AVG-naleving

WorkTime One voldoet volledig aan de Algemene Verordening Gegevensbescherming (AVG) van de EU. Leer meer over uw rechten en hoe we uw persoonsgegevens beschermen.

Laatst bijgewerkt: 18 november 2025

AVG-conform sinds 2018
EU-datacenters beschikbaar
Standaard contractbepalingen

Inhoudsopgave

1. AVG-overzicht

De Algemene Verordening Gegevensbescherming (AVG) is een uitgebreide wetgeving voor gegevensbescherming die op 25 mei 2018 van kracht is geworden in de hele Europese Unie en de Europese Economische Ruimte. Het stelt strikte eisen aan hoe organisaties persoonsgegevens van EU-inwoners verzamelen, verwerken, opslaan en beschermen.

Wat zijn persoonsgegevens?

Onder de AVG zijn persoonsgegevens alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon. Dit omvat:

  • Basisidentiteit: Naam, adres, e-mailadres, telefoonnummer
  • Werkinformatie: Werknemers-ID, functietitel, afdeling, salaris
  • Technische gegevens: IP-adressen, apparaat-ID's, browser-fingerprints
  • Locatiegegevens: Geografische locatie van slimme sloten
  • Biometrische gegevens: Vingerafdrukken gebruikt voor authenticatie van slimme sloten
  • Gedragsgegevens: Werkuren, aanwezigheidspatronen, tijdregistraties

Belangrijkste AVG-principes

WorkTime One houdt zich aan alle zeven AVG-principes:

1. Rechtmatigheid, eerlijkheid en transparantie

Gegevens rechtmatig, eerlijk en transparant verwerkt met duidelijke privacyverklaringen

2. Doelbinding

Gegevens alleen verzameld voor specifieke, legitieme doeleinden

3. Gegevensminimalisatie

Verzamel alleen gegevens die nodig zijn voor het aangegeven doel

4. Juistheid

Houd persoonsgegevens accuraat en up-to-date

5. Opslagbeperking

Bewaar gegevens alleen zolang als nodig

6. Integriteit en vertrouwelijkheid

Bescherm gegevens met passende beveiligingsmaatregelen

7. Verantwoordingsplicht

Toon naleving aan door documentatie en beleid

2. Onze Rol Onder de AVG

Verwerkingsverantwoordelijke vs. Verwerker

WorkTime One treedt in verschillende hoedanigheden op, afhankelijk van de context:

WorkTime One als Verwerkingsverantwoordelijke

Voor de accountgegevens van uw organisatie (bedrijfsnaam, factuurgegevens, beheerders) zijn wij de verwerkingsverantwoordelijke. Wij bepalen hoe en waarom deze gegevens worden verwerkt.

Voorbeelden: Accountregistratie, facturering, klantenondersteuning, servicecommunicatie

WorkTime One als Verwerker

Voor tijdregistratiegegevens van medewerkers die u uploadt en beheert, zijn wij de verwerker. U (de klant) bent de verwerkingsverantwoordelijke en bepaalt de doeleinden en middelen van verwerking.

Voorbeelden: Namen van medewerkers, werkuren, aanwezigheidsgegevens, biometrische gegevens, locatiegegevens

Uw Verantwoordelijkheden als Verwerkingsverantwoordelijke

Bij gebruik van WorkTime One voor tijdregistratie van medewerkers bent u de verwerkingsverantwoordelijke en verantwoordelijk voor:

  • Het verkrijgen van een rechtmatige grondslag voor verwerking van werknemersgegevens (bijv. toestemming, contract, gerechtvaardigd belang)
  • Het verstrekken van privacyverklaringen aan medewerkers over gegevensverzameling en -gebruik
  • Het verkrijgen van uitdrukkelijke toestemming voor verzameling van biometrische gegevens (vingerafdrukken)
  • Het reageren op verzoeken van medewerkers inzake hun rechten als betrokkene
  • Het implementeren van passende technische en organisatorische maatregelen
  • Het naleven van lokale arbeidswetten en regelgeving voor werknemersmonitoring
  • Het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) waar vereist

3. Rechtmatige Grondslag voor Verwerking

De AVG vereist een rechtmatige grondslag voor verwerking van persoonsgegevens. WorkTime One baseert zich op de volgende rechtsgrondslagen:

Contract (Artikel 6(1)(b))

Verwerking noodzakelijk om onze diensten te leveren onder onze Servicevoorwaarden. Dit geldt voor accountbeheer, facturering en kernfunctionaliteit van de dienst.

