Ga naar de inhoud
Qontrato

Juridisch

Privacyverklaring

Deze verklaring beschrijft hoe Qontrato persoonsgegevens verwerkt voor de website, accounts, support, abonnementen, contracten, gastgegevens en de softwaredienst.

Privacyverklaring voor Qontrato

Laatst bijgewerkt: 6 juni 2026

Qontrato verwerkt persoonsgegevens. Dat doen wij zorgvuldig en in overeenstemming met de toepasselijke privacywetgeving. In deze privacyverklaring leggen wij uit welke gegevens wij verwerken, in welke rol wij dat doen, hoe lang wij gegevens bewaren en welke beveiligingsmaatregelen wij daarbij toepassen.

Rollen en reikwijdte

Qontrato vervult niet altijd dezelfde privacyrol.

Wanneer Qontrato verwerkingsverantwoordelijke is

Voor onder meer de volgende gegevens treedt Qontrato in beginsel zelf op als verwerkingsverantwoordelijke:

  • gegevens van websitebezoekers en contactpersonen;
  • gegevens van proefaanvragen en brochureaanvragen;
  • accountgegevens van verhuurders en webadmingebruikers;
  • support- en communicatiegegevens die rechtstreeks met Qontrato worden gedeeld;
  • beveiligings-, sessie- en operationele gegevens die nodig zijn voor het beheer van het platform;
  • facturatie- en administratieve gegevens, voor zover van toepassing.

Wanneer Qontrato verwerker is

Voor persoonsgegevens die een verhuurder via Qontrato verwerkt over huurders, hoofdgasten, overige gasten of eigen medewerkers, treedt Qontrato in veel gevallen op als verwerker namens die verhuurder. Denk daarbij onder meer aan:

  • contractgegevens;
  • boekingsgegevens;
  • gegevens die via door de verhuurder gekoppelde app-integraties of via de Qontrato Open API aan Qontrato worden aangeleverd;
  • gegevens in gastregistraties;
  • gegevens die worden verwerkt voor Spaanse gastenregistratie en SES Hospedajes, wanneer de verhuurder deze functionaliteit gebruikt;
  • gegevens in e-mails, templates of vrije tekst die door de verhuurder zelf binnen Qontrato worden beheerd.

In die situaties is de betreffende verhuurder doorgaans de verwerkingsverantwoordelijke.

Welke persoonsgegevens wij verwerken

Afhankelijk van het gebruik van Qontrato kunnen wij onder meer de volgende persoonsgegevens verwerken:

  • naam en contactgegevens;
  • e-mailadres en telefoonnummer;
  • account- en inloggegevens;
  • betaal- en facturatiegegevens;
  • bedrijfsgegevens van verhuurders;
  • boekings- en verblijfsgegevens;
  • externe boekingsreferenties, externe woningreferenties, bronsysteem, importstatus, controlewaarschuwingen en versleutelde ruwe externe payloads waar die tijdelijk nodig zijn;
  • gegevens van huurders of hoofdgasten, zoals naam, e-mailadres en adres;
  • gegevens van gasten, zoals naam, geboortedatum, nationaliteit, geslacht, documentgegevens, adres, contactgegevens, relatie tot de hoofdgast en, indien gebruikt, aanvullende registratiegegevens;
  • gegevens rond digitale ondertekening, zoals tijdstip, IP-adres en handtekening;
  • gegevens voor Spaanse gastenregistratie en SES Hospedajes, zoals reserverings-, verblijfs-, accommodatie-, betaalwijze- en communicatiestatusgegevens;
  • inhoud van supportverzoeken en overige communicatie;
  • technische, beveiligings- en loggegevens die nodig zijn om Qontrato goed te laten functioneren.

Waarvoor wij persoonsgegevens gebruiken

Wij gebruiken persoonsgegevens alleen voor gerechtvaardigde, contractuele of wettelijke doeleinden, waaronder:

  • het verlenen van toegang tot Qontrato;
  • het aanmaken en beheren van accounts;
  • het beschikbaar maken van contract-, communicatie- en registratiefunctionaliteiten;
  • het opstellen, verzenden, ondertekenen en opslaan van contracten;
  • het ontvangen, importeren en bijwerken van boekingsgegevens uit gekoppelde apps of eigen systemen van de verhuurder, zodat contracten en ondertekenlinks kunnen worden klaargezet;
  • het faciliteren van gastregistraties en bijbehorende reminders;
  • het faciliteren van Spaanse gastenregistratie, inclusief het voorbereiden, verzenden, wijzigen, annuleren en controleren van meldingen via SES Hospedajes wanneer een verhuurder deze functionaliteit gebruikt;
  • het behandelen van supportvragen;
  • het verzenden van e-mails, notificaties en beveiligingscodes;
  • het beveiligen, beheren en verbeteren van Qontrato;
  • het voldoen aan wettelijke verplichtingen.

