Privacyverklaring

Infrix VOF (“wij”, “onze” of “ons”) zet zich in voor de bescherming van uw privacy. Dit Privacybeleid legt uit hoe wij uw persoonsgegevens verzamelen, gebruiken, bekendmaken en beschermen wanneer u ons personeelsbeheerplatform (“Dienst”) gebruikt, in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) en de Nederlandse wetgeving inzake gegevensbescherming.

1. Verwerkingsverantwoordelijke

Infrix treedt op als verwerker voor werknemersgegevens die door uw organisatie (de verwerkingsverantwoordelijke) worden ingevoerd. Voor accountgegevens (inloggegevens, accountinstellingen) is Infrix de verwerkingsverantwoordelijke. Waar Infrix als verwerker optreedt, is een verwerkersovereenkomst van toepassing. Onze verwerkersovereenkomst is beschikbaar op /dpa.

Infrix VOF

Wolbrantskerkweg 135, 1069 CL Amsterdam, Nederland

KvK: 96615346

E-mail: privacy@infrix.app

Wij hebben geen Functionaris voor Gegevensbescherming (FG) aangesteld, aangezien dit niet vereist is gezien de huidige aard en omvang van onze verwerkingsactiviteiten. Voor alle privacygerelateerde vragen kunt u contact opnemen via [privacy@infrix.app</a

.

2. Persoonsgegevens die wij verzamelen

2.1 Gegevens die u verstrekt

• Accountgegevens: naam, e-mailadres, telefoonnummer, bedrijfsnaam, functietitel, afdeling.
• Tijdregistratiegegevens: werkuren, pauzetijden, in-/uitkloktijden, projecttoewijzing.
• Roostergegevens: diensttoewijzingen, beschikbaarheidsvoorkeuren, roostersjablonen.
• Verzuimgegevens: verlofaanvragen, verzuimtypes, ziekteverzuimregistraties.
• Projectgegevens: projecttoewijzingen, taakinformatie, tijdsbesteding per project.

2.2 Bijzondere categorieen persoonsgegevens

De Dienst verwerkt ziekteverzuimregistraties, die gezondheidsgegevens vormen onder Artikel 9 AVG. Deze gegevens worden uitsluitend verwerkt ten behoeve van verzuimbeheer zoals vereist onder het Nederlandse arbeidsrecht. Uw werkgever (de verwerkingsverantwoordelijke) is verantwoordelijk voor het waarborgen dat de verzameling en verwerking van deze gegevens voldoet aan de Uitvoeringswet AVG (UAVG) en toepasselijke arbeidsrechtelijke regelgeving. Infrix verwerkt geen medische diagnoses of gedetailleerde gezondheidsinformatie — alleen het type en de duur van het verzuim.

2.3 Automatisch verzamelde gegevens

• Technische gegevens: IP-adres, browsertype en -versie, besturingssysteem, apparaattype.
• Gebruiksgegevens: bezochte pagina’s, gebruikte functies, uitgevoerde acties binnen de Dienst.
• Fout- en diagnostische gegevens: crashrapporten, foutlogboeken en prestatiegegevens verzameld via Sentry, die IP-adres en browserinformatie in foutcontext kunnen bevatten.
• Sessiegegevens: authenticatietokens, sessie-identificatoren, inlogtijdstempels.

3. Rechtsgrondslag voor Verwerking

Wij verwerken uw persoonsgegevens op basis van de volgende rechtsgronden (Artikel 6 AVG):

• Uitvoering van een overeenkomst (Art. 6(1)(b)): accountbeheer, dienstverlening, tijdregistratie, roostering en verzuimbeheer.
• Gerechtvaardigd belang (Art. 6(1)(f)): beveiliging, fraudepreventie, foutmonitoring (Sentry), dienstverbetering en geaggregeerde analyses.
• Toestemming (Art. 6(1)(a)): optionele marketingcommunicatie en verzameling van betafeedback.
• Wettelijke verplichting (Art. 6(1)(c)): waar gegevensbewaring wettelijk vereist is.

Voor bijzondere categorieen persoonsgegevens (ziekteverzuimregistraties) is de rechtsgrondslag Artikel 9(2)(b) AVG — verwerking is noodzakelijk voor de uitvoering van verplichtingen op het gebied van het arbeidsrecht, in samenhang met Artikel 30 van de Uitvoeringswet AVG (UAVG).

4. Hoe wij uw gegevens gebruiken

• Leveren en onderhouden van de Dienst (tijdregistratie, roostering, verzuimbeheer, rapportage).
• Authenticatie van gebruikers en beheer van toegangscontrole.
• Genereren van urenstaten, rapporten en personeelsanalyses.
• Verzenden van servicemeldingen (roosterwijzigingen, verzuimgoedkeuringen, herinneringen).
• Monitoren van fouten en verbeteren van de betrouwbaarheid van de Dienst.
• Reageren op uw ondersteuningsverzoeken.
• Verbeteren en ontwikkelen van nieuwe functies op basis van geaggregeerde gebruikspatronen.
• Waarborgen van de beveiliging van de Dienst en voorkomen van misbruik.
• Voldoen aan wettelijke verplichtingen.

5. Gegevens delen en Sub-verwerkers

5.1 Binnen uw organisatie

Uw tijdsinvoer, roosters en werkgegevens kunnen zichtbaar zijn voor beheerders, managers en andere geautoriseerde leden van uw organisatie op basis van rolgebaseerde toegangscontroles.

5.2 Sub-verwerkers

Wij gebruiken de volgende externe diensten. Elk verwerkt gegevens namens ons onder contractuele verwerkersovereenkomsten:

• Google Firebase (Google LLC) — Authenticatie, Firestore-database, Cloud Storage. Gegevens opgeslagen in EU-regio (europe-west4).
• Stripe (Stripe Inc.) — Betalingsverwerking en salarisuitbetaling (wordt geactiveerd). Wanneer deze functie beschikbaar komt, verwerkt Stripe betalingsgerelateerde persoonsgegevens waaronder bankrekeninggegevens. Gegevens kunnen worden verwerkt in de Verenigde Staten onder het EU-VS Data Privacy Framework.
• Sentry (Functional Software Inc.) — Foutopsporing en prestatiemonitoring. Kan IP-adressen en browsergegevens verwerken in foutcontext.
• Resend (Resend Inc.) — Transactionele e-mailbezorging voor meldingen, herinneringen en servicecommunicatie.
• Railway (Railway Corp.) — Applicatiehosting en infrastructuur.

Wij zullen deze lijst bijwerken wanneer sub-verwerkers worden toegevoegd of gewijzigd en klanten vooraf informeren over wijzigingen.

5.3 Verwerkersovereenkomst

Waar Infrix persoonsgegevens verwerkt namens uw organisatie, is een verwerkersovereenkomst in overeenstemming met Artikel 28 AVG van toepassing. Onze standaard verwerkersovereenkomst is beschikbaar op /dpa](mailto:privacy@infrix.app).

5.4 Wettelijke vereisten

Wij kunnen uw gegevens bekendmaken wanneer dit wettelijk verplicht is, bij rechterlijk bevel, of in reactie op geldige verzoeken van overheidsinstanties.

5.5 Bedrijfsoverdrachten

Bij een fusie, overname of verkoop van activa kunnen uw gegevens worden overgedragen als onderdeel van die transactie. Wij zullen u hiervan op de hoogte stellen via e-mail.

6. Internationale Gegevensoverdrachten

Uw primaire gegevens worden opgeslagen in Google Firebase in de EU-regio (europe-west4, Nederland). Sommige sub-verwerkers (Stripe, Sentry, Resend) kunnen gegevens verwerken in de Verenigde Staten. Waar gegevens buiten de EU/EER worden overgedragen, zorgen wij voor passende waarborgen, zoals het EU-VS Data Privacy Framework of Standaard Contractbepalingen, in overeenstemming met Artikelen 44-49 AVG.

7. Gegevensbewaring

• Account- en servicegegevens: bewaard voor de duur van uw account. Bij accountverwijdering worden gegevens binnen 90 dagen verwijderd, tenzij langere bewaring wettelijk vereist is (bijv. fiscale bewaarplicht).
• Tijdregistratie- en roostergegevens: bewaard voor de duur van uw account voor rapportage- en auditdoeleinden. Uw werkgever kan verplicht zijn bepaalde arbeidsregistraties tot 7 jaar te bewaren onder de Nederlandse fiscale wetgeving.
• Foutlogboeken (Sentry): bewaard volgens de standaard bewaartermijn van Sentry (doorgaans 90 dagen).
• Sessiegegevens: sessietokens verlopen na een periode van inactiviteit; gecachte gebruikersgegevens zijn kortlevend en worden automatisch vernieuwd.

Wanneer het betaprogramma eindigt, bieden wij redelijke voorafgaande kennisgeving en de mogelijkheid om uw gegevens te exporteren voordat deze worden verwijderd.

8. Gegevensbeveiliging

Wij implementeren passende technische en organisatorische maatregelen om uw gegevens te beschermen, waaronder:

• Versleutelde verbindingen (TLS) voor alle gegevens in transit.
• Versleuteling in rust door Google Firebase.
• Rolgebaseerde toegangscontrole met bedrijfsgebonden gegevensisolatie (multi-tenancy) — de gegevens van elke organisatie zijn logisch gescheiden in onze database, afgedwongen op databaseniveau door Firestore-beveiligingsregels.
• Veilig sessiebeheer met Firebase Auth.
• Content Security Policy (CSP) headers ter voorkoming van cross-site scripting.
• CSRF-bescherming op alle mutatie-eindpunten.
• Rate limiting op gevoelige operaties.

Hoewel wij ernaar streven uw gegevens te beschermen, is geen enkele elektronische opslag- of verzendmethode 100% veilig.

9. Melding van Datalekken

Bij een inbreuk op persoonsgegevens zullen wij de Autoriteit Persoonsgegevens binnen 72 uur na kennisneming van het lek informeren, zoals vereist door Artikel 33 AVG. Als het lek een hoog risico vormt voor uw rechten en vrijheden, zullen wij u zonder onnodige vertraging via e-mail informeren.

10. Uw Rechten (AVG)

Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

• Recht van inzage (Art. 15): een kopie van uw persoonsgegevens opvragen.
• Recht op rectificatie (Art. 16): onjuiste of onvolledige gegevens corrigeren.
• Recht op wissing (Art. 17): verwijdering van uw persoonsgegevens verzoeken, onder voorbehoud van toepasselijke wettelijke bewaarverplichtingen (bijv. fiscale wetgeving, arbeidsrecht).
• Recht op beperking (Art. 18): beperking van verwerking van uw gegevens.
• Recht op gegevensoverdraagbaarheid (Art. 20): uw gegevens ontvangen in een gestructureerd, machineleesbaar formaat (JSON of CSV).
• Recht van bezwaar (Art. 21): bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
• Recht om toestemming in te trekken (Art. 7(3)): toestemming op elk moment intrekken wanneer verwerking daarop is gebaseerd.

Om deze rechten uit te oefenen, neem contact op via privacy@infrix.app. Wij reageren binnen 30 dagen.

U heeft ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens op autoriteitpersoonsgegevens.nl.

11. Cookies

Wij gebruiken essentiele cookies die nodig zijn voor het functioneren van de Dienst:

• Sessiecookie: authenticeert uw inlogsessie (HttpOnly, Secure, SameSite=Lax).
• CSRF-token: beschermt tegen cross-site request forgery-aanvallen.

Wij gebruiken geen advertentie-, tracking- of marketingcookies van derden.

12. Geautomatiseerde Besluitvorming

De Dienst bevat een AI-gestuurde roosteroptimalisatiefunctie. Deze functie genereert roostersuggesties op basis van beschikbaarheid, kwalificaties en bedrijfsbeperkingen. Alle AI-gegenereerde roosters vereisen menselijke beoordeling en goedkeuring door een manager of beheerder voordat ze van kracht worden. Er worden geen geautomatiseerde besluiten genomen die juridische of vergelijkbare significante gevolgen hebben voor personen zonder menselijk toezicht.

De gegevens van uw organisatie worden uitsluitend gebruikt om roostersuggesties voor die organisatie te genereren. Wij gebruiken uw gegevens niet om machine learning-modellen te trainen of om deze te delen met andere organisaties.

13. Gegevensbeschermingseffectbeoordeling

Aangezien de Dienst werknemersgegevens verwerkt, waaronder bijzondere categorieen (gezondheidsgegevens in de vorm van ziekteverzuimregistraties), voeren wij gegevensbeschermingseffectbeoordelingen (GEB’s) uit zoals vereist door Artikel 35 AVG om risico’s voor de rechten en vrijheden van betrokkenen te identificeren en te beperken.

14. Privacy van Kinderen

De Dienst is niet gericht op personen jonger dan 16 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen. Als wij ontdekken dat wij gegevens van een kind hebben verzameld zonder passende toestemming, zullen wij die gegevens onmiddellijk verwijderen.

15. Wijzigingen in dit Beleid

Wij kunnen dit Privacybeleid bijwerken om wijzigingen in onze praktijken, technologie of wettelijke vereisten weer te geven. Materiele wijzigingen worden gecommuniceerd via e-mail of een melding in de app. Wij raden u aan dit beleid regelmatig te raadplegen.

16. Contact

Voor vragen over dit Privacybeleid of om uw gegevensrechten uit te oefenen:

Infrix VOF

Wolbrantskerkweg 135, 1069 CL Amsterdam, Nederland

KvK: 96615346

E-mail: privacy@infrix.app

Toezichthoudende autoriteit: Autoriteit Persoonsgegevens, autoriteitpersoonsgegevens.nl