderwerp 'Correctieverzoek' en geef aan welke gegevens onjuist zijn.
Recht op verwijdering
Je kunt vragen om al je gegevens te verwijderen. We doen dit binnen 30 dagen.
Stuur een e-mail naar privacy@sommie.nl met als onderwerp 'Verwijderingsverzoek'. Je account wordt binnen 30 dagen volledig verwijderd.
Recht op overdraagbaarheid
Je kunt je gegevens opvragen in een standaard digitaal formaat (JSON).
Stuur een e-mail naar privacy@sommie.nl met als onderwerp 'Data-export'. Je ontvangt een JSON-bestand met al je gegevens.
Recht van bezwaar
Je kunt bezwaar maken tegen bepaalde verwerkingen, zoals marketing.
Stuur een e-mail naar privacy@sommie.nl met als onderwerp 'Bezwaar' en leg uit tegen welke verwerking je bezwaar maakt.
Recht op beperking
Je kunt vragen om de verwerking tijdelijk te stoppen terwijl we iets uitzoeken.
Stuur een e-mail naar privacy@sommie.nl met als onderwerp 'Beperkingsverzoek' en leg uit waarom je wilt dat we de verwerking tijdelijk stoppen.
Om je rechten uit te oefenen, stuur een e-mail naar privacy@sommie.nl
We reageren binnen 30 dagen op je verzoek. Dit is gratis. Je ontvangt een bevestiging zodra je verzoek is ontvangen.
Als je niet tevreden bent met onze reactie, kun je een klacht indienen bij de Autoriteit Persoonsgegevens.
6. Met wie delen we je gegevens?
We delen je gegevens alleen met partijen die nodig zijn om onze dienst te leveren. Dit zijn verwerkers die in onze opdracht werken of controllers met wie we gegevens uitwisselen:
Somtoday (Topicus)
Via de Somtoday Connect API (host2host) halen we schoolgegevens op. Topicus (Somtoday) is zelf verantwoordelijk voor de schoolgegevens. Wij vragen alleen de gegevens op die je aan ons beschikbaar stelt.
Locatie: Nederland (EU)
Mollie
Mollie verwerkt betalingen. Zij ontvangen alleen de gegevens die nodig zijn voor de betaling (bedrag, beschrijving). Mollie heeft sterke beveiliging en is gecertificeerd.
Locatie: Nederland (EU)
Resend
Resend verzorgt het versturen van e-mails. Zij ontvangen alleen je e-mailadres en de inhoud van het bericht. Resend verwerkt gegevens in de VS onder Standard Contractual Clauses (SCCs), de door de EU goedgekeurde modelcontracten voor internationale gegevensoverdracht.
Locatie: Verenigde Staten (met Standard Contractual Clauses en EU-VS Data Privacy Framework)
Hosting (Google Cloud)
Onze servers draaien op Google Cloud Platform in de EU. Google verwerkt gegevens in onze opdracht volgens strenge beveiligingsstandaarden.
Locatie: Europa (EU)
We verkopen nooit je gegevens aan derden. We gebruiken geen advertentienetwerken of trackers.
7. Hoe beveiligen we je gegevens?
We nemen passende technische en organisatorische maatregelen om je gegevens te beschermen tegen verlies, misbruik of ongeautoriseerde toegang:
- Versleuteling tijdens verzending - Alle verbindingen zijn beveiligd met HTTPS/TLS. Dit betekent dat gegevens die tussen jou en onze servers worden verstuurd niet kunnen worden onderschept.
- Versleuteling in opslag - Gevoelige gegevens zoals OAuth-tokens worden versleuteld opgeslagen met AES-256-GCM, een sterke versleutelingsmethode.
- Wachtwoordbeveiliging - Wachtwoorden worden gehasht opgeslagen met bcrypt. Dit betekent dat zelfs wij je wachtwoord niet kunnen lezen.
