Privacybeleid voor Pandig

1. Wie is verantwoordelijk voor de verwerking

Deze privacyverklaring geldt voor Pandig, de softwaredienst van Pandig B.V., een besloten vennootschap van Quinten Pieters, gevestigd aan Papenstraat 35, 7411 NA, Deventer, Nederland.

Voor accountbeheer, beveiliging, facturatie, support, dienstcommunicatie en onze eigen wettelijke administratie is Pandig B.V. doorgaans de verwerkingsverantwoordelijke.

Voor persoonsgegevens die klantorganisaties of verenigingen in Pandig plaatsen of beheren voor hun eigen werkprocessen, handelt Pandig B.V. in de regel als verwerker namens die klant. De betreffende organisatie of vereniging bepaalt dan het doel van die verwerking.

• Privacyvragen over onze eigen dienstverwerking kunt u sturen naar info@pandig.nl of telefonisch melden via +31 6 53239954.
• Voor verzoeken over inhoud die door uw organisatie of vereniging in Pandig is geplaatst, kunt u meestal eerst terecht bij die organisatie. Wij ondersteunen die partij waar wij als verwerker optreden.
• Wij hebben op dit moment geen afzonderlijke wettelijke functionaris voor gegevensbescherming aangewezen. Privacycontact loopt via info@pandig.nl.

2. Welke gegevens wij verwerken

Wij verwerken persoonsgegevens die u zelf verstrekt, die een beheerder of uitnodiger over u invoert, die via uw gebruik van de dienst ontstaan, of die wij ontvangen van een externe inlogprovider als u daarvoor kiest.

• Identiteits- en contactgegevens, zoals naam, e-mailadres, telefoonnummer en taalvoorkeur.
• Authenticatie- en beveiligingsgegevens, zoals versleutelde wachtwoordgegevens, passkey- en MFA-instellingen, sessie-identifiers, IP-adressen, browserinformatie en auditloggegevens.
• Organisatie-, lidmaatschaps- en autorisatiegegevens, zoals uitnodigingen, rollen, verenigingen, units, eigendomskoppelingen en stemrechten.
• Governance- en communicatiegegevens, zoals vergaderingen, aanwezigheden, volmachten, besluiten, stemmen, berichten, formele kennisgevingen en ontvangststatussen.
• Documenten en operationele gegevens, zoals bestandsuploads, taakgegevens, opmerkingen, reparatieverzoeken en bijbehorende foto's of bijlagen.
• Financiele en administratieve gegevens, zoals bijdragebetalingen, bankrekening- en transactiereferenties, declaraties, factuurprofielen en betaalstatusmetadata.
• OAuth-gegevens van derde partijen, zoals providernaam, provider-id, naam, e-mailadres en tokens als u met Google, Microsoft of Apple inlogt.
• Demo-aanvraaggegevens, zoals naam, bedrijfsnaam, e-mailadres, telefoonnummer, IP-adres, herkomstpagina en UTM-campagneparameters, wanneer u een demo-omgeving aanvraagt via onze website.

3. Waarom wij deze gegevens verwerken

Wij verwerken persoonsgegevens alleen voor duidelijke doeleinden en op een passende grondslag onder de AVG.

• Uitvoering van de overeenkomst of precontractuele stappen (art. 6 lid 1 sub b AVG): accountaanmaak via uitnodigingen, inloggen, toegangsbeheer, organisatie- en verenigingsbeheer, documenten, communicatie, vergaderingen, stemmen, taken en andere kernfunctionaliteit van Pandig.
• Gerechtvaardigd belang (art. 6 lid 1 sub f AVG): beveiliging, fraudepreventie, sessiebeheer, logregistratie, misbruikdetectie, back-ups, support, incidentonderzoek en het betrouwbaar houden van de dienst.
• Wettelijke verplichting (art. 6 lid 1 sub c AVG): fiscale administratie, facturatie, bewaarplichten en het voldoen aan rechtmatige verzoeken van toezichthouders of autoriteiten.
• Op uw verzoek of op basis van uw gekozen inlogmethode: het koppelen van een externe provider of het onthouden van door u gekozen voorkeuren zoals taal of weergave-instellingen.
• Precontractuele stappen en gerechtvaardigd belang: het inrichten van een demo-omgeving, het toesturen van inloggegevens, het verzenden van een herinnering bij verlopen en het opvolgen van demo-aanvragen als onderdeel van ons verkoopproces.
• Als u verplichte account- of gebruiksgegevens niet verstrekt, kunnen wij u mogelijk geen account, uitnodiging, veilige toegang of relevante dienstfunctionaliteit bieden.

4. Cookies en vergelijkbare technieken

Pandig gebruikt geen analytics-, advertentie- of trackingcookies. Wij gebruiken alleen cookies die nodig zijn voor beveiliging, sessiebeheer, CSRF-bescherming en het onthouden van door u gekozen voorkeuren.

• _pandig_session: noodzakelijke sessiecookie voor sessiestaat, flashberichten en navigatie na inloggen; bewaartermijn 30 dagen; ingesteld met HttpOnly, SameSite=Lax en Secure in productie.
• session_id: ondertekende cookie die uw browser koppelt aan de server-side sessierecord; bewaartermijn 30 dagen; ingesteld met HttpOnly, SameSite=Lax en Secure wanneer de verbinding beveiligd is of in productie draait.
• XSRF-TOKEN: noodzakelijke request-security-cookie die de frontend terugstuurt in de X-XSRF-TOKEN-header voor CSRF-beschermde verzoeken; sessieduur; SameSite=Lax; bewust leesbaar voor client-side code.
• locale: voorkeurscookie voor taalkeuze; permanent totdat u die wijzigt of verwijdert; ondertekend, HttpOnly en door de server gebruikt om uw keuze te onthouden.
• pandig-color-mode, sidebar_state en work_items_view: voorkeurscookies om uw gekozen thema of interfaceweergave te onthouden; bewaartermijnen tussen 7 dagen en 1 jaar, afhankelijk van de instelling.
• U kunt cookies via uw browser verwijderen of blokkeren. Houd er rekening mee dat noodzakelijke sessie- en beveiligingscookies nodig zijn om in te loggen en beveiligde delen van de dienst te gebruiken.

5. Ontvangers, verwerkers en doorgiften

Wij delen persoonsgegevens alleen wanneer dat nodig is om Pandig te leveren, te beveiligen of wettelijk verplicht is. Wij verkopen geen persoonsgegevens.

Wij proberen onze kernhosting binnen de EU/EER te houden. Voor sommige providers, met name inlog- en betaalproviders, kan beperkte verwerking buiten de EU/EER plaatsvinden. Als dat gebeurt, baseren wij ons op een adequaatheidsbesluit of passende waarborgen zoals Standard Contractual Clauses.

• Hosting- en infrastructuurproviders voor de applicatie, database, back-ups en zoekindex.
• S3-compatibele opslagprovider voor geuploade documenten, bonnetjes en reparatiefoto's.
• Resend voor transactionele e-mails zoals uitnodigingen, wachtwoordherstel en serviceberichten.
• Tenant-lokale SQLite/FTS-zoekindexen voor in-product zoekfunctionaliteit over metadata en zoekbare indexgegevens.
• Stripe voor organisatiebilling, betaalmethode-status en abonnementsadministratie.
• Google, Microsoft en Apple wanneer u kiest voor inloggen via die providers.

6. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan nodig is voor het doel waarvoor ze zijn verzameld, tenzij een wettelijke bewaarplicht of een dwingend geschilbelang langer bewaren vereist.

• Actieve accountgegevens: zolang het account actief is en toegang nodig is voor de dienst.
• Inactieve accounts: in beginsel beoordeling na 12 maanden zonder login, met mogelijke reactie- of verwijderstappen.
• Sessiegegevens: tot 30 dagen na expiratie.
• Niet-geaccepteerde uitnodigingen: tot 30 dagen na aanmaak.
• Auditlogs: 3 jaar.
• Bijdragebetalingen, banktransacties, factuur- en andere fiscale administratie: 7 jaar.
• Vergaderstukken, besluiten en relevante verenigingsadministratie: 7 jaar.
• Geuploade documenten: in beginsel duur van de dienst plus 1 jaar na verwijderverzoek, tenzij een klant of wet een langere termijn vereist.
• Demo-omgevingen: alle gegevens in de demo-omgeving worden automatisch verwijderd na 7 dagen. De demo-aanvraaggegevens (naam, bedrijf, e-mail, telefoon, IP en herkomst) worden na 90 dagen verwijderd.
• Verlopen OAuth-tokens: verwijderd zodra ze niet meer nodig zijn.

7. Uw rechten

Onder de AVG kunt u verzoeken om inzage, rectificatie, verwijdering, beperking van verwerking, overdraagbaarheid van gegevens en bezwaar tegen verwerkingen die op gerechtvaardigd belang zijn gebaseerd.

U heeft ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens. Meer informatie staat op www.autoriteitpersoonsgegevens.nl.

Als Pandig B.V. voor een bepaalde verwerking alleen als verwerker optreedt, moeten wij uw verzoek meestal afstemmen met de betreffende klantorganisatie die de verwerkingsverantwoordelijke is.

• Voor privacyverzoeken kunt u contact opnemen via info@pandig.nl. Wij reageren zonder onredelijke vertraging en in elk geval binnen de wettelijke termijnen.
• Wij kunnen om aanvullende verificatie vragen voordat wij gegevens delen, wijzigen of verwijderen.
• Pandig gebruikt momenteel geen uitsluitend geautomatiseerde besluitvorming of profilering die rechtsgevolgen of vergelijkbaar significante gevolgen voor u heeft.

8. Beveiliging en wijzigingen

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen, waaronder toegangscontrole, logging, rate limiting, versleuteling voor gevoelige gegevens en private opslagconfiguraties waar passend.

Geen enkel systeem is volledig risicovrij. Als zich een relevant beveiligingsincident voordoet, handelen wij volgens de AVG en toepasselijke meldplichten.

Wij kunnen dit privacybeleid van tijd tot tijd aanpassen, bijvoorbeeld als de dienst, wetgeving of onze leveranciers wijzigen. De versie op deze pagina geldt vanaf de hierboven vermelde publicatiedatum.