Privacyverklaring Pop It (Teams + Events + App)

Deze privacyverklaring beschrijft hoe Pop It persoonsgegevens verwerkt bij het aanbieden van Pop It Teams, Pop It Events en de Pop It App. Door een account aan te maken, een plan af te nemen of de dienstverlening te gebruiken, gaat u akkoord met deze privacyverklaring voor zover dit van toepassing is op uw gebruik.

1. Pop It: het Pop It platform inclusief webomgevingen, mobiele apps, eventformulieren en fysieke Pop It producten met digitale functionaliteit.
2. Klantorganisatie: de organisatie die Pop It inzet voor medewerkers of events.
3. Gebruiker: een medewerker, beheerder, organisator of individuele gebruiker met een Pop It account.
4. Betrokkene: de persoon op wie persoonsgegevens betrekking hebben, bijvoorbeeld een lead of eventdeelnemer.
5. Lead capture: het moment waarop iemand actief gegevens invult of achterlaat na een scan of tap.

Deze privacyverklaring geldt voor:

1. Pop It Teams, inclusief centrale branding, teambeheer, dashboards, analytics, lead capture en optionele automatische follow-ups.
2. Pop It Events, inclusief registratie, deelnemersbeheer, check-in, badges en opvolgcommunicatie na afloop.
3. De Pop It App en bijbehorende webomgevingen voor individueel gebruik en organisatiegebruik.
4. Fysieke Pop It producten die verwijzen naar digitale profielen of eventflows, zoals cards en badges.

3.1 Organisatiegebruik

Wanneer uw organisatie Pop It Teams of Pop It Events inzet, is uw organisatie in de meeste gevallen verwerkingsverantwoordelijke. Uw organisatie bepaalt het doel van de verwerking, welke gegevens worden gevraagd, hoe medewerkers het platform inzetten en hoe lang gegevens worden bewaard.

Pop It treedt in deze context op als verwerker. Pop It verwerkt persoonsgegevens om de dienst te leveren, te beveiligen en te ondersteunen, binnen de vaste functionaliteiten van het platform.

3.2 Individueel gebruik

Pop It kan ook individueel worden gebruikt via de app. Gebruikers starten met Basic en kunnen upgraden naar Pro. Pro geeft toegang tot Teams Member functionaliteit, niet tot Teams Admin of Teams Sub Admin functionaliteit.

In deze individuele context is Pop It doorgaans verwerkingsverantwoordelijke voor account, profiel en productlevering, omdat er geen klantorganisatie is die de doelen en middelen bepaalt.

3.3 Events en deelnemers

Bij events bepaalt de eventorganisator de inzet van Pop It, de rechtsgrondslag en de bewaartermijnen voor deelnemersgegevens. Pop It faciliteert dit technisch en stuurt het gebruik niet inhoudelijk aan.

Afhankelijk van inrichting en gebruik kunnen wij de volgende categorieën persoonsgegevens verwerken:

1. Accountgegevens, zoals naam, zakelijke e-mail, rol, organisatie-id, login- en sessiegegevens.
2. Profielgegevens, zoals functie, contactgegevens, profielfoto en links.
3. Lead- en formuliergegevens, zoals ingevulde velden en herkomstgegevens van de interactie.
4. Eventdeelnemersgegevens, zoals registratievelden, status en check-in informatie.
5. Interactiegegevens, zoals taps, scans, views en kliks met tijdstempels.
6. Technische gegevens, zoals apparaat- en browserinformatie, IP-adres, foutmeldingen en security events.
7. Supportcommunicatie en operationele gegevens die nodig zijn om incidenten op te lossen of ondersteuning te leveren.

Pop It is niet bedoeld voor het verwerken van bijzondere persoonsgegevens. Als een klantorganisatie toch zulke gegevens wil verwerken, moet dit expliciet worden afgestemd en onderbouwd.

5.1 Digitale profielen en delen via NFC en QR

Gebruikers kunnen een digitaal profiel delen via een tap of scan. Ontvangers hebben geen app nodig.

Fysieke Pop It producten bevatten geen zichtbare persoonsgegevens zoals naam of e-mail. Het product verwijst naar een online profiel of flow die via beveiligde verbinding wordt opgehaald.

5.2 Lead capture en formulieren

Lead capture vindt plaats na een actieve handeling, zoals het delen of accepteren van contactgegevens of het invullen van een formulier.

Pop It kan vastleggen wanneer gegevens zijn gedeeld en in welke context dit gebeurde, als onderdeel van transparantie en bewijsvoering.

Waar lead capture is ingeschakeld, legt Pop It de opt-in vast met datum en tijd en het type Pop It device waarmee de lead is aangemaakt, zoals Card, Display, Button, Keychain of Badge Holder.

Belangrijk over exports. De exportstructuur kan velden bevatten die niet zichtbaar waren in het formulier of niet zijn ingevuld. In dat geval kunnen deze velden in exports leeg of met standaardwaarden voorkomen, afhankelijk van de exportconfiguratie. Pop It kan met enterprise klanten afstemmen hoe exports zo beperkt mogelijk aansluiten op wat daadwerkelijk wordt uitgevraagd.