Gerechtvaardigd Belang (Artikel 6(1)(f))

Verwerking voor beveiliging, fraudepreventie en serviceverbetering. Wij wegen onze belangen af tegen uw rechten en vrijheden.

Toestemming (Artikel 6(1)(a))

Marketingcommunicatie en optionele functies vereisen uw uitdrukkelijke toestemming. U kunt toestemming op elk moment intrekken.

Wettelijke Verplichting (Artikel 6(1)(c))

Verwerking vereist door de wet, zoals belastinggegevens, financiële compliance en reageren op juridische verzoeken.

Bijzondere Categorieën Gegevens (Biometrie)

Biometrische gegevens (vingerafdrukken) worden beschouwd als 'bijzondere categorie' gegevens onder AVG Artikel 9 en vereisen extra bescherming. Verwerking is rechtmatig onder:

  • Uitdrukkelijke Toestemming (Artikel 9(2)(a)): U moet uitdrukkelijke, geïnformeerde toestemming verkrijgen van medewerkers voor vingerafdrukregistratie
  • Arbeidscontext (Artikel 9(2)(b)): Verwerking kan noodzakelijk zijn voor arbeidsverplichtingen onder nationale wet
  • Beveiligingsmaatregelen: Biometrische gegevens worden gehasht, versleuteld en apart van andere persoonsgegevens opgeslagen
  • Recht op Intrekking: Medewerkers kunnen toestemming intrekken en verwijdering van biometrische gegevens verzoeken op elk moment

4. Uw Rechten als Betrokkene

Onder de AVG heeft u uitgebreide rechten met betrekking tot uw persoonsgegevens:

Recht op Toegang (Artikel 15)

U heeft het recht om bevestiging te verkrijgen of wij uw persoonsgegevens verwerken en toegang tot die gegevens te krijgen.

Hoe uit te oefenen:

  • Log in op uw account en navigeer naar Instellingen → Gegevensexport
  • Exporteer uw gegevens in CSV-, JSON- of Excel-formaat
  • E-mail [email protected] voor uitgebreide verzoeken om gegevenstoegang
  • Wij zullen binnen 30 dagen antwoorden (gratis)

Recht op Rectificatie (Artikel 16)

U heeft het recht om onjuiste persoonsgegevens te laten corrigeren of aan te vullen.

Hoe uit te oefenen:

  • Werk uw accountinformatie direct bij in Instellingen
  • Beheerders kunnen werknemersinformatie bijwerken in de sectie Medewerkerbeheer
  • Voor correcties die onze hulp vereisen, neem contact op met [email protected]
  • Wij zullen onjuistheden binnen 30 dagen corrigeren

Recht op Wissing / Recht om Vergeten te Worden (Artikel 17)

U heeft het recht om verwijdering van uw persoonsgegevens te verzoeken in bepaalde omstandigheden.

Hoe uit te oefenen:

  • Sluit uw account via Instellingen → Account → Account Verwijderen
  • Medewerkers kunnen verwijdering verzoeken door contact op te nemen met hun werkgever (verwerkingsverantwoordelijke)
  • E-mail [email protected] voor verwijderingsverzoeken
  • Gegevens binnen 30 dagen verwijderd (exclusief wettelijke bewaartermijnen)
  • Back-ups gewist binnen 90 dagen

Opmerking: We kunnen bepaalde gegevens behouden waar wettelijk vereist (bijv. belastinggegevens voor 7 jaar)

Recht op Beperking van Verwerking (Artikel 18)

U kunt verzoeken dat wij de manier waarop we uw gegevens verwerken in bepaalde situaties beperken.

Wanneer Beschikbaar:

  • U betwist de juistheid van de gegevens (tijdens verificatie)
  • Verwerking is onrechtmatig maar u wilt geen verwijdering
  • Wij hebben de gegevens niet meer nodig maar u heeft ze nodig voor juridische claims
  • U heeft bezwaar gemaakt tegen verwerking (in afwachting van verificatie van gerechtvaardigde gronden)

Recht op Gegevensoverdraagbaarheid (Artikel 20)

U heeft het recht om uw persoonsgegevens te ontvangen in een gestructureerd, machineleesbaar formaat en deze over te dragen aan een andere verwerkingsverantwoordelijke.

Ondersteunde Formaten:

  • CSV (Comma-Separated Values)
  • JSON (JavaScript Object Notation)
  • Excel (.xlsx)
  • Directe API-overdracht naar een andere dienst (neem contact met ons op voor hulp)

Recht van Bezwaar (Artikel 21)

U heeft het recht om bezwaar te maken tegen verwerking op basis van gerechtvaardigde belangen of voor directe marketing.

