Privacybeleid

1. Inleiding

Dit privacybeleid beschrijft hoe ReinartzBranding, handelend onder de naam Ergonicx (ergonicx.com), persoonsgegevens verwerkt in het kader van ons B2B SaaS-platform voor workforce management. Het platform richt zich op Nederlandse MKB-organisaties in operationele sectoren, waaronder logistiek en warehouse.

Ergonicx verwerkt urenregistratie, planning, verlof en gerelateerde arbeidsgegevens. Wij verwerken geen salarisadministratie (payroll); wij leveren uitsluitend payrollklare timesheets en exportbestanden aan de klant of diens salarisadministrateur.

2. Verwerkingsverantwoordelijke en verwerker

In de relatie tussen Ergonicx en onze zakelijke klanten (organisaties die een account aanmaken) geldt het volgende:

• Verwerkingsverantwoordelijke (controller): de zakelijke klant. De klant bepaalt welke persoonsgegevens van medewerkers in Ergonicx worden verwerkt en is verantwoordelijk voor een rechtmatige grondslag richting die medewerkers (bijvoorbeeld uitvoering van de arbeidsovereenkomst of gerechtvaardigd belang).
• Verwerker (processor): ReinartzBranding / Ergonicx. Wij verwerken persoonsgegevens uitsluitend in opdracht van en conform de instructies van de klant, ten behoeve van levering van de dienst.
• Betrokkenen: medewerkers en andere gebruikers van het platform binnen de organisatie van de klant (managers, HR, etc.).

Voor gegevens over het klantaccount zelf (contactpersoon, facturatiegegevens van de organisatie) treedt ReinartzBranding op als verwerkingsverantwoordelijke, voor zover nodig voor het aangaan en uitvoeren van de overeenkomst met de klant.

Een verwerkersovereenkomst (Data Processing Agreement, DPA) is beschikbaar op verzoek via privacy@ergonicx.com.

3. Categorieën persoonsgegevens

Afhankelijk van het gebruik door de klant kunnen de volgende categorieën persoonsgegevens worden verwerkt:

• Identiteits- en contactgegevens: naam, e-mailadres, gebruikersnaam, rol (manager/medewerker), organisatie.
• Arbeids- en contractgegevens: contracttype, contracturen, start- en einddatum dienstverband, arbeidsstatus.
• Aanwezigheids- en urengegevens: in- en uitkloktijden, pauzes, gecorrigeerde uren, weekafsluitingen, timesheets.
• Planning en verlof: diensttoewijzingen, roosters, verlofaanvragen, ziekmeldingen, verlofsaldi.
• Locatiegegevens (optioneel): GPS-coördinaten bij in- en uitklokken, uitsluitend wanneer de klant geofencing heeft ingeschakeld. Geen continue locatietracking.
• Technische en gebruiksgegevens: IP-adres, browsertype, apparaatinformatie, sessielogs, auditlogs van acties in het systeem.
• Facturatiegegevens (organisatie): bedrijfsnaam, KVK, BTW-nummer, factuuradres, betaalgegevens via Stripe (wij slaan geen volledige kaartnummers op).

4. Verwerkingsdoeleinden en rechtsgronden

Wij verwerken persoonsgegevens voor de volgende doeleinden:

• Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG): leveren, onderhouden en ondersteunen van het Ergonicx-platform; verwerken van uren, planning en verlof; genereren van timesheets en exportbestanden; accountbeheer en facturatie.
• Gerechtvaardigd belang (art. 6 lid 1 sub f AVG): beveiliging van het platform, fraudepreventie, foutanalyse, verbetering van betrouwbaarheid en bescherming van onze systemen en gebruikers. Bij analytics (PostHog) vragen wij vooraf toestemming; zie sectie 11.
• Wettelijke verplichting (art. 6 lid 1 sub c AVG): indien van toepassing, bijvoorbeeld fiscale bewaarplicht voor bepaalde administratie.

De klant als verwerkingsverantwoordelijke is zelf verantwoordelijk voor het informeren van medewerkers en het hebben van een passende rechtsgrond voor verwerking van persoonsgegevens in Ergonicx, inclusief eventueel gebruik van locatiegegevens bij geofencing.

5. Bewaartermijnen

Wij hanteren de volgende bewaartermijnen, tenzij de klant binnen de mogelijkheden van het platform afwijkende instellingen heeft of de wet een langere termijn vereist:

• Arbeids- en urengegevens: maximaal 7 jaar na het betreffende boekjaar, in overeenstemming met de Nederlandse fiscale bewaarplicht voor loonadministratie en gerelateerde gegevens.
• Accountgegevens: zolang het abonnement actief is, plus 30 dagen na beëindiging van het contract, tenzij wettelijke bewaarplicht een langere termijn vereist.
• Technische logs en auditlogs: maximaal 90 dagen, tenzij nodig voor incidentonderzoek of wettelijke verplichting.
• Back-ups: worden binnen redelijke termijn na verwijdering uit productieomgevingen overschreven; resterende back-updata wordt uiterlijk binnen 90 dagen na accountbeëindiging verwijderd.

6. Sub-verwerkers

Wij maken gebruik van de volgende sub-verwerkers. Zij verwerken persoonsgegevens uitsluitend in opdracht van Ergonicx en conform passende contractuele waarborgen:

• Supabase Inc. (Verenigde Staten / EU-regio) — database, authenticatie en opslag van applicatiedata. Privacybeleid: https://supabase.com/privacy
• Vercel Inc. (Verenigde Staten / EU-regio) — hosting en content delivery van de webapplicatie. Privacybeleid: https://vercel.com/legal/privacy-policy
• Stripe Inc. (Verenigde Staten / Ierland) — betalingen, SEPA-incasso en fraudepreventie. Privacybeleid: https://stripe.com/nl/privacy
• Resend Inc. (Verenigde Staten) — transactionele e-mail (uitnodigingen, notificaties, facturatie). Privacybeleid: https://resend.com/legal/privacy-policy
• Functional Software Inc. / Sentry (Verenigde Staten / EU) — foutmonitoring en applicatieprestaties. Privacybeleid: https://sentry.io/privacy/
• PostHog Inc. (Verenigde Staten / EU-datacenter) — productanalytics, uitsluitend na toestemming van de gebruiker. Privacybeleid: https://posthog.com/privacy
• Upstash Inc. (Verenigde Staten / EU-regio) — Redis-caching ter verbetering van prestaties (optioneel). Privacybeleid: https://upstash.com/trust/privacy.pdf
• OpenRouter Inc. (Verenigde Staten) — AI-functies (manager-assistent en marketingchatbot); alleen de voor de vraag noodzakelijke promptcontext wordt verwerkt. Privacybeleid: https://openrouter.ai/privacy

Wijzigingen in sub-verwerkers worden aan klanten gecommuniceerd conform de verwerkersovereenkomst of dit privacybeleid.

7. Doorgifte buiten de Europese Economische Ruimte (EER)

Wij streven ernaar persoonsgegevens binnen de EER te verwerken. Waar sub-verwerkers gevestigd zijn in landen buiten de EER, of doorgifte anderszins plaatsvindt, passen wij passende waarborgen toe:

• Supabase, Vercel, PostHog, Upstash: productieomgevingen worden geconfigureerd in EU-datacenters waar beschikbaar. Eventuele doorgifte naar de Verenigde Staten geschiedt op basis van Standard Contractual Clauses (SCCs) en aanvullende maatregelen waar vereist.
• Stripe, Resend, Sentry, OpenRouter: verwerking kan (deels) in de Verenigde Staten plaatsvinden. Doorgifte geschiedt op basis van SCCs, het EU–VS Data Privacy Framework (waar van toepassing) en/of de verwerkersovereenkomsten van de betreffende partij.

Kopieën van relevante waarborgen of informatie over doorgifte zijn op verzoek beschikbaar via privacy@ergonicx.com.

8. Rechten van betrokkenen

Betrokkenen (medewerkers en andere gebruikers) hebben onder de AVG de volgende rechten, voor zover van toepassing:

• Inzage in de persoonsgegevens die over hen worden verwerkt.
• Rectificatie van onjuiste of onvolledige gegevens.
• Wissing (“recht om vergeten te worden”), voor zover wettelijk toegestaan.
• Beperking van de verwerking.
• Overdraagbaarheid van gegevens in een gestructureerd, gangbaar formaat.
• Bezwaar tegen verwerking op basis van gerechtvaardigd belang.
• Intrekking van toestemming waar verwerking op toestemming is gebaseerd (analytics), zonder afbreuk te doen aan eerdere rechtmatige verwerking.

Verzoeken kunnen worden gericht aan privacy@ergonicx.com. Wij reageren binnen 30 dagen. Omdat wij voor medewerkersgegevens doorgaans als verwerker optreden, kunnen wij betrokkenen doorverwijzen naar hun werkgever (de verwerkingsverantwoordelijke) indien dat passend is. Wij ondersteunen klanten bij het honoreren van verzoeken voor zover contractueel en technisch mogelijk.

9. Datalekken

Bij een inbreuk in verband met persoonsgegevens (datalek) hanteren wij een interne meldprocedure. Indien het datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen, melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens.

Als verwerker informeren wij de betreffende klant (verwerkingsverantwoordelijke) onverwijld na ontdekking van een datalek, zodat de klant eventuele meld- en informatieplichten jegens betrokkenen kan nakomen.

10. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen, waaronder:

• Versleuteling van data in transit (TLS 1.2 of hoger).
• Versleuteling van data at rest in onze database-omgeving (Supabase).
• Toegangscontrole op basis van rollen en organisatie-isolatie (Row Level Security).
• Beperkte toegang tot productiesystemen voor geautoriseerd personeel.
• Monitoring en foutdetectie via Sentry.
• Regelmatige beveiligingsupdates van platform en afhankelijkheden.

11. Cookies en analytics

Wij gebruiken essentiële cookies en vergelijkbare technieken voor authenticatie, sessiebeheer, beveiliging en taalvoorkeur. Deze zijn noodzakelijk voor het functioneren van de dienst.

Voor productanalytics gebruiken wij PostHog, gehost in de EU (eu.i.posthog.com). PostHog wordt uitsluitend geactiveerd nadat de gebruiker toestemming heeft gegeven via onze cookievoorkeuren. Zonder toestemming worden geen analytics-cookies geplaatst en geen tracking-events verstuurd.

Stripe kan cookies plaatsen in het kader van betalingen en fraudepreventie wanneer je de checkout of klantportaal gebruikt. Raadpleeg het privacybeleid van Stripe voor details.

12. Contactgegevens

ReinartzBranding (Ergonicx) Grensstraat 10 6374 CS Landgraaf Nederland KVK: 94174946 BTW: NL005069113B66 E-mail: privacy@ergonicx.com

13. Klachten

Als je van mening bent dat wij niet correct omgaan met persoonsgegevens, kun je contact opnemen via privacy@ergonicx.com. Je hebt ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl

14. Wijzigingen

Wij kunnen dit privacybeleid wijzigen. Materiële wijzigingen communiceren wij per e-mail aan klanten of via een melding in de applicatie. De datum “Laatst bijgewerkt” bovenaan dit document geeft aan wanneer het beleid voor het laatst is herzien.

Changelog: 9 juni 2026 — eerste productieversie van dit privacybeleid gepubliceerd.