Privacybeleid

1. Wie zijn wij?

Planninn is een dienst aangeboden door IT-Consolidated BV, KvK-nummer: 98881639, gevestigd te Capelle aan den IJssel, Nederland (hierna: "wij", "ons" of "Planninn").

Wij zijn de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG, ook bekend als GDPR). Voor vragen over dit privacybeleid kunt u ons bereiken via [email protected].

2. Welke gegevens verzamelen wij?

2.1 Accountgegevens

• Naam
• E-mailadres
• Versleuteld wachtwoord (bcrypt — wij zien uw wachtwoord nooit in platte tekst)
• Profielkleur en avatar (optioneel, door u ingesteld)
• Geboortedatum (optioneel, voor verjaardagsherinneringen)

2.2 Gezins- en inhoudgegevens

• Gezins- of teamnaam en gezinsfoto (optioneel)
• Evenementen, taken, boodschappenlijsten en recepten die u aanmaakt
• Locaties die u aan evenementen koppelt

2.3 Technische gegevens

• Sessie-tokens (opgeslagen als een cookie om u ingelogd te houden)
• Apparaattype en browser (globaal, voor het verzenden van push-meldingen)
• Tijdstip van laatste login (voor accountbeveiliging)

2.4 Betalingsgegevens (toekomstig)

Wanneer u een betaald abonnement afsluit, worden betaalgegevens (kaartinformatie) uitsluitend verwerkt door Stripe, onze betalingsprovider. Wij slaan geen betaalkaartgegevens op onze eigen servers op. Wij ontvangen alleen een klant-ID van Stripe om uw abonnementsstatus bij te houden.

3. Waarom verwerken wij uw gegevens?

• Accountbeheer: aanmaken, beveiligen en beheren van uw account
• Dienstverlening: het weergeven van uw agenda, lijsten, taken en recepten aan uw gezinsleden
• Communicatie: het versturen van dagelijkse en/of wekelijkse e-mailoverzichten (uitsluitend als u dit zelf inschakelt)
• Push-meldingen: het sturen van meldingen (uitsluitend als u toestemming geeft)
• Abonnementsbeheer: het bijhouden van uw abonnementsstatus en het verwerken van betalingen
• Beveiliging: het detecteren en voorkomen van misbruik

4. Grondslag voor verwerking

Wij verwerken uw persoonsgegevens op basis van de volgende grondslagen (AVG artikel 6):

• Uitvoering van een overeenkomst (art. 6 lid 1 sub b): de gegevens zijn noodzakelijk om de dienst aan u te leveren
• Toestemming (art. 6 lid 1 sub a): voor e-mailoverzichten en push-meldingen — u kunt deze toestemming altijd intrekken via uw instellingen
• Gerechtvaardigd belang (art. 6 lid 1 sub f): voor beveiliging en fraudepreventie
• Wettelijke verplichting (art. 6 lid 1 sub c): voor het bewaren van boekhoudkundige gegevens na betaling

5. Hoe lang bewaren wij uw gegevens?

• Actieve accounts: zolang uw account bestaat
• Na verwijdering van uw account: gegevens worden binnen 30 dagen permanent verwijderd, met uitzondering van gegevens die wij wettelijk langer moeten bewaren (bijv. factuurgegevens: 7 jaar conform Wet op de Jaarrekening)
• Sessies: verlopen automatisch na 30 dagen inactiviteit
• Logbestanden: maximaal 90 dagen bewaard voor beveiligingsdoeleinden

6. Met wie delen wij uw gegevens?

Wij verkopen uw gegevens nooit. Wij delen uw gegevens uitsluitend in de volgende gevallen:

• Stripe (betalingsverwerking): uw e-mailadres wordt gedeeld met Stripe voor het aanmaken van een klantprofiel wanneer u een abonnement afsluit. Stripe is gecertificeerd onder PCI-DSS en verwerkt gegevens conform de AVG. Meer informatie: stripe.com/nl/privacy
• Wettelijke verplichting: indien wij hiertoe wettelijk verplicht zijn (bijv. gerechtelijk bevel), zullen wij alleen het absolute minimum verstrekken

Wij gebruiken geen advertentienetwerken, geen social media tracking-scripts en geen analytische diensten die persoonsgegevens verzamelen. Voor websitestatistieken gebruiken wij een cookieloze, privacyvriendelijke methode (zie sectie 9).

7. Waar staan uw gegevens opgeslagen?

8. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om uw gegevens te beschermen:

• Communicatie via HTTPS/TLS (versleuteld transport)
• Wachtwoorden opgeslagen als bcrypt-hash (nooit in leesbare vorm)
• Sessie-tokens zijn willekeurig gegenereerd en tijdelijk
• Databasetoegang beperkt tot de applicatieserver (niet publiek bereikbaar)
• SSH-toegang tot de server uitsluitend via sleutelparen, wachtwoordauthenticatie uitgeschakeld

9. Cookies en tracking

Planninn gebruikt uitsluitend één functioneel sessie-cookie om u ingelogd te houden. Dit cookie:

• Bevat geen persoonlijke gegevens — alleen een anoniem sessie-ID
• Wordt niet gedeeld met derden
• Wordt niet gebruikt voor tracking of advertenties
• Verdwijnt automatisch bij uitloggen of na 30 dagen inactiviteit

Voor websitestatistieken op onze openbare pagina's gebruiken wij Cloudflare Web Analytics: een cookieloze, privacyvriendelijke methode die uitsluitend geaggregeerde, niet-herleidbare cijfers meet (zoals aantal bezoeken, bezochte pagina's, herkomst en land). Hierbij:

• worden geen cookies geplaatst en wordt geen apparaat-fingerprint gebruikt;
• worden geen persoonsgegevens verzameld, geen profielen opgebouwd en niets verkocht;
• worden geen advertentie- of trackingcookies gebruikt;
• is in de ingelogde app geen enkele analyticscode actief.

Omdat er geen niet-functionele cookies worden geplaatst en geen persoonsgegevens worden verzameld, is een cookie-toestemmingsbanner niet vereist.

10. Uw rechten onder de AVG

Als betrokkene heeft u de volgende rechten. U kunt deze uitoefenen via [email protected]:

• Recht op inzage (art. 15): u kunt opvragen welke gegevens wij van u hebben
• Recht op rectificatie (art. 16): u kunt onjuiste gegevens laten corrigeren (of dit zelf doen via uw profielinstellingen)
• Recht op verwijdering (art. 17): u kunt uw account en alle bijbehorende gegevens laten verwijderen
• Recht op beperking (art. 18): u kunt de verwerking tijdelijk laten beperken
• Recht op overdraagbaarheid (art. 20): u kunt een export van uw gegevens opvragen in een machineleesbaar formaat
• Recht van bezwaar (art. 21): u kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang
• Recht om toestemming in te trekken: voor e-mailoverzichten en push-meldingen kunt u dit op elk moment doen via uw instellingen

Wij reageren binnen 30 dagen op uw verzoek. U heeft ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl.

11. Kinderen

Planninn is niet specifiek gericht op kinderen onder de 16 jaar. Kinderen kunnen worden toegevoegd als gezinslid door een ouder of voogd. Wij verzamelen bewust geen aanvullende gegevens van minderjarigen. Als u denkt dat wij onbedoeld gegevens van een kind zonder toestemming hebben verzameld, neem dan contact met ons op zodat wij dit kunnen verwijderen.

12. Wijzigingen in dit beleid

Wij kunnen dit privacybeleid van tijd tot tijd aanpassen. Bij materiële wijzigingen informeren wij u via e-mail of via een melding in de app, minimaal 14 dagen voor de ingangsdatum. De meest actuele versie staat altijd op deze pagina.

13. Contact & klachten