Spaanse gastenregistratie en SES Hospedajes

Wanneer een verhuurder Qontrato gebruikt voor accommodaties in Spanje, kan Qontrato aanvullende persoonsgegevens verwerken die nodig zijn voor Spaanse gastenregistratie en, indien door de verhuurder geactiveerd, voor communicatie met SES Hospedajes van het Spaanse Ministerie van Binnenlandse Zaken. Qontrato doet dit in beginsel als verwerker namens de verhuurder. De verhuurder blijft verantwoordelijk voor de vraag of, wanneer en welke wettelijke meldplichten voor de betreffende accommodatie gelden.

Voor SES Hospedajes kunnen onder meer de volgende gegevens worden verwerkt:

  • identificatiegegevens van gasten, zoals voornaam, achternaam, geboortedatum, nationaliteit, geslacht, documenttype, documentnummer en documentondersteuningsnummer;
  • adres- en contactgegevens van gasten, zoals adres, postcode, woonplaats, land, telefoonnummer en e-mailadres;
  • gegevens over minderjarigen of meereizende gasten, zoals relatie tot de hoofdgast en individuele handtekeningstatus waar vereist;
  • boekings- en verblijfsgegevens, zoals boekingsreferentie, aankomst, vertrek, aantal personen, aantal kamers, internetbeschikbaarheid, betaaltype en betaalmiddel;
  • accommodatie- en verhuurdergegevens die nodig zijn voor de melding, zoals establishment codes, verhuurdercodes en configuratiegegevens;
  • technische en administratieve gegevens rond de melding, zoals requestpayloads, response-samenvattingen, lotnummers, communicatiecodes, statussen, foutmeldingen, verzendmomenten en annuleringen.

Wanneer de verhuurder een SES Hospedajes-melding verstuurt of laat versturen, worden de daarvoor noodzakelijke gegevens doorgegeven aan SES Hospedajes of een door de bevoegde Spaanse autoriteiten aangewezen systeem. Qontrato bewaart daarnaast de relevante verzend- en responsegegevens zodat meldingen controleerbaar blijven, fouten kunnen worden opgevolgd en wettelijke bewaartermijnen kunnen worden nageleefd.

De rechtsgrond voor de SES Hospedajes-verwerking wordt primair door de verhuurder bepaald. In de praktijk zal dit vaak samenhangen met wettelijke verplichtingen voor aanbieders van accommodaties in Spanje, waaronder Real Decreto 933/2021.

App-integraties en Open API

Wanneer een verhuurder een app-integratie activeert of de Qontrato Open API gebruikt, kunnen externe boekingssystemen of eigen systemen van de verhuurder boekings-, gast-, verblijf- en betaalgegevens aan Qontrato leveren. Qontrato verwerkt deze gegevens in beginsel als verwerker namens de verhuurder.

Deze gegevens worden gebruikt om:

  • een boeking aan de juiste Qontrato-woning te koppelen;
  • een contract en ondertekenlink klaar te zetten;
  • een nog niet ondertekend contract bij te werken wanneer de externe boeking wijzigt;
  • concrete controlewaarschuwingen te tonen, bijvoorbeeld bij ontbrekende gegevens of overlappende verhuurdata;
  • import, support en beveiliging controleerbaar te houden.

De verhuurder bepaalt welke externe systemen worden gekoppeld en blijft verantwoordelijk voor de rechtmatigheid, juistheid en actualiteit van de gegevens die uit die systemen naar Qontrato worden gestuurd. De Qontrato Open API is bedoeld om boekingsdata te ontvangen. Via deze API kunnen geen persoonsgegevens uit Qontrato worden opgehaald.

Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor ze zijn verzameld, tenzij een langere bewaartermijn wettelijk verplicht is of noodzakelijk is voor een gerechtvaardigd belang.