Hoe uit te oefenen:

  • Bezwaar tegen marketing: Afmeldlink in e-mails of Instellingen → Meldingen
  • Bezwaar tegen profilering: Neem contact op met [email protected]
  • Bezwaar tegen verwerking op basis van gerechtvaardigd belang: Wij zullen stoppen tenzij we dwingende gerechtvaardigde gronden aantonen

Rechten met Betrekking tot Geautomatiseerde Besluitvorming (Artikel 22)

U heeft het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking die u aanzienlijk beïnvloeden.

WorkTime One Standpunt: Wij nemen geen geautomatiseerde beslissingen die juridische gevolgen hebben of u op vergelijkbare wijze aanzienlijk beïnvloeden. Salarisberekeningen en boetebeoordelingen zijn gebaseerd op transparante regels die door u (de werkgever) zijn gedefinieerd en kunnen handmatig worden beoordeeld en aangepast.

5. Gegevensbeschermingsmaatregelen

Wij implementeren uitgebreide technische en organisatorische maatregelen om passende beveiliging te waarborgen:

Technische Maatregelen

  • Versleuteling: AES-256 versleuteling voor data at rest, TLS 1.3 voor data in transit
  • Pseudonimisering: Waar mogelijk pseudonimiseren we gegevens om privacyrisico's te verminderen
  • Toegangscontroles: Op rollen gebaseerde toegangscontrole (RBAC) met het principe van minimale privileges
  • Twee-Factor Authenticatie: Verplichte 2FA beschikbaar voor alle gebruikers
  • Geautomatiseerde Back-ups: Regelmatige versleutelde back-ups met geografische redundantie
  • Inbraakdetectie: 24/7 monitoring voor beveiligingsbedreigingen
  • Kwetsbaarheidsbeheer: Regelmatige beveiligingstesten en patchbeheer

Organisatorische Maatregelen

  • Gegevensbeschermingsbeleid: Uitgebreid intern beleid en procedures
  • Medewerkersopleid ing: Regelmatige privacy- en beveiligingstraining voor al het personeel
  • Geheimhoudingsovereenkomsten: Alle medewerkers ondertekenen NDA's en geheimhoudingsovereenkomsten
  • Toegangsbeoordelingen: Driemaandelijkse beoordelingen van toegangspermissies van medewerkers
  • Incidentresponsplan: Gedocumenteerde procedures voor reactie op datalekken
  • Gegevensbeschermingseffectbeoordelingen: DPIA's uitgevoerd voor hoogrisicoverwerking
  • Leveranciersbeheer: Due diligence op alle sub-verwerkers

Privacy by Design en Standaard

  • Privacyoverwegingen geïntegreerd in productontwikkeling vanaf het begin
  • Standaardinstellingen geven prioriteit aan privacybescherming
  • Gegevensminimalisatie ingebouwd in systeemontwerp
  • Regelmatige privacybeoordelingen gedurende de hele productlevenscyclus

6. Internationale Gegevensoverdrachten

WorkTime One kan uw persoonsgegevens buiten de Europese Economische Ruimte (EER) overdragen. Wij zorgen ervoor dat passende waarborgen aanwezig zijn:

Gegevensopslaglocaties

  • Primaire Opslag: EU-gebaseerde datacenters (Duitsland, België, Nederland) via Google Cloud Platform
  • Back-ups: Gerepliceerd over meerdere EU-regio's
  • Optie voor Alleen EU-opslag: Enterprise-klanten kunnen EU-alleen gegevensresidentie aanvragen

Overdrachtsmechanismen

Standaard Contractbepalingen (SCC's)

Wij gebruiken door de EU goedgekeurde Standaard Contractbepalingen (SCC's) voor gegevensoverdrachten naar landen zonder adequaatheidsbesluit. Onze SCC's bevatten de vereisten uit het Schrems II-arrest.

Adequaathoudsbesluiten

Waar mogelijk dragen we gegevens over aan landen met EU-adequaatheidsbeslui ten (bijv. VK, Zwitserland, Canada onder bepaalde voorwaarden).

Aanvullende Maatregelen

Wij implementeren aanvullende technische maatregelen (versleuteling, pseudonimisering) om gegevens die buiten de EU worden overgedragen te beschermen.

Sub-verwerkers

Wij gebruiken de volgende sub-verwerkers die EU-persoonsgegevens kunnen verwerken:

Sub-verwerker Doel Locatie Waarborgen
Google Cloud Platform Hosting, Database EU (primair) SCC's, ISO 27001
Firebase (Google) Authenticatie, Database EU (primair) SCC's, ISO 27001
SendGrid E-mailbezorging VS SCC's, PCI DSS
TTLock API Slimme Slot Integratie China SCC's, Versleuteling

7. Gegevensverwerkingsovereenkomst (DPA)

Zoals vereist door AVG Artikel 28, bieden wij een Gegevensverwerkingsovereenkomst aan alle klanten die WorkTime One gebruiken om werknemersgegevens te verwerken.

Wat is een DPA?

Een Gegevensverwerkingsovereenkomst (DPA) is een juridisch bindend contract tussen een verwerkingsverantwoordelijke (u) en een verwerker (wij) dat regelt hoe persoonsgegevens worden verwerkt. Het zorgt ervoor dat wij voldoen aan de AVG bij het verwerken van uw gegevens.

Onze DPA Bevat

  • Onderwerp en Duur: Tijdregistratie en aanwezigheidsbeheer voor de duur van uw abonnement
  • Aard en Doel: Verwerking van tijdregistratiegegevens van medewerkers om onze diensten te leveren
  • Soorten Persoonsgegevens: Namen, werknemers-ID's, werkuren, biometrische gegevens, locatiegegevens
  • Categorieën Betrokkenen: Uw medewerkers en contractanten
  • Uw Verplichtingen: Uw verantwoordelijkheden als verwerkingsverantwoordelijke
  • Onze Verplichtingen: Onze verantwoordelijkheden als verwerker
  • Beveiligingsmaatregelen: Technische en organisatorische maatregelen die wij implementeren
  • Sub-verwerking: Lijst van geautoriseerde sub-verwerkers
  • Rechten van Betrokkenen: Onze hulp bij verzoeken van betrokkenen
  • Audits en Inspecties: Uw recht om onze naleving te controleren
  • Melding van Datalekken: Onze verplichting om u op de hoogte te stellen van inbreuken
  • Internationale Overdrachten: SCC's en overdrachtsmechanismen
  • Verwijdering en Retour: Gegevensverwerking bij beëindiging van het contract

Hoe toegang te krijgen: Onze standaard DPA is opgenomen in onze Servicevoorwaarden. Enterprise-klanten kunnen een aangepaste DPA aanvragen door contact op te nemen met [email protected]

8. Melding van Datalekken

Onder AVG Artikelen 33 en 34 hebben wij strikte verplichtingen met betrekking tot meldingen van datalekken:

Onze Verplichtingen

  • Melding aan Toezichthoudende Autoriteit: Wij melden de relevante toezichthoudende autoriteit binnen 72 uur nadat we kennis hebben gekregen van een inbreuk die EU-inwoners treft
  • Melding aan Klanten: Wij melden getroffen klanten (verwerkingsverantwoordelijken) zonder onnodige vertraging, meestal binnen 24-48 uur
  • Melding aan Betrokkenen: Als de inbreuk een hoog risico voor individuen vormt, helpen wij u bij het informeren van getroffen personen
  • Documentatie van Inbreuken: Wij houden een register bij van alle inbreuken, inclusief feiten, gevolgen en corrigerende maatregelen

Wat Wij U Vertellen

  • Aard van de inbreuk (wat er is gebeurd)
  • Categorieën en geschat aantal getroffen personen en records
  • Mogelijke gevolgen van de inbreuk
  • Maatregelen die wij hebben genomen of voorstellen te nemen om de inbreuk aan te pakken
  • Maatregelen om mogelijke nadelige effecten te beperken
  • Contactgegevens voor verdere vragen

Uw Verplichtingen als Verwerkingsverantwoordelijke

Als wij u melden van een inbreuk die de gegevens van uw medewerkers betreft, moet u mogelijk:

  • Beoordelen of de inbreuk een hoog risico vormt voor uw medewerkers
  • Uw nationale toezichthoudende autoriteit op de hoogte stellen (indien vereist)
  • Getroffen medewerkers informeren (als de inbreuk een hoog risico vormt voor hun rechten en vrijheden)
  • Uw respons op de inbreuk en beslissingen documenteren

9. Functionaris voor Gegevensbescherming (FG)

Onder AVG Artikel 37 hebben wij een Functionaris voor Gegevensbescherming aangesteld om toezicht te houden op onze gegevensbeschermingsstrategie en naleving te waarborgen.

FG Verantwoordelijkheden

  • Monitoring van naleving van de AVG en andere gegevensbeschermingswetten
  • Adviseren over Gegevensbeschermingseffectbeoordelingen (DPIA's)
  • Samenwerken met toezichthoudende autoriteiten
  • Fungeren als contactpunt voor betrokkenen en toezichthoudende autoriteiten
  • Training van personeel over gegevensbeschermingsverplichtingen
  • Uitvoeren van interne audits en beoordelingen

Neem Contact Op Met Onze FG

U kunt rechtstreeks contact opnemen met onze Functionaris voor Gegevensbescherming voor vragen of zorgen over de AVG:

E-mail: [email protected]

Post: Functionaris voor Gegevensbescherming, WorkTime One, Inc.

Responstijd: Wij reageren op FG-vragen binnen 5 werkdagen

10. Privacyrechten van Medewerkers

Speciale overwegingen zijn van toepassing bij het verwerken van werknemersgegevens via WorkTime One:

Verplichtingen van Werkgever

Belangrijk: Als werkgever (verwerkingsverantwoordelijke) heeft u wettelijke verplichtingen jegens uw medewerkers met betrekking tot hun privacy.

  • Transparantie: Informeer medewerkers over tijdregistratie, verzamelde gegevens en hoe deze zullen worden gebruikt
  • Rechtmatige Grondslag: Zorg ervoor dat u een rechtmatige grondslag heeft (meestal contract of gerechtvaardigd belang) voor tijdregistratie
  • Biometrische Toestemming: Verkrijg uitdrukkelijke toestemming voordat u vingerafdrukken of andere biometrische gegevens verzamelt
  • Gegevensminimalisatie: Registreer alleen gegevens die noodzakelijk zijn voor legitieme bedrijfsdoeleinden
  • Rechten van Medewerkers: Faciliteer verzoeken van medewerkers inzake hun rechten als betrokkene (toegang, verwijdering, enz.)
  • Overleg met Ondernemingsraad: In sommige EU-landen moet u overleggen met ondernemingsraden voordat u werknemersmonitoring implementeert
  • Nationale Wetgeving: Voldoe aan nationale arbeidswetten en regelgeving voor werknemersmonitoring

Sjabloon Privacyverklaring Medewerkers

Wij bieden een sjabloon voor een privacyverklaring voor medewerkers die u kunt aanpassen voor uw organisatie. Dit helpt u te voldoen aan de transparantievereisten van de AVG.

Download: Vraag ons sjabloon voor een Privacyverklaring Medewerkers aan via [email protected]

11. Klachten bij Toezichthoudende Autoriteit

Onder AVG Artikel 77 heeft u het recht om een klacht in te dienen bij een toezichthoudende autoriteit als u meent dat wij uw gegevensbeschermingsrechten hebben geschonden.

Hoe Een Klacht Indienen

U kunt een klacht indienen bij de toezichthoudende autoriteit in:

  • De EU-lidstaat van uw gewone verblijfplaats
  • De EU-lidstaat van uw werkplek
  • De EU-lidstaat waar de vermeende inbreuk heeft plaatsgevonden

EU Toezichthoudende Autoriteiten

Vind uw lokale autoriteit voor gegevensbescherming:

EU-brede Lijst: Europese Raad voor Gegevensbescherming

Ierland (onze EU-vestiging): Data Protection Commission (DPC)

E-mail: [email protected]

Website: www.dataprotection.ie

Neem Eerst Contact Met Ons Op

We moedigen u aan om eerst contact met ons op te nemen als u zorgen heeft over onze gegevensverwerking. Wij zijn toegewijd aan het rechtstreeks oplossen van problemen en zullen met u samenwerken om uw zorgen aan te pakken.

12. Contactgegevens

Voor AVG-gerelateerde vragen, verzoeken inzake rechten van betrokkenen of andere privacykwesties:

AVG Vragen: [email protected]

Functionaris voor Gegevensbescherming: [email protected]

Privacyteam: [email protected]

Algemene Ondersteuning: [email protected]

EU Vertegenwoordiger: [email protected]

Responstijd: Wij reageren op AVG-verzoeken binnen 30 dagen (zoals vereist door de wet)

Onze EU-vestiging

Voor EU-specifieke zaken kunt u contact opnemen met onze EU-vertegenwoordiger:

EU Vertegenwoordiger: WorkTime One Europe Ltd.

E-mail: [email protected]

Jurisdictie: Ierland (Hoofd Toezichthoudende Autoriteit: Ierse DPC)

AVG-bronnen

Leer meer over uw gegevensbeschermingsrechten en onze naleving

Privacybeleid

Volledige privacypraktijken

Beveiligingsmaatregelen

Technische waarborgen die we implementeren

Servicevoorwaarden

Serviceovereenkomst en DPA