Growthdesk
Probeer het live gratis

Growthdesk AI optimaliseert jouw website.

Privacy

Privacybeleid

Laatst bijgewerkt: 6 mei 2026

Growthdesk B.V. (hierna "Growthdesk", "wij", "ons") hecht waarde aan je privacy en gaat zorgvuldig om met je persoonsgegevens. Dit privacybeleid beschrijft welke persoonsgegevens wij verwerken wanneer je inlogt op een Growthdesk-applicatie via Single Sign-On (SSO), voor welke doelen wij dat doen, op welke grondslag, hoe lang wij die gegevens bewaren en welke rechten je hebt.

1. Verwerkingsverantwoordelijke

Growthdesk B.V.
Hofplein 20, 3032 AC Rotterdam
E-mail: hello@growthdesk.nl
Telefoon: +31 6 8739 6305

2. Wanneer is dit beleid van toepassing

Dit beleid is van toepassing op de gegevensverwerking die plaatsvindt wanneer je inlogt op een Growthdesk-applicatie via onze identiteits- en toegangsoplossing. Je kunt rechtstreeks bij ons inloggen met je e-mailadres en wachtwoord, of via een externe identiteitsprovider zoals hieronder beschreven.

3. Welke gegevens wij verwerken

Welke gegevens wij ontvangen hangt af van de OpenID Connect-scopes (toestemmingsbereiken) waarvoor jij toestemming geeft tijdens het inloggen. Het kan om de volgende categorieën gaan:

  • Identifier (verplicht) — een unieke gebruikers-id voor jouw account, zodat de applicatie je sessie kan herkennen.
  • Profielgegevens — voornaam, achternaam, weergavenaam, gebruikersnaam, profielfoto, geslacht, geboortedatum, locale, tijdzone en het tijdstip waarop je profiel laatst is bijgewerkt.
  • E-mailadres — je e-mailadres en of dit door jou is geverifieerd.
  • Telefoonnummer — je telefoonnummer en of dit is geverifieerd.
  • Postadres — het door jou ingestelde postadres.
  • Sessie-verlenging (refresh-token) — als je daarvoor toestemming geeft, ontvangt de applicatie een token waarmee je sessie verlengd kan worden zonder telkens opnieuw in te loggen.
  • Rollen en autorisaties — de aan jou toegekende rollen binnen het project (en eventueel andere projecten) van de applicatie waarvoor je inlogt.
  • Organisatiegegevens — de organisatie waartoe je behoort, inclusief id, naam en primair domein.
  • Organisatie-metadata — aanvullende, door je organisatie ingestelde velden die aan je gebruikersaccount hangen (bijvoorbeeld kostenplaats, afdeling, personeelsnummer).
  • Toegangsbeperkingen — restricties die zorgen dat alleen gebruikers van een specifiek organisatiedomein of een specifieke organisatie kunnen inloggen.

Naast de gegevens die via bovenstaande bereiken worden gedeeld, leggen wij vast:

  • IP-adres, browser- en apparaatkenmerken (user-agent) en tijdstempel van inlogpogingen, voor beveiliging en fraudedetectie;
  • geslaagde en mislukte authenticaties, sessie-id's en (gehashte) tokens;
  • door jou ingestelde tweede-factor-methoden (bijvoorbeeld TOTP, WebAuthn, e-mail- of sms-OTP).

4. Inloggen via een externe identiteitsprovider

Je kunt ook inloggen via een externe identiteitsprovider. Wij ondersteunen op dit moment in beginsel:

  • Google
  • Microsoft / Azure AD
  • Apple
  • GitHub en GitHub Enterprise
  • GitLab en self-managed GitLab
  • LinkedIn
  • generieke OpenID Connect-providers
  • generieke JWT-providers
  • LDAP / Active Directory
  • SAML 2.0-providers

Bij gebruik van een externe identiteitsprovider deelt die provider een beperkte set gegevens met ons — doorgaans je gebruikers-id, naam, e-mailadres en eventueel een profielfoto. Op die uitwisseling zijn óók de privacyvoorwaarden van die externe provider van toepassing.

5. Doel en grondslag van de verwerking

  • Authenticatie en autorisatie — om je toegang te geven tot de Growthdesk-applicatie waarvoor je inlogt en de juiste rechten en rollen toe te kennen. Grondslag: uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG).
  • Beveiliging — om misbruik, ongeautoriseerde toegang en fraude te detecteren en voorkomen. Grondslag: ons gerechtvaardigd belang bij een veilige dienst (art. 6 lid 1 sub f AVG).
  • Wettelijke verplichtingen — bijvoorbeeld om te voldoen aan onderzoeksvragen van bevoegde autoriteiten. Grondslag: wettelijke plicht (art. 6 lid 1 sub c AVG).

6. Bewaartermijnen

  • Account- en profielgegevens: zolang je account actief is. Na verwijdering van je account verwijderen wij deze binnen 30 dagen, behalve waar wij wettelijk verplicht zijn ze langer te bewaren.
  • Inloglogs (IP, user-agent, tijdstempel, resultaat): 90 dagen.
  • Sessie- en refresh-tokens: tot het moment dat de sessie verloopt, je uitlogt of de tokens worden ingetrokken.

7. Sub-verwerkers

Voor identiteits- en toegangsbeheer maken wij gebruik van Zitadel (Zitadel Inc.). De voor jouw account gebruikte instantie wordt gehost in een datacenter binnen de Europese Economische Ruimte. Met Zitadel is een verwerkersovereenkomst gesloten conform art. 28 AVG.

8. Doorgifte buiten de EER

Onze hoofdverwerking vindt plaats binnen de EER. Wanneer je inlogt via een externe identiteitsprovider die (mede) buiten de EER opereert — bijvoorbeeld Google, Microsoft, Apple of GitHub — kan een doorgifte buiten de EER plaatsvinden. Een dergelijke doorgifte vindt uitsluitend plaats op basis van de door de Europese Commissie goedgekeurde standaardcontractbepalingen of een vergelijkbare passende waarborg.

9. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om je persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking, waaronder TLS-versleuteling van al het verkeer, hashing van wachtwoorden volgens de industriestandaard, regelmatige updates en audits, beperkte en gelogde toegang voor ons team, en gescheiden omgevingen voor productie en ontwikkeling.

10. Cookies tijdens het inlogproces

Tijdens het inloggen plaatsen wij functionele sessiecookies die strikt noodzakelijk zijn voor de werking van de inlogflow (bijvoorbeeld om je sessie en CSRF-bescherming te beheren). Voor strikt noodzakelijke cookies is op grond van art. 11.7a lid 3 Telecommunicatiewet geen toestemming vereist.

11. Jouw rechten

Op grond van de AVG heb je het recht om:

  • je persoonsgegevens in te zien;
  • onjuiste gegevens te (laten) corrigeren;
  • je gegevens te laten wissen ("recht op vergetelheid");
  • de verwerking te beperken;
  • bezwaar te maken tegen de verwerking;
  • je gegevens in een gangbaar formaat over te dragen ("dataportabiliteit");
  • een eerder gegeven toestemming in te trekken.

Stuur je verzoek naar hello@growthdesk.nl. Wij reageren binnen vier weken na ontvangst.

12. Klachten

Heb je een klacht over de manier waarop wij met je gegevens omgaan? Wij horen dat graag, zodat wij dit zo snel mogelijk kunnen oplossen. Daarnaast heb je altijd het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

13. Wijzigingen

Wij kunnen dit privacybeleid van tijd tot tijd aanpassen, bijvoorbeeld bij wijzigingen in onze dienstverlening of in de toepasselijke wet- en regelgeving. De meest recente versie publiceren wij op deze pagina; bovenaan staat altijd vermeld wanneer het beleid voor het laatst is bijgewerkt.

14. Contact

Vragen over dit privacybeleid of over de verwerking van je persoonsgegevens?
E-mail: hello@growthdesk.nl
Telefoon: +31 6 8739 6305