[ Privacybeleid ]
Privacybeleid
Hoe wij omgaan met je persoonsgegevens en bankdata onder AVG/GDPR en PSD2.
1. Wie is verantwoordelijk voor je gegevens
Plaffing LTD ("Plaffen", "wij", "ons") is gevestigd te 86-90 Paul Street, EC2A 4NE London, England, en is geregistreerd bij de Nederlandse Kamer van Koophandel onder nummer [PLACEHOLDER].
Voor de meeste verwerkingen zijn wij verwerkingsverantwoordelijke in de zin van artikel 4(7) van de Algemene Verordening Gegevensbescherming (AVG/GDPR). Voor specifieke verwerkingen treden wij op als verwerker namens jou (zie sectie 4 over PSD2).
Onze Functionaris voor Gegevensbescherming (DPO) is bereikbaar via info@plaffen.nl.
2. Welke gegevens we verzamelen
2.1 Gegevens die je actief aanlevert
- Accountgegevens: naam, e-mailadres, wachtwoord (gehasht met Argon2id), telefoonnummer, taalvoorkeur
- Bedrijfsgegevens: bedrijfsnaam, KvK-nummer, BTW-nummer, vestigingsadres, IBAN voor facturatie
- Facturatiedata: klanten, facturen, betalingen, herinneringen, productinformatie
- Bonnen & documenten: foto's of PDF's van bonnetjes en facturen die je uploadt
- Communicatie: berichten naar onze support, demo-aanvragen, contactformulieren
2.2 Gegevens die we automatisch verzamelen
- Technische data: IP-adres (geanonimiseerd na 30 dagen), browsertype, besturingssysteem, apparaat-ID
- Gebruiksdata: welke functies je gebruikt, ingelogde sessies, foutmeldingen (zonder persoonlijke inhoud)
- Cookies: alleen functionele en (met toestemming) analytische cookies — zie sectie 12
2.3 Gegevens van derde partijen
- Banktransacties: via gereguleerde Account Information Service Providers (AISP), met jouw uitdrukkelijke toestemming (zie sectie 4)
- Betaalstatus: van onze betaalpartner wanneer je een abonnement betaalt
- KvK-data: voor verificatie van ondernemerschap (alleen openbare gegevens)
3. Doel en rechtsgrond per verwerking
Op grond van artikel 6 AVG verwerken wij je gegevens alleen voor specifieke, vooraf bepaalde doelen:
| Doel | Rechtsgrond | Bewaartermijn |
|---|---|---|
| Levering van de dienst | Uitvoering overeenkomst (art. 6.1.b) | Duur abonnement + 90 dagen |
| PSD2 banktoegang | Toestemming (art. 6.1.a) | Duur toestemming + 90 dagen |
| Facturatie & boekhouding | Wettelijke verplichting (art. 6.1.c) | 7 jaar (Algemene Wet inzake Rijksbelastingen) |
| Beveiliging & fraudepreventie | Gerechtvaardigd belang (art. 6.1.f) | Tot 12 maanden |
| Productverbetering (geanonimiseerd) | Gerechtvaardigd belang (art. 6.1.f) | Onbeperkt (geen persoonsdata) |
| Marketing communicatie | Toestemming (art. 6.1.a) | Tot intrekking |
4. PSD2 en bankdata
Voor het ophalen van je banktransacties werken wij samen met gereguleerde Account Information Service Providers (AISP). Dit zijn instellingen die door De Nederlandsche Bank (DNB) of een equivalente Europese toezichthouder zijn gelicenseerd onder de tweede betaaldienstenrichtlijn (PSD2, Richtlijn 2015/2366).
4.1 Hoe het werkt
- Je geeft uitdrukkelijke toestemming via je eigen bankapp om de AISP toegang te geven tot je rekening
- De AISP haalt je transactiedata op via de officiële PSD2 API van je bank
- De AISP geeft de data door aan Plaffen als verwerker
- Plaffen toont en verwerkt de data alleen binnen jouw account
Wij ontvangen nooit je bankinloggegevens, pincodes, of andere geheimen. Authenticatie verloopt altijd via je eigen bankapp.
4.2 Toestemming intrekken
Je kunt je toestemming op elk moment intrekken via je Plaffen account, de PSD2-toestemmingenpagina van je bank, of via info@plaffen.nl. Onder PSD2 verloopt toestemming automatisch elke 180 dagen.
Voor gebruikers die gebruikmaken van prepaid top-up diensten: transactiegegevens worden verwerkt conform de PSD2-richtlijn en uitsluitend gedeeld met gereguleerde betaalinstellingen binnen de Europese Unie.
4.3 Onze AISP-partners
Wij werken uitsluitend met door DNB of equivalente Europese toezichthouder gelicenseerde AISP-partners. Details beschikbaar via info@plaffen.nl.
5. Bewaartermijnen
- Actieve account: zolang je account bestaat plus 90 dagen na opzegging
- Facturatie- en BTW-data: 7 jaar conform artikel 52 Algemene Wet inzake Rijksbelastingen (AWR)
- Boekhoudkundige basisadministratie: 7 jaar conform artikel 2:10 BW
- PSD2 transactiedata: 90 dagen na verbreken van de bankkoppeling
- Support tickets: 24 maanden voor kwaliteit en training
- Marketing toestemming: tot intrekking + 14 maanden voor bewijs
- IP-logs (security): 12 maanden, daarna geanonimiseerd
- Datalek-documentatie: 5 jaar conform artikel 33(5) AVG
6. Met wie we gegevens delen
Wij verkopen nooit persoonsgegevens. We delen alleen met:
- Sub-verwerkers die diensten leveren namens ons (zie sectie 7)
- Je accountant of boekhouder als je hen toegang hebt verleend in Plaffen
- Bevoegde autoriteiten bij wettelijke verzoeken (Belastingdienst, AFM, DNB, justitie)
- Bij overname: indien Plaffing LTD wordt overgenomen, wordt dit minimaal 30 dagen vooraf gemeld met de mogelijkheid je account te beëindigen
7. Sub-verwerkers
Wij gebruiken de volgende sub-verwerkers. Met elk hebben wij een verwerkersovereenkomst (DPA) op basis van EU Model Clauses (artikel 28 AVG):
Wij werken samen met een beperkt aantal sub-verwerkers, elk met een verwerkersovereenkomst (DPA) op basis van EU Standard Contractual Clauses (artikel 28 AVG). Een actuele lijst is op aanvraag beschikbaar via info@plaffen.nl.
8. Internationale doorgifte
Al je persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER). Indien een sub-verwerker in een uitzonderlijk geval gegevens buiten de EU verwerkt, gebeurt dit uitsluitend onder de Standaard Contractbepalingen van de Europese Commissie (SCC's, besluit 2021/914) en aanvullende technische maatregelen zoals encryptie.
9. Beveiliging
- AES-256 encryptie in rust, TLS 1.3 onderweg
- Wachtwoorden gehasht met Argon2id (niet omkeerbaar)
- Verplichte tweefactorauthenticatie voor alle accounts
- Strikte rolgebaseerde toegangscontrole (RBAC)
- Audit logging van alle datatoegang door medewerkers
- Periodieke penetratietesten door onafhankelijke partijen
- Periodieke security awareness training voor alle medewerkers
Meer details vind je op onze beveiligingspagina.
10. Jouw rechten onder de AVG
- Recht op inzage (art. 15)
- Recht op rectificatie (art. 16)
- Recht op gegevenswissing (art. 17)
- Recht op beperking (art. 18)
- Recht op overdraagbaarheid (art. 20)
- Recht van bezwaar (art. 21)
- Recht om toestemming in te trekken (art. 7.3)
- Recht niet onderworpen te zijn aan geautomatiseerde besluitvorming (art. 22)
Verzoeken naar info@plaffen.nl. Wij reageren binnen één maand.
11. Datalekken
Conform artikel 33 AVG melden wij een datalek aan de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking. Bij een hoog risico voor betrokkenen worden zij conform artikel 34 AVG ook direct geïnformeerd.
12. Cookies en tracking
12.1 Strikt noodzakelijke cookies
session_token— om je ingelogd te houden, verloopt na 14 dagencsrf_token— bescherming tegen cross-site request forgery
12.2 Functionele localStorage
ol_lang— onthoudt je taalvoorkeur (NL/EN), bevat geen persoonsgegevens
12.3 Analytische cookies (opt-in)
Wij gebruiken een privacy-vriendelijk analytics-systeem dat geen cookies plaatst, geen IP-adressen opslaat, en volledig in de EU draait. We gebruiken geen Google Analytics, Facebook Pixel, of andere tracking van Amerikaanse big-tech partijen.
13. Geautomatiseerde besluitvorming
Plaffen gebruikt machine learning voor het automatisch categoriseren van transacties en het herkennen van bonnen (OCR). Dit zijn geen besluiten met rechtsgevolgen in de zin van artikel 22 AVG.
14. Klachten
Heb je een klacht over hoe wij je gegevens verwerken? info@plaffen.nl. Kom je er met ons niet uit, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.
15. Contact en wijzigingen
Plaffing LTD
T.a.v. Functionaris Gegevensbescherming
86-90 Paul Street, EC2A 4NE London, England
Email: info@plaffen.nl
Bij materiële wijzigingen ontvangen geregistreerde gebruikers minimaal 30 dagen van tevoren een e-mail.