§1Onze belofte
Bij Plaany is gegevensbescherming geen formaliteit — het is een productvoorwaarde. Dit beleid beschrijft exact welke gegevens we verzamelen, waarom, aan wie ze worden doorgegeven, hoe lang ze worden bewaard en hoe je je rechten kan uitoefenen.
Dit beleid is van toepassing op de site plaany.com, de bijbehorende mobiele applicaties en alle door Plaany beheerde diensten.
§2Verwerkingsverantwoordelijke & gemachtigde
De verwerkingsverantwoordelijke in de zin van artikel 4(7) AVG is Plaany, waarvan de volledige gegevens in de Juridische kennisgeving staan.
Voor alle vragen over de verwerking van je persoonsgegevens: hello@plaany.com (onderwerp: « AVG »).
Plaany is momenteel niet verplicht een DPO aan te stellen krachtens artikel 37 AVG, aangezien de verwerking geen kernactiviteit vormt en geen grootschalige systematische monitoring omvat. Een DPO zal worden aangesteld indien deze voorwaarden evolueren.
§3Toegepaste AVG-principes
Conform artikel 5 AVG voldoet elke verwerking aan de volgende principes:
- Rechtmatigheid, behoorlijkheid en transparantie
- Doelbinding — gegevens enkel gebruikt voor verklaarde doelen
- Minimalisatie — minimum noodzakelijk voor de dienst
- Juistheid — onjuistheden zijn altijd corrigeerbaar
- Opslagbeperking — precieze termijnen in §9
- Integriteit en vertrouwelijkheid — encryptie, beperkte toegang, audits
- Verantwoordingsplicht — we houden een verwerkingsregister bij (art. 30)
§4Verzamelde gegevens
4.1. Door jou verstrekt
| Categorie | Voorbeelden |
|---|---|
| Identiteit | Naam, voornaam, geboortedatum (indien ingegeven) |
| Contact | E-mail, telefoon, postadres (Dienstverleners) |
| Authenticatie | Wachtwoord (bcrypt gehasht), OAuth-identificatoren |
| Professioneel profiel | Categorie, zones, portfolio, tarieven, KBO |
| Projecten & events | Briefing, datum, locatie, budget, uitgewisselde berichten |
| Beoordelingen | Tekst, sterren, ID van de beoordeelde dienst |
4.2. Automatisch verzameld
| Categorie | Voorbeelden |
|---|---|
| Technisch | IP-adres, browser, OS, schermresolutie, taal |
| Gebruik | Bezochte pagina's, acties, sessieduur |
| Essentiële cookies | Sessie, thema, taal |
4.3. Door onze partners verwerkt
Betaalgegevens (kaartnummer, CVV, IBAN) worden volledig door Stripe ingevoerd en verwerkt. Plaany ziet noch bewaart ze. We ontvangen enkel een Stripe-token en de laatste 4 cijfers van de kaart.
§5Doeleinden van de verwerking
- Dienstverlening: account, matching, messaging, contract, betaling.
- Beveiliging & fraudepreventie.
- Wettelijke verplichtingen: boekhouding, fiscaliteit, anti-witwas.
- Productverbetering: geanonimiseerde analytics, bugafhandeling.
- Transactionele communicatie: essentiële meldingen.
- Marketing: nieuwsbrief, productaankondigingen — enkel met toestemming, altijd intrekbaar.
- Moderatie & support: klachten, bemiddeling geschillen.
§6Rechtsgronden (art. 6 AVG)
| Verwerking | Rechtsgrond |
|---|---|
| Account, matching, betaling | Uitvoering van de overeenkomst — art. 6(1)(b) |
| Boekhouding, facturatie, AML | Wettelijke verplichting — art. 6(1)(c) |
| Beveiliging, fraudepreventie, geanonimiseerde analytics | Gerechtvaardigd belang — art. 6(1)(f) |
| Nieuwsbrief, marketing, niet-essentiële cookies | Toestemming — art. 6(1)(a) |
§7Ontvangers & verwerkers
Je gegevens worden enkel gedeeld met strikt noodzakelijke technische onderaannemers, telkens gebonden door een verwerkersovereenkomst conform artikel 28 AVG.
| Onderaannemer | Rol | Locatie |
|---|---|---|
| Stripe Payments Europe Ltd | Betaling & escrow | Dublin, Ierland (EU) |
| Supabase Inc. | Databank & authenticatie | Frankfurt, Duitsland (EU) |
| Vercel Inc. | Front-end hosting & CDN | VS (met EU-edge) |
| Resend / Sendy | Transactionele & marketing e-mails | EU / AWS EU |
| Twilio | Telefoonproxy na betaling (optioneel) | Dublin, Ierland (EU) |
| Sentry | Monitoring technische fouten | VS (EU-optie) |
Plaany verkoopt nooit gegevens aan derden voor reclame of commerciële doeleinden.
§8Internationale doorgifte
Het merendeel van je gegevens wordt in de EU gehost. Enkele onderaannemers (Vercel, Sentry) hebben servers in de Verenigde Staten.
Deze doorgifte valt onder:
- Standaardcontractbepalingen (SCC) van de Europese Commissie (besluit 2021/914).