- Toegangsbeperking - Alleen geautoriseerd personeel heeft toegang tot systemen met persoonsgegevens, en alleen voor zover nodig voor hun werk.
- Beveiligingsmonitoring - We monitoren onze systemen op verdachte activiteiten en voeren regelmatig beveiligingscontroles uit.
8. Worden gegevens buiten de EU verwerkt?
We proberen je gegevens zoveel mogelijk binnen de Europese Unie (EU) te verwerken. Onze hoofdservers staan in de EU.
Als we toch gegevens delen met diensten buiten de EU (zoals Resend in de VS), zorgen we ervoor dat er adequate waarborgen zijn. We gebruiken Standard Contractual Clauses (SCCs), de door de Europese Commissie goedgekeurde modelcontracten. Daarnaast valt Resend onder het EU-VS Data Privacy Framework, wat betekent dat ze moeten voldoen aan EU-standaarden voor gegevensbescherming.
9. Gebruiken we cookies?
We gebruiken alleen strikt noodzakelijke cookies. Dit zijn kleine tekstbestanden die nodig zijn om de website te laten werken:
Functionele cookies (noodzakelijk)
Deze cookies zijn nodig voor het functioneren van de website. Zonder deze cookies werkt de website niet goed:
- Sessiecookie - houdt je ingelogd terwijl je de website gebruikt
- Taalvoorkeur - onthoudt of je Nederlands of Engels hebt gekozen
- Authenticatie - zorgt ervoor dat je veilig ingelogd blijft
We gebruiken geen tracking cookies, advertentiecookies, of cookies van derden. We volgen je niet op andere websites.
10. Hoe gaan we om met gegevens van minderjarigen?
Sommie is bedoeld voor scholieren van 13 jaar en ouder. We zijn ons ervan bewust dat veel van onze gebruikers minderjarig zijn en gaan hier zorgvuldig mee om.
Belangrijk: In Nederland is de digitale leeftijd van toestemming 16 jaar (conform artikel 8 AVG).
Voor gebruikers jonger dan 16 jaar is toestemming van een ouder of voogd vereist om een account aan te maken en onze dienst te gebruiken. Deze toestemming wordt gevraagd tijdens het registratieproces.
Rechten van ouders/voogden
Ouders of voogden van gebruikers jonger dan 16 jaar hebben het recht om: (1) de gegevens van hun kind in te zien, (2) correctie van gegevens te verzoeken, (3) het account van hun kind te verwijderen, en (4) toestemming in te trekken.
Ouders of verzorgers kunnen via het dashboard meekijken met de schoolinformatie. Dit zorgt voor transparantie en betrokkenheid bij de schoolgang.
Voor vragen over de gegevens van je kind kun je contact opnemen via privacy@sommie.nl
11. Hoe kun je contact met ons opnemen?
Heb je vragen over deze privacyverklaring, over hoe we met je gegevens omgaan, of wil je een van je rechten uitoefenen? Neem dan contact met ons op:
Voor privacy-gerelateerde vragen
E-mail: privacy@sommie.nl
12. Wat als je een klacht hebt?
Als je vindt dat we niet goed omgaan met je gegevens, horen we dat graag zodat we het kunnen oplossen. Neem eerst contact met ons op via privacy@sommie.nl. Als we er samen niet uitkomen, heb je het recht om een klacht in te dienen bij de toezichthouder:
Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Website: autoriteitpersoonsgegevens.nl
Telefoon: 088 - 180 52 50
13. Wijzigingen in deze privacyverklaring
We kunnen deze privacyverklaring van tijd tot tijd aanpassen, bijvoorbeeld als er nieuwe functies komen of als de wet verandert. Bij belangrijke wijzigingen stellen we je hiervan op de hoogte via e-mail. De meest recente versie vind je altijd op deze pagina. We raden je aan om deze verklaring regelmatig te lezen.
Vragen over je privacy?
Neem contact op via privacy@sommie.nl