Juridische vermeldingen

Artikel 1 — Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke voor persoonsgegevens is VOIGHT-KAMPFF, een SARL met een maatschappelijk kapitaal