Privacybeleid

1. Inleiding

Workly BV ("Workly", "wij", "ons") hecht groot belang aan de bescherming van uw persoonsgegevens. Dit Privacybeleid legt uit hoe wij persoonsgegevens verzamelen, verwerken, opslaan en beschermen wanneer u ons Platform gebruikt.

Wij handelen steeds in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR — Verordening (EU) 2016/679), de Belgische Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, en alle overige toepasselijke Belgische en Europese privacywetgeving.

2. Verwerkingsverantwoordelijke

Workly is verwerkingsverantwoordelijke voor de persoonsgegevens die wij verwerken in het kader van het beheer van uw account en de levering van onze Diensten (B2B-gegevens van Klanten).

Voor persoonsgegevens van Eindklanten (bestelgegevens, contactgegevens, etc.) treedt de Klant op als verwerkingsverantwoordelijke en handelt Workly als verwerker in de zin van artikel 28 AVG. De Algemene Voorwaarden bevatten de verwerkersovereenkomst.

3. Welke gegevens verzamelen wij

3.1 Gegevens die u ons direct verstrekt

• Accountgegevens: voornaam, achternaam, e-mailadres, wachtwoord (gehasht), telefoonnummer (optioneel).
• Bedrijfsgegevens: bedrijfsnaam, BTW-nummer, adresgegevens, logo, merkkleur.
• Betalingsgegevens: worden uitsluitend verwerkt door Stripe, Inc. Workly slaat geen creditcard- of bankgegevens op.
• Communicatie: berichten die u ons stuurt via het contactformulier of per e-mail.
• Contractuele registratiegegevens: bij het aanmaken van een account registreren wij het IP-adres, het tijdstip van aanvaarding, het e-mailadres en de versie van de Algemene Voorwaarden die werden aanvaard. Deze gegevens dienen als juridisch bewijs van de totstandkoming van de overeenkomst.

3.2 Gegevens van Eindklanten (verwerkt namens de Klant)

• Naam, e-mailadres en telefoonnummer (mits toestemming via opt-in).
• Bestelgegevens, reservatiegegevens, cadeaubongegevens.

3.3 Persoonsgegevens van personeel (verwerkt namens de Klant)

• Identificatie: voornaam, achternaam, e-mailadres, telefoonnummer.
• INSZ-nummer: Identificatienummer van de Sociale Zekerheid, uitsluitend verwerkt voor het indienen van Dimona-aangiftes bij de RSZ (zie Artikel 13 van de Algemene Voorwaarden).
• Arbeidsgegevens: contracttype, functie, loonschaal, uurroosters, shift-gegevens, beschikbaarheid.
• Dimona-gegevens: type aangifte, status, RSZ-referentienummers, tijdstippen van indiening.

De Klant treedt op als verwerkingsverantwoordelijke voor personeelsgegevens. Workly verwerkt deze uitsluitend als verwerker (Art. 28 AVG).

3.4 Technische gegevens

• IP-adres (voor authenticatie, beveiliging en wettelijke verplichtingen bij aanvaarding van voorwaarden).
• Apparaat- en browsergegevens (user agent) voor optimale werking van het Platform.
• Authenticatiecookies (zie ons Cookiebeleid).

3.5 Wat wij NIET verzamelen

Workly maakt geen gebruik van tracking cookies, analytische cookies, advertentiecookies, of tracking pixels. Wij delen geen gegevens met sociale netwerken of advertentieplatformen. Wij profileren u niet voor marketingdoeleinden.

