Privacy
Wat we van je weten en waarom.
Geen juristentaal. Gewoon Nederlands. Wat we verzamelen, waarom, wat we nooit doen — en een cookie-tabel waar je daadwerkelijk iets aan hebt.
Laatst bijgewerkt: mei 2026
Wat we verzamelen
Je e-mail — alleen als je je inschrijft.
Voor de dagelijkse coach-mail. We bewaren 'm tot je uitschrijft. Wordt nooit gedeeld of verkocht. Punt.
Je land (altijd) en lat/lon (vaak).
Land komt uit een lokale DB-IP database op onze server — geen externe lookup, jouw IP gaat niet naar een derde partij. Bepaalt of we Celsius of Fahrenheit tonen en welk land bovenaan staat op /steden. Lat/lon (op stadsniveau) gebruiken we voor het weer zodat de coach-regel matcht met wat buiten je deur gebeurt. Beide afgeleid van je bezoek-IP, niet langdurig bewaard.
Je precieze locatie — alleen als je 'm geeft.
Als je op /steden klikt op 'Gebruik precieze locatie' vraagt de browser om toestemming. Geef je die, dan gebruiken we de lat/lon van je toestel voor het weer en om te kijken of we jouw stad coveren. Geef je 'm niet, dan vallen we terug op de IP-schatting hierboven.
Je IP-adres — kort, gehasht.
We berekenen een SHA-256 hash (eerste 16 tekens) voor rate-limiting (community-bijdragen, custom roasts, stad-suggesties). Het ruwe IP bewaren we nooit — alleen de hash, en alleen zo lang als nodig.
Wat je typt — voor custom roasts en community-regels.
Custom smoezen sturen we naar OpenAI om te modereren en een roast te maken. Community-bijdragen en stad-suggesties bewaren we in onze database tot je vraagt ze te verwijderen of een admin ze afkeurt.
Anonieme pageviews en clicks - onze eigen teller.
We draaien onze eigen first-party audience-measurement: pageviews, welke smoezen worden gepickt, naar welke destinations gedeeld wordt, run-commits, abonnementen. Opgeslagen in onze database met route + event-type + land (uit de lokale mmdb) + device-klasse + referrer-host. Geen cookie, geen bezoeker-identifier, geen persoonsgegevens, geen fingerprinting. Valt buiten cookie-consent regels volgens CNIL / DSK / ICO richtlijnen voor consent-vrije first-party analytics. We gebruiken het om productvragen te beantwoorden (wat werkt, wat wordt gedeeld) - niet om te profileren.
Anonieme run-events.
Als je op Yes drukt en je commit aan een ronde, leggen we het moment vast (tijdstempel, taal, gekozen smoes, stad + temperatuur + weer-code op dat moment, IP-hash). Voedt de live counter in de footer en de activity-ticker op home. Geen naam, geen e-mail eraan gekoppeld. 90 dagen op detail, daarna anoniem.
Een kleine set cookies + localStorage — zie tabel hieronder.
Taal, thema, eenheden, je cookie-keuze, en (alleen met toestemming) Google Tag Manager. Volledige lijst een paar secties verderop.
Wie het nog ziet
Brevo (transactionele mail).
Bij het versturen van de daily mail ziet Brevo je e-mail en de gerenderde mail. EU-servers, EU-verwerker.
OpenAI (custom roasts + moderatie + admin-vertalingen).
Als je een custom smoes typt, gaat de tekst naar OpenAI om te modereren en een roast te genereren. Bij AI-vertalingen vanuit admin gaat de brontekst mee. OpenAI bewaart API-requests niet voor training, conform hun huidige beleid.
Open-Meteo (weer + geocoding).
Voor het weer sturen we je lat/lon. Bij stad-suggesties via /steden geocoden we de getypte naam. Geen account, geen cookie. Server in Duitsland.
OpenStreetMap Nominatim (reverse geocoding, alleen opt-in).
Als je op /steden op 'Gebruik precieze locatie' klikt en je geeft toestemming, sturen we je lat/lon naar Nominatim van de OSM Foundation om er een stadsnaam van te maken (bv. 'Rosmalen'). Gratis service. Wordt nooit aangeroepen zonder expliciete klik + permission.
Mapbox (kaartafbeeldingen).
Statische kaartjes voor stadspagina's halen we server-side bij Mapbox. Mapbox ziet ons server-IP, niet dat van jou. Er laadt geen tracking-script in je browser vanuit Mapbox.
Strava (hardloop-segmenten).
Strava's publieke segmenten-API voedt de markers op /city/[naam] pagina's. Onze server vraagt 'm aan met lat/lon van de stad. Strava ziet ons server-IP en de bounding-box query, niet jouw IP of identiteit.
Meta (Facebook + Instagram, alleen uitgaand).
Als we de dagelijkse roast automatisch posten op onze eigen FB-pagina en IG-account, roept onze server de Meta Graph API aan. Er gaat geen bezoeker-data mee — alleen onze tekst en onze eigen vierkante afbeelding. Meta weet niet wie jij bent.
Google Tag Manager + GA4 (analytics, optioneel).
Laadt alleen als je cookies hebt geaccepteerd. Voor bezoekers- en kliktellingen om productbeslissingen te onderbouwen. Geen advertentie-pixels.
Onze hosting (Vultr via Cleavr).
Server draait op een Vultr instance in de EU. Standaard webserver-logs (IP, user agent, opgevraagde URL, tijdstempel) bewaart de provider 7 dagen voor abuse + uptime monitoring.
Welke cookies precies
Deze lijst houden we volledig en actueel. Als we iets toevoegen verandert de datum bovenaan deze pagina en (als je analytics-toestemming hebt gegeven) ziet GTM een nieuw consent_version veld.
Strikt noodzakelijk
| Naam | Scope | Levensduur | Doel |
|---|---|---|---|
| i18n_redirected | Cookie, 1ste partij | 1 jaar | Onthoudt je taalvoorkeur (en, nl, de, fr, es, it, pt). |
| nobs:theme | localStorage | Tot je 'm wist | Onthoudt je keuze voor licht / donker / auto. |
| nobs:units | Cookie, 1ste partij | 1 jaar | Onthoudt je voorkeur voor Celsius/km of Fahrenheit/miles (of 'auto'). |
| nobs:consent | localStorage | Tot je 'm wist of voorkeur wijzigt | Bewaart je cookie-keuze en versie zodat we niet opnieuw vragen. |
| nobs:pending-run | localStorage | 6 uur, automatisch geruimd | Onthoudt dat je een ronde hebt committed maar nog niet afgevinkt, zodat we 'nog onderweg?' kunnen tonen bij terugkomst. |
Statistieken (alleen met toestemming)
| Naam | Scope | Levensduur | Doel |
|---|---|---|---|
| _ga | Cookie, 3de partij (Google) | 2 jaar | Google Analytics client-ID. Voor unieke bezoekerstelling. |
| _ga_XXXXXXXXXX | Cookie, 3de partij (Google) | 2 jaar | Google Analytics 4 sessie-state. |
Hoe lang we het bewaren
E-mail: tot je uitschrijft (een klik in elke daily mail). Run-events / smoes-picks: 90 dagen op detail, daarna anoniem (stad + temp leeg, alleen slug + tijdstempel voor totalen). Community-bijdragen + stad-suggesties: tot je vraagt jouw bijdrage te verwijderen, of we 'm afkeuren. Rate-limit hashes: 1 uur, rollend. Server-logs bij Vultr: 7 dagen.
Je rechten
Je kunt ons vragen om: - Alles te tonen wat we hebben gekoppeld aan jouw e-mail of ingestuurde naam. - Het te verwijderen. - Het in een portable format te leveren (we sturen JSON). - Te corrigeren of bij te werken wat fout is. - Bezwaar te maken tegen verwerking. Antwoord op een daily mail of mail naar het adres hieronder. We proberen binnen 7 dagen terug te koppelen. Zit je in de EU/EER/UK en ben je niet tevreden met ons antwoord, dan kun je ook klagen bij je nationale toezichthouder — in Nederland is dat de Autoriteit Persoonsgegevens.
Wat we nooit doen
We verkopen je data niet. We delen niet met advertentienetwerken. We profileren je niet over sites heen. We gebruiken geen dark patterns om je geabonneerd te houden — elke mail heeft een unsubscribe-link en een een-klik bevestigingspagina die werkt zonder account. We fingerprinten je browser niet. We pixel-tracken niet. We laden geen externe scripts in de pagina behalve Google Tag Manager, en alleen als je ja hebt gezegd.
Kinderen
nobs.run is bedoeld voor 16 jaar en ouder. We verzamelen niet bewust data van jongere gebruikers. Denk je dat het wel gebeurd is — neem contact op, we verwijderen het.
Internationale doorgiften
OpenAI verwerkt API-calls in de VS. We leunen op het EU-VS Data Privacy Framework voor die doorgifte. Brevo en Open-Meteo verwerken binnen de EU. Mapbox gebruikt US-servers; transfers verlopen server-to-server (jouw IP is daar geen onderdeel van). Strava is US; idem — server-to-server, niet jouw IP.
Wijzigingen aan deze pagina
Als er iets substantieel verandert, updaten we de datum bovenaan en (als je abonnee bent) noemen we het in een daily mail. De volledige geschiedenis staat in git: github.com/elixermedia/nobsrun.