1. Inleiding

WayTime ("wij", "ons") biedt een software-as-a-service (SaaS) oplossing aan die organisaties helpt bij het visualiseren van afspraken en locaties vanuit Microsoft Outlook. Wij hechten grote waarde aan de privacy van onze gebruikers en de bescherming van hun persoonsgegevens conform de Algemene Verordening Gegevensbescherming (AVG / GDPR). WayTime is geregistreerd bij de Kamer van Koophandel onder nummer 42046423, gevestigd te Van Dongenstraat 1, 8107AD Broekland, Nederland.

De rol van WayTime verschilt per verwerking. Voor accountbeheer, facturatie, support, beveiliging, websitebeheer en wettelijke verplichtingen treedt WayTime in beginsel op als verwerkingsverantwoordelijke. Voor agenda-, locatie- en teamdata die binnen de dienst namens een klantorganisatie worden verwerkt, treedt WayTime in beginsel op als verwerker. Voor dat laatste geldt aanvullend onze verwerkersovereenkomst.

2. Welke gegevens wij verwerken

Om onze diensten aan te bieden, verwerken wij de volgende categorieën gegevens:

• Accountgegevens: Naam, zakelijk e-mailadres, organisatienaam en rol binnen het systeem.
• Microsoft Azure AD Gegevens: Uniek User ID, encrypted toegangstokens (OAuth2) voor synchronisatie.
• Agenda-informatie: Onderwerp (subject) van de afspraak, tijdstip, locatieomschrijving en de daaruit afgeleide geografische coördinaten (latitude/longitude).
• Gebruiksinstellingen: Voorkeuren zoals de "Zichtbaarheid op kaart" (Ghost Mode) status.
• Supportgegevens: Berichten die je verstuurt via de supportchat, inclusief ticketmetadata (prioriteit, status en categorie) wanneer escalatie nodig is.
• Betalingsgegevens: Facturatiegegevens verwerkt door Stripe. Wij slaan zelf geen creditcard- of bankgegevens op.

3. Microsoft Graph API — gevraagde rechten

WayTime maakt gebruik van Microsoft Azure AD en de Microsoft Graph API voor authenticatie en agenda-synchronisatie. Wij vragen de volgende OAuth2-machtigingen (scopes):

• openid, profile, email: Voor identificatie en inloggen via je Microsoft account.
• Calendars.Read: Alleen lezen van je Outlook-agenda. Wij schrijven nooit naar je agenda.
• offline_access: Zodat wij op de achtergrond agenda's kunnen synchroniseren zonder dat je telkens opnieuw hoeft in te loggen.

Wij vragen nooit toegang tot e-mailinhoud, bestanden of andere Microsoft-diensten. Je kunt de toegang op elk moment intrekken via myapps.microsoft.com of je Microsoft account-instellingen.

4. Grondslag en Doeleinden

Wij verwerken deze gegevens, afhankelijk van de context, op basis van de uitvoering van een overeenkomst, naleving van wettelijke verplichtingen en ons gerechtvaardigd belang bij het beveiligen en verbeteren van de dienst. De doeleinden zijn:

• Het visualiseren van de buitendienst op een interactieve kaart.
• Het automatisch synchroniseren van Outlook-agenda's naar het dashboard.
• Het berekenen van afstanden en routes voor planningsdoeleinden.
• Het afhandelen van supportvragen, inclusief AI-ondersteunde triage in de supportchat.
• Het beheren van abonnementen en facturatie.

AI-verwerking via OpenAI wordt uitsluitend ingezet voor supportdoeleinden (triage, taalherkenning en conceptantwoorden in de supportflow), niet voor algemene monitoring van medewerkers of commerciële profilering.

5. Beveiliging van Gegevens

Wij nemen beveiliging uiterst serieus en hebben de volgende maatregelen geïmplementeerd:

• Encryptie: Alle Microsoft Graph tokens worden versleuteld (AES-256) opgeslagen in onze database.
• TLS-beveiliging: Alle datacommunicatie tussen de browser en onze servers verloopt via versleutelde HTTPS-verbindingen.
• Data Minimalisatie: Wij lezen enkel de noodzakelijke agendavelden uit. De inhoud van e-mails of bijlagen wordt nooit opgehaald of ingezien.
• Toegangsbeheer: Gegevens zijn strikt gescheiden per organisatie (multi-tenancy). Gebruikers kunnen enkel data binnen hun eigen organisatie inzien.

