Privacybeleid

Dit privacybeleid beschrijft hoe Contenza K/S ("wij", "ons", "QRStandard") persoonsgegevens verzamelt, gebruikt en beschermt wanneer u qrstandard.eu gebruikt. Wij zijn de verwerkingsverantwoordelijke voor alle persoonsgegevens die via deze dienst worden verwerkt.

1. Wie wij zijn

Contenza K/S
CVR: 43349023 · BTW-nr.: DK43349023
Denemarken
Contact: qrstandard.eu/contact

2. Welke gegevens wij verzamelen

Wij verzamelen uitsluitend de minimale gegevens die noodzakelijk zijn voor de werking van de dienst:

• Accountgegevens: Uw e-mailadres, verzameld bij registratie of aanmelding. Wij gebruiken een magic link-authenticatiesysteem — er worden nooit wachtwoorden opgeslagen.
• QR-codegegevens: De labels, bestemmings-URL's en configuraties die u voor uw QR-codes aanmaakt.
• Scananalyses: Wanneer een QR-code wordt gescand, registreren wij tijdstempel, globaal land (afgeleid uit het IP-adres, niet opgeslagen), apparaattype en verwijzende URL. Wij slaan geen IP-adressen op van scans.
• Factureringsgegevens: Bij een abonnement verwerkt Stripe uw betalingsgegevens rechtstreeks. Wij slaan uw Stripe-klant-ID en abonnementsstatus op. Wij zien of bewaren geen kaartnummers.
• Gebruiksgegevens: Servertoegangslogs (IP-adres, aanvraagpad, tijdstempel) worden tot 30 dagen bewaard voor beveiligings- en debugdoeleinden.

3. Rechtsgrondslag voor verwerking

• Overeenkomst (Art. 6(1)(b) AVG): Verwerking van uw e-mailadres en QR-codegegevens om de dienst te leveren waarop u bent geabonneerd.
• Gerechtvaardigd belang (Art. 6(1)(f) AVG): Serverlogs voor beveiliging en misbruikpreventie; scananalyses om omleidingsprestaties aan u te rapporteren.
• Wettelijke verplichting (Art. 6(1)(c) AVG): Bewaring van factureringsadministratie conform de Deense boekhoudwetgeving (Bogføringsloven).

4. Waar uw gegevens worden opgeslagen

Alle gegevens worden opgeslagen op servers in Duitsland (Hetzner Cloud, datacenter Neurenberg) en verlaten de Europese Economische Ruimte niet. Wij gebruiken geen Amerikaanse cloudproviders voor de opslag van persoonsgegevens.

5. Subverwerkers

Wij maken gebruik van de volgende externe verwerkers:

• Hetzner Online GmbH (Duitsland) — serverinfrastructuur en opslag
• Stripe, Inc. — betalingsverwerking. Stripe is PCI-DSS-gecertificeerd en AVG-conform. Gegevensoverdracht naar de VS valt onder het EU-VS Gegevensbeschermingskader.
• Resend, Inc. — transactionele e-mails (magic links, betalingsbevestigingen). Gegevens worden conform de AVG verwerkt op basis van standaardcontractbepalingen.

6. Bewaartermijnen

• Aanmeldtokens: Verlopen na 15 minuten en worden na eenmalig gebruik ongeldig gemaakt.
• Sessiecookies: Verlopen na 30 dagen inactiviteit.
• QR-codes en omleidingsgegevens: Bewaard totdat u ze verwijdert of uw account sluit.
• Scangebeurtenissen: Bewaard gedurende 24 maanden, daarna verwijderd.
• Factureringsadministratie: Bewaard gedurende 5 jaar conform de Deense boekhoudwetgeving.
• Serverlogs: Bewaard gedurende 30 dagen.

7. Uw rechten onder de AVG

Als betrokkene heeft u de volgende rechten:

• Inzage (Art. 15): Verzoek om een kopie van alle persoonsgegevens die wij over u bewaren.
• Rectificatie (Art. 16): Correctie van onjuiste gegevens. U kunt uw e-mailadres laten bijwerken door contact met ons op te nemen.
• Verwijdering (Art. 17): Verzoek om verwijdering van uw account en alle bijbehorende gegevens. Wij voldoen hieraan binnen 30 dagen, behoudens onze wettelijke bewaarplichten voor factureringsadministratie.
• Gegevensoverdraagbaarheid (Art. 20): Verzoek om uw gegevens in machineleesbaar formaat (JSON).
• Beperking (Art. 18): Verzoek om beperking van de verwerking van uw gegevens terwijl een klacht in behandeling is.
• Bezwaar (Art. 21): Bezwaar maken tegen verwerking die is gebaseerd op gerechtvaardigd belang.

Om een van deze rechten uit te oefenen, neemt u contact met ons op via ons contactformulier. Wij reageren binnen 30 dagen. U heeft ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) via autoriteitpersoonsgegevens.nl, of bij de Deense toezichthouder Datatilsynet via datatilsynet.dk.

8. Cookies

Wij gebruiken één cookie van onze eigen server:

• qrr_session — een authenticatiesessietoken. HttpOnly, Secure, SameSite=Lax. Verloopt na 30 dagen. Dit cookie is strikt noodzakelijk voor de werking van de dienst en vereist geen toestemming op grond van Art. 5(3) van de ePrivacyrichtlijn.

Wij gebruiken geen tracking-, reclame- of analytische cookies van derden. Wij gebruiken geen Google Analytics, Meta Pixel of vergelijkbare tools.

9. Beveiliging

Alle gegevens worden verzonden via TLS (HTTPS). Er worden nooit wachtwoorden opgeslagen — authenticatie maakt gebruik van cryptografisch ondertekende eenmalige tokens. Databasetoegang is beperkt tot applicatieprocessen die op dezelfde server draaien. Back-ups worden versleuteld opgeslagen.

10. Wijzigingen in dit beleid

Wij informeren geregistreerde gebruikers over wezenlijke wijzigingen in dit beleid per e-mail minimaal 14 dagen voordat deze van kracht worden. De actuele versie is altijd beschikbaar op qrstandard.eu/privacy.