Privacyverklaring

Wie zijn we

Offzo wordt aangeboden door Offzo B.V., gevestigd op Postbus 1, 1000 AA Amsterdam. Ingeschreven bij de Kamer van Koophandel onder nummer 00000000, BTW-nummer NL000000000B01. Voor privacy-vragen mail je naar privacy@offzo.nl.

Wij zijn de verwerkingsverantwoordelijke voor de gegevens van bezoekers en accounthouders van offzo.nl. Voor de gegevens van medewerkers die in Offzo worden ingevoerd door werkgevers, treden wij op als verwerker — de werkgever blijft daarvoor verantwoordelijk. Daarover sluiten we een verwerkersovereenkomst (zie /verwerkersovereenkomst).

Welke gegevens verwerken we

Welke gegevens we verwerken hangt af van je rol — bezoeker, accounthouder of medewerker bij een klant van Offzo.

Bezoekers van offzo.nl

• IP-adres (kortstondig, voor beveiliging en tegen abuse)
• Browser-type en taalvoorkeur (om de juiste theme/taal te tonen)
• Geen analytics, geen tracking-cookies. Alleen functionele cookies (auth-sessie en theme-voorkeur). Zie /cookies.

Accounthouders (HR-admins, managers, eindgebruikers)

• Naam, e-mailadres, organisatie
• Inloggegevens (gehasht wachtwoord, of OAuth-tokens van Google/Microsoft/LinkedIn afhankelijk van je gekozen login-methode)
• Activiteitenlog (wie heeft wanneer welke actie ondernomen — voor audit en beveiliging)

Medewerkers in een Offzo-organisatie

• Naam, contactgegevens, dienstverband-status
• Contractgegevens (uren, looptijd, functietitel, afdeling)
• Verlofaanvragen, verlofsaldi en goedkeuringen
• Verzuimgegevens — alleen op administratief niveau (eerste/laatste ziektedag, mate van inzetbaarheid). Geen medische diagnose. Die hoort bij de bedrijfsarts en niet in Offzo.

Waarom verwerken we deze gegevens

Per categorie gegevens hebben we een wettelijke grondslag:

• Uitvoering van de overeenkomst (AVG art. 6.1.b) — voor het draaien van het abonnement, factureren via Mollie, de app beschikbaar maken voor jou en je team.
• Wettelijke verplichting (AVG art. 6.1.c) — fiscaal bewaren van facturen, BTW-aangifte, en arbeidsrechtelijke verzuim-administratie.
• Gerechtvaardigd belang (AVG art. 6.1.f) — beveiliging, fraudepreventie, en het verbeteren van het product op basis van technische logs (zonder persoonlijke profilering).
• Toestemming (AVG art. 6.1.a) — alleen waar we ‘m actief vragen (toekomstige analytics, marketing-mails). Op dit moment niet van toepassing.

Met wie delen we gegevens

Offzo gebruikt een handvol externe partijen om de dienst te leveren — ze kunnen tijdens de uitvoering bij persoonsgegevens komen. We hebben met elk van hen een verwerkersovereenkomst. De volledige lijst staat op /subverwerkers.

We verkopen je gegevens nooit. We delen ze niet met overheden tenzij we daartoe wettelijk verplicht zijn (bijvoorbeeld door een geldig bevel van een rechter of FIOD-vordering). In zo'n geval informeren we je voor zover dat juridisch mag.

Hosting en doorgifte

De Offzo-applicatie en database draaien fysiek in Amsterdam (via Fly.io). Sommige subverwerkers — zoals Resend en de OAuth-providers — hebben hoofdkantoor buiten de EER. Voor doorgifte naar deze partijen gebruiken we de standaard contractuele clausules (Standard Contractual Clauses) zoals goedgekeurd door de Europese Commissie.

Hoe lang bewaren we gegevens

• Account-gegevens: zolang je account actief is. Verwijder je je account, dan wissen we je User-record direct.
• Verlof- en verzuim-gegevens: conform de fiscale en arbeidsrechtelijke bewaarplicht — 5 jaar respectievelijk 2 jaar na uit-dienst. Daarna anonimiseren of verwijderen we.
• Facturen en betaalgegevens: 7 jaar (fiscale bewaarplicht).
• Audit-logs: 7 jaar voor financiële/abonnement-acties, 12 maanden voor technische logs.
• E-mail-bezorgings-logs (Resend): 30 dagen.

Hoe beveiligen we gegevens

• Alle verkeer over HTTPS (TLS 1.2 of hoger)
• Database versleuteld op disk (Postgres at-rest encryption)
• Wachtwoorden gehasht met bcrypt; we kunnen je wachtwoord nooit zien of terugzetten
• API-sleutels van externe diensten (Mollie, Resend) versleuteld opgeslagen via AES-256-GCM
• Rolgebaseerde toegang (RBAC) binnen organisaties — een manager ziet niet wat alleen HR mag zien
• Audit-trail voor gevoelige acties (account-deletes, abonnementswijzigingen)

Jouw rechten

Onder de AVG heb je een aantal rechten. Bij Offzo werken die zo:

• Recht op inzage — je kunt op /account al je eigen gegevens downloaden als JSON-bestand.
• Recht op correctie — alle gegevens zijn vanuit je profielpagina aanpasbaar. Lukt iets niet, mail privacy@offzo.nl.
• Recht op verwijdering — verwijder je account zelf via /account. Daarna wissen we je User-record direct. Verlofgeschiedenis bij je werkgever blijft geanonimiseerd bewaard zolang dat fiscaal en arbeidsrechtelijk vereist is.
• Recht op gegevensoverdraagbaarheid — de export op /account levert een machinaal leesbaar JSON-bestand.
• Recht op beperking en bezwaar — neem contact op via de privacy-mailbox.

We reageren binnen één maand op verzoeken. Als je vindt dat we je rechten niet respecteren, kun je een klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

Datalekken

Mocht er ondanks onze maatregelen toch iets misgaan, dan melden we dat binnen 72 uur bij de Autoriteit Persoonsgegevens. Als jij of je team door het datalek serieus risico loopt, krijg je per e-mail bericht — met wat er gebeurd is, wat we eraan doen, en wat jij kunt doen.

Wijzigingen aan deze verklaring

Bij grote wijzigingen informeren we accounthouders per e-mail. Voor kleine bijwerkingen (typo's, toevoegen van een nieuwe subverwerker) passen we deze pagina aan. De versie- en update-datum bovenaan tonen wanneer dat voor het laatst gebeurde.

Contact

Vragen? Mail privacy@offzo.nl of stuur een brief naar Postbus 1, 1000 AA Amsterdam, t.a.v. Privacy.