6. Bewaartermijnen (Data Retention)

• Agenda-data: Locatiegegevens en afspraakdetails worden maximaal 90 dagen bewaard voor historische analyse, tenzij anders ingesteld door de organisatie.
• Tokens: Authenticatietokens worden versleuteld bewaard zolang dit nodig is voor de koppeling met Microsoft; bij ongeldige of ingetrokken tokens worden deze in de applicatie opgeschoond.
• Na opzegging: Bij beëindiging van het abonnement worden gegevens uit de operationele omgeving in beginsel binnen 90 dagen verwijderd of geanonimiseerd, tenzij een wettelijke bewaarplicht geldt of een beperkte back-up- of hersteltermijn noodzakelijk is.

7. Externe dienstverleners en ontvangers

WayTime maakt gebruik van de volgende externe partijen voor de levering, beveiliging, ondersteuning en facturatie van de dienst:

Waar wettelijk vereist en passend bij de rolverdeling zijn met deze partijen verwerkersovereenkomsten, standaardcontractbepalingen of vergelijkbare contractuele waarborgen gesloten.

8. Rechten van Gebruikers

Conform de AVG heb je recht op:

• Inzage in de gegevens die wij van je verwerken.
• Correctie van onjuiste gegevens.
• Verwijdering van je gegevens ("Recht om vergeten te worden").
• Beperking van de verwerking (bijvoorbeeld via de "Ghost Mode" schakelaar in de app).
• Bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
• Dataportabiliteit: een export van je gegevens opvragen.

Je kunt deze rechten uitoefenen door een e-mail te sturen naar info@waytime.nl. Wij reageren binnen 30 dagen. Heb je een klacht? Dan kun je ook terecht bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

9. Foutregistratie en performance monitoring (Sentry)

WayTime kan, indien geconfigureerd, gebruikmaken van Sentry (Functional Software Inc., VS) voor het opsporen van technische fouten en het bewaken van de prestaties van de applicatie. In de huidige standaardconfiguratie gebruiken wij Sentry uitsluitend voor foutregistratie en performance tracing; sessie-opnames worden niet ingezet.

• Foutmeldingen en stack traces: Technische informatie over fouten in de applicatie, inclusief de pagina waarop de fout optrad en relevante toestandsinformatie.
• Performance tracing: Meting van technische prestatiegegevens zoals URL-paden, laadtijden en foutmomenten, voor zover dit voor troubleshooting en kwaliteitsbewaking noodzakelijk is.

Grondslag: gerechtvaardigd belang (verbetering van de dienst en afhandeling van technische incidenten). Gegevens worden verwerkt conform de DPA met Sentry. Sentry is gecertificeerd onder het EU-US Data Privacy Framework. Je kunt bezwaar maken tegen deze verwerking via info@waytime.nl.

10. Cookies

De verplichting om toestemming te vragen voor cookies vloeit voort uit de Telecommunicatiewet Art. 11.7a (niet de AVG). De AVG is van toepassing op de verdere verwerking van persoonsgegevens die via cookies worden verzameld.

WayTime gebruikt strikt noodzakelijke cookies voor authenticatie en beveiliging:

• Sessie-cookies: Voor het ingelogd houden na Microsoft-authenticatie. Vereist voor de werking van de dienst.
• CSRF-tokens: Voor beveiliging tegen cross-site request forgery.
• Lokale voorkeuren in de browser: Bijvoorbeeld het onthouden dat de cookiemelding is gesloten. Deze voorkeur wordt in localStorage bewaard en is geen advertentie- of trackingcookie.

Wij plaatsen geen advertentiecookies of marketingcookies. Voor strikt noodzakelijke cookies is geen toestemming vereist op grond van de Telecommunicatiewet. Indien in de toekomst optionele analytics- of marketingcookies worden toegevoegd, zullen wij daarvoor voorafgaande toestemming vragen.

11. Contact

Voor vragen over dit privacybeleid of het uitoefenen van je rechten kun je contact opnemen via: