Privacyverklaring

Laatst bijgewerkt: 05-06-2026

1. Wie zijn wij?

P-Pulse levert een online applicatie waarmee organisaties hun back-office processen, gebruikers, academy onderdelen, taken, rapportages, bestanden, integraties en communicatie kunnen beheren.

Wanneer een organisatie de applicatie gebruikt voor eigen medewerkers, klanten, gasten of andere betrokkenen, bepaalt die organisatie meestal zelf welke persoonsgegevens worden ingevoerd en voor welk doel. In die situatie is de organisatie verwerkingsverantwoordelijke en verwerkt P-Pulse de gegevens als verwerker. Voor centrale platformprocessen, zoals loginrouting, multi-tenancy, beveiliging, accounttoegang, platformbeheer en eigen administratie, kan P-Pulse zelf verwerkingsverantwoordelijke zijn.

2. Welke persoonsgegevens verwerken wij?

Wij verwerken persoonsgegevens die nodig zijn om de applicatie te leveren, te beveiligen en te beheren.

  • Accountgegevens, zoals voornaam, achternaam, e-mailadres en gebruikersnaam.
  • Organisatie-, tenant-, vestigings-, functie- en afdelingskoppelingen.
  • Rol, rechten, permissies, accountstatus en voorkeuren binnen de applicatie.
  • Geboortedatum, startdatum, onboardinginformatie en contactpersonen wanneer de organisatie deze gegevens invult.
  • Wachtwoorden, activatietokens, reset-tokens en sessiegegevens, waarbij wachtwoorden versleuteld of gehasht worden opgeslagen.
  • Inhoud die gebruikers of organisaties in de applicatie plaatsen, zoals taken, rapportages, academy voortgang, berichten, bestanden, formulieren en importgegevens.
  • Communicatiegegevens, zoals uitnodigingen, wachtwoordresetmails, tweefactorcodes, academy herinneringen en andere serviceberichten.
  • Technische en beveiligingsgegevens, zoals IP-adres, user-agent, tijdstippen van aanvragen, loginpogingen, sessie-id's, device- of browserkenmerken, foutmeldingen, auditlogs en rate-limit gegevens.

Het e-mailadres kan daarnaast worden opgeslagen in de centrale owner database. Dit is nodig voor multi-tenancy, loginrouting, toegangsbeheer, beveiliging en het voorkomen van dubbele of foutieve accounts.

3. Waarom verwerken wij deze gegevens?

  • Om gebruikersaccounts aan te maken, te activeren en te beheren.
  • Om gebruikers bij de juiste tenant, organisatie of vestiging te laten inloggen.
  • Om rollen, rechten, permissies en toegangsbeheer toe te passen.
  • Om onboarding, academy, taken, rapportages, bestanden, dashboards, imports en communicatie beschikbaar te maken.
  • Om e-mails te versturen die nodig zijn voor activatie, beveiliging, wachtwoordherstel, tweefactor-authenticatie, herinneringen en functionele communicatie.
  • Om fraude, misbruik, ongeautoriseerde toegang en technische storingen te voorkomen, onderzoeken en beperken.
  • Om sessiebeheer uit te voeren, waaronder het beperken van gelijktijdige sessies wanneer dit is ingeschakeld.
  • Om ondersteuning, onderhoud, administratie en dienstverlening te kunnen leveren.
  • Om te voldoen aan wettelijke, contractuele of beveiligingsverplichtingen.

4. Grondslagen voor verwerking

Afhankelijk van de situatie verwerken wij persoonsgegevens op basis van uitvoering van een overeenkomst, gerechtvaardigd belang, wettelijke verplichting of toestemming. Beveiliging, logging, rate limiting, toegangsbeheer en misbruikpreventie verwerken wij in beginsel op basis van het gerechtvaardigd belang om de applicatie betrouwbaar en veilig te houden. Wanneer een tenant gegevens van eigen medewerkers, klanten of andere betrokkenen invoert, bepaalt de tenant de toepasselijke grondslag voor die verwerking.

5. IP-adressen, logging en rate limiting

Wij verwerken IP-adressen en technische requestgegevens voor beveiliging, foutopsporing, auditlogging, sessiebeheer en het beperken van misbruik. Voorbeelden hiervan zijn het beperken van te veel loginpogingen, het beperken van te veel verzoeken op formulieren of imports, het herkennen van verdachte activiteit en het onderzoeken van storingen of beveiligingsincidenten.

Voor rate limiting kan een IP-adres, eventueel gecombineerd met een gebruikers-id, route, methode en tijdvenster, worden gebruikt om een lokale limietsleutel en teller bij te houden. De teller is bedoeld om gedurende een beperkt tijdvenster te bepalen of een verzoek nog is toegestaan. In auditlogs en technische logs kunnen IP-adres, user-agent, pad, tijdstip, gebruiker, tenant en relevante beveiligingscontext worden opgeslagen.

Deze gegevens worden niet gebruikt voor commerciële tracking of verkoop aan derden. Ze worden gebruikt om de applicatie te beveiligen, storingen te analyseren en misbruik te voorkomen of te onderzoeken.

6. Cookies en sessies

De applicatie gebruikt functionele cookies en sessietechnieken die nodig zijn om ingelogd te blijven, formulieren veilig te verwerken, CSRF-bescherming toe te passen, sessies te beheren en conceptgegevens tijdelijk te herstellen. Deze technieken zijn noodzakelijk voor het functioneren en beveiligen van de applicatie.

7. Derde partijen en leveranciers

Wij delen persoonsgegevens alleen met derde partijen wanneer dit nodig is voor de werking, beveiliging, ondersteuning of integratie van de applicatie, of wanneer dit wettelijk verplicht is. Wij verkopen persoonsgegevens niet.

Afhankelijk van de inrichting van de omgeving en de door de tenant gekozen functionaliteiten kunnen de volgende categorieen derde partijen betrokken zijn:

  • Hosting-, server-, database-, backup-, opslag- en netwerkleveranciers die de applicatie en gegevens technisch beschikbaar maken.
  • E-mail- en SMTP-dienstverleners die serviceberichten, uitnodigingen, beveiligingscodes, wachtwoordresetmails en notificaties afleveren.
  • Beveiligings-, logging-, monitoring- en foutopsporingsdiensten die helpen bij beschikbaarheid, incidentanalyse en misbruikpreventie.
  • Cloud- of secret-managementdiensten, zoals AWS Secrets Manager wanneer dit is ingeschakeld, voor het veilig beheren van configuratie en geheimen.
  • Betaal-, kassa- en POS-koppelingen die door de tenant worden geconfigureerd, zoals Posilio of Lightspeed.
  • Planning- en roosterintegraties die door de tenant worden geconfigureerd, zoals Eitje of Linda.
  • Reserveringsintegraties die door de tenant worden geconfigureerd, zoals Guestplan.
  • Leveranciers- en bestandskoppelingen die door de tenant worden geconfigureerd, zoals Sligro of SFTP CSV/XML-koppelingen.
  • Publicatie- en bedrijfsprofielintegraties die door de tenant worden geconfigureerd, zoals Google Business Profile.
  • Professionele adviseurs, accountants, juridische dienstverleners, toezichthouders of bevoegde autoriteiten wanneer dit noodzakelijk of wettelijk vereist is.

Bij tenant-gestuurde integraties bepaalt de tenant zelf of een koppeling wordt ingeschakeld en welke gegevens via die koppeling worden uitgewisseld. Wij beperken de uitwisseling tot wat nodig is voor de gekozen functionaliteit, zoals verkoopgegevens, planningsgegevens, reserveringsgegevens, leveranciersbestanden, openingstijden, locatiegegevens of technische authenticatiegegevens.

8. Verwerkers en afspraken

Wanneer derde partijen persoonsgegevens namens ons verwerken, maken wij afspraken over beveiliging, vertrouwelijkheid, instructies, bewaartermijnen, subverwerkers en ondersteuning bij privacyverzoeken. Wanneer een tenant zelf een externe koppeling activeert, kan die externe partij ook zelfstandig verwerkingsverantwoordelijke zijn voor de gegevens die zij ontvangt of verwerkt.

9. Doorgifte buiten de Europese Economische Ruimte

Persoonsgegevens worden bij voorkeur verwerkt binnen de Europese Economische Ruimte. Als verwerking buiten de Europese Economische Ruimte plaatsvindt, bijvoorbeeld door een cloud-, e-mail- of integratieleverancier, treffen wij passende waarborgen voor zover vereist, zoals contractuele afspraken, standaardcontractbepalingen of andere geldige doorgifte-instrumenten. Voor sommige tenant-gestuurde integraties hangt dit af van de leverancier die de tenant kiest of configureert.

10. Hoe lang bewaren wij persoonsgegevens?

Account- en gebruikersgegevens worden bewaard zolang de betreffende tenant of organisatie deze gegevens in de applicatie behoudt, zolang het account bestaat, of zolang dit nodig is voor de uitvoering van de dienstverlening, beveiliging, administratie of wettelijke verplichtingen.

Wanneer een tenant of organisatie een gebruiker verwijdert, beëindigt of laat verwijderen, verwijderen of anonimiseren wij de bijbehorende persoonsgegevens voor zover dat technisch mogelijk en wettelijk toegestaan is.

Het e-mailadres kan langer of apart worden bewaard in de centrale owner database wanneer dit noodzakelijk is voor multi-tenancy, loginrouting, toegangsbeheer, beveiliging of het voorkomen van dubbele of foutieve accounts. Deze opslag wordt beperkt tot wat noodzakelijk is voor deze doeleinden.

Technische logs, auditlogs, beveiligingsgegevens en IP-adressen worden bewaard zolang dit redelijkerwijs nodig is voor beveiliging, foutopsporing, misbruikpreventie, auditdoeleinden, contractuele verplichtingen of wettelijke verplichtingen. Rate-limit tellers zijn bedoeld voor korte beveiligingsvensters, maar kunnen technisch in cachebestanden blijven staan totdat cache of opslag wordt opgeschoond.

11. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen. Voorbeelden zijn versleutelde of gehashte wachtwoordopslag, toegangsbeheer, tenant-scheiding, sessiebeveiliging, single-device sessiebeheer waar toegepast, CSRF-bescherming, rate limiting, auditlogging, beveiligde opslag van integratiegegevens en beperking van toegang tot gegevens op basis van rollen en permissies.

12. Rechten van betrokkenen

Betrokkenen kunnen, afhankelijk van de situatie, vragen om inzage, correctie, verwijdering, beperking, bezwaar of overdracht van persoonsgegevens. Wanneer gegevens door een tenant zijn ingevoerd of beheerd, kan het nodig zijn dat het verzoek via die tenant wordt behandeld. Wij ondersteunen tenants bij zulke verzoeken voor zover dit past binnen onze rol als verwerker.

Betrokkenen hebben ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens of een andere bevoegde toezichthouder.

13. Wijzigingen

Wij kunnen deze privacyverklaring aanpassen wanneer de applicatie, verwerkingen, leveranciers, wetgeving of beveiligingsmaatregelen wijzigen. De meest actuele versie is beschikbaar via de applicatie en de website.

14. Contact

Voor vragen over privacy of persoonsgegevens kan contact worden opgenomen met de beheerder van de betreffende organisatie of met P-Pulse.