Privacybeleid

UwWerkplek B.V. — versie 1.0, geldig vanaf 20 april 2026

Verwerkingsverantwoordelijke

Statutaire naamUwWerkplek B.V.
HandelsnaamUwWerkplek
AdresNaardermeer 118, 1447 KN Purmerend
KvK-nummer99687232
BTW-nummerNL869091827B01
E-mailinfo@uwwerkplek.nl
Telefoon085-800-4664
Websitewww.uwwerkplek.nl

UwWerkplek B.V. (hierna “UwWerkplek”, “wij” of “ons”) hecht grote waarde aan de bescherming van uw persoonsgegevens. In dit privacybeleid leggen wij uit welke persoonsgegevens wij verwerken bij het leveren van onze Managed Services, waarvoor wij deze gebruiken, op welke juridische grondslag, hoe lang wij ze bewaren en welke rechten u heeft. Wij verwerken persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG en voor zorgklanten tevens NEN7510.

Artikel 1 — Definities

  1. AVG: de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679).
  2. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
  3. Verwerking: elke bewerking met betrekking tot persoonsgegevens, zoals verzamelen, vastleggen, opslaan, raadplegen, gebruiken, verstrekken of vernietigen.
  4. Betrokkene: de natuurlijke persoon op wie persoonsgegevens betrekking hebben.
  5. Verwerkingsverantwoordelijke: UwWerkplek B.V., die het doel en de middelen van de verwerking vaststelt.
  6. Subverwerker: een derde partij die in opdracht van UwWerkplek persoonsgegevens verwerkt.
  7. Klantenportaal: de beveiligde online omgeving op uwwerkplek.nl/msp/Klantenportaal/ waarin opdrachtgevers toegang hebben tot tickets, changes, problems, monitoring en facturen.

Artikel 2 — Reikwijdte

  1. Dit privacybeleid is van toepassing op alle verwerkingen van persoonsgegevens door UwWerkplek in het kader van haar dienstverlening als Managed Service Provider, waaronder servicedesk, werkplekbeheer, monitoring, security, backup, Microsoft 365 beheer en aanverwante advisering.
  2. Dit privacybeleid geldt voor onze website, het Klantenportaal, onze e-mail- en telefoonkanalen en alle daarop aansluitende verwerkingen.
  3. Voor de verwerkingen die UwWerkplek uitvoert als verwerker (dat wil zeggen: namens onze zakelijke opdrachtgevers op data die aan hen toebehoort) geldt aanvullend de tussen partijen overeengekomen verwerkersovereenkomst.

Artikel 3 — Welke persoonsgegevens wij verwerken

3.1 Contactgegevens (websitebezoekers, prospects, contactformulieren)

  • Naam, functietitel, bedrijfsnaam
  • E-mailadres, telefoonnummer
  • Inhoud van uw bericht
  • IP-adres en tijdstip van indiening (ter voorkoming van misbruik)

3.2 Gebruikersgegevens Klantenportaal

  • Naam, e-mailadres, functietitel, rol (admin, organisatie-verantwoordelijke, financieel, SDM, beheerder)
  • Organisatie-ID (org_id) en organisatienaam
  • Sessie-identifiers (cookie-gebaseerd, 64 tekens, max. 8 uur geldig)
  • Multi-factor codes (6-cijferig, 15 minuten geldig, na gebruik direct verwijderd)
  • Audit log-regels: handeling, tijdstip, IP-adres, bijbehorend e-mailadres

3.3 Operationele data (tickets, changes, problems, monitoring)

  • Inhoud van door u of uw gebruikers aangemaakte tickets, change requests en problem records
  • Bijlagen (documenten, schermafbeeldingen) die bij tickets worden geplaatst
  • Gegenereerde monitoring- en metingdata van uw IT-omgeving (bijvoorbeeld: service-uptime, licentiestatussen, compliance-checks)
  • SLA-registraties en rapportages

3.4 Facturatie- en administratiegegevens

  • Contractgegevens, producten en afgenomen diensten
  • Facturen, betalingsstatus, bankrekeningnummers
  • Correspondentie rond facturatie

3.5 Marketinggegevens

  • E-mailadres en (optioneel) naam bij aanmelding op de tip-mails (drie keer per week)
  • IP-adres en user-agent op het moment van aanmelding — uitsluitend als bewijs van toestemming (AVG art. 7 lid 1)
  • Interactiedata (opens, klikken) voor optimalisatie van communicatie
  • U kunt zich op elk moment afmelden via de 1-klik link onderaan elke e-mail

Artikel 4 — Doelen en grondslagen

Wij verwerken uw persoonsgegevens uitsluitend voor specifieke, vooraf bepaalde doelen en op een van de volgende grondslagen van de AVG:

Doel Grondslag (art. 6 AVG) Voorbeeld
Uitvoering van onze diensten Uitvoering overeenkomst (lid 1b) Klantenportaal-toegang, tickets afhandelen, monitoring leveren
Facturatie en administratie Wettelijke verplichting (lid 1c) — art. 52 AWR Bewaren van facturen en grootboek
Beveiliging, fraudepreventie, audit Gerechtvaardigd belang (lid 1f) Rate limiting op login, audit log, IP-registratie
Tip-mails (Microsoft 365 & ICT-beheer) Toestemming (lid 1a) — double opt-in Drie korte tips per week (ma/wo/vr 07:30) over Microsoft 365 en slim ICT-beheer
Contact op uw verzoek (offertes, intakes) Uitvoering precontractuele handeling (lid 1b) Reactie op contactformulier

Artikel 5 — Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan nodig is voor het doel van de verwerking, tenzij de wet een langere bewaartermijn voorschrijft.

Soort gegevensBewaartermijnReden
Sessie-identifiers Klantenportaal8 uurTechnisch noodzakelijk
MFA-codes15 minutenTechnisch noodzakelijk
Audit log24 maandenBeveiligingsanalyse, incidentrespons
Tickets, changes, problems7 jaar na contractbeëindigingContractuele historie, SLA-onderbouwing
Facturen en grootboek7 jaarFiscale bewaarplicht (art. 52 AWR)
Klantenportaal-accountsTot 12 maanden na contractbeëindiging, daarna deactivatieMogelijke heropening dienstverlening
Tip-mail abonnementen (actief)Tot afmeldingToestemming blijft tot intrekking
Tip-mail abonnementen (afgemeld) + AVG-bewijslog (IP, user-agent, timestamp)12 maanden na afmelding, daarna verwijderdAVG art. 7 lid 1 — bewijs dat toestemming is gegeven
Contactformulier-inzendingen12 maandenOpvolging en verbetering

Artikel 6 — Delen met derden (subverwerkers)

Voor de uitvoering van onze diensten schakelen wij zorgvuldig geselecteerde subverwerkers in. Met elke subverwerker hebben wij een verwerkersovereenkomst gesloten die voldoet aan artikel 28 AVG.

SubverwerkerFunctieLocatie
Microsoft Ireland Operations Ltd.Microsoft 365 / Azure (e-mail, documenten, identiteit)EU (datacenters Ierland / Nederland)
TransIP B.V.Hosting van website, Klantenportaal en databasesNederland (Amsterdam)
BergIX B.V.Boekhouding, facturatie, urenregistratieNederland
Mollie B.V.Online betalingen en incassoNederland (EU)
Meta Platforms Ireland Ltd.WhatsApp Business API voor klantcommunicatieEU (primair), met EER-toereikende waarborgen voor US-transfers
AvePoint Inc.Backup van Microsoft 365 dataEU (datacenters EER)

Verder delen wij persoonsgegevens uitsluitend wanneer dit wettelijk verplicht is (bijvoorbeeld op basis van een rechterlijk bevel) of wanneer u daarvoor uitdrukkelijk toestemming heeft gegeven.

Artikel 7 — Doorgifte buiten de EER

UwWerkplek streeft ernaar uw persoonsgegevens binnen de Europese Economische Ruimte (EER) te verwerken. In uitzonderingsgevallen — bijvoorbeeld bij gebruik van Meta (WhatsApp) of Microsoft 365 functionaliteiten die deels buiten de EER draaien — baseren wij doorgifte op de Standard Contractual Clauses (SCC’s) van de Europese Commissie en/of het EU-US Data Privacy Framework, aangevuld met aanvullende technische maatregelen (encryptie in rust en transit).

Artikel 8 — Beveiligingsmaatregelen

Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen verlies, misbruik en ongeautoriseerde toegang. Concreet:

  • Multi-factor authenticatie (MFA) op alle logins van het Klantenportaal, via eenmalige 6-cijferige e-mailcodes
  • Rate limiting op authenticatie (maximaal 5 MFA-verzoeken en 10 verificatie-pogingen per IP per 10 minuten)
  • TLS 1.2/1.3 encryptie voor alle verbindingen
  • Versleuteling in rust voor databases en backups
  • Audit logging van alle kritische handelingen (login, wijzigingen, downloads)
  • Role-based access control en principe van minimale rechten
  • Nederlandse/EU hosting via TransIP en Microsoft Ireland
  • NEN7510-werkprocessen voor zorgklanten (informatiebeveiliging in de zorg)
  • Periodieke security-audits en penetratietesten
  • Getekende verwerkersovereenkomsten met alle subverwerkers

8.1 Datalek-meldprocedure (AVG art. 33/34)

Bij een (vermoed) datalek treden wij direct het volgende protocol in:

  1. Detectie & triage (T+0 tot T+4 uur): het incident wordt ingeschaald als Prioriteit 1. Een responseteam (security, ops, DPO) isoleert direct de getroffen systemen om verdere lekkage te voorkomen.
  2. Notificatie Opdrachtgever (T+24 uur): indien wij persoonsgegevens verwerken namens Opdrachtgever, wordt deze schriftelijk geïnformeerd met aard van het incident, aantal betrokkenen, type gegevens en reeds genomen maatregelen.
  3. Melding Autoriteit Persoonsgegevens (T+72 uur): wanneer wij zelf verwerkingsverantwoordelijke zijn, melden wij kwalificerende datalekken binnen 72 uur bij de AP conform artikel 33 AVG.
  4. Communicatie betrokkenen: indien het datalek een hoog risico vormt voor de rechten en vrijheden van betrokkenen, informeren wij hen rechtstreeks (art. 34 AVG) in begrijpelijke taal, met concreet handelingsperspectief.
  5. Evidence preservation: logfiles, configuraties en forensische artefacten worden minimaal twaalf (12) maanden veilig en gescheiden bewaard met integriteitshashes.
  6. Root-cause analyse: binnen tien (10) werkdagen volgt een schriftelijke post-mortem met oorzaak, getroffen maatregelen en structurele preventie.

8.2 DPIA en Functionaris Gegevensbescherming (FG/DPO)

Voor verwerkingen met een (potentieel) hoog risico voor betrokkenen voeren wij een Data Protection Impact Assessment uit conform artikel 35 AVG. Bestaande DPIA’s zijn op schriftelijk verzoek van opdrachtgevers beschikbaar in samenvattende vorm. UwWerkplek is op dit moment niet wettelijk verplicht tot aanstelling van een Functionaris Gegevensbescherming, maar heeft een interne Privacy Officer aangewezen als centraal aanspreekpunt via info@uwwerkplek.nl. Bij structurele grootschalige verwerking van bijzondere persoonsgegevens voor zorgklanten schakelen wij een externe FG in.

8.3 Geen profilering, geen geautomatiseerde besluitvorming

UwWerkplek neemt géén geautomatiseerde besluiten met rechtsgevolg of significant effect voor u in de zin van artikel 22 AVG. Wij maken geen gebruik van profilering, scoring of algoritmische besluitvorming over betrokkenen. Operationele automatisering (zoals rate limiting, fraude-detectie en security-monitoring) vindt uitsluitend plaats op technische indicatoren en leidt niet tot geautomatiseerde besluiten over natuurlijke personen.

Artikel 9 — Cookies en lokale opslag

Onze website en Klantenportaal gebruiken uitsluitend cookies en lokale opslag die noodzakelijk zijn voor het goed functioneren van de diensten. Onderstaande tabel bevat een actueel overzicht:

NaamTypeDoelDuurToestemming?
portaal_sessHTTP-only cookieSessiebeheer Klantenportaal (identificatie ingelogde gebruiker)8 uurNee — strikt noodzakelijk
csrf_tokenHTTP-only cookieBeveiliging tegen cross-site request forgery op formulierenSessieNee — strikt noodzakelijk
_up_uid1st-party cookieAnonieme sessie-identificatie voor self-hosted analytics (bezoekerstelling, geen tracking tussen domeinen)30 dagenNee — strikt noodzakelijk § 11.7a Tw

Wij plaatsen géén tracking-, advertentie- of social-media-cookies van derden (Google Analytics, Meta Pixel, LinkedIn Insight, etc.). Indien wij in de toekomst niet-functionele cookies willen plaatsen, zullen wij daarvoor eerst uw toestemming vragen via een cookiebanner conform artikel 11.7a Telecommunicatiewet.

Geen cross-site tracking: onze SameSite-cookies zijn ingesteld op Lax of Strict. De Secure-flag is actief, waardoor cookies uitsluitend over HTTPS worden verzonden. Geen enkele cookie wordt gedeeld met third-party ad networks.

Artikel 9b — Subverwerkers-overzicht en mutaties

Een actuele lijst van onze subverwerkers, inclusief verwerkingsdoel, locatie en waarborgen, is opgenomen in artikel 6 en wordt ook als losstaand overzicht op verzoek beschikbaar gesteld via info@uwwerkplek.nl.

Bij voorgenomen toevoeging of vervanging van een subverwerker informeren wij zakelijke opdrachtgevers minimaal dertig (30) dagen vooraf schriftelijk, zodat bezwaar kan worden gemaakt. Bij zwaarwegend bezwaar treden partijen in overleg; indien geen oplossing wordt gevonden, heeft Opdrachtgever het recht de dienst(en) te beëindigen zonder boete tegen de voorgenomen wijzigingsdatum.

Artikel 10 — Uw rechten

U heeft onder de AVG de volgende rechten met betrekking tot uw persoonsgegevens:

  • Recht op inzage — u mag weten of en zo ja welke persoonsgegevens wij van u verwerken
  • Recht op rectificatie — u kunt onjuiste of onvolledige gegevens laten corrigeren
  • Recht op vergetelheid — u kunt onder bepaalde voorwaarden verzoeken uw gegevens te verwijderen
  • Recht op beperking — u kunt onder bepaalde voorwaarden vragen de verwerking te beperken
  • Recht op dataportabiliteit — u kunt vragen uw gegevens in een gangbaar formaat te ontvangen
  • Recht van bezwaar — u kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang of direct marketing
  • Recht om toestemming in te trekken — waar wij op basis van toestemming verwerken

U kunt uw verzoek indienen via info@uwwerkplek.nl. Wij reageren binnen 4 weken. Ter bescherming van uw gegevens kunnen wij om aanvullende identificatie vragen voordat wij uw verzoek uitvoeren.

Artikel 11 — Wijzigingen

Wij mogen dit privacybeleid wijzigen. Bij belangrijke wijzigingen informeren wij u via e-mail of via een melding in het Klantenportaal. De actuele versie vindt u altijd op www.uwwerkplek.nl/msp/privacybeleid.php. Eerdere versies stellen wij op verzoek beschikbaar.

Artikel 12 — Contact en klachten

Heeft u vragen of klachten over de verwerking van uw persoonsgegevens door UwWerkplek? Neem dan contact op via:

  • E-mail: info@uwwerkplek.nl
  • Telefoon: 085-800-4664
  • Post: UwWerkplek B.V., t.a.v. Privacy, Naardermeer 118, 1447 KN Purmerend

Komt u er met ons niet uit? Dan heeft u te allen tijde het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) via autoriteitpersoonsgegevens.nl.

Versie 1.1 — Geldig vanaf 24 april 2026 — UwWerkplek B.V., Purmerend.