Pop It past op dit moment geen automatische deduplicatie toe die dubbele inzendingen voorkomt. Het is mogelijk dat dezelfde persoon meerdere keren gegevens invult en dat dit meerdere records oplevert.

5.3 Automatische follow-up e-mails

Pop It kan, afhankelijk van inrichting, follow-up e-mails versturen na een connectie, lead capture of eventflow. De inhoud, timing en inzet worden bepaald door de gebruiker of klantorganisatie. Pop It initieert geen leadregistratie of opvolging uit eigen beweging.

Pop It verwerkt verzendtechnische signalen zoals delivered, blocked of bounced om deliverability te verbeteren, fouten op te lossen en herhaalde verzending naar ongeldige adressen te beperken. Deze verzendstatus is niet standaard zichtbaar voor klantorganisaties in het product en wordt intern gebruikt door geautoriseerde Pop It medewerkers voor deliverability, troubleshooting, beveiliging en support.

5.4 Teams: rollen, rechten en centrale branding

Pop It Teams ondersteunt rollen en toegangsbeheer, organisatie-instellingen en centrale branding. Gebruikers zien alleen gegevens die passen bij hun rol en organisatieomgeving.

5.5 Dashboards, analytics en rapportage

Pop It kan inzicht geven in taps, scans, profielviews, linkkliks, leads en follow-up activiteit, bijvoorbeeld per medewerker, team of event.

Hierbij verwerken wij interactie- en technische loggegevens die nodig zijn voor productfunctionaliteit, betrouwbaarheid en beveiliging. Waar mogelijk worden inzichten geaggregeerd.

5.6 Exports en integraties

Pop It kan gegevens exporteerbaar maken of doorzetten via afgesproken integraties zodat klantorganisaties gegevens kunnen verwerken in eigen systemen.

Pop It levert niet standaard een klantzichtbare export audittrail die per export toont wie exporteerde, wanneer en vanuit welke rol. Pop It kan intern technische logs gebruiken voor beveiliging, stabiliteit en support. Als export auditing of uitgebreide auditlogs een eis is, wordt dit als enterprise requirement expliciet afgestemd.

5.7 Pop It Events: registratie, badges en check-in

Pop It Events kan worden gebruikt voor registratie van deelnemers, vastleggen van aanwezigheid, delen van contactgegevens, vastleggen van interacties tijdens het event en opvolgcommunicatie na afloop. De exacte verwerkingen worden bepaald door de organisator.

Handelingen binnen de eventflow kunnen worden gelogd om de dienst te laten werken, misbruik te beperken en support te leveren.

Wanneer u uw gegevens invult in een Pop It formulier bij een organisatie of tijdens een event, dan verstrekt u uw gegevens aan die organisatie of eventorganisator. Die partij is doorgaans verwerkingsverantwoordelijke en bepaalt wat er met uw gegevens gebeurt, met wie ze worden gedeeld en hoe lang ze worden bewaard.

Pop It levert de technologie en verwerkt uw gegevens alleen om de registratie, uitwisseling of opvolging mogelijk te maken, om de dienst te beveiligen en om support te leveren. Pop It verkoopt geen ingevulde formuliergegevens en gebruikt deze niet om u zelfstandig commercieel te benaderen.

Pop It verwerkt persoonsgegevens voor:

1. Het leveren van de dienstverlening, waaronder delen via NFC en QR, Teams workflows en Events workflows.
2. Beheer van accounts, rollen en organisatie-instellingen.
3. Het versturen van follow-ups indien deze functionaliteit is geactiveerd.
4. Het leveren van inzichten en rapportages binnen de productfunctionaliteit.
5. Beveiliging, fraudepreventie, monitoring, foutanalyse, continuïteit en support.

1. Organisatiegebruik: Pop It verwerkt als verwerker op basis van de overeenkomst met de klantorganisatie. De klantorganisatie is verantwoordelijk voor de grondslag richting betrokkenen, zoals toestemming of gerechtvaardigd belang afhankelijk van de use case.
2. Individueel gebruik: Pop It verwerkt gegevens omdat dit nodig is om de dienst te leveren en op basis van gerechtvaardigd belang voor beveiliging, fraudepreventie en productcontinuïteit.

9.1 Rechten van betrokkenen

Betrokkenen hebben rechten onder de AVG, waaronder inzage, rectificatie, wissing, beperking, bezwaar en in sommige gevallen dataportabiliteit.

Bij organisatiegebruik lopen verzoeken in principe via de klantorganisatie omdat die verwerkingsverantwoordelijke is. Als Pop It een verzoek ontvangt dat onder verantwoordelijkheid van een klantorganisatie valt, zal Pop It dit in de regel doorgeleiden.

Bij individueel gebruik kan een verzoek rechtstreeks bij Pop It worden ingediend.

Betrokkenen hebben ook het recht om een klacht in te dienen bij een bevoegde toezichthouder zoals de Autoriteit Persoonsgegevens.

9.2 Plichten van klantorganisaties en gebruikers

Klantorganisaties en gebruikers die Pop It inzetten, blijven verantwoordelijk voor het informeren van betrokkenen, het bepalen van rechtsgrondslagen en bewaartermijnen en het naleven van toepasselijke wetgeving. Pop It faciliteert de verwerking technisch binnen de mogelijkheden van het platform.

Pop It bewaart persoonsgegevens niet langer dan nodig is voor de doeleinden waarvoor zij worden verwerkt, rekening houdend met contractuele afspraken en wettelijke verplichtingen.

Bij organisatiegebruik bepaalt de klantorganisatie in belangrijke mate de retentie voor lead- en eventdata. Pop It ondersteunt verwijdering en opschoning volgens afspraken, rekening houdend met noodzakelijke back-upcycli, beveiliging en wettelijke bewaarplichten.

Voor technische logs en beveiligingslogs hanteert Pop It retenties die passen bij beveiliging en stabiliteit. Niet alle logging- en controlemechanismen zijn zichtbaar of toegankelijk voor klanten of gebruikers.

Pop It treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, misbruik, onbevoegde toegang en onrechtmatige verwerking.

Dit omvat in elk geval de volgende principes:

1. Versleuteling tijdens transport en bij opslag waar passend.
2. Toegangsbeheer met authenticatie en rol- en rechtenstructuren volgens least privilege.
3. Logging en monitoring voor stabiliteit, detectie van onregelmatigheden en onderzoek bij incidenten, met beperkte interne toegang op need-to-know basis.
4. Back-ups en herstelprocessen gericht op continuïteit.
5. Gecontroleerde wijzigingsprocessen en periodieke evaluatie en verbetering van maatregelen.

Geen enkel systeem kan absolute veiligheid garanderen. Pop It neemt passende maatregelen om risico’s op ongeautoriseerde toegang, verlies of ongeoorloofde wijziging te beperken.

Pop It hanteert een incidentproces voor detectie, beoordeling, containment, herstel en evaluatie.

Wanneer sprake is van een datalek en Pop It verwerker is, informeert Pop It de verwerkingsverantwoordelijke zonder onredelijke vertraging en ondersteunt Pop It waar passend met technische informatie en herstelmaatregelen. Pop It bepaalt niet zelfstandig of melding aan een toezichthouder vereist is.

Pop It deelt persoonsgegevens:

1. Binnen de tenant van de klantorganisatie met geautoriseerde gebruikers conform rollen en rechten.
2. Met geselecteerde dienstverleners die noodzakelijk zijn om de dienst te leveren, zoals hosting, e-mailverzending, monitoring en support tooling, onder passende contractuele waarborgen en het need-to-know principe.

Een actueel overzicht van subverwerkers is beschikbaar via de door Pop It aangewezen kanalen of op verzoek voor enterprise trajecten.

Waar verwerking of ondersteuning leidt tot doorgifte buiten de EER, past Pop It passende waarborgen toe zoals contractuele clausules en aanvullende maatregelen waar nodig, conform afspraken met de klantorganisatie.

Pop It gebruikt noodzakelijke cookies en vergelijkbare technieken voor sessies, beveiliging en basisfunctionaliteit. Niet-noodzakelijke cookies of vergelijkbare technieken worden alleen gebruikt waar dit is ingericht en waar dit voldoet aan de geldende toestemmingsregels.

Pop It kent abonnementen en upgrades binnen de app en binnen Teams. Een Teams abonnement kan maandelijks opzegbaar zijn, afhankelijk van het gekozen plan.

Voor betalingen en facturatie verwerkt Pop It alleen gegevens die noodzakelijk zijn voor contract- en administratievoering, zoals factuurgegevens, betalingsstatus en contactgegevens voor financiële communicatie. Bewaartermijnen voor factuur- en administratiegegevens volgen wettelijke verplichtingen.

Opzegging of beëindiging van een account kan leiden tot beperking van toegang. Gegevens worden daarna verwijderd of geanonimiseerd conform afspraken, retentie-instellingen en wettelijke bewaarplichten, met inachtneming van noodzakelijke back-upcycli.

Deze privacyverklaring beschrijft hoe Pop It met persoonsgegevens omgaat, maar vormt geen juridisch advies voor specifieke sectoren of landen. Klanten blijven zelf verantwoordelijk voor het rechtmatig gebruik van het platform in hun context.

Voor zover toegestaan onder toepasselijk recht is Pop It niet aansprakelijk voor indirecte schade die voortvloeit uit gebruik van het platform of uit handelen van klantorganisaties of derden. Eventuele verdere aansprakelijkheidsafspraken volgen uit de overeenkomst met de klantorganisatie.

Pop It kan deze privacyverklaring aanpassen wanneer de dienstverlening wijzigt, nieuwe functionaliteiten worden toegevoegd of wet- en regelgeving verandert. De meest recente versie is van toepassing zodra deze is gepubliceerd. Bij materiële wijzigingen kan Pop It klanten of gebruikers informeren via gebruikelijke kanalen.

Voor vragen over privacy, verzoeken van betrokkenen, compliance trajecten, DPIA ondersteuning of documentatie kunt u contact opnemen via:

privacy@popitnl.nl