Voor Qontrato gelden in ieder geval de volgende standaardtermijnen:

  • audit logs: 90 dagen;
  • e-maillogs: 30 dagen;
  • helpdesk- en impersonationlogs: 90 dagen;
  • afgesloten of verwijderde supporttickets en bijbehorende berichten: 365 dagen;
  • handmatige back-ups binnen Qontrato: standaard 90 dagen;
  • verwijderde verhuurderaccounts: in beginsel 30 dagen herstelbaar;
  • ruwe externe boekingspayloads uit app-integraties en Open API: maximaal 90 dagen;
  • API- en integratielogregels: maximaal 90 dagen; succesmeldingen kunnen eerder worden verwijderd, bijvoorbeeld na 14 dagen of wanneer een loglimiet wordt bereikt;
  • persoonsgegevens in gastregistraties: standaard 1095 dagen, oftewel 3 jaar, na vertrek;
  • SES Hospedajes-requestpayloads, responsegegevens, communicatiecodes en eventuele retentiearchieven: in beginsel 3 jaar vanaf het einde van het verblijf of de gecontracteerde dienst, tenzij een langere bewaring wettelijk verplicht is of noodzakelijk is voor de afhandeling van incidenten, geschillen of controles.

Belangrijke nuances:

  • open supporttickets blijven bewaard zolang dat nodig is voor afhandeling en opvolging;
  • voor contracten, boekingsgegevens en andere klantdata kan de bewaartermijn mede afhangen van de instellingen, werkwijze en wettelijke verplichtingen van de verhuurder;
  • importmetadata kan worden bewaard zolang dat nodig is voor idempotentie, controleerbaarheid, support en contractbeheer;
  • voor Spaanse gastenregistratie en SES Hospedajes kan Qontrato automatische verwijdering blokkeren of uitstellen zolang een wettelijke bewaartermijn of aantoonbare controlebehoefte geldt;
  • wanneer een verhuurder binnen Qontrato zelf een bewaartermijn kan instellen, geldt die instelling alleen binnen de technische en wettelijke grenzen van het platform.

Vertrouwelijkheid en doorgifte aan derden

Wij gaan vertrouwelijk om met persoonsgegevens en verkopen persoonsgegevens nooit aan derden.

Wij verstrekken persoonsgegevens alleen aan derden wanneer dat nodig is voor onze dienstverlening, wanneer wij daarvoor dienstverleners inschakelen of wanneer wij daartoe wettelijk verplicht zijn. Daarbij kan het gaan om partijen voor:

  • hosting en infrastructuur;
  • e-mailverzending;
  • technisch beheer;
  • betalingen;
  • zakelijke communicatie;
  • analyse van website- of applicatiegebruik;
  • gekoppelde boekingssystemen, app-integraties of eigen systemen van de verhuurder wanneer de verhuurder deze koppeling activeert;
  • communicatie met bevoegde overheidsinstanties wanneer de verhuurder daarvoor functionaliteit activeert, zoals SES Hospedajes.

Qontrato gebruikt of kan gebruikmaken van externe diensten zoals:

  • Mollie voor betalingen;
  • Microsoft 365 voor e-mail, zakelijke communicatie en kantoorprocessen;
  • Google Analytics voor statistieken en analyse;
  • Microsoft Clarity voor analyse van gebruik;
  • YouTube voor video-inhoud;
  • externe boekingssystemen en app-integraties die door de verhuurder zelf worden gekoppeld;
  • SES Hospedajes van het Spaanse Ministerie van Binnenlandse Zaken voor Spaanse gastenregistratie, wanneer deze functionaliteit door de verhuurder wordt gebruikt.

Met partijen die in onze opdracht persoonsgegevens verwerken, maken wij waar nodig afspraken over vertrouwelijkheid en passende beveiliging.

Cookies

Qontrato gebruikt functionele en beveiligingsgerelateerde cookies die noodzakelijk zijn voor het goed functioneren van de website en applicatie.

Hieronder vallen bijvoorbeeld:

  • sessiecookies voor ingelogde gebruikers;
  • een optionele cookie om een verhuurderaccount tijdelijk ingelogd te houden;
  • cookies voor vertrouwde apparaten bij two-factor-authentication.

Daarnaast kan Qontrato gebruikmaken van cookies of vergelijkbare technieken van derden, bijvoorbeeld:

  • Google Analytics;
  • Microsoft Clarity;
  • YouTube;
  • Mollie.

Voor het besloten accountgedeelte kan Qontrato Microsoft Clarity gebruiken om gebruikspatronen, paginawissels, klikken, scrollgedrag, browser- en apparaatkenmerken en sessiegegevens te meten. Qontrato gebruikt deze informatie om de applicatie te analyseren en te verbeteren. Deze meting is beperkt tot het accountgedeelte voor verhuurders en wordt niet gebruikt voor het webadmin-gedeelte of ontwikkelomgevingen. Advertentieopslag binnen Clarity staat uit.

Voor zover wettelijk vereist past Qontrato de regels voor niet-functionele cookies en vergelijkbare technieken toe.

Beveiliging

Wij nemen passende technische en organisatorische maatregelen om misbruik van en onbevoegde toegang tot persoonsgegevens te beperken.

De beveiligingsmaatregelen binnen Qontrato omvatten in ieder geval:

  • logische toegangscontrole met accounts, rollen en autorisaties;
  • een wachtwoordminimum van 12 tekens voor accountbeveiliging;
  • two-factor-authentication of aanvullende verificatie waar die functionaliteit wordt aangeboden of afgedwongen;
  • beveiligde verbindingen via TLS voor website- en applicatieverkeer;
  • sessiebeveiliging, CSRF-bescherming en tokenvalidatie;
  • rate limiting en aanvullende beveiliging op gevoelige publieke en interne routes;
  • logging voor beveiliging, support en controleerbaarheid, binnen de genoemde bewaartermijnen;
  • versleuteling van beveiligingsgevoelige tokens;
  • versleutelde opslag van handmatige back-ups;
  • versleutelde opslag van getekende contractartefacten zoals signed PDF-bestanden;
  • aanvullende versleuteling voor gevoelige onderdelen van gastregistratiegegevens;
  • versleutelde opslag van appcredentials en ruwe externe boekingspayloads waar deze tijdelijk binnen Qontrato worden bewaard;
  • gehashte of versleutelde opslag van API-beveiligingscodes, masked weergave van secrets, optionele IP-whitelisting en rate limiting op publieke integratie- en API-routes;
  • versleutelde opslag van SES Hospedajes-inloggegevens en SES Hospedajes-requestpayloads waar deze binnen Qontrato worden bewaard.

Belangrijke beperking:

  • niet alle persoonsgegevens in de database zijn generiek of veldniveau versleuteld;
  • Qontrato past encryptie gericht toe op de onderdelen waarvoor dat technisch en privacyrechtelijk het meest noodzakelijk is.

Websites van derden

Deze privacyverklaring geldt niet voor websites van derden waarnaar via links op onze website of applicatie wordt verwezen. Wij raden aan om altijd de privacyverklaring van die derde partij te lezen.

Inzage, correctie en verwijdering

U heeft het recht om inzage te vragen in uw persoonsgegevens en om uw persoonsgegevens te laten corrigeren of verwijderen. Daarnaast kunt u bezwaar maken tegen een verwerking of verzoeken om beperking of overdraagbaarheid van uw gegevens, voor zover de wet daarin voorziet.

Wanneer een verzoek betrekking heeft op persoonsgegevens die door een verhuurder via Qontrato zijn verwerkt, dient dat verzoek in beginsel bij die verhuurder te worden ingediend. Qontrato ondersteunt klanten waar nodig bij de afhandeling van zulke verzoeken.

Bij gegevens die zijn verwerkt voor Spaanse gastenregistratie of SES Hospedajes kan verwijdering of beperking worden geweigerd of uitgesteld wanneer de verhuurder of Qontrato de gegevens nog moet bewaren op grond van een wettelijke verplichting, controleverplichting of gerechtvaardigd belang.

Wilt u een verzoek doen met betrekking tot persoonsgegevens waarvoor Qontrato zelf verwerkingsverantwoordelijke is, neem dan contact met ons op via onderstaande contactgegevens.

Wijzigingen in deze privacyverklaring

Wij kunnen deze privacyverklaring aanpassen. Wij raden aan om deze verklaring regelmatig te raadplegen.

Autoriteit Persoonsgegevens

Als u klachten heeft over de verwerking van uw persoonsgegevens, helpen wij u uiteraard graag. Daarnaast heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Contact

Voor vragen over deze privacyverklaring of over de verwerking van persoonsgegevens kunt u contact opnemen met:

Qontrato
E-mail: info@qontrato.nl