Hoe we je data beschermen — en eerlijk: wat we wel en niet doen als startup. Voor klanten, partners en testers.
Laatst bijgewerkt: 5 mei 2026
Hosting, functions en database draaien in Europa (België + EU multi-region). Geen US-overdracht buiten sub-processors onder SCC.
OAuth-tokens van Google, Microsoft, Zoom en Mollie worden versleuteld voor ze in de database landen — met een sleutel die de browser nooit ziet.
Alle verkeer over HTTPS, automatische certificaatrotatie, HSTS afgedwongen.
Owner / admin / member / viewer. Server-side gevalideerd via Firestore Security Rules én API-middleware — niet alleen verstopt in de UI.
Inzage, dataportabiliteit en verwijdering doe je zelf — geen wachtrij, geen ticket.
Iedere admin-handeling wordt 2 jaar bewaard met IP, gebruikersagent en doel — voor onszelf én voor jou bij een datalek-onderzoek.
TLS 1.3 voor al het browser-server-verkeer. HSTS afgedwongen. Certificaten automatisch geroteerd door Google.
Firestore versleutelt alles by-default. Daarnaast leggen we AES-256-GCM bovenop OAuth refresh-tokens (Google, Microsoft, Zoom, Mollie) — een database-dump levert geen werkende kalender-toegang op.
Firebase Auth met JWT ID-tokens. Iedere protected API-route verifieert de token server-side voor er één byte data wordt geretourneerd.
API-middleware controleert je rol; Firestore Security Rules dwingen het óók af bij directe SDK-toegang. Cross-tenant data-leak is structureel onmogelijk.
Sliding-window per IP/key op contact-form, publieke boekingen, promo-validatie, account-export en -delete. Brute-force op promo-codes wordt na 20 pogingen per minuut geblokkeerd.
Stripe-webhooks worden cryptografisch geverifieerd met een runtime-roteerbare signing-secret. Mollie wordt gevalideerd via een terug-fetch naar hun API — body-trust bestaat niet.
Sentry registreert alleen technische stack-traces. E-mailadressen worden via een beforeSend-hook gestript voor verzending. Authorization-headers, cookies en request-bodies worden niet meegestuurd.
Pleney draait volledig op Google Cloud / Firebase, met de hoofdcomponenten in de EU.
| Component | Locatie | Bijzonderheden |
|---|---|---|
| Static + SSR (Firebase Hosting) | EU multi-region CDN | TLS 1.3, HSTS, auto cert |
| Cloud Functions (Node 20) | europe-west1 (België) | Container-geïsoleerd |
| Cloud Firestore | eur3 (EU multi-region) | Encrypted at-rest, TLS in transit |
| Firebase Authentication | Google identity-infra | JWT-tokens, server-side verified |
| Firebase Storage | europe-west1 | Logo's, uploads — content-type filter |
Voor onderdelen die we niet zelf bouwen schakelen we deze partijen in. Allemaal AVG-conform; sub-processor-wijzigingen worden vooraf aangekondigd.
| Partner | Doel | Locatie |
|---|---|---|
| Google Cloud / Firebase | Hosting, authenticatie, Firestore, Storage, Functions | EU (Frankfurt + multi-region) |
| Stripe | Abonnementsbetalingen | EU / VS (onder SCC) |
| Mollie | Boekingsbetalingen (iDEAL, creditcard) | Nederland (EU) |
| Resend | Transactionele e-mails (bevestiging, reminder) | EU |
| Sentry | Foutmonitoring (alleen technische traces, geen PII) | EU (Frankfurt) |
| Google Analytics 4 | Geanonimiseerde gebruiksstatistieken (alleen na consent) | EU / VS (onder SCC) |
| Google Calendar / Microsoft 365 / Zoom | Optionele agenda-koppelingen (alleen na expliciete koppeling door gebruiker) | EU / VS (onder SCC) |
De meeste rechten zijn self-service in het dashboard. Voor de rest reageren we binnen 24 uur op werkdagen.
Vraag op elk moment een kopie op van al je data via Dashboard → Account → Exporteer data. JSON-formaat, OAuth-tokens worden geredigeerd.
Wijzig je profiel, bedrijfsgegevens en contact-info zelf via Settings.
Klik 'Verwijder account' in Dashboard → Account. We revoken direct je OAuth-koppelingen, anonimiseren je naam in boekingen, en de daadwerkelijke purge volgt binnen 30 dagen.
De export uit Inzage is direct herbruikbaar — JSON met machine-leesbare structuur.
Mail info@sharpcreations.nl — we reageren binnen 24 uur op werkdagen.
Niet tevreden? Je kunt een klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).
Eerlijk over wat een micro-SaaS in beta wel en niet biedt. Voor enterprise-klanten zijn de niet-items gespreksstof.
Zet je Pleney in voor je eigen klanten? Dan ben jij verwerkingsverantwoordelijke en wij verwerker. Voor zo'n samenwerking bieden we een standaard verwerkersovereenkomst aan op basis van de EU-modeltekst.
Vraag DPA aanBij een datalek met risico voor jouw rechten en vrijheden melden we dit binnen 72 uur aan de Autoriteit Persoonsgegevens en, als nodig, aan jou via e-mail én een banner in het dashboard. Detectie via Sentry / audit-log → scope-bepaling → notificatie.
Vermoeden of gevonden? security@pleney.net
Heb je een kwetsbaarheid gevonden? Dank — meld 'm en we lossen het op.
Bevestiging binnen 48 uur, status-update wekelijks tot opgelost. Geen bug-bounty (nog), wel een hall-of-fame-vermelding op verzoek.
Of bekijk /.well-known/security.txt
Pleney is in publieke beta. De technische beveiliging is solide; formele certificeringen volgen op klantvraag.
Welke data we verzamelen, hoe we die verwerken en welke cookies we gebruiken.