Naar hoofdinhoud

Privacybeleid

Conceptversie — nog niet juridisch getoetst. Deze tekst kan wijzigen.

Dit privacybeleid beschrijft hoe Bayana persoonsgegevens verwerkt binnen het platform. Het is een conceptversie, gebaseerd op de daadwerkelijke werking van het product; de definitieve tekst wordt juridisch getoetst voordat hij bindend wordt.

Wie is verantwoordelijk voor welke gegevens

Jouw organisatie (de vereniging, club of stichting die Bayana gebruikt) is verwerkingsverantwoordelijke voor de gegevens van haar leden. Bayana treedt op als verwerker: wij verwerken gegevens uitsluitend in opdracht van en volgens de instructies van jouw organisatie, zoals vastgelegd in de verwerkersovereenkomst.

Welke gegevens verwerkt Bayana

Afhankelijk van de instellingen van je organisatie kan het gaan om: naam, adres, contactgegevens, lidmaatschapsgegevens, contributiebedragen en betalingsstatus, en (indien van toepassing) machtigingsgegevens voor SEPA-incasso. Bayana vraagt nooit om een burgerservicenummer (BSN). Optionele dossierfunctionaliteit voor gevoelige gegevens (zoals medische of gedragsinformatie) is standaard uitgeschakeld en vereist een expliciet vastgelegde grondslag en doel voordat een organisatie deze kan gebruiken.

Beveiliging en scheiding tussen organisaties

Elke organisatie krijgt een eigen, technisch gescheiden databaseschema (schema-per-tenant); gegevens van de ene organisatie zijn nooit zichtbaar voor een andere. Toegang is gebaseerd op wachtwoorden die met Argon2 worden gehasht en tokens (JWT) met beperkte geldigheidsduur. Rollen en rechten zijn standaard restrictief (deny-default): een gebruiker ziet alleen wat past bij zijn rol.

Maskering van bankgegevens

Het IBAN van de tegenpartij bij een banktransactie wordt gemaskeerd weergegeven in logs, exports en overzichten (bijvoorbeeld NL12…4300). Volledige IBAN's worden nooit onnodig zichtbaar gemaakt buiten de directe verwerking van de betaling.

Bewaartermijnen

Bewaartermijnen worden per gegevenstype vastgelegd en zijn, waar van toepassing, instelbaar door de organisatie. Gegevens die de bewaartermijn overschrijden, worden verwijderd via een geautomatiseerd proces.

Subverwerkers

Voor de werking van het platform maakt Bayana gebruik van de volgende subverwerkers: PostgreSQL (databasehosting), MinIO of een S3-compatibele opslagdienst (opslag van bankafschriften en exports), Cloudflare (netwerk, beveiliging en toegangscontrole), een e-mailprovider (Resend of SMTP, standaard Mailpit in ontwikkelomgevingen) voor transactionele e-mail, en een betaalprovider (Mollie of Stripe) voor iDEAL-betaallinks en abonnementsbetalingen. Een actuele lijst met subverwerkers is op aanvraag beschikbaar.

Rechten van betrokkenen

Leden die vragen hebben over inzage, rectificatie of verwijdering van hun gegevens, nemen in eerste instantie contact op met hun eigen vereniging (de verwerkingsverantwoordelijke). Voor vragen over de verwerking door Bayana zelf kun je terecht via het contactformulier.

Wijzigingen

Dit is een conceptversie die kan wijzigen, onder meer na juridische toetsing. Wijzigingen worden op deze pagina gepubliceerd.