GDPR privacy statement

Respect voor de privacy

Wij geloven erin dat jij de eigenaar bent en blijft van je eigen data. Wij faciliteren de opslag en verwerking, maar zullen nooit ons het eigendom toekennen. Wij kunnen dan ook niet bij de inhoud van je tijdregistraties. Alleen het aantal tijdregistraties. Waarom? Zodat we activiteit kunnen waarnemen om te controleren of alles het nog doet. Tenslotte heeft ieder Nanda account een eigen persoonlijke database. Deze persoonlijke databases zijn onderling gescheiden van elkaar. We gaan wat dieper in op de Nanda GDPR.

GDPR / AVG wetgeving

Vanaf 25 mei 2018 moet ieder Europees bedrijf voldoen aan de GDPR (General Data Protection Regulation) regelgeving die in de Nederlandse wet geïmplementeerd wordt als de AVG (Algemene verordening gegevensbescherming). Het doel van deze wet is de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

Meer lezen? Dat kan hier: Algemene verordening gegevensbescherming.

Hoe gaat Nanda GDPR met privacy om?

Alle data die in Nanda opgeslagen wordt is goed beveiligd. Dat is ons uitgangspunt en de manier waarop wij er vanaf dag één mee omgegaan zijn. Nanda is een product van Presis. Nanda werkt vanaf urenoverzicht.nl en nanda.io. Alles op deze pagina omvat de dataverwerking op deze twee domeinen. Het cookiebeleid staat apart beschreven.

Verwerkersovereenkomst

Bij de registratie van een Nanda account ga je de verwerkersovereenkomst met Nanda aan. Hiermee geef je toestemming voor de verwerking van gegevens in Nanda. Een aantal gegevens worden verwerkt in onze systemen omdat Nanda dat wettelijk verplicht is (denk aan facturatie). Dit omvat de verwerking van persoonsgegevens, de doelen van deze gegevens vertellen we je op deze pagina. Als klant heb je het recht om te vragen om de data in te zien, te verplaatsen, aan te passen en om volledig te verwijderen uit de systemen en het archief. We doen dit na aanvraag binnen 30 dagen.

Definitie persoonsgegevens

Wat verstaan wij onder persoonsgegevens in de context van Nanda?

  • Persoonsgegevens
    • Gegevens die herleidbaar zijn tot een natuurlijk persoon
    • Hieronder vallen: Naam, e-mailadres, persoonlijk/zakelijk huisadres, rekeningnummer, creditcardnummer
  • Pseudo persoonsgegevens (indirect identificeerbaar persoonsgegeven)
    • Niet herleidbaar tot een natuurlijk persoon zonder aanvullende informatie
    • Hieronder valt het IP Adres

De GDPR slaat op natuurlijke personen en niet op rechtspersonen.

Welke gegevens slaat Nanda op en met welk doel?

De gegevens die wij opslaan verschilt per gebruiker. Van de aanvrager van Nanda slaan wij bijvoorbeeld meer gegevens op dan van een extra Nanda gebruiker. Zo zit het met de Nanda GDPR:

Persoonlijke gegevens voor facturatie

  • Domeinnaam (dit is in veel gevallen een referentie naar de bedrijfsnaam)
  • In het geval dat de aanvrager een natuurlijk persoon betreft, zijn de volgende gegevens geen rechtspersoon gegevens maar gegevens van een natuurlijk persoon:
    • Naam, adres, e-mailadres, adres/postcode/plaats/land.
  • DOEL: Deze gegevens hebben wij nodig om een rechtsgeldig factuur te kunnen maken. Zonder deze gegevens kunnen wij jouw Nanda account niet actief houden.

Aanvrager Nanda

Als je een Nanda account aanmaakt slaan we de volgende door jou ingevoerde persoonlijke gegevens op:

  • E-mailadres, voornaam, achternaam, bedrijfsnaam, opgegeven adres/postcode/plaats/land
  • Telefoonnummer (optioneel bij invoer, wordt gebruikt voor support doeleinden)
  • Het BTW nummer wordt eenmalig verwerkt voor facturatie en niet langer dan daarvoor noodzakelijk opgeslagen
  • DOEL: Aanmaken van het account, het kunnen uitvoeren van gebruikerssupport. Het BTW nummer wordt verwerkt in het facturatiesysteem, waarna het uit Nanda verwijderd wordt.

Gebruikers Nanda

Van de gebruikers die je aanmaakt in Nanda slaan we de door jou ingevoerde persoonsgegevens op:

  • Naam
  • E-mailadres
  • DOEL: Het mogelijk maken dat deze gebruiker in Nanda kan inloggen.

Automatische incasso

  • Je daadwerkelijke toestemming voor de automatische incasso wordt op de server van Nanda opgeslagen.
  • De benodigde gegevens voor de automatische incasso (naam, rekeningnummer) worden in Moneybird en bij de Rabobank opgeslagen.
  • DOEL: Het kunnen realiseren van de automatische incasso. Dit zijn de minimaal benodigde gegevens die de bank nodig heeft om de incasso opdracht uit te kunnen voeren.

 

Nanda urenoverzicht - Nanda GDPR privacy statement - registreren

De bewerker rol van de Nanda GDPR

Nanda gezien als bewerker voor Nanda gebruikers

Dit betreft de klanten van onze klanten. Hiervoor kunnen Nanda gebruikers verwijzen naar deze privacy statement naar hun klanten toe.

De Moneybird extensie

Voor de integratie met Moneybird worden klantgegevens uit Moneybird gesynchroniseerd met Nanda. Let hierop bij verzoeken om inzage, verwijdering en portabiliteit. Aanpassingen in Moneybird (met uitzondering van verwijdering) wordt door de synchronisatie overgenomen en zo automatisch voor je geregeld. Verwijdering moet zowel in Moneybird als Nanda (handmatig) worden uitgevoerd.

De bewerkingspartijen

Wij van Nanda maken ook gebruik van andere bedrijven waar wij gegevens van onze klanten opzetten. We zetten ze hier op een rij.

De hosting

Nanda draait op Nederlandse servers in Nederlandse datacenters en draait op eigen servers. De hostingspartij die wij gekozen hebben voldoet aan de GDPR eisen. Om veiligheidsredenen gaan we niet in op de verdere gegevens.

Moneybird

Voor het voeren van de administratie en het verzenden van de facturen maken wij gebruik van Moneybird. Al zal dit niet echt een verrassing zijn voor je om te lezen hoe Moneybird de GDPR heeft ingericht, verwijzen we je naar de website van Moneybird.

Rabobank

Als bank maken we gebruik van de Rabobank. Voor de inrichting van de GDPR verwijzen wij naar de website van de Rabobank.

Mailchimp

In Mailchimp slaan wij alleen de opgegeven naam en het opgegeven het e-mailadres op. Voor de inrichting van de GDPR verwijzen wij naar de website van Mailchimp.

 

Nanda urenoverzicht - Nanda GDPR privacy statement - logo's deel 2

Slack/Google Suite

Wanneer er een support aanvraag is, kunnen naam, telefoonnummer en e-mailadres verwerkt worden in Slack en Google G Suite (Hangouts/Gmail) voor intern overleg en een terugkoppeling naar jou toe.

Hygger

Wanneer er een support aanvraag is, kunnen naam, telefoonnummer en e-mailadres verwerkt worden in het ticketingsysteem Hygger voor intern overleg en een terugkoppeling naar jou toe.

Google Analytics

In Google Analytics worden pseudo persoonsgegevens opgeslagen waaronder het IP-adres van de bezoeker.

 

Nanda urenoverzicht - Nanda GDPR privacy statement - logo's vier

Hoe houden we je data veilig?

Iedere verbinding naar de Nanda database van zowel de mobiele app, de webapp en de website gaat via SSL. De datacenters waar we gebruik van maken hanteren eenzelfde niveau van veiligheid. Het wachtwoord wordt geëncrypt opgeslagen in onze databases. Wij kunnen dan ook niet de wachtwoorden van gebruikers inzien.

De gevraagde Nanda toestemmingen voor Android

  • Identiteit
    Om de juiste gebruiker te identificeren zodat we van de juiste contactpersonenlijst gebruik maken.
  • Contacten
    Zodat Nanda de koppeling kan maken met de oproepgeschiedenis van jouw telefoon zodat het automatisch de duur van de oproepen en de contactnaam van deze oproep wordt geregistreerd.
  • Telefoon
    Voor de automatische tijdregistratie van de oproepgeschiedenis. Deze functie kun je uitzetten en staat niet standaard aan.
  • Informatie over wifi-verbinding
    Dit is nodig om de verbinding met de server op te zetten.
  • Informatie over apparaat-ID
    Dit wordt gebruikt om het te koppelen aan je account.
  • Oproep
    Om te detecteren dat je belt of gebeld wordt.

Kopieën van de database

Om de ondersteuning en support goed uit te kunnen voeren maken we, wanneer nodig, beperkte kopieën van persoonsgegevens in de Nanda database. Dit is altijd beperkt tot een kopie van de gegevens voor dat specifieke geval. Deze sets van klantgegevens zijn al vanaf het moment van registratie van elkaar afgezonderd. Wij kunnen dus een enkele klant uit de database lichten voor test en support doeleinden. Deze vorm van gegevensverwerking wordt ook altijd via beveiligde verbindingen uitgevoerd. De opslag vindt in deze gevallen plaats op systemen die voorzien zijn van lokale encryptie en wachtwoordbeveiliging waardoor we datalekken uitsluiten.

Hoe zorgen we ervoor dat we betrouwbaar blijven?

Nanda wordt gehost op een Linux server die wij in eigen beheer hebben. Alle verbindingen gaan via SSL en er vinden regelmatige updates plaats om de veiligheid te waarborgen. Periodiek worden er backups van alle databases gemaakt. Deze hosting heeft in de afgelopen jaren een aangetoonde betrouwbaarheid van 99,9% gehad.

Backups

Backups van de database worden dagelijks gemaakt en opgeslagen op een server in een ander Nederlands datacenter dan waar Nanda draait. De bewaartermijn voor de backups hebben we ingesteld op 30 dagen.

Bewaartermijn van de data

De gegevens worden bewaard zolang het account niet wordt verwijderd, zodat ook er ook met tussenpozen van Nanda gebruik kan worden gemaakt.

Wat gebeurt er als je je gegevens/account verwijdert?

  • Verwijderen van (bijzondere) persoonsgegevens en pseudo persoonsgegevens
  • Anonimiseren van gegevens voor accurate statistieken

Verwijderen van je account

Als een gebruiker een Nanda account verwijderd dan wordt alle data definitief verwijderd. Het is dan voor ons ook niet meer mogelijk een account terug te zetten, eenvoudigweg omdat de data niet meer bestaat.

Portabiliteit

Alle urenregistraties kunnen worden geëxporteerd naar CSV/Excel. Een complete takeout kan worden aangevraagd vanaf 25 mei. Gebruikers met de rol Beheerder kunnen op de pagina Accountgegevens een archief downloaden.

Datalekken

In het geval van een datalek wordt dit intern vastgelegd en binnen 72 uur na kennisneming overwogen of er een wettelijke verplichting is voor het informeren van de Autoriteit Persoonsgegevens en betrokkene(n).

Bewijsvoering overeenkomst verwerking persoonsgegevens

  • Bewijs toestemming verwerking persoonsgegevens
  • Bewijs opvolging van verwijdering van persoonsgegevens
  • Bewijs takeout aanvraag en opvolging

Wijzigingen in dit privacy statement

Indien Presis mocht besluiten het privacy statement voor de Nanda GDPR te wijzigen, worden deze wijzigingen direct opgenomen in dit privacy statement. Wij raden je daarom aan regelmatig dit privacybeleid te raadplegen zodat je op de hoogte bent van eventuele wijzigingen.

Als je vragen of verzoeken hebt over het privacy statement kun je ons een bericht sturen, dat kan naar [email protected].

Wij geloven erin dat jij de eigenaar bent en blijft van jouw data. Wij faciliteren de opslag en verwerking, maar zullen nooit ons het eigendom toekennen.