- Aanvullende technische maatregelen (versleuteling, pseudonimisering) conform de EDPB-aanbevelingen na Schrems II.
- Data Privacy Framework (DPF) voor gecertificeerde Amerikaanse entiteiten.
§9Bewaartermijnen
| Type gegevens | Duur |
|---|---|
| Actief account | Zolang het account actief is |
| Verwijderd account | 30 dagen (wissen of anonimiseren) |
| Facturatie en boekhouding | 10 jaar (art. III.86 WER) |
| AML-gegevens | 5 jaar na einde relatie |
| Beveiligingslogs | Max. 13 maanden |
| Marketingtoestemming | 3 jaar na laatste interactie |
| Waitlist (niet-geregistreerd) | 3 jaar na verzameling |
§10Beveiliging van de gegevens
Plaany treft passende technische en organisatorische maatregelen (art. 32 AVG):
- Versleuteling in transit: TLS 1.3 (HSTS actief).
- Versleuteling in rust: AES-256 voor databanken en backups.
- Wachtwoorden: bcrypt met salt, nooit in klare tekst.
- Sterke authenticatie: 2FA aanbevolen voor Dienstverleners.
- Interne toegang: least-privilege, SSO, audit logs.
- Backups: dagelijks versleuteld, 30 dagen retentie.
- Monitoring: geautomatiseerde detectie van afwijkend gedrag.
- Security-tests: jaarlijkse pentest gepland.
§11Datalek
Bij een inbreuk met risico voor rechten en vrijheden verbindt Plaany zich ertoe:
- De GBA / APD te verwittigen binnen 72 uur (art. 33 AVG).
- Betrokken gebruikers onverwijld te informeren bij hoog risico (art. 34 AVG).
- Alle maatregelen te nemen om het lek te beperken en te remediëren.
- Het incident in het intern register te documenteren.
§12Je AVG-rechten
- Inzage (art. 15)
- Bevestiging dat je gegevens verwerkt worden, plus kopie.
- Rectificatie (art. 16)
- Corrigeren van onjuiste of onvolledige gegevens.
- Wissen (art. 17)
- Verwijdering van je gegevens (« recht op vergetelheid »).
- Beperking (art. 18)
- Tijdelijke opschorting van de verwerking.
- Overdraagbaarheid (art. 20)
- Ontvangen van je gegevens in gestructureerd machineleesbaar formaat (JSON).
- Bezwaar (art. 21)
- Bezwaar maken tegen verwerking op basis van gerechtvaardigd belang (o.a. marketing).
- Geautomatiseerde beslissing (art. 22)
- Niet onderworpen zijn aan uitsluitend geautomatiseerde besluitvorming met rechtsgevolgen.
- Intrekken toestemming
- Op elk moment, zonder afbreuk aan eerdere rechtmatigheid.
- Richtlijnen post-mortem
- Bepalen wat met je gegevens moet gebeuren na overlijden.
§13Hoe je rechten uitoefenen
De meeste rechten kunnen direct vanuit je account worden uitgeoefend (Instellingen → Privacy): downloaden, corrigeren, verwijderen.
Voor andere aanvragen: hello@plaany.com (onderwerp: « AVG-rechten uitoefenen »), met vermelding van het betrokken recht, e-mailadres, en alle nuttige elementen.
Antwoord binnen maximum 1 maand (verlengbaar met 2 maanden bij complexe zaken, mits voorafgaande kennisgeving).
§14Toezichthoudende autoriteiten
Bij schending van je rechten kan je klacht indienen bij:
- 🇧🇪 België — GBA / APD
- 🇫🇷 Frankrijk — CNIL
- 🇳🇱 Nederland — Autoriteit Persoonsgegevens
De Belgische GBA is de leidinggevende autoriteit voor Plaany's grensoverschrijdende verwerking.
§15Cookies & trackers
Plaany gebruikt een beperkt aantal strikt noodzakelijke cookies:
| Cookie | Doel | Duur | Grond |
|---|---|---|---|
plaany_session | Sessie bijhouden | Sessie | Essentieel |
plaany-theme | Licht/donker voorkeur | 1 jaar | Essentieel |
plaany-lang | Taalvoorkeur | 1 jaar | Essentieel |
Geen reclame- of trackingcookies van derden zonder voorafgaande toestemming.
§16Profilering & geautomatiseerde besluitvorming
Plaany neemt geen uitsluitend geautomatiseerde besluiten met significante rechtsgevolgen in de zin van art. 22 AVG. Algoritmes (rangschikking aanbiedingen, fraudedetectie, anti-desintermediatie filter) zijn beslissingsondersteuning; er is steeds menselijke tussenkomst bij sancties.
§17Minderjarigen
Het Platform is voorbehouden aan meerderjarigen (18 jaar voltooid). We verzamelen niet bewust gegevens van minderjarigen.
§18Wijzigingen van dit beleid
Substantiële wijzigingen worden per e-mail aangekondigd minstens 30 dagen vóór inwerkingtreding.
§19Contact
Alle vragen over persoonsgegevens of dit beleid: hello@plaany.com (onderwerp: « AVG »).
We antwoorden binnen 48 uur.
Als dit document jouw situatie niet dekt of iets niet duidelijk is, stuur ons direct een bericht — geen formulier, geen bot.
hello@plaany.com