Privacyverklaring
1. Wie zijn wij?
Deze privacyverklaring is van Bytesize AI B.V., statutair gevestigd te Meppel, kantoorhoudende te Blankenstein 230-2, 7943 PG Meppel, ingeschreven bij de Kamer van Koophandel onder nummer 94930430. Bytesize AI B.V. handelt onder de handelsnaam GainWorks. In deze verklaring noemen wij onszelf "GainWorks", "wij" of "ons".
Contact voor privacyvragen: privacy@gainworks.nl. GainWorks heeft op dit moment geen formele functionaris gegevensbescherming (FG/DPO) aangesteld.
2. Waarvoor geldt deze verklaring?
Deze verklaring geldt voor persoonsgegevens die wij verwerken in verband met onze website, intakegesprekken, evenementen, BORS/ANR-trajecten, businesscase- en PRD-trajecten, leveranciersmatching, projectregie, klantbeheer, leveranciersbeheer, administratie en facturatie.
Belangrijk onderscheid
Wanneer GainWorks persoonsgegevens verwerkt in opdracht van een klant, bijvoorbeeld bij een BORS/ANR-vragenlijst onder medewerkers van die klant, kan GainWorks verwerker zijn. In dat geval worden aanvullende afspraken vastgelegd in een verwerkersovereenkomst. Voor eigen klant-, prospect-, leveranciers-, event- en administratiegegevens is GainWorks meestal zelf verwerkingsverantwoordelijke.
3. Onze privacyrollen per model
| Model / situatie | Waarschijnlijke AVG-rol GainWorks | Toelichting |
|---|---|---|
| Website, contact, events, prospects en facturatie | Verwerkingsverantwoordelijke | GainWorks bepaalt zelf waarom en hoe deze zakelijke en administratieve gegevens worden verwerkt. |
| BORS/ANR uitgevoerd in opdracht van een klant | Meestal verwerker | De klant bepaalt het doel van de analyse binnen de organisatie. GainWorks verwerkt deelnemers- en procesdata volgens de opdracht en verwerkersovereenkomst. |
| Brokermodel | Gemengd | GainWorks verwerkt eigen matching- en regiedata. De leverancier kan rechtstreeks met de klant contracteren en moet zijn eigen privacyrol met de klant vastleggen. |
| Hosted ANR-model | Meestal verwerker voor klantdata | GainWorks host of beheert de ANR/BORS-omgeving of intakeomgeving voor de klant. De technische hosting voor de BORS/ANR zelf wordt vastgesteld voordat dit model productief wordt ingezet. |
4. Welke persoonsgegevens verwerken wij?
| Categorie | Voorbeelden van gegevens |
|---|---|
| Website en contact | Naam, organisatie, zakelijk e-mailadres, telefoonnummer, berichtinhoud en technische serverlogs die nodig zijn voor hosting en beveiliging. |
| Evenementen | Naam, organisatie, functie, zakelijk e-mailadres, aanwezigheid, eventuele voorkeuren die iemand zelf opgeeft en communicatie over het event. |
| BORS/ANR-deelnemers | Naam, zakelijk e-mailadres, functie, afdeling/team, rol, verantwoordelijkheden, werkprocessen, antwoorden op vragenlijsten, input uit interviews of workshops, knelpunten, verbetersuggesties en procesinformatie. |
| Businesscase, PRD en regie | Projectcommunicatie, beslissingen, scope, planning, actiepunten, feedback, voortgangsinformatie en inhoudelijke input voor businesscases of PRD's. |
| Leveranciersmatching | Zakelijke contactgegevens, projectcontext, functionele eisen, PRD-informatie en informatie die nodig is om een passende leverancier te selecteren of te begeleiden. |
| Administratie en facturatie | Factuurgegevens, betaalgegevens, overeenkomsten, handtekeningen, KvK-gegevens, correspondentie en gegevens die nodig zijn voor fiscale en juridische administratie. Facturatie gebeurt via SnelStart. |
GainWorks vraagt niet om bijzondere persoonsgegevens, BSN, medische gegevens, strafrechtelijke gegevens of gegevens over kinderen, tenzij dit vooraf schriftelijk is overeengekomen en noodzakelijk is voor een specifiek traject. Klanten en deelnemers worden gevraagd zulke gegevens niet in vrije tekstvelden, interviews of documenten op te nemen als dat niet nodig is.
5. Doeleinden en grondslagen
| Doel | Grondslag / toelichting |
|---|---|
| Offertes, intake en klantrelatie | Voorbereiden en uitvoeren van overeenkomsten; gerechtvaardigd belang bij zakelijke relatiebeheer. |
| BORS/ANR, analyse, businesscases en PRD | Uitvoeren van de overeenkomst met de klant; bij deelnemers binnen de klantorganisatie meestal gerechtvaardigd belang van de klant en GainWorks bij procesverbetering en opdrachtuitvoering. |
| Evenementen | Uitvoering van aanmelding en organisatie; toestemming of gerechtvaardigd belang bij zakelijke communicatie rondom het event. |
| Leveranciersmatching en regie | Uitvoering van de overeenkomst en gerechtvaardigd belang bij selectie, kwaliteitsbewaking en projectcoordinatie. |
| Administratie, facturatie en compliance | Wettelijke verplichtingen en uitvoering van overeenkomsten. |
| Beveiliging, misbruikpreventie en geschilbeheer | Gerechtvaardigd belang bij informatiebeveiliging, bedrijfscontinuiteit en rechtspositie. |
6. Systemen, leveranciers en ontvangers
GainWorks gebruikt op dit moment geen cookies, trackingcookies, analytics, trackingpixels, CRM of marketingautomatisering voor de verwerking van de in deze verklaring beschreven gegevens. Er wordt daarom geen cookiebanner of aparte cookiepagina ingericht zolang de website daadwerkelijk geen cookies of vergelijkbare technieken plaatst of uitleest. Gegevens worden in beginsel verzameld en opgeslagen binnen de Hostinger-omgeving van GainWorks. De hosting van de BORS/ANR zelf is nog te bepalen en wordt pas productief gebruikt nadat privacy-, beveiligings- en verwerkersafspraken zijn beoordeeld. Als de website later technische, analytische of marketingcookies of vergelijkbare technieken gaat gebruiken, wordt vooraf een cookie-inventarisatie uitgevoerd en worden deze verklaring en de website-inrichting aangepast.
| Partij / systeem | Gebruik | Opmerking |
|---|---|---|
| Hostinger | Websitehosting, hostingomgeving, formulieren/data-opslag en technische serververwerking voor de website. | Hostinger geldt voor deze diensten als verwerker/subverwerker. GainWorks gebruikt de omgeving als centrale opslag voor event-, intake- en websitegegevens. |
| BORS/ANR-platform | Toekomstige of projectspecifieke hosting/verwerking van BORS/ANR-data. | Nog te bepalen. Mag pas worden gebruikt nadat de leverancier, locatie, verwerkersafspraken en beveiligingsmaatregelen zijn vastgelegd. |
| SnelStart | Facturatie en financiele administratie. | Wordt gebruikt voor eigen administratie en wettelijke bewaarplichten. |
| Preferred suppliers | Alleen wanneer nodig voor matching, offerte, implementatie of regie. | Delen gebeurt op need-to-know basis en waar nodig onder een supplier-DPA/verwerkersovereenkomst. |
| Juridisch adviseur, accountant of boekhouder | Advies, compliance, administratie of geschilbeheer. | Alleen voor zover noodzakelijk en onder passende geheimhouding. |
7. AI-ondersteunde verwerking en ANR/BORS
GainWorks kan AI-systemen en automatisering gebruiken ter ondersteuning van analyse, samenvatting, structurering, vragenlijstgeneratie, ideevorming, rapportage, businesscase-ontwikkeling en PRD-vorming. AI is ondersteunend; belangrijke conclusies, adviezen en klantbeslissingen worden menselijk beoordeeld.
- Persoonsgegevens en klantdata worden niet gebruikt voor training, fine-tuning, benchmarking, demonstraties of productontwikkeling van AI-modellen zonder voorafgaande schriftelijke toestemming of duidelijke contractuele afspraak.
- Waar mogelijk worden gegevens geminimaliseerd, geanonimiseerd of gepseudonimiseerd voordat AI-tools worden gebruikt.
- De BORS/ANR-hosting en eventuele AI/modelleveranciers worden voorafgaand aan productief gebruik toegevoegd aan het subverwerkersoverzicht of de projectspecifieke bijlage.
- Bij leveranciersmatching worden alleen die gegevens gedeeld die redelijkerwijs nodig zijn voor beoordeling, offerte of uitvoering.
8. Doorgifte buiten de Europese Unie
GainWorks richt haar verwerking zo in dat persoonsgegevens niet buiten de Europese Unie worden verwerkt, tenzij dit vooraf schriftelijk is overeengekomen of noodzakelijk is op grond van een wettelijke verplichting. Als een toekomstige tool, BORS/ANR-platform, AI-dienst of leverancier toch verwerking buiten de EU vereist, wordt dit vooraf beoordeeld en vastgelegd met een passende doorgiftegrondslag en aanvullende maatregelen.
9. Bewaartermijnen
| Categorie | Standaard bewaartermijn |
|---|---|
| Event-, intake- en websiteformulierdata | Verwijdering uiterlijk 30 dagen nadat het event is afgerond of het contactmoment is afgehandeld, tenzij een samenwerking of wettelijke bewaarplicht volgt. |
| BORS/ANR-ruwe data en individuele antwoorden | Verwijdering uiterlijk 30 dagen nadat het relevante traject, event of de samenwerking is afgerond, tenzij klant en GainWorks schriftelijk anders afspreken. |
| Project- en regiedata | Verwijdering uiterlijk 30 dagen na afronding van de samenwerking, voor zover geen wettelijke bewaarplicht, openstaande claim of noodzakelijke nazorg geldt. |
| Geaggregeerde of geanonimiseerde inzichten | Kan langer worden bewaard wanneer deze niet meer herleidbaar zijn tot personen of individuele klanten. |
| Factuur- en financiele administratie in SnelStart | In beginsel 7 jaar op grond van fiscale bewaarplichten. |
| Contracten en juridische correspondentie | Zolang nodig voor uitvoering, bewijs, geschilbeheer of wettelijke bewaarplichten. |
10. Beveiliging
GainWorks hanteert een praktische security baseline. Daarmee bedoelen wij de minimale technische en organisatorische maatregelen die altijd gelden, ongeacht of GainWorks in broker-model of hosted ANR-model werkt.
| Domein | Baseline |
|---|---|
| Toegang | Alleen toegang voor personen die de gegevens nodig hebben; sterke unieke wachtwoorden en MFA waar beschikbaar. |
| Opslag | Gegevens worden centraal opgeslagen in de GainWorks/Hostinger-omgeving of in een vooraf goedgekeurde BORS/ANR-omgeving. |
| Transport | Versleutelde verbindingen waar beschikbaar, bijvoorbeeld HTTPS/TLS en beveiligde bestandsuitwisseling. |
| Minimalisatie | Geen onnodige persoonsgegevens; geen bijzondere persoonsgegevens tenzij vooraf schriftelijk afgesproken. |
| Geen analytics/CRM | Geen aparte analytics-, CRM- of marketingdatabases voor deze verwerking. |
| Verwijdering | Actieve verwijdering van ruwe event-, intake- en BORS/ANR-data volgens de 30-dagenregel. |
| Leveranciers | Nieuwe hosting-, BORS/ANR-, AI- of supplier-partijen worden vooraf beoordeeld op privacy, security, locatie en contractuele waarborgen. |
| Incidenten | Beoordeling, mitigatie en melding van datalekken of security-incidenten volgens het datalekproces. |
11. Rechten van betrokkenen
Betrokkenen hebben, binnen de grenzen van de AVG, recht op inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar tegen verwerking en intrekking van toestemming. Een verzoek kan worden gestuurd naar privacy@gainworks.nl. Wanneer GainWorks als verwerker optreedt, kan GainWorks het verzoek doorsturen naar de klant die verwerkingsverantwoordelijke is.
Betrokkenen kunnen ook een klacht indienen bij de Autoriteit Persoonsgegevens. GainWorks probeert vragen of klachten eerst zorgvuldig zelf op te lossen.
12. Geautomatiseerde besluitvorming
GainWorks neemt geen uitsluitend geautomatiseerde besluiten over personen die rechtsgevolgen hebben of hen op vergelijkbare wijze aanzienlijk treffen. BORS/ANR en AI-ondersteunde analyses kunnen aanbevelingen, prioriteringen of signalen opleveren, maar deze worden gebruikt als advies- en besluitvormingsondersteuning.
13. Cookies en tracking
GainWorks gebruikt op dit moment geen cookies, analytics, trackingpixels, marketingcookies of vergelijkbare volgtechnieken op haar website. Wanneer dit in de toekomst verandert, past GainWorks deze privacyverklaring aan en vraagt zij waar nodig vooraf toestemming.
14. Wijzigingen en publicatie
GainWorks kan deze privacyverklaring wijzigen. De meest actuele versie wordt gepubliceerd op de website. Bij wezenlijke wijzigingen kan GainWorks aanvullende communicatie verzorgen. Een aparte cookieverklaring is niet opgenomen zolang GainWorks geen cookies, tracking of vergelijkbare technieken gebruikt.