Privacyverklaring
Laatst bijgewerkt: 10 mei 2026
1. Verwerkingsverantwoordelijke
Beterbit, gevestigd te De Waarden 3, 7206 GA Zutphen, KvK 99645726 (BTW NL005402427B62). Voor vragen over privacy of een datalek-melding: privacy@beterbit.nl.
2. Welke gegevens verwerken we
- Account- en profielgegevens (naam, e-mail, telefoon, rol)
- Werkgerelateerde data (uren, projecttoewijzingen, verlof, offertes, facturen)
- Klant- en projectgegevens die je zelf invoert
- GPS-locatie bij check-in (alleen bij actieve check-in)
- Logbestanden (IP-adres, user-agent, tijdstempels) voor beveiliging en fraudepreventie
- Cookies (zie sectie 5)
3. Doeleinden en grondslagen
We verwerken gegevens om het platform te leveren (uitvoering overeenkomst), om wettelijke verplichtingen na te komen (boekhouding, fiscale bewaarplicht) en op basis van gerechtvaardigd belang (beveiliging, fraudedetectie en productverbetering). Voor optionele cookies vragen we expliciete toestemming.
4. Bewaartermijnen
Persoonsgegevens worden bewaard zolang je account actief is. Na opzegging worden gegevens binnen 30 dagen verwijderd, behoudens wettelijke bewaarplichten (7 jaar voor financiële administratie). Back-ups worden binnen 35 dagen na verwijdering automatisch overschreven.
5. Cookies
We gebruiken noodzakelijke cookies voor sessiebeheer en beveiliging, en optionele analytics-cookies om de app te verbeteren. Je kunt je toestemming op elk moment intrekken via de cookie-instellingen.
6. Jouw rechten
- Recht op inzage en dataportabiliteit — via Beheer → Privacy
- Recht op correctie — via je profielinstellingen
- Recht op verwijdering — via Beheer → Privacy
- Recht op beperking en bezwaar — neem contact op met privacy@beterbit.nl
- Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl)
7. Beveiliging
Wij hanteren een security-first aanpak en passen onder meer de volgende technische en organisatorische maatregelen toe:
- Versleuteling onderweg (TLS 1.2+) en at-rest (AES-256)
- Row Level Security (RLS) op alle databasetabellen — fysiek geïsoleerde database per klant
- Rolgebaseerde toegang (RBAC), least-privilege en multi-factor authenticatie voor beheerders
- Append-only audit-log van gevoelige acties
- Geautomatiseerde back-ups, disaster-recovery procedure en periodieke herstel-tests
- Periodieke penetratietests en kwetsbaarheidsscans
- Incident response procedure: meldingen aan getroffen klanten en de AP binnen 72 uur conform AVG art. 33
- Vendor management programma en verwerkersovereenkomsten met alle sub-verwerkers
8. Compliance & certificeringen onderliggende infrastructuur
Onze hosting- en infrastructuurpartners zijn gecertificeerd voor SOC 2 Type II, ISO 27001:2022 en voldoen aan de AVG/GDPR. Een Data Processing Agreement (DPA) en Transfer Impact Assessment (TIA, conform Schrems II / EDPB) zijn beschikbaar op aanvraag via privacy@beterbit.nl.
9. Sub-verwerkers
Voor de levering van de dienst schakelen wij de volgende categorieën sub-verwerkers in. Met elke partij is een verwerkersovereenkomst gesloten.
| Partij | Doel | Regio |
|---|---|---|
| Cloudhosting-provider (database, opslag) | Hosting applicatie- en klantdata | EU |
| Edge/CDN provider | Levering frontend, DDoS-bescherming | EU/Global |
| Transactionele e-mail provider | Verzenden van systeem- en notificatie-e-mails | EU |
| Bot- en fraudepreventie | Bescherming tegen misbruik en account-takeover | EU |
| Payment provider | Verwerking abonnementen en betalingen | EU |
Een actuele en gedetailleerde lijst (inclusief naam, vestigingsland en specifieke services) is op aanvraag beschikbaar.
10. Internationale doorgifte
Persoonsgegevens worden primair binnen de EU verwerkt. Voor eventuele doorgifte buiten de EER hanteren wij Standard Contractual Clauses (SCC's) en aanvullende waarborgen conform de EDPB-aanbevelingen (Schrems II).
11. Wijzigingen
We kunnen deze verklaring aanpassen. Belangrijke wijzigingen worden vooraf gecommuniceerd via e-mail of in-app melding.