Privacybeleid

Laatst bijgewerkt: 12.04.2026

1. Inleiding

IntimX is een premium platform voor volwassenen, beheerd vanuit Zwitserland door Artenic_ GmbH. De bescherming van uw persoonsgegevens staat centraal in onze toezeggingen. Dit privacybeleid beschrijft op transparante wijze welke gegevens wij verzamelen, waarom en hoe wij deze verwerken, hoe lang wij ze bewaren en welke rechten u heeft.

Dit beleid is in overeenstemming met de Zwitserse Federale Wet op de Gegevensbescherming (nDSG, van kracht sinds 1 september 2023) en, voor zover van toepassing, met de Europese Algemene Verordening Gegevensbescherming (AVG). Bij tegenstrijdigheden heeft de nDSG als toepasselijk recht voorrang.

Door IntimX te gebruiken, bevestigt u dat u dit beleid heeft gelezen en begrepen. Als u niet akkoord gaat met de beschreven praktijken, gebruik onze diensten dan niet.

2. Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke voor uw persoonsgegevens is:

Artenic_ GmbH

1950 Sion, Suisse

E-mail : support@intimx.ch

Site : intimx.ch

3. Verzamelde gegevens

3.1 Direct verstrekte gegevens

Wanneer u een account aanmaakt, uw profiel aanvult of onze diensten gebruikt, verstrekt u ons de volgende gegevens:

Accountgegevens: e-mailadres, wachtwoord (opgeslagen als Argon2id-hash, nooit in leesbare tekst), voorkeurstaal, acceptatie van de voorwaarden
Profielgegevens: weergavenaam, biografie, profielfoto, fysieke kenmerken (voor aanbieders), voorkeuren, vrijwillige openbare contactgegevens
Identiteitsverificatie (KYC): voornaam, achternaam, geboortedatum, telefoonnummer, adres, identiteitsdocumenten — al deze gegevens zijn versleuteld (AES-256-GCM) in een aparte database (vault)
Financiële gegevens: IBAN (AES-256-GCM-versleuteld), rekeninghouder, transactiegeschiedenis via Stripe
Inhoud: berichten, stories, media (foto's/video's), reacties, beoordelingen
Communicatie: privéberichten, boekingsberichten, meldingen, supportverzoeken
Bedrijfsgegevens: bedrijfsnaam, btw-nummer, bedrijfsadres, contactgegevens — versleuteld in de vault

3.2 Automatisch verzamelde gegevens

Bij uw gebruik van het platform worden bepaalde gegevens automatisch verzameld:

Technische gegevens: IP-adres (SHA-256-gehasht in sessies, in leesbare tekst in beveiligingslogboeken), browser User-Agent
Sessiegegevens: sessie-identificatie, inlog- en laatste activiteitsdatums, status (actief/ingetrokken)
Geschatte geolocatie: land en stad afgeleid van het IP-adres via een lokale database (GeoIP), zonder een externe dienst aan te roepen
Cookies: strikt noodzakelijke technische cookies voor de werking (zie sectie 9)
Apparaatinformatie: browsertype, besturingssysteem, mobiel/desktop-indicator — gebruikt voor apparaatvertrouwen

3.3 Gevoelige gegevens

Gezien de aard van het platform kunnen sommige gegevens die u publiceert gevoelige informatie onthullen (seksuele geaardheid, voorkeuren). Deze gegevens worden alleen verwerkt op basis van uw uitdrukkelijke toestemming, tot uiting gebracht door de vrijwillige publicatie op uw profiel. U kunt deze op elk moment verwijderen.

3.4 Gegevens die wij NIET verzamelen

Wij verzamelen nooit: burgerservicenummers (AVS/SSN), medische gegevens, politieke of religieuze opvattingen, biometrische gegevens voor identificatiedoeleinden, browsegegevens buiten het platform. Wij gebruiken geen advertentiecookies, trackingpixels of analysetools van derden (geen Google Analytics, Facebook Pixel, enz.).

4. Verwerkingsdoeleinden

Dienstverlening — Aanmaken en beheren van uw account, weergave van uw profiel, verbinding tussen gebruikers, berichten, boekingen, abonnementen.
Beveiliging en verificatie — KYC-verificatie, fraudedetectie, accountvergrendeling na mislukte pogingen, apparaatvertrouwen (OTP), controle op gecompromitteerde wachtwoorden (HIBP, k-anonymity), registratie van beveiligingsgebeurtenissen.
Betalingen — Verwerking van abonnementen, fooien en betalingen via Stripe. IntimX slaat nooit uw creditcardgegevens op — deze worden rechtstreeks door Stripe verwerkt.
Communicatie — Transactie-e-mails (verificatie, reset, boekingsmeldingen), in-app-meldingen, supportreacties.
Verbetering van de dienst — Interne geaggregeerde statistieken (prestatie, latentie, foutpercentages) zonder persoonsgegevens. Geen marketingprofilering.
Wettelijke verplichtingen — Bewaring van boekhoudgegevens (10 jaar, CO Art. 958f), KYC-gegevensbewaring (3 jaar, gerechtvaardigd belang bij fraudepreventie), CSAM-melding aan autoriteiten (Art. 197 Sr).

5. Rechtsgronden

Elke gegevensverwerking berust op een rechtsgrond conform de nDSG en de AVG:

Verwerking	Rechtsgrond	Referentie
Account, profiel, berichten, boekingen	Uitvoering van het contract	nDSG Art. 31 / AVG Art. 6(1)(b)
KYC-verificatie	Wettelijke verplichting	nDSG Art. 31(1)(c) + (d)
Berichten, meldingen	Uitvoering van het contract	AVG Art. 6(1)(b)
Betalingen (Stripe)	Uitvoering van het contract	AVG Art. 6(1)(b)
Beveiliging (logboeken, vergrendeling, apparaatvertrouwen, HIBP)	Gerechtvaardigd belang	nDSG Art. 31 / AVG Art. 6(1)(f)
Gevoelige gegevens (geaardheid, voorkeuren)	Uitdrukkelijke toestemming	nDSG Art. 5 / AVG Art. 9(2)(a)
KYC-audit (3 jaar)	Gerechtvaardigd belang	nDSG Art. 31(1)(c)
Boekhoudgegevens (10 jaar)	Wettelijke verplichting	CO Art. 958f

7. Subverwerkers en partners

Wij maken gebruik van een beperkt aantal subverwerkers om de werking van het platform te waarborgen:

Dienst	Aanbieder	Land	Doorgegeven gegevens
Serverhosting	Infomaniak Network SA	Zwitserland	Alle gegevens (servers gehost in Zwitserland)
Transactie-e-mails	Resend Inc.	Zwitserland	E-mailadres van de ontvanger, e-mailinhoud (SMTP Infomaniak Mail)
Betalingen	Stripe Inc.	Verenigde Staten / Ierland	Bedragen, gebruikersidentificatie, kaartgegevens (rechtstreeks naar Stripe)
Cartografie	Mapbox Inc.	Verenigde Staten	GPS-coördinaten voor kaartweergave (geen persoonsgegevens)
Wachtwoordcontrole	HIBP (Troy Hunt)	Australië	Eerste 5 tekens van de SHA-1-wachtwoordhash (k-anonymity, geen wachtwoord doorgegeven)

8. Bewaartermijnen

Wij bewaren uw gegevens alleen zolang als nodig is voor de beschreven doeleinden, of om aan een wettelijke verplichting te voldoen:

Gegevens	Bewaartermijn
Account en profiel	Duur van het account + 30 dagen respijtperiode na verwijderingsverzoek
KYC-documenten en -gegevens	3 jaar na sluiting van het account (gerechtvaardigd belang bij fraudepreventie)
Berichten en inhoud	Duur van het account + 30 dagen respijtperiode
Boekhoudgegevens en transacties	10 jaar (CO Art. 958f-verplichting)
Beveiligingslogboeken (toegangslogboeken)	90 dagen
Authenticatiesessies	7 dagen (standaard) of 30 dagen (permanente aanmelding)
Stories	24 uur (automatische verwijdering)
Systeemstatistieken	7 dagen (ruwe data), 90 dagen (per uur), 1 jaar (dagelijks) — geen persoonsgegevens

9. Cookies en vergelijkbare technologieën

IntimX gebruikt uitsluitend cookies die essentieel zijn voor de werking van de dienst. Wij gebruiken geen advertentie-, tracking- of analyse-cookies van derden.

Naam	Doel	Duur	Type
ix_access	JWT-authenticatietoken (toegang)	1h	Essentieel
ix_refresh	Sessievernieuwingstoken	7-30j	Essentieel
age_confirmed	Leeftijdsbevestiging (18+)	30j	Essentieel

De cookies ix_access en ix_refresh zijn beschermd door de attributen HttpOnly en Secure (in productie), waardoor JavaScript-toegang wordt voorkomen. Wij gebruiken ook localStorage voor het opslaan van een leeftijdsbevestigingsindicator (ageConfirmed) en een tijdelijke navigatiestatus (listing-slugs) — geen persoonsgegevens.

Een cookietoestemmingsbanner is niet nodig omdat wij alleen cookies gebruiken die strikt noodzakelijk zijn voor de werking van de dienst, welke zijn vrijgesteld van toestemming op grond van de nDSG en de ePrivacy-richtlijn.

10. Beveiliging

Technische maatregelen

Versleuteling tijdens transport: HTTPS/TLS 1.3 over het gehele platform
Zero-trust vault-architectuur: alle identiteitsgegevens (voornaam, achternaam, geboortedatum, telefoonnummer, adres, IBAN) worden versleuteld met AES-256-GCM op applicatieniveau in een aparte database. De database ziet alleen versleutelde tekst.
Wachtwoordhashing: Argon2id (64 MiB geheugen, 3 iteraties) — door OWASP aanbevolen standaard
Tokens en geheimen: nooit in leesbare tekst opgeslagen, altijd SHA-256-gehasht
Gegevensisolatie: Row Level Security (RLS) op alle tabellen met strikte scheiding tussen gebruikers
Bescherming tegen injecties: strikte Content Security Policy (CSP) met nonce, geen inline-scripts

Organisatorische maatregelen

Principe van minimale rechten: gegevenstoegang beperkt tot het strikt noodzakelijke, onveranderlijk auditspoor voor alle administratieve acties
Auditlogboeken: elke administratieve actie (moderatie, KYC, statuswijziging) wordt onveranderlijk vastgelegd met tijdstempel en identiteit van de uitvoerder
Continue monitoring: real-time beveiligingsstatistieken (mislukte pogingen, vergrendelingen, GeoIP-anomalieën)
Incidentprocedure: gedefinieerd protocol voor detectie, beoordeling en melding van datalekken

Hosting

De volledige infrastructuur wordt gehost in Zwitserland bij Infomaniak Network SA (servers in Zwitserland). Gegevens verlaten het Zwitserse grondgebied alleen voor de in sectie 7 vermelde subverwerkers.

11. Uw rechten

Op grond van de nDSG en de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

Recht op inzage — U kunt een kopie van al uw persoonsgegevens opvragen. Een exportfunctie is beschikbaar in uw accountinstellingen (wachtwoord-herauthenticatie vereist).
Recht op rectificatie — U kunt uw profielgegevens op elk moment wijzigen. Voor KYC-gegevens kunt u contact opnemen met de support.
Recht op wissing — U kunt uw account verwijderen vanuit uw instellingen. Een respijtperiode van 30 dagen stelt u in staat het verzoek te annuleren. Na deze periode worden uw gegevens onomkeerbaar verwijderd, met uitzondering van gegevens die onderworpen zijn aan een wettelijke bewaarplicht (boekhoudgegevens 10 jaar) en KYC-gegevens die 3 jaar worden bewaard voor fraudepreventie (gerechtvaardigd belang).
Recht op gegevensoverdraagbaarheid — Gegevensexport is beschikbaar in JSON-formaat vanuit uw accountinstellingen, met 10 gegevenscategorieën.
Recht van bezwaar — U kunt uw privacy-instellingen configureren (profielzichtbaarheid, online status, leesbevestigingen, landblokkering) en individuele gebruikers blokkeren.
Intrekking van toestemming — U kunt uw toestemming op elk moment intrekken door de betreffende gegevens uit uw profiel te verwijderen of door uw account te verwijderen.

Hoe u uw rechten uitoefent

Voor elk verzoek met betrekking tot uw rechten stuurt u een e-mail naar support@intimx.ch met vermelding van uw identiteit en het recht dat u wenst uit te oefenen. Wij antwoorden binnen 30 dagen. Bij complexe verzoeken kan deze termijn met 60 dagen worden verlengd met kennisgeving.

Toezichthoudende autoriteit

Als u van mening bent dat de verwerking van uw gegevens uw rechten schendt, kunt u een klacht indienen bij de Federale Toezichthouder voor Gegevensbescherming en Openbaarheid (EDÖB): edoeb.admin.ch.

12. Internationale overdrachten

Uw gegevens worden gehost in Zwitserland. Sommige subverwerkers (Stripe, Mapbox, MaxMind, HIBP) zijn gevestigd in de Verenigde Staten of Australië. Deze overdrachten worden beheerst door standaardcontractbepalingen (SCCs) en aanvullende beveiligingsmaatregelen conform de vereisten van de nDSG.

De wachtwoordcontroledienst (HIBP) ontvangt alleen de eerste 5 tekens van een SHA-1-hash (k-anonymity) — geen wachtwoord of identificerende gegevens worden doorgegeven. GeoIP-resolutie wordt lokaal uitgevoerd via een ingebedde database, zonder externe aanroepen.

13. Bescherming van minderjarigen

IntimX is een dienst die uitsluitend is voorbehouden aan meerderjarigen (18 jaar of ouder). Bij elke eerste toegang wordt een leeftijdsverificatie getoond. Aanbieders en creators moeten een identiteitsverificatie (KYC) ondergaan, inclusief leeftijdsverificatie.

IntimX hanteert een nultolerantie ten aanzien van materiaal over seksueel kindermisbruik (CSAM). Elk verdacht materiaal wordt onmiddellijk verwijderd en gemeld aan de bevoegde autoriteiten conform Art. 197 van het Zwitserse Wetboek van Strafrecht. Het betreffende account wordt zonder voorafgaande kennisgeving geschorst.

14. Geautomatiseerde beslissingen en profilering

IntimX maakt gebruik van geautomatiseerde verwerkingen op de volgende gebieden: fraudedetectie (accountvergrendeling na mislukte pogingen), controle op gecompromitteerde wachtwoorden (HIBP), moderatie van gemeld materiaal en aanbevelingen op basis van zoekparameters.

Geen enkele beslissing met juridische of aanzienlijke gevolgen wordt op volledig geautomatiseerde wijze genomen zonder menselijke tussenkomst. U heeft het recht om elke geautomatiseerde beslissing aan te vechten door contact op te nemen met de support.

15. Melding van datalekken

In geval van een datalek dat waarschijnlijk een hoog risico voor uw rechten inhoudt, zullen wij de EDÖB binnen 72 uur na kennisname van het incident informeren, conform Art. 24 nDSG. Als het lek een hoog risico voor u inhoudt, wordt u ook zo snel mogelijk rechtstreeks geïnformeerd.

Elk incident wordt gedocumenteerd in een intern register met de aard van het lek, de betrokken gegevens, de genomen maatregelen en de getroffen personen.

16. Wijzigingen in het beleid

Wij behouden ons het recht voor om dit beleid te wijzigen. Bij substantiële wijzigingen informeren wij u ten minste 30 dagen voordat deze van kracht worden via e-mail of in-app-melding. De datum van de laatste bijwerking staat bovenaan dit document vermeld. Kleine wijzigingen (herformuleringen, typografische correcties) worden niet afzonderlijk gemeld.

17. Contact

Voor vragen over de bescherming van uw gegevens of dit beleid:

Artenic_ GmbH — Gegevensbescherming