4. Rechtsgronden voor verwerking

• Uitvoering van de overeenkomst (Art. 6(1)(b) AVG): verwerking noodzakelijk voor het leveren van de Diensten, het beheren van uw account en het verwerken van betalingen.
• Wettelijke verplichting (Art. 6(1)(c) AVG): bewaring van financiële gegevens (7 jaar, Belgisch boekhoudrecht — Art. 60 WER), naleving van fiscale verplichtingen. Verwerking van INSZ-nummers voor Dimona-aangiftes bij de RSZ (Wet van 24 januari 2003 houdende hervorming van het INSZ, RSZ-wetgeving en Koninklijk Besluit betreffende de Dimona-aangifte).
• Toestemming (Art. 6(1)(a) AVG): e-mailcampagnes en nieuwsbrieven (uitsluitend met expliciete opt-in, te allen tijde intrekbaar). Contactformulier toestemming.
• Gerechtvaardigd belang (Art. 6(1)(f) AVG): beveiliging van het Platform, fraudepreventie, verbetering van de dienstverlening. Het registreren van uw IP-adres, tijdstip en versie bij aanvaarding van de Algemene Voorwaarden is gebaseerd op ons gerechtvaardigd belang om juridisch bewijs te kunnen leveren van de totstandkoming van de overeenkomst. Dit IP-adres wordt uitsluitend voor dit doeleinde bewaard en niet voor tracking of profilering gebruikt.

5. Bewaartermijnen

• Accountgegevens: gedurende de looptijd van de Overeenkomst + 30 dagen na beëindiging (voor data-export).
• Financiële gegevens (facturen, transacties): 7 jaar na het boekjaar (wettelijke verplichting).
• Eindklantgegevens: maximaal 24 maanden na laatste interactie, tenzij de Klant deze eerder verwijdert.
• Personeelsgegevens (inclusief INSZ-nummers): gedurende de looptijd van de Overeenkomst + 30 dagen na beëindiging (voor data-export). Dimona-logs worden 5 jaar bewaard na indiening (sociale bewaarverplichtingen).
• Communicatie: 12 maanden na het laatste bericht.
• Log- en beveiligingsgegevens: 6 maanden (roterende logs).
• Voorwaarden-acceptatie (IP-adres, tijdstip, versie): gedurende de looptijd van de Overeenkomst + 10 jaar na beëindiging (wettelijke verjaringstermijn voor contractuele vorderingen onder Belgisch recht — Art. 2262bis oud BW).

Na afloop van de bewaartermijn worden gegevens automatisch en onomkeerbaar verwijderd of geanonimiseerd.

6. Delen met derden

Wij delen uw persoonsgegevens uitsluitend met de volgende categorieën van ontvangers, en uitsluitend voor zover noodzakelijk:

• Stripe, Inc. (VS) — Betalingsverwerking. Gegevensoverdracht naar de VS op basis van Standard Contractual Clauses (SCCs) en het EU-US Data Privacy Framework. Stripe Privacy Policy.
• Supabase, Inc. (VS) — Database-hosting. Gegevens worden opgeslagen in de EU (Frankfurt). Gegevensoverdracht onder SCCs. Supabase Privacy Policy.
• Vercel, Inc. (VS) — Applicatiehosting. Edge-netwerk met Europese nodes. Onder SCCs. Vercel Privacy Policy.
• Resend, Inc. (VS) — E-mailverzending. Onder SCCs. Resend Privacy Policy.
• Rijksdienst voor Sociale Zekerheid (RSZ/ONSS) (België) — Ontvanger van Dimona-aangiftes ingediend via het Platform namens de Klant. Doorgifte op basis van de wettelijke verplichting van de Klant als werkgever. www.rsz.be.

Wij verkopen uw persoonsgegevens nooit aan derden. Wij delen geen gegevens met adverteerders of sociale netwerken.

7. Internationale doorgifte

Sommige van onze sub-verwerkers zijn gevestigd in de Verenigde Staten. Voor alle doorgiften buiten de EER baseren wij ons op:

• Standard Contractual Clauses (SCCs) goedgekeurd door de Europese Commissie (Uitvoeringsbesluit (EU) 2021/914).
• Waar van toepassing: het EU-US Data Privacy Framework (adequaatheidsbesluit C(2023) 4745 van 10 juli 2023).
• Aanvullende technische maatregelen: versleuteling in transit (TLS 1.3) en in rust (AES-256), toegangscontrole, pseudonimisering waar mogelijk.

8. Uw rechten

Op grond van de AVG heeft u de volgende rechten:

• Recht op inzage (Art. 15): u kunt een kopie opvragen van uw persoonsgegevens.
• Recht op rectificatie (Art. 16): u kunt onnauwkeurige gegevens laten corrigeren.
• Recht op wissing (Art. 17): u kunt verzoeken om verwijdering van uw gegevens ("recht om vergeten te worden"), tenzij een wettelijke bewaarverplichting geldt.
• Recht op beperking (Art. 18): u kunt de verwerking laten beperken in bepaalde omstandigheden.
• Recht op overdraagbaarheid (Art. 20): u kunt uw gegevens ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat (JSON/CSV).
• Recht van bezwaar (Art. 21): u kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
• Recht op intrekking van toestemming (Art. 7(3)): u kunt toestemming te allen tijde intrekken, zonder dat dit de rechtmatigheid van eerdere verwerking aantast.

Hoe uw rechten uitoefenen

U kunt uw rechten uitoefenen via de Privacy-instellingen in uw accountdashboard (Instellingen → Privacy), of door een e-mail te sturen naar privacy@worklyhq.com.

Wij beantwoorden elk verzoek binnen 30 kalenderdagen. Indien het verzoek complex is of wij meerdere verzoeken ontvangen, kan deze termijn eenmalig met 60 dagen worden verlengd, waarvan u op voorhand wordt geïnformeerd.

9. Beveiliging

Wij nemen passende technische en organisatorische maatregelen ter bescherming van uw persoonsgegevens:

• Versleuteling in transit (TLS 1.3) en in rust (AES-256)
• Wachtwoorden worden gehasht met bcrypt (kostenfactor ≥ 12)
• Row-Level Security (RLS) op databaseniveau voor data-isolatie per organisatie
• Twee-factorauthenticatie (2FA/TOTP) voor beheerdersaccounts
• Automatische sessieverlopen en beveiligde cookies (HttpOnly, Secure, SameSite=Lax)
• Regelmatige beveiligingsaudits en kwetsbaarheidsscans
• Principe van minimale rechten (least privilege) voor alle systeemtoegang

10. Kinderen

Het Platform is niet gericht op kinderen. Conform de Belgische Wet van 30 juli 2018 is de leeftijd voor digitale toestemming in België vastgesteld op 16 jaar. Wij verzamelen niet bewust persoonsgegevens van personen jonger dan 16 jaar. Indien wij vaststellen dat wij onbedoeld gegevens van een kind hebben verzameld, verwijderen wij deze onmiddellijk.

11. Cookies

Wij gebruiken uitsluitend strikt noodzakelijke cookies voor authenticatie en het correct functioneren van het Platform. Wij gebruiken geen analytische, advertentie- of trackingcookies.

Voor een volledig overzicht verwijzen wij naar ons Cookiebeleid.

12. Geautomatiseerde besluitvorming

Workly neemt geen besluiten uitsluitend op basis van geautomatiseerde verwerking, met inbegrip van profilering, die rechtsgevolgen hebben voor u of u op vergelijkbare wijze significant treffen (Art. 22 AVG).

13. Gegevenslek (datalekken)

In het geval van een inbreuk in verband met persoonsgegevens die waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen, zullen wij:

• De Belgische Gegevensbeschermingsautoriteit (GBA) melden binnen 72 uur na ontdekking (Art. 33 AVG).
• De betrokkenen onverwijld informeren indien het lek een hoog risico inhoudt (Art. 34 AVG).
• Alle relevante informatie documenteren in een intern register van datalekken.

14. Wijziging van dit Privacybeleid

Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken. Wezenlijke wijzigingen worden minstens 30 dagen voor de ingangsdatum per e-mail meegedeeld. De meest recente versie is steeds beschikbaar op het Platform.

15. Klacht indienen

Indien u van mening bent dat wij uw persoonsgegevens niet correct verwerken, kunt u een klacht indienen bij de Belgische Gegevensbeschermingsautoriteit:

16. Contact

Voor privacygerelateerde vragen of om uw rechten uit te oefenen: