Naar inhoud
Zezam! Samen veiliger

Transparant over privacy

Zezam! Check-app in beeld Screenshot van de Zezam! Check-app als illustratie bij de privacyverklaring.

Privacyverklaring

Privacyverklaring Zezam!

Laatst bijgewerkt: 17 februari 2026

Zezam! (“wij”, “ons”) biedt een platform voor verificatie van organisatie-affiliatie via het Admin Portal, backend-services en de mobiele apps Zezam! ID en Zezam! Check (hierna: “het Platform”).

Privacy en veiligheid staan centraal in het ontwerp van Zezam!. Wij verwerken uitsluitend persoonsgegevens die noodzakelijk zijn voor verificatie, beveiliging en betrouwbare werking van het Platform.

Kort samengevat

  • Wij verzamelen alleen gegevens die nodig zijn voor verificatie en beveiliging.
  • Wij verkopen geen persoonsgegevens.
  • Wij gebruiken Bluetooth uitsluitend voor directe verificatie in de buurt.
  • Wij verzamelen geen locatiegegevens, geen microfoon- of cameragegevens.
  • Gebruikers kunnen hun gegevens laten verwijderen.

1. Wie is verantwoordelijk?

Verwerkingsverantwoordelijke:
xylopex
[adres]
[KvK-nummer]
E-mail: privacy@xylopex.com

Wij zijn momenteel niet wettelijk verplicht een Functionaris Gegevensbescherming aan te stellen.

2. Wanneer geldt deze privacyverklaring?

Deze privacyverklaring is van toepassing op:

  • Het gebruik van het Admin Portal
  • Het gebruik van Zezam! ID
  • Het gebruik van Zezam! Check
  • Authenticatie- en beveiligingsvoorzieningen van het Platform

3. Rollen onder de AVG

3.1 Organisaties (klanten)

Zezam! is een multi-tenant platform.

Wanneer organisaties (bijvoorbeeld gemeenten, banken of zorginstellingen) het Platform gebruiken voor hun medewerkers:

  • De klantorganisatie is verwerkingsverantwoordelijke voor de medewerkersgegevens.
  • Zezam! treedt op als verwerker en verwerkt gegevens namens de klant conform een verwerkersovereenkomst.

Voor bepaalde verwerkingen die noodzakelijk zijn voor de algemene beveiliging, stabiliteit en fraudepreventie van het Platform (zoals beveiligingslogging en misbruikdetectie) kan Zezam! zelfstandig verwerkingsverantwoordelijke zijn.

3.2 Zezam! Check (zonder account)

De Zezam! Check app kan zonder account worden gebruikt.

Indien een gebruiker vrijwillig een telefoonnummer registreert voor verificatiefuncties, verwerken wij dit nummer om verificatie mogelijk te maken. In dat geval is Zezam! verwerkingsverantwoordelijke.

4. Welke persoonsgegevens verwerken wij?

Afhankelijk van het gebruik kunnen wij de volgende categorieën gegevens verwerken.

4.1 Account- en profielgegevens

  • Naam
  • E-mailadres
  • Organisatierol
  • Accountstatus
  • Laatste login

Doel: accountbeheer en verificatie
Bewaartermijn: zolang het account actief is

4.2 Authenticatie- en beveiligingsgegevens

  • Beveiligde wachtwoordgegevens (gehasht)
  • Toegangs- en sessietokens
  • IP-adres bij login
  • Beveiligings- en auditlogs
  • Mislukte inlogpogingen

Doel: beveiliging, fraudepreventie en platformintegriteit

Bewaartermijn:

  • Beveiligingslogs: maximaal 12 maanden
  • Sessietokens: tot uitloggen of verlopen

Authenticatietokens worden lokaal veilig opgeslagen via de beveiligingsmechanismen van het besturingssysteem van het apparaat.

4.3 Device- en app-gegevens

  • App-versie
  • Platform (iOS/Android)
  • Apparaattype
  • Push-notificatietoken
  • Laatste activiteit

Pushnotificaties verlopen via de standaard pushdiensten van het betreffende platform (bijvoorbeeld Apple Push Notification Service of Firebase Cloud Messaging).

Doel: technische werking en beveiliging
Bewaartermijn: zolang noodzakelijk voor correcte werking van de app

4.4 Telefoonnummer (optioneel – Zezam! Check)

Indien een gebruiker vrijwillig een telefoonnummer registreert:

  • Telefoonnummer
  • Verificatiestatus
  • Tijdstip van verificatie

Doel: verificatie van telefoongebonden badges en inkomende oproepverificatie

Bewaartermijn: zolang actief gebruikt, of tot verwijdering door gebruiker

Wij verwerken geen inhoud van telefoongesprekken.

4.5 Call-verificatiegegevens (kortdurend)

Voor telefonische verificatie kunnen tijdelijk worden verwerkt:

  • Geregistreerd telefoonnummer
  • Geldigheidsduur van verificatie

Deze gegevens worden automatisch verwijderd zodra de verificatie verloopt.

4.6 Verificatie- en beveiligingslogs

Wij registreren technische verificatie-events (zoals succesvolle of mislukte verificatiepogingen) om:

  • Misbruik te detecteren
  • Incidenten te onderzoeken
  • De veiligheid van het Platform te waarborgen

Deze logs worden maximaal 12 maanden bewaard.

4.7 Lokale opslag op het apparaat

De Zezam!-apps kunnen verificatiegeschiedenis of technische loggegevens lokaal op het apparaat van de gebruiker opslaan.

Deze gegevens:

  • Worden niet automatisch naar onze servers verzonden
  • Worden niet centraal geanalyseerd
  • Blijven onder controle van de gebruiker

5. Bluetooth-gebruik

Zezam! gebruikt Bluetooth uitsluitend om verificatiegegevens uit te wisselen tussen apparaten die zich fysiek in elkaars directe nabijheid bevinden.

Bluetooth wordt niet gebruikt voor tracking of achtergrondmonitoring.
Wij gebruiken Bluetooth niet voor locatiebepaling.

Er worden geen GPS-locatiegegevens opgeslagen of verwerkt.

6. Wat verzamelen wij niet?

Zezam! verzamelt geen:

  • GPS-locatiegegevens
  • Microfoongegevens
  • Cameragegevens
  • Contacten
  • Foto’s of mediabestanden
  • Advertentie-identifiers
  • Trackinggegevens voor marketingdoeleinden

Cookies (Cloudflare)

Deze website gebruikt Cloudflare voor beveiliging en prestatieoptimalisatie. Cloudflare kan strikt noodzakelijke cookies plaatsen (zoals __cf_bm) om kwaadaardig verkeer te detecteren en de website te beschermen.

Deze cookies volgen bezoekers niet over verschillende websites en zijn vereist voor de veilige werking van de dienst.

7. Rechtsgrondslagen

Wij verwerken persoonsgegevens uitsluitend op basis van:

  • Uitvoering van een overeenkomst
  • Gerechtvaardigd belang (beveiliging en fraudepreventie)
  • Toestemming (bijvoorbeeld bij vrijwillige telefoonnummerregistratie)
  • Wettelijke verplichting

8. Met wie delen wij persoonsgegevens?

Wij delen persoonsgegevens uitsluitend indien noodzakelijk voor onze dienstverlening of indien wettelijk verplicht.

Dit kan zijn met:

  • Hosting- en cloudproviders
  • E-mail- en SMS-dienstverleners
  • Identity providers (bijvoorbeeld bij Single Sign-On)

Met deze partijen sluiten wij verwerkersovereenkomsten waar vereist.

Wij verkopen geen persoonsgegevens.

9. Doorgifte buiten de EER

Indien persoonsgegevens buiten de Europese Economische Ruimte worden verwerkt, zorgen wij voor passende waarborgen, zoals standaardcontractbepalingen (SCC’s) of een adequaatheidsbesluit.

10. Beveiliging

Wij nemen passende technische en organisatorische maatregelen, waaronder:

  • Versleutelde communicatie (HTTPS/TLS)
  • Versleutelde opslag van gevoelige gegevens
  • Gebruik van beveiligingsmechanismen van het besturingssysteem
  • Rolgebaseerde toegangscontrole
  • Monitoring van beveiligingsincidenten

11. Uw rechten

U heeft het recht op:

  • Inzage
  • Correctie
  • Verwijdering
  • Beperking van verwerking
  • Gegevensoverdraagbaarheid
  • Bezwaar
  • Intrekken van toestemming

Verzoeken kunnen worden ingediend via: privacy@xylopex.com

Indien wij optreden als verwerker namens een klantorganisatie, verwijzen wij uw verzoek door naar de betreffende organisatie.

12. Accountverwijdering

Gebruikers kunnen hun account laten verwijderen:

Na verwijdering worden persoonsgegevens verwijderd, tenzij wettelijke bewaarplichten anders vereisen.

13. Geautomatiseerde besluitvorming

Zezam! neemt geen besluiten die uitsluitend zijn gebaseerd op geautomatiseerde verwerking en die rechtsgevolgen hebben of gebruikers anderszins aanzienlijk treffen.

14. Klachten

U kunt een klacht indienen via privacy@xylopex.com.

Daarnaast kunt u een klacht indienen bij de toezichthouder. In Nederland is dit de Autoriteit Persoonsgegevens.

15. Wijzigingen

Wij kunnen deze privacyverklaring van tijd tot tijd aanpassen. De meest recente versie is beschikbaar via [URL].