Privacybeleid

1. Wie zijn wij?

Dreebro VOF is een Nederlandse onderneming die software-as-a-service (SaaS) oplossingen biedt voor ondernemingsraden en medezeggenschapsorganen. Wij zijn de verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens zoals beschreven in dit privacybeleid.

2. Welke gegevens verzamelen wij?

2.1 Accountgegevens

Wanneer u een account aanmaakt, verzamelen wij:

• Voor- en achternaam
• E-mailadres
• Organisatienaam en functie
• Wachtwoord (versleuteld opgeslagen)
• Datum en tijd van acceptatie van de algemene voorwaarden en het privacybeleid

2.2 Gebruiksgegevens

Bij gebruik van het platform verzamelen wij:

• IP-adres en browserinformatie
• Apparaattype en besturingssysteem
• Sessie-informatie (inlogtijdstippen, sessieduur)

2.3 OR-gegevens en content

Voor de functionaliteit van het platform verwerken wij gegevens die relevant zijn voor het werk van ondernemingsraden, zoals vergaderverslagen, notulen, documenten, verzoeken, taken, feedbackresultaten, stemuitslagen en andere content die door gebruikers op het platform wordt geplaatst. Deze gegevens worden standaard versleuteld opgeslagen op infrastructuur van Dreebro VOF. Organisaties kunnen er ook voor kiezen om eigen opslaginfrastructuur (zoals een eigen S3-bucket) te configureren, in welk geval documenten worden opgeslagen op de door de organisatie aangewezen infrastructuur.

3. Doeleinden en rechtsgronden

Wij verwerken uw gegevens voor de volgende doeleinden en op basis van de volgende rechtsgronden:

• Uitvoering van de overeenkomst: Het leveren, beheren en verbeteren van het Ordamo-platform.
• Wettelijke verplichting: Voldoen aan wettelijke verplichtingen, waaronder fiscale bewaarplichten.
• Gerechtvaardigd belang: Het waarborgen van de beveiliging van ons platform, het analyseren van gebruikspatronen om de dienstverlening te verbeteren, en het verzenden van serviceberichten.
• Toestemming: Voor specifieke verwerkingen waarvoor u expliciet toestemming heeft gegeven.

4. AI-verwerking

Het Ordamo-platform biedt optionele AI-functionaliteiten die door de organisatie kunnen worden ingeschakeld. Afhankelijk van de configuratie kan AI-verwerking plaatsvinden op infrastructuur van Dreebro VOF, op eigen infrastructuur van de organisatie, of via een door de organisatie gekozen externe AI-provider (zoals OpenAI). De organisatie bepaalt zelf of en hoe AI wordt ingezet. Indien een externe AI-provider wordt geconfigureerd, is de organisatie zelf verantwoordelijk voor de verwerkersovereenkomst met die provider.

5. Delen van gegevens met derden

Wij verkopen uw persoonsgegevens niet aan derden. Het platform draait standaard op infrastructuur van Dreebro VOF. Wij delen uw gegevens uitsluitend met:

• Moneybird: Voor facturatie- en abonnementsbeheer. Moneybird verwerkt organisatienaam, contactgegevens en facturatiegegevens uitsluitend ten behoeve van de financiële administratie.
• Door de organisatie geconfigureerde diensten:Organisaties kunnen ervoor kiezen eigen opslaginfrastructuur (S3) of AI-providers te configureren. In dat geval worden gegevens verwerkt op de door de organisatie aangewezen infrastructuur. De organisatie is zelf verantwoordelijk voor de verwerkersovereenkomsten met deze door haar gekozen diensten.
• Wettelijke verplichtingen: Indien wij wettelijk verplicht zijn gegevens te verstrekken aan autoriteiten.

Met Moneybird is een verwerkersovereenkomst afgesloten conform artikel 28 AVG.

6. Doorgifte buiten de EER

Uw gegevens worden opgeslagen en verwerkt op servers binnen de Europese Economische Ruimte (EER). Er vindt geen doorgifte van persoonsgegevens plaats naar landen buiten de EER, met uitzondering van gegevens die noodzakelijkerwijs door Moneybird worden verwerkt ten behoeve van facturatie. Met Moneybird zijn passende waarborgen overeengekomen.

7. Beveiliging

Wij nemen uitgebreide beveiligingsmaatregelen om uw gegevens te beschermen:

• SSL/TLS-encryptie voor alle gegevensoverdracht
• Versleutelde opslag van gevoelige gegevens
• Strikt toegangsbeleid en authenticatie
• Automatische back-ups en disaster recovery procedures
• Regelmatige beveiligingsupdates van de infrastructuur

8. Cookies

Het Ordamo-platform maakt uitsluitend gebruik van functionele cookies die noodzakelijk zijn voor de werking van de applicatie, waaronder sessiecookies voor authenticatie en CSRF-tokens voor beveiliging. Er worden geen tracking-, marketing- of analysecookies gebruikt. Voor meer informatie, zie ons Cookiebeleid.

9. Bewaartermijnen

Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld:

• Accountgegevens: Gedurende de looptijd van uw account, plus 30 dagen na beëindiging.
• Financiële gegevens: 7 jaar op basis van de fiscale bewaarplicht.
• Content: Tot verwijdering door de gebruiker of beëindiging van het account, tenzij wettelijk anders vereist.

10. Uw rechten onder de AVG

U heeft de volgende rechten met betrekking tot uw persoonsgegevens:

• Recht op inzage: U mag opvragen welke gegevens wij over u verwerken.
• Recht op rectificatie: U mag onjuiste gegevens laten corrigeren.
• Recht op verwijdering: U mag in bepaalde gevallen verwijdering van uw gegevens verzoeken.
• Recht op beperking: U mag in bepaalde gevallen de verwerking laten beperken.
• Recht op overdraagbaarheid: U mag uw gegevens in een gestructureerd formaat ontvangen.
• Recht van bezwaar: U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.

Om deze rechten uit te oefenen kunt u contact opnemen via privacy@dreebro.nl.

11. Klachtrecht

Indien u van mening bent dat wij niet zorgvuldig omgaan met uw persoonsgegevens, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.

12. Melding van datalekken

In geval van een datalek waarbij uw persoonsgegevens betrokken zijn, zullen wij u zonder onnodige vertraging informeren. Ernstige datalekken worden binnen 72 uur gemeld aan de Autoriteit Persoonsgegevens.

13. Kinderen

Onze diensten zijn niet bedoeld voor personen jonger dan 16 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen.

14. Wijzigingen in dit privacybeleid

Wij behouden ons het recht voor om dit privacybeleid te wijzigen. Wijzigingen worden op deze pagina gepubliceerd. Bij ingrijpende wijzigingen worden gebruikers per e-mail geïnformeerd.

15. Contact