Privacybeleid

1. Wie wij zijn

Heartwork B.V. (“Heartwork”, “wij”, “ons” of “onze”) is een Nederlands bedrijf dat een HR-managementplatform (de “Dienst”) aanbiedt voor kleine bedrijven. Dit privacybeleid beschrijft hoe wij persoonsgegevens verzamelen, gebruiken, opslaan en beschermen wanneer u gebruikmaakt van onze Dienst.

Heartwork B.V. is geregistreerd in Nederland (KvK: 99973790) en gevestigd aan de Everard Meysterweg 29, 3817 HA Amersfoort, Nederland. Voor privacygerelateerde vragen kunt u contact met ons opnemen via privacy@heartwork.co.

2. Rollen en verantwoordelijkheden onder de AVG

Onze Dienst verwerkt twee categorieën persoonsgegevens, en de toepasselijke AVG-rol verschilt per categorie:

Account- en gebruiksgegevens: Heartwork is de verwerkingsverantwoordelijke. Dit omvat de gegevens die u verstrekt bij het aanmaken van uw account en de gegevens die wij verzamelen over uw gebruik van de Dienst.

Medewerker- en sollicitantgegevens: U (de Klant) bent de verwerkingsverantwoordelijke en Heartwork is de verwerker. Dit omvat alle persoonsgegevens over uw medewerkers en sollicitanten die u uploadt naar of beheert via de Dienst.

Als verwerker verwerken wij medewerker- en sollicitantgegevens uitsluitend op uw instructies en ten behoeve van het leveren van de Dienst. De verwerking van persoonsgegevens door Heartwork namens de Klant wordt geregeld in de Verwerkersovereenkomst (DPA), die een integraal onderdeel vormt van onze Algemene Voorwaarden.

3. Welke gegevens wij verzamelen

3.1 Accountgegevens

Wanneer u een account aanmaakt, verzamelen wij: voornaam, achternaam, zakelijk e-mailadres, wachtwoord (opgeslagen in gehashte vorm), functietitel, bedrijfsnaam en eventueel bedrijfswebsite.

3.2 Medewerker- en sollicitantgegevens (klantgegevens)

Via uw gebruik van de Dienst kunt u persoonsgegevens van uw medewerkers en sollicitanten uploaden en beheren. Dit kan, afhankelijk van hoe u de Dienst gebruikt, het volgende omvatten:

• Persoonlijke gegevens: naam, roepnaam, voornaamwoorden, geboortedatum, genderidentiteit, nationaliteit, contactgegevens, adres, identificatienummer, contactgegevens voor noodgevallen.
• Dienstverbandgegevens: functietitel, contractdetails, salaris, bankrekeningnummer, werkuren, begin- en einddatum, teamindeling, manager-relaties.
• Verlofregistratie: verlofaanvragen, saldi en soorten verlof (inclusief ziekteverlof, dat als gezondheidsgerelateerde gegevens kan worden aangemerkt onder de AVG).
• Prestatiegegevens: beoordelingscycli, feedback van collega’s, zelfevaluaties, beoordelingen.
• Enquêteresultaten: antwoorden op medewerkersenquêtes (die anoniem kunnen zijn).
• Wervingsgegevens: sollicitantenprofielen, sollicitatiemateriaal, pipelinestatus, gespreksnotities.
• Foto’s: profielfoto’s van medewerkers.
• Documenten: arbeidsovereenkomsten, certificaten en andere bestanden die u kiest te uploaden.
• Audittrail: een logboek van wijzigingen in gegevens binnen de Dienst, inclusief wat er is gewijzigd en door wie.

Belangrijk: Sommige van deze gegevens — met name ziekteverlofregistraties en bepaalde persoonlijke gegevens — kunnen worden aangemerkt als bijzondere categorieën van persoonsgegevens onder artikel 9 van de AVG. Als verwerkingsverantwoordelijke bent u verantwoordelijk voor het waarborgen van een rechtmatige grondslag voor de verwerking van deze gegevens en voor het informeren van uw medewerkers hierover.

3.3 Gebruiksgegevens

Wij verzamelen gegevens over hoe u de Dienst gebruikt om deze te analyseren en te verbeteren. Wij gebruiken Plausible Analytics, een cookieloze analysedienst die geen persoonsgegevens verzamelt, en wij analyseren geaggregeerd functiegebruik binnen onze eigen systemen. Wij gebruiken gebruiksgegevens niet om individuele profielen op te bouwen of voor advertentiedoeleinden.

3.4 Cookies

Wij gebruiken uitsluitend essentiële cookies. Deze zijn strikt noodzakelijk voor het functioneren van de Dienst (zoals het in stand houden van uw inlogsessie en beveiligingstokens). Wij gebruiken geen analytische cookies, marketingcookies of trackingcookies.

Onze livechat-tool (Crisp) plaatst eigen functionele cookies (met het voorvoegsel crisp-client/) om uw chatsessie over pagina’s heen in stand te houden. Deze cookies worden niet gebruikt voor tracking en hebben een maximale levensduur van 6 maanden. Omdat alle cookies die wij gebruiken strikt noodzakelijk zijn voor de Dienst, is er onder het EU-recht geen cookietoestemmingsbanner vereist.

4. Hoe wij uw gegevens gebruiken

Wij gebruiken persoonsgegevens voor de volgende doeleinden:

Wij gebruiken uw gegevens niet voor: het trainen van AI-modellen, advertenties, profilering, geautomatiseerde besluitvorming of verkoop aan derden.

5. AI-functies en AI-diensten

De Dienst kan functies bevatten die worden aangedreven door kunstmatige intelligentie. Wanneer u ervoor kiest AI-functies te gebruiken:

• AI-functies worden nooit automatisch geactiveerd. Elk gebruik vereist uw uitdrukkelijke actie.
• Uw gegevens kunnen worden verzonden naar AI-dienstverleners voor verwerking.
• Wij geven binnen de Dienst duidelijk aan welke functies gebruikmaken van AI.
• Onze AI-dienstverleners hebben zich ertoe verbonden de inhoud van uw invoer of uitvoer niet te verzamelen, lezen of hergebruiken.

Wij selecteren AI-dienstverleners die passende gegevensbeschermingsgaranties bieden. Details over specifieke AI-dienstverleners worden bijgehouden in onze lijst van subverwerkers (zie sectie 6).

6. Gegevensdeling en subverwerkers

Wij verkopen uw gegevens aan niemand. Wij delen persoonsgegevens uitsluitend met de volgende categorieën dienstverleners, die optreden als subverwerkers:

• Hosting en infrastructuur: Scaleway SAS (Frankrijk) voor het opslaan en aanbieden van de applicatie en uw gegevens. Alle gegevens blijven binnen de EU.
• Betalingsverwerking: Mollie B.V. (Nederland) verwerkt betalingen namens ons.
• E-maildiensten: Scaleway SAS (Frankrijk) voor het verzenden van transactionele e-mails zoals uitnodigingen, meldingen en wachtwoordherstel.
• AI-dienstverleners: Scaleway SAS (Frankrijk) voor AI-aangedreven functies, uitsluitend wanneer u AI-functies heeft ingeschakeld en hiervoor toestemming heeft gegeven.
• Klantenservice: Crisp SAS (Frankrijk) voor livechat-ondersteuning. Uw naam, e-mailadres, IP-adres en chatberichten worden verwerkt door Crisp.

Alle subverwerkers zijn gebonden aan verwerkersovereenkomsten die hen verplichten uw gegevens te beschermen in overeenstemming met de AVG. Wij houden een actuele lijst van subverwerkers bij op onze website op heartwork.co/sub-processors.

Wij kunnen persoonsgegevens ook openbaar maken indien dit vereist is door wet- of regelgeving, een gerechtelijke procedure of een verzoek van een overheidsinstantie.

7. Internationale gegevensoverdrachten

Uw gegevens blijven binnen de Europese Unie. Onze hosting-, e-mail-, AI- en primaire dienstverleners zijn allemaal gevestigd in de EU. In het onwaarschijnlijke geval dat een toekomstige subverwerker gegevensoverdracht buiten de EER vereist, zorgen wij ervoor dat passende waarborgen worden getroffen, zoals door de Europese Commissie goedgekeurde standaardcontractbepalingen (SCC’s) of een adequaatheidsbesluit.

8. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden beschreven in dit privacybeleid:

• Accountgegevens: worden bewaard gedurende de looptijd van uw actieve account en worden binnen 30 dagen na beëindiging van het account verwijderd.
• Klantgegevens (medewerker- en sollicitantgegevens): worden bewaard gedurende de looptijd van uw abonnement. Na opzegging heeft u 30 dagen om uw gegevens te exporteren, waarna deze worden verwijderd.
• Gebruiksgegevens: afgeleid van applicatiegegevens en analyses zonder persoonlijke identificatoren. Volgt de bewaartermijnen van account- en klantgegevens zoals hierboven beschreven.
• Facturerings- en facturatiegegevens: worden 7 jaar bewaard zoals vereist door de Nederlandse belastingwetgeving.

Wanneer gegevens worden verwijderd, worden deze permanent uit onze actieve systemen verwijderd. Back-ups die verwijderde gegevens bevatten, worden binnen 7 dagen overschreven.

9. Gegevensbeveiliging

Wij treffen passende technische en organisatorische maatregelen om uw gegevens te beschermen, waaronder:

• Versleuteling van gegevens tijdens verzending (TLS) en in opslag.
• Tweefactorauthenticatie voor gebruikersaccounts.
• Rolgebaseerde toegangscontrole binnen de applicatie.
• Regelmatige beveiligingsupdates en beheer van afhankelijkheden.
• Veilige wachtwoordopslag met behulp van industriestandaard hashing.

Hoewel wij gegevensbeveiliging zeer serieus nemen, is geen enkele methode van elektronische overdracht of opslag volledig veilig. Wij kunnen geen absolute beveiliging garanderen, maar wij zetten ons in om de best practices in de sector te volgen.

10. Uw rechten

10.1 Als u accounthouder (klant) bent

Op grond van de AVG heeft u de volgende rechten met betrekking tot uw accountgegevens:

• Recht op inzage: een kopie opvragen van de persoonsgegevens die wij over u bewaren.
• Recht op rectificatie: verzoeken om correctie van onjuiste gegevens.
• Recht op wissing: verzoeken om verwijdering van uw gegevens (met inachtneming van wettelijke bewaarplichten).
• Recht op beperking: verzoeken dat wij de verwerking van uw gegevens beperken.
• Recht op gegevensoverdraagbaarheid: uw gegevens ontvangen in een gestructureerd, machineleesbaar formaat.
• Recht van bezwaar: bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
• Recht om toestemming in te trekken: wanneer de verwerking is gebaseerd op toestemming (zoals AI-functies), kunt u uw toestemming op elk moment intrekken.

Om een van deze rechten uit te oefenen, kunt u contact met ons opnemen via privacy@heartwork.co. Wij reageren binnen 30 dagen.

10.2 Als u medewerker of sollicitant bent

Indien uw werkgever of een bedrijf waarbij u heeft gesolliciteerd gebruikmaakt van Heartwork en u uw AVG-rechten wilt uitoefenen (inzage, rectificatie, wissing, etc.), dient u eerst rechtstreeks contact op te nemen met uw werkgever of het betreffende bedrijf, aangezien zij de verwerkingsverantwoordelijke zijn voor uw persoonsgegevens.

Indien u er niet in slaagt uw verzoek op te lossen met het betreffende bedrijf, kunt u contact met ons opnemen via privacy@heartwork.co en wij zullen u helpen waar wij daartoe in staat zijn.

11. Melding van datalekken

In het geval van een datalek zullen wij:

• De bevoegde toezichthoudende autoriteit (de Autoriteit Persoonsgegevens) binnen 72 uur na kennisname van het datalek informeren, voor zover dit wettelijk vereist is.
• Getroffen klanten zonder onredelijke vertraging informeren, zodat zij op hun beurt hun medewerkers en sollicitanten kunnen informeren indien nodig.
• Het datalek, de gevolgen en de genomen herstelmaatregelen documenteren.

12. Kinderen

De Dienst is niet bedoeld voor gebruik door personen jonger dan 18 jaar als accounthouder. Wij staan niet bewust toe dat personen jonger dan 18 jaar een account aanmaken. De Dienst kan echter wel persoonsgegevens opslaan van medewerkers jonger dan 18 jaar (zoals stagiairs of leerlingen), zoals ingevoerd door hun werkgever in het normale gebruik van de Dienst.

13. Wijzigingen in dit privacybeleid

Wij kunnen dit privacybeleid van tijd tot tijd bijwerken. Indien wij wezenlijke wijzigingen aanbrengen, stellen wij u ten minste 30 dagen van tevoren per e-mail op de hoogte. De datum bovenaan dit document geeft aan wanneer het privacybeleid voor het laatst is bijgewerkt.

14. Klachten

Indien u zorgen heeft over de manier waarop wij met uw gegevens omgaan, neem dan eerst contact met ons op via privacy@heartwork.co. Wij doen ons best om uw zorgen weg te nemen.

Indien u niet tevreden bent met onze reactie, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl, of bij de toezichthoudende autoriteit in uw land van verblijf.

15. Contact

Voor vragen of verzoeken met betrekking tot dit privacybeleid of uw persoonsgegevens:

Heartwork B.V.
Everard Meysterweg 29
3817 HA Amersfoort
Nederland

Privacyvragen: privacy@heartwork.co
Algemene ondersteuning: support@heartwork.co
Website: www.heartwork.co