Privacybeleid

1. Informatie over de verwerkingsverantwoordelijke

RalphNex OÜ, een bedrijf geregistreerd in Estland onder Registratiecode 16932562, treedt op als verwerkingsverantwoordelijke voor persoonsgegevens die worden verzameld via het Pushary-platform en de website. Neem voor vragen over gegevensverwerking contact met ons op via business@pushary.com.

Wanneer u Pushary gebruikt om meldingen naar uw eindgebruikers te sturen, of om goedkeuringsverzoeken en meldingen door te geven tussen uw AI-agents en uzelf, treedt u op als verwerkingsverantwoordelijke voor die gegevens over abonnees en agentinteracties, en treden wij op als verwerker namens u.

2. Informatie die wij verzamelen

2.1 Accountinformatie (gegevens die wij beheren)

Wanneer u zich registreert voor een Pushary-account, verzamelen wij:

• Identiteitsgegevens: voornaam, achternaam, e-mailadres en profielafbeelding (verstrekt via Clerk-authenticatie)
• Accountgegevens: gebruikers-ID, authenticatietokens, accountvoorkeuren en tijdzone-instellingen
• Workspace-gegevens: workspace-namen, slugs, relaties tussen teamleden en roltoewijzingen (owner, admin, member, viewer)
• Factureringsgegevens: Stripe-klant-ID, abonnementsplan, betalingsstatus en factureringsgeschiedenis (verwerkt via Stripe; wij slaan geen creditcardnummers op)

2.2 Siteconfiguratiegegevens

Voor elke site die u binnen uw workspace aanmaakt, slaan wij op:

• Sitenaam, domein en configuratie-instellingen
• VAPID-sleutelparen (openbare en privésleutels) die uniek per site worden gegenereerd voor cryptografische authenticatie van pushmeldingen
• Hashes en prefixen van API-sleutels (volledige API-sleutels worden slechts eenmaal getoond bij het genereren)
• Site-iconen, logo's en branding-assets die u uploadt

2.3 Abonneegegevens (gegevens die wij namens u verwerken)

Wanneer eindgebruikers zich abonneren op meldingen via uw site, verzamelen en verwerken wij:

• Push-abonnementsgegevens: endpoint-URL, P256DH-sleutel en authenticatiesleutel die vereist zijn voor levering via het Web Push-protocol
• Apparaatinformatie: browsertype, besturingssysteem, apparaattype (desktop/mobiel/tablet) en user-agent-string
• Geografische gegevens: land, stad en tijdzone afgeleid uit IP-adres-geolocatie (indien ingeschakeld)
• Aangepaste attributen: tags, externe ID's en aangepaste metadata die u via onze SDK of API aan abonnees toewijst
• Engagementgegevens: abonnementsdatum, laatst actieve datum, aantal afgeleverde meldingen, aantal kliks en abonnementsstatus

2.4 Analyse- en gebeurtenisgegevens

Wij verzamelen analysegegevens om rapportages te bieden en de Service te verbeteren:

• Meldingsgebeurtenissen: weergaven, kliks, afwijzingen, geslaagde afleveringen en mislukkingen
• Prestatiestatistieken van campagnes: totaal aantal getargete, verzonden, afgeleverde, geklikte en mislukte meldingen
• Dagelijks geaggregeerde statistieken per site
• Interacties met actieknoppen met bijbehorende actie-ID's

2.5 Technische en loggegevens

Wij verzamelen automatisch technische informatie wanneer u ons platform bezoekt:

• IP-adressen en verzoekmetadata
• Browsertype, versie en taalvoorkeuren
• Toegangstijden, bezochte pagina's en verwijzende URL's
• Logs van API-verzoeken inclusief endpoints, tijdstempels en responscodes
• Foutlogs en diagnostische informatie voor probleemoplossing

2.6 Gegevens van het AI-agentplatform (gegevens die wij namens u verwerken)

Wanneer u een AI-agent (zoals Claude Code, Codex, Cursor of Hermes) verbindt met Pushary, draait de agent op uw eigen machine. Om u te vragen een actie goed te keuren of u een melding te sturen, geeft een lichtgewicht hook alleen de informatie door die voor die beslissing nodig is. Pushary is zo gebouwd dat uw code bij u blijft.

Voor elk goedkeuringsverzoek of elke melding ontvangen en verwerken wij:

• De vraag of beslissing: de prompt die uw agent door u beantwoord wil zien, zoals of een specifieke opdracht moet worden uitgevoerd
• De toolnaam: de betrokken agenttool, zoals Bash, Edit of Write
• Het interactietype: of het verzoek een bevestiging, een selectie of een vrije-tekstvraag is
• Optionele context: een korte platte-tekstnotitie die uw agent of hook kan toevoegen om het verzoek toe te lichten
• Uw beslissing: uw goedkeuring, afwijzing of getypte antwoord, en het tijdstip waarop u reageerde
• Agent- en sessie-identificatoren: het agenttype en de naam, een machine-identificator en een sessie-identificator die wordt gebruikt om gerelateerde activiteit te groeperen
• Meldingsinhoud: voor voltooiings- of foutmeldingen een titel en tekst, plus elke samenvatting, lijst met gewijzigde bestandsnamen, foutmelding, foutbestandsnaam of vervolgstappen die uw agent ervoor kiest op te nemen

Om deze beslissingen en meldingen te laten werken, verlaat het volgende nooit uw machine en wordt het nooit naar ons verzonden of door ons opgeslagen:

• Uw broncode, bestandsinhoud en diffs
• Het transcript van uw agent of uw gespreksgeschiedenis
• Omgevingsvariabelen, geheimen, inloggegevens en API-sleutels
• De inhoud van elk bestand dat uw agent leest of schrijft (alleen bestandsnamen die u ervoor kiest in een melding op te nemen kunnen worden verzonden, nooit de inhoud ervan)

Openstaande vragen worden kort bewaard in onze Redis-cache en verlopen automatisch na tien minuten als u niet reageert. Meldingscontext wordt tot vierentwintig uur bewaard. Een duurzaam record van elke vraag, de betrokken tool en uw beslissing wordt naar uw audittrail geschreven en bewaard volgens uw plan (zie Sectie 6). Wij schrijven uw code nooit naar de audittrail.

U bepaalt wat uw agents verzenden. Voor gegevens die via de agentintegratie worden verzonden, treedt u op als verwerkingsverantwoordelijke en treedt Pushary op als verwerker namens u, onder dezelfde voorwaarden die hierboven gelden voor abonneegegevens.

3. Rechtsgrondslag voor verwerking (AVG Artikel 6)

Wij verwerken persoonsgegevens op basis van de volgende rechtsgrondslagen:

• Uitvoering van de overeenkomst (Art. 6(1)(b)): verwerking die noodzakelijk is om de Service te leveren waarop u zich heeft geabonneerd, inclusief accountbeheer, levering van meldingen en facturering
• Gerechtvaardigde belangen (Art. 6(1)(f)): verwerking voor platformbeveiliging, fraudepreventie, serviceverbetering en analyse waarbij onze belangen uw rechten niet overstijgen
• Wettelijke verplichting (Art. 6(1)(c)): verwerking die vereist is om te voldoen aan toepasselijke wetgeving, inclusief belastingregels, gerechtelijke bevelen en regelgevende vereisten
• Toestemming (Art. 6(1)(a)): waar van toepassing, verwerking op basis van uw uitdrukkelijke toestemming, die u op elk moment kunt intrekken

Voor abonneegegevens die u via ons platform verzamelt, bent u de verwerkingsverantwoordelijke en moet u ervoor zorgen dat u passende toestemming of een rechtsgrondslag van uw eindgebruikers heeft verkregen.

4. Hoe wij uw informatie gebruiken

Wij verwerken verzamelde informatie voor de volgende doeleinden:

• Servicelevering: het exploiteren en onderhouden van ons gebeurtenisgedreven meldingsplatform, het verwerken van de levering van meldingen via onze op Kafka gebaseerde berichtenwachtrij, en het bieden van realtime analyses
• Accountbeheer: het aanmaken en beheren van uw account, het authenticeren van toegang, het verwerken van bewerkingen voor workspace- en teambeheer
• Factureringsbewerkingen: het verwerken van abonnementsbetalingen via Stripe, het beheren van planwijzigingen en het bijhouden van factureringsgegevens
• Platformbeveiliging: het detecteren en voorkomen van fraude, ongeoorloofde toegang en misbruik via Row-Level Security-beleid en toegangscontroles
• Klantenondersteuning: het beantwoorden van vragen, het oplossen van problemen en het bieden van technische ondersteuning
• Serviceverbetering: het analyseren van gebruikspatronen, het identificeren van prestatieproblemen en het ontwikkelen van nieuwe functies
• Communicatie: het verzenden van service-updates, beveiligingswaarschuwingen en belangrijke kennisgevingen met betrekking tot uw account
• Agentbesturing: het doorgeven van goedkeuringsverzoeken en meldingen tussen uw AI-agents en uzelf, het toepassen van het door u geconfigureerde machtigingsbeleid per tool, en het vastleggen van beslissingen in uw audittrail
• Wettelijke naleving: het vervullen van wettelijke verplichtingen, het reageren op rechtmatige verzoeken en het beschermen van onze wettelijke rechten

5. Gegevensdeling en openbaarmaking

Wij verkopen, verhuren of verhandelen uw persoonsgegevens niet. Wij kunnen gegevens delen in de volgende beperkte omstandigheden:

5.1 Dienstverleners (subverwerkers)

Wij schakelen vertrouwde externe dienstverleners in die gegevens namens ons verwerken onder strikte contractuele verplichtingen:

• Clerk (Authenticatie): gebruikersauthenticatie en identiteitsbeheer - verwerkt accountgegevens en sessiegegevens
• Neon (Database): PostgreSQL-databasehosting - slaat alle platformgegevens op met versleuteling in rust
• Vercel (Hosting): applicatiehosting en CDN - verwerkt verzoekgegevens en levert de dashboardapplicatie
• Stripe (Betalingen): betalingsverwerking - verwerkt factureringsgegevens en betalingstransacties
• Upstash/Kafka-provider (Berichtenwachtrij): event-streaming - verwerkt gebeurtenissen bij de levering van meldingen
• Upstash (Redis-cache): tijdelijke opslag van openstaande agentvragen en meldingscontext, alleen bewaard totdat u reageert of totdat ze verlopen
• Push-dienstverleners (Google FCM, Mozilla, Apple APNs): levering van meldingen - ontvangt push-abonnement-endpoints en versleutelde meldingspayloads

5.2 Wettelijke vereisten

Wij kunnen informatie openbaar maken wanneer dit wettelijk vereist is, inclusief:

• Reactie op geldige juridische procedures (dagvaardingen, gerechtelijke bevelen, bevelschriften)
• Naleving van toepasselijke wetten, regelgeving of overheidsverzoeken
• Bescherming van onze wettelijke rechten, eigendom of veiligheid
• Het voorkomen of onderzoeken van mogelijk wangedrag

5.3 Bedrijfsoverdrachten

In het geval van een fusie, overname, reorganisatie of verkoop van activa kan uw informatie als onderdeel van de transactie worden overgedragen. Wij zullen u op de hoogte stellen van een dergelijke overdracht en van eventuele wijzigingen in de toepasselijke privacyvoorwaarden.

6. Gegevensbewaring

Wij bewaren persoonsgegevens slechts zo lang als nodig is voor de in dit beleid beschreven doeleinden:

• Accountgegevens: bewaard zolang uw account actief is en gedurende 30 dagen na een verwijderingsverzoek om accountherstel mogelijk te maken
• Abonneegegevens: bewaard volgens het gegevensbewaarvenster van uw abonnementsplan (momenteel 7 dagen bij Free, 30 dagen bij Starter, 90 dagen bij Growth, 180 dagen bij Pro en onbeperkt bij Enterprise)
• Records van agentinteracties: uw agent-audittrail (elke vraag, de betrokken tool en uw beslissing) wordt bewaard volgens het gegevensbewaarvenster van uw plan (momenteel 30 dagen bij Agent, 90 dagen bij Agent Pro, 365 dagen bij Team en onbeperkt bij Enterprise), waarna records automatisch worden verwijderd
• Openstaande agentvragen: bewaard in onze Redis-cache alleen totdat u reageert, gedurende hooguit tien minuten, waarbij meldingscontext tot vierentwintig uur wordt bewaard, waarna ze automatisch verlopen
• Analysegegevens: geaggregeerde dagelijkse statistieken bewaard volgens de gegevensbewaarlimieten van uw plan
• Logs van meldingsgebeurtenissen: bewaard volgens uw planlimieten; individuele meldingsrecords kunnen na bevestiging van levering worden verwijderd
• Factureringsgegevens: gedurende 7 jaar bewaard zoals vereist door de Estse belastingwetgeving en toepasselijke boekhoudnormen
• Beveiligingslogs: gedurende 90 dagen bewaard voor beveiligingsmonitoring en incidentonderzoek

Bij accountverwijdering zullen wij uw persoonsgegevens binnen 30 dagen verwijderen of anonimiseren, behalve wanneer bewaring wettelijk vereist is of noodzakelijk is om onze gerechtvaardigde belangen te beschermen.

7. Gegevensbeveiliging

Wij implementeren uitgebreide technische en organisatorische maatregelen om uw gegevens te beschermen:

7.1 Technische waarborgen

• Versleuteling tijdens overdracht: alle gegevens die naar en van ons platform worden verzonden, zijn versleuteld met TLS 1.2 of hoger
• Versleuteling in rust: databaseopslag versleuteld met AES-256-versleuteling op infrastructuurniveau
• Row-Level Security (RLS): PostgreSQL RLS-beleid dwingt multi-tenant gegevensisolatie af op databaseniveau
• VAPID-authenticatie: unieke cryptografische sleutelparen per site voor veilige levering van pushmeldingen
• API-sleutelbeveiliging: API-sleutels opgeslagen als veilige hashes; volledige sleutels slechts eenmaal getoond bij het genereren
• Veilige authenticatie: authenticatie afgehandeld door Clerk met ondersteuning voor MFA en veilig sessiebeheer
• Ondertekende beslissingslinks: links naar goedkeurings- en beslissingspagina's worden ondertekend met een HMAC-geheim zodat ze door niemand anders kunnen worden vervalst of opnieuw afgespeeld
• Gegevensminimalisatie: voor de agentintegratie verzenden wij alleen de beslissing (de vraag en de toolnaam), nooit uw broncode, bestanden of transcript

7.2 Operationele waarborgen

• Toegangscontroles die gegevenstoegang beperken tot bevoegd personeel
• Regelmatige beveiligingsbeoordelingen en monitoring op kwetsbaarheden
• Procedures voor incidentrespons bij beveiligingsgebeurtenissen
• Veilige ontwikkelpraktijken en code-reviewprocessen

7.3 Infrastructuurbeveiliging

• Hosting op SOC 2 Type II-gecertificeerde infrastructuur (Vercel, Neon)
• Geografische redundantie en geautomatiseerde back-ups
• DDoS-bescherming en rate-limiting
• Geïsoleerde workerprocessen voor de levering van meldingen

Hoewel wij branchestandaard beveiligingsmaatregelen implementeren, is geen enkel systeem volledig veilig. Wij kunnen geen absolute beveiliging van uw gegevens garanderen.

7.4 Nalevingshouding

Pushary wordt geëxploiteerd door een Ests bedrijf binnen de Europese Unie en is opgebouwd rond AVG-principes, waaronder gegevensminimalisatie, multi-tenant isolatie via Row-Level Security en EU-gebaseerde hosting. Wij hebben echter geen formele AVG-certificering, keurmerk of onafhankelijke verklaring van een externe audit verkregen voor het Pushary-platform zelf, en onze naleving is een zelfbeoordeling. Waar onze infrastructuuraanbieders certificeringen bezitten, behoren die certificeringen toe aan die aanbieders en niet aan ons. Niets in dit beleid mag worden opgevat als een certificering of garantie van naleving door enige toezichthoudende autoriteit of certificeringsinstantie.

8. Uw privacyrechten

Wij respecteren uw rechten met betrekking tot uw persoonsgegevens. Afhankelijk van uw locatie en de toepasselijke wetgeving kunt u de volgende rechten hebben:

• Recht op inzage: vraag een kopie aan van de persoonsgegevens die wij over u bewaren
• Recht op rectificatie: vraag correctie aan van onjuiste of onvolledige persoonsgegevens
• Recht op wissing: vraag verwijdering aan van uw persoonsgegevens wanneer er geen dwingende reden is voor voortgezette verwerking
• Recht op beperking van de verwerking: vraag beperking van de verwerking aan terwijl wij de juistheid verifiëren of bezwaren beoordelen
• Recht op gegevensoverdraagbaarheid: ontvang uw persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat
• Recht van bezwaar: maak bezwaar tegen verwerking op basis van gerechtvaardigde belangen
• Recht om toestemming in te trekken: wanneer verwerking op toestemming is gebaseerd, trek die toestemming op elk moment in

Neem voor het uitoefenen van een van deze rechten contact met ons op via business@pushary.com. Wij reageren binnen 30 dagen. Wij kunnen verificatie van uw identiteit vragen voordat wij uw verzoek verwerken. business@pushary.com.

9. Gegevenslocatie en overdrachten

Onze primaire infrastructuur wordt gehost in Duitsland binnen de Europese Unie. Uw gegevens kunnen op de volgende locaties worden verwerkt:

• Primaire database: Duitsland (EU) - PostgreSQL-databasehosting
• Applicatiehosting: wereldwijd CDN met edge-verwerking
• Authenticatie: Clerk verwerkt authenticatiegegevens
• Betalingen: Stripe verwerkt factureringsgegevens
• Vragen-cache: Upstash Redis slaat tijdelijk openstaande agentvragen en meldingscontext op

Sommige van onze dienstverleners zijn internationaal actief. Wanneer uw gegevens buiten de Europese Unie worden overgedragen, werken wij met aanbieders die passende gegevensbeschermingsmaatregelen implementeren.

10. Cookies en trackingtechnologieën

Wij gebruiken cookies en vergelijkbare technologieën om ons platform te exploiteren en te verbeteren:

10.1 Essentiële cookies

Vereist voor de functionaliteit van het platform. Deze kunnen niet worden uitgeschakeld:

• Authenticatie-sessiecookies (beheerd door Clerk)
• CSRF-beschermingstokens
• Sessiepersistentie van de load balancer

10.2 Functionele cookies

Verbeteren uw ervaring door voorkeuren te onthouden:

• Themavoorkeuren (lichte/donkere modus)
• Instellingen voor de dashboard-indeling
• Taalvoorkeuren

10.3 Analysecookies

Helpen ons het gebruik van het platform te begrijpen:

• Tracking van paginaweergaven
• Analyse van functiegebruik
• Fouttracking en diagnostiek

U kunt cookievoorkeuren beheren via uw browserinstellingen. Het uitschakelen van bepaalde cookies kan de functionaliteit van het platform beïnvloeden.

11. Gegevensverwerkingsrelatie

Wanneer u Pushary gebruikt om meldingen naar uw eindgebruikers te sturen, verwerken wij abonneegegevens namens u. Onze verplichtingen omvatten:

• Het verwerken van gegevens volgens uw instructies voor de levering van meldingen
• Het bewaren van de vertrouwelijkheid van abonnee-informatie
• Het implementeren van technische en organisatorische beveiligingsmaatregelen
• Het assisteren bij verzoeken van betrokkenen op uw instructie
• Het verwijderen of teruggeven van gegevens bij beëindiging van het account

Dezelfde verwerkersverplichtingen gelden voor de gegevens die u via de AI-agentintegratie verzendt, inclusief de vragen, beslissingen en auditrecords die in Sectie 2.6 worden beschreven.

Enterprise-klanten die formele gegevensverwerkingsovereenkomsten nodig hebben, kunnen contact met ons opnemen via business@pushary.com.

12. Privacy van kinderen

Het Pushary-platform is ontworpen voor zakelijk gebruik en is niet gericht op kinderen onder de 16 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen. Als u zich ervan bewust wordt dat een kind ons zonder toestemming van de ouders persoonsgegevens heeft verstrekt, neem dan contact met ons op via business@pushary.com, en wij zullen stappen ondernemen om dergelijke informatie te verwijderen.

Als u Pushary gebruikt om meldingen te verzenden, bent u ervoor verantwoordelijk te waarborgen dat uw service geschikt is voor uw publiek en dat u voldoet aan de toepasselijke wetgeving inzake de privacy van kinderen (inclusief COPPA in de Verenigde Staten).

13. Privacyrechten in Californië (CCPA)

Als u inwoner van Californië bent, heeft u aanvullende rechten op grond van de California Consumer Privacy Act (CCPA):

• Recht op kennis: vraag openbaarmaking aan van de categorieën en specifieke stukken verzamelde persoonsgegevens
• Recht op verwijdering: vraag verwijdering aan van persoonsgegevens die wij hebben verzameld
• Recht op non-discriminatie: oefen privacyrechten uit zonder discriminerende behandeling
• Recht op opt-out: wij verkopen geen persoonsgegevens; daarom is er geen verkoop waarvan u zich kunt afmelden

Neem voor het uitoefenen van CCPA-rechten contact met ons op via business@pushary.com. Wij verifiëren uw identiteit voordat wij verzoeken verwerken.

14. Wijzigingen in dit beleid

Wij kunnen dit Privacybeleid periodiek bijwerken om wijzigingen in onze praktijken, technologieën, wettelijke vereisten of om andere operationele redenen weer te geven. Wij zullen u op de hoogte stellen van wezenlijke wijzigingen door:

• Het bijgewerkte beleid op onze website te plaatsen met een nieuwe ingangsdatum
• Een e-mailmelding te sturen naar geregistreerde accounthouders bij belangrijke wijzigingen
• Een kennisgeving weer te geven in de dashboardinterface

Wij raden u aan dit beleid periodiek te bekijken. Uw voortgezet gebruik van de Service nadat wijzigingen van kracht worden, vormt aanvaarding van het bijgewerkte beleid.

15. Neem contact met ons op

Neem voor vragen, zorgen of verzoeken met betrekking tot dit Privacybeleid of onze gegevenspraktijken contact op met ons gegevensbeschermingsteam: