Privacybeleid
Laatst bijgewerkt: 14.05.2026
In overeenstemming met de nieuwe federale wet inzake gegevensbescherming (nDSG, CH) en de Algemene verordening gegevensbescherming (AVG, EU/EER).
1. Doel
Dit privacybeleid beschrijft hoe IntimX uw persoonsgegevens verzamelt, verwerkt, opslaat en beschermt wanneer u de Dienst gebruikt die toegankelijk is via intimx.ch. Het is van toepassing op alle gebruikers (leden, aanbieders, vestigingen), ongeacht of zij over een account beschikken. De in de Algemene Gebruiksvoorwaarden gedefinieerde begrippen zijn door verwijzing van toepassing.
2. Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke in de zin van art. 5 let. j nLPD en art. 4 par. 7 RGPD is: N.JULIEN Sion (VS), Zwitserland Handelsnaam: Artenic Contact gegevensbescherming: privacy@intimx.ch De Uitgever heeft geen functionaris voor gegevensbescherming (FG) aangesteld in de zin van art. 10 nLPD, aangezien deze aanstelling niet verplicht is. Voor alle vragen over uw gegevens kunt u zich rechtstreeks richten tot privacy@intimx.ch.
3. Rechtsgronden voor de verwerking
De gegevensverwerkingen door IntimX berusten op de volgende rechtsgronden: — Uitvoering van de overeenkomst (art. 6 al. 1 let. b RGPD / art. 31 al. 1 nLPD): registratie, accountbeheer, berichtenverkeer, abonnementen, facturering. — Zwaarwegende gerechtvaardigde belangen (art. 6 al. 1 let. f RGPD / art. 31 al. 1 nLPD): beveiliging van de Dienst, fraudepreventie, geaggregeerde statistieken, verbetering van de Dienst. — Wettelijke verplichting (art. 6 al. 1 let. c RGPD / art. 31 al. 1 nLPD): bewaring van transactiegegevens (CO art. 958f), samenwerking met autoriteiten. — Toestemming (art. 6 al. 1 let. a RGPD / art. 31 al. 1 nLPD): analytische cookies, pushnotificaties, marketingcommunicatie.
4. Verzamelde gegevens
Registratiegegevens: — Alle rollen: e-mailadres, wachtwoord (Argon2id-gehasht, nooit in leesbare tekst opgeslagen), weergavenaam, voorkeurstaal, tijdstempel van aanvaarding van de Voorwaarden en het privacybeleid. — Lid en aanbieder: geboortedatum (18+-verificatie). — Aanbieder: categorie, type dienst, biografie, fysieke kenmerken, tarieven, beschikbaarheid, openbare contactgegevens. — Vestiging: categorie, commerciële metadata, openbare contactgegevens, sociale links. Gebruiksgegevens: — Toegangslogs: IP-adres, user-agent, geolocatie (stad, land) — 90 dagen bewaard. — Sessies: vingerafdruk van het vernieuwingstoken (SHA-256), IP- en user-agent-hash (SHA-256), geografische context, apparaatinformatie (browser, besturingssysteem). — Vertrouwde apparaten: apparaatvingerafdruk (SHA-256), apparaatinformatie (browser, besturingssysteem, mobiel). — Berichtenverkeer: berichtinhoud (max. 5.000 tekens), tijdstempel, gespreks-ID's. — Galerij: afbeeldingen (JPEG, PNG, WebP, HEIC, max. 8 MB), bestandsmetadata. — Profielstatistieken: geaggregeerde tellers (weergaven, klikken) per dag — geen individuele bezoekersgegevens. — Aanwezigheid: laatste toegang (bijgewerkt via WebSocket). — Pushmeldingen (opt-in): door de browser verstrekte endpoint-URL (Firebase, Mozilla Push, Apple Push), openbare cryptografische sleutels (p256dh, auth) gebruikt om meldingen te versleutelen, tijdstempel van het abonnement. Op elk moment uit te schrijven via de browser- of accountinstellingen. Gevoelige gegevens (versleutelde vault): — Identiteitsverificatie (KYC, vrijwillig): voornaam, achternaam, geboortedatum, telefoon, adres — AES-256-GCM-versleuteld. — KYC-documenten: versleutelde bestanden, apart opgeslagen. Betalingsgegevens: — Stripe-identificatoren (customer ID, payment intent ID). IntimX verzamelt en bewaart nooit uw creditcardgegevens.
5. Cookies en vergelijkbare technologieën
IntimX gebruikt de volgende cookies: Essentiële cookies (zonder toestemming, art. 45c al. 2 LTC): — ix_access: JWT-toegangstoken. Duur: 1 uur. HttpOnly, Secure, SameSite=Strict. — ix_refresh: JWT-vernieuwingstoken. Duur: 7 dagen (30 dagen met «Onthoud mij»). HttpOnly, Secure, SameSite=Lax. — ix_csrf: CSRF-token. Duur: sessie. Toegankelijk voor JavaScript voor formuliervalidatie. — ix_age: leeftijdsverificatie (art. 197 CP). Duur: 365 dagen. Waarde: bevestiging van meerderjarigheid. Analytische cookies (alleen met toestemming): — Er worden momenteel geen analytische cookies van derden gebruikt. Mocht er in de toekomst een analysedienst worden geïntegreerd, dan wordt uw uitdrukkelijke toestemming gevraagd. U kunt uw browser configureren om cookies te weigeren. Het weigeren van essentiële cookies maakt het gebruik van de Dienst onmogelijk (authenticatie vereist).
6. Doeleinden van de verwerking
Uw gegevens worden verwerkt voor de volgende doeleinden: — Levering van de Dienst: aanmaken en beheren van uw account, weergave van uw profiel, berichtenverkeer tussen gebruikers, beheer van reserveringen. — Abonnementen en betalingen: betalingsverwerking via Stripe, activering en beheer van Premium-/VIP-abonnementen. — Beveiliging: leeftijdsverificatie, e-mailverificatie, detectie van verdachte aanmeldingen, accountvergrendeling, beheer van vertrouwde apparaten. — Moderatie: verwerking van meldingen, bestrijding van illegale inhoud, samenwerking met autoriteiten. — Communicatie: transactionele e-mails (verificatie, wachtwoord, abonnement, reservering), geïntegreerde meldingen. — Statistieken: geaggregeerde profielweergavetellers (weergaven, klikken). Geen individuele profilering. — Wettelijke naleving: bewaring van transactiegegevens, auditlogs, bewijs van toestemming.
7. Ontvangers en verwerkers
Uw gegevens kunnen worden meegedeeld aan de volgende ontvangers: — Stripe, Inc. (San Francisco, USA): verwerking van creditcardbetalingen. Stripe treedt op als gezamenlijke verwerkingsverantwoordelijke voor de betalingsgegevens. Privacybeleid: stripe.com/privacy. De doorgifte naar de VS wordt gewaarborgd door de standaardcontractbepalingen van de Europese Commissie. — Infomaniak Network SA (Genève, Zwitserland): hosting van de infrastructuur (servers, PostgreSQL-databases, S3-objectopslag, transactionele e-maildienst). Alle gegevens worden in Zwitserland gehost. — GeoIP (lokale database): geolocatiebepaling (stad, land) op basis van het IP-adres. Geen doorgifte aan derden — de database is geïntegreerd in de applicatie. — Telegram (optioneel): waarschuwingsmeldingen aan beheerders bij beveiligingsgebeurtenissen. Er worden geen gebruikersgegevens doorgegeven. — Bevoegde autoriteiten: op wettelijke vordering overeenkomstig het Zwitserse recht. IntimX verkoopt, verhuurt of deelt uw persoonsgegevens nooit voor reclame- of commerciële doeleinden.
8. Internationale doorgiften
Alle door IntimX verwerkte gegevens worden gehost op de infrastructuur van Infomaniak in Zwitserland. Er vindt geen systematische doorgifte van gegevens buiten Zwitserland plaats. Uitzondering: betalingsgegevens worden doorgegeven aan Stripe, Inc. in de Verenigde Staten. Deze doorgifte wordt gewaarborgd door de standaardcontractbepalingen (SCC) van de Europese Commissie, erkend door de PFPDT/FDPIC als een adequaat beschermingsniveau (art. 16 al. 2 let. d nLPD).
9. Bewaartermijnen
Actief account: uw gegevens worden bewaard gedurende de gehele duur van uw registratie. Accountverwijdering: er geldt een respijtperiode van 30 dagen (annuleerbaar). Na afloop wordt het account gesloten en worden de gegevens als volgt behandeld: — Versleutelde identiteitsgegevens (vault): 3 jaar na sluiting gewist (nLPD art. 31 al. 1 let. c). — KYC-documenten: 3 jaar na sluiting verwijderd (bestanden en versleutelde kolommen). — Transactiegegevens (abonnementen): 10 jaar bewaard (CO art. 958f). — Toegangslogs (IP, user-agent, geo): na 90 dagen gewist. — Sessies: verwijderd bij afloop (7 of 30 dagen) of bij intrekking. — KYC-auditlog: onbeperkt bewaard (bewijs van naleving nDSG, art. 32 nLPD). — Toestemmingslog: onbeperkt bewaard (bewijs van toestemming, art. 6 al. 7 nLPD / art. 7 al. 1 RGPD). — Administratieve maatregelen: onbeperkt bewaard (juridisch bewijs).
10. Beveiligingsmaatregelen
IntimX implementeert de volgende technische en organisatorische maatregelen: — Drie-database-architectuur: applicatiegegevens (openbaar), gevoelige gegevens (versleutelde vault) en systeemgegevens zijn fysiek gescheiden. — Versleuteling in rust: persoonlijk identificeerbare gegevens (voornaam, achternaam, geboortedatum, telefoon, adres) zijn versleuteld met AES-256-GCM in de vault. — Wachtwoord-hashing: Argon2id (64 MB geheugen, 3 iteraties, OWASP 2023+ conform). Gecompromitteerde wachtwoorden (HIBP-database) worden geweigerd. Geschiedenis van de laatste 5 wachtwoorden om hergebruik te voorkomen. — Token-hashing: vernieuwingstokens worden opgeslagen als SHA-256-hash (nooit in leesbare tekst). — Transport: verplicht HTTPS (TLS 1.3), Secure-cookies. — CSRF: CSRF-token bij alle mutatieve acties. — Accountvergrendeling: progressief mechanisme (15 min, 1 uur, 24 uur, administratieve vergrendeling). — Versterkte authenticatie: optionele ondersteuning van Passkey/WebAuthn. — Apparaatvertrouwen: SHA-256-gehashte apparaatvingerafdruk, e-mail-OTP-verificatie bij niet-herkende apparaten. — Toegangscontrole: Row-Level Security (RLS) PostgreSQL op alle tabellen met gebruikersgegevens. — Auditlogging: onwijzigbare (append-only) logs voor KYC-acties, toestemmingen en administratieve maatregelen.
11. Uw rechten
Overeenkomstig de nDSG (art. 25-29 nLPD) en de AVG (art. 15-22 RGPD) beschikt u over de volgende rechten: — Recht op inzage: een kopie van uw persoonsgegevens verkrijgen. — Recht op rectificatie: onjuiste of onvolledige gegevens corrigeren. — Recht op wissing: verzoek tot verwijdering van uw gegevens (onder voorbehoud van wettelijke bewaarplichten). — Recht op overdraagbaarheid: uw gegevens ontvangen in een gestructureerd en machineleesbaar formaat (zie art. 12). — Recht van bezwaar: bezwaar maken tegen een verwerking op basis van een gerechtvaardigd belang. — Recht op intrekking van toestemming: uw toestemming op elk moment intrekken (zonder afbreuk te doen aan de rechtmatigheid van de eerdere verwerking). Om uw rechten uit te oefenen, stuurt u een e-mail naar privacy@intimx.ch met vermelding van uw identiteit en het recht dat u wenst uit te oefenen. Wij antwoorden binnen 30 dagen (nDSG) of 30 dagen, verlengbaar tot 90 dagen bij complexiteit (AVG). U hebt het recht om een klacht in te dienen bij de Federale Commissaris voor gegevensbescherming en transparantie (FDPIC), Feldeggweg 1, 3003 Bern, Zwitserland (edoeb.admin.ch).
12. Overdraagbaarheid van gegevens
IntimX biedt een exportfunctie voor uw gegevens via de accountinstellingen. De export omvat: — Accountgegevens: identificatiecode, e-mail, rol, taal, registratie- en sluitingsdatum. — Profiel: weergavenaam, biografie, voorkeuren, privacy-instellingen. — Berichten: gespreksgeschiedenis (beperkt tot de meest recente items). — Reserveringen, beoordelingen, favorieten, supporttickets. — Abonnementen: abonnementsgeschiedenis. — Toestemmingen: geschiedenis van aanvaardingen en intrekkingen. — Actieve sessies: geografische context en apparaat. De export vereist een hernieuwde wachtwoordverificatie (binnen de laatste 5 minuten) en is beperkt tot één verzoek per 24 uur. De gegevens worden verstrekt in gestructureerd JSON-formaat.
13. Bescherming van minderjarigen
IntimX is uitsluitend bestemd voor meerderjarige personen (18 jaar of ouder). Overeenkomstig art. 197 CP wordt bij elke eerste toegang een age gate getoond. IntimX verzamelt niet bewust persoonsgegevens van minderjarigen. Als wij vernemen dat een minderjarige een account heeft aangemaakt, wordt dit onmiddellijk geschorst en worden de gegevens verwijderd. Elke melding van inhoud die minderjarigen betreft, wordt met absolute prioriteit behandeld via legal@intimx.ch.
14. Wijziging van het beleid
De Uitgever behoudt zich het recht voor om dit beleid op elk moment te wijzigen. Geregistreerde gebruikers worden over elke wezenlijke wijziging geïnformeerd per e-mail of via een melding op het platform, ten minste 30 dagen voor de inwerkingtreding. De datum van de laatste bijwerking staat vermeld aan het begin van dit document. Eerdere versies zijn op verzoek beschikbaar via support@intimx.ch.
15. Contact
Voor alle vragen over de bescherming van uw persoonsgegevens: Verwerkingsverantwoordelijke: N.JULIEN Contact: privacy@intimx.ch Voor algemene vragen of ondersteuning: support@intimx.ch Voor dringende meldingen (autoriteiten, minderjarigen): legal@intimx.ch Toezichthoudende autoriteit: Federale Commissaris voor gegevensbescherming en transparantie (FDPIC) Feldeggweg 1, 3003 Bern, Zwitserland edoeb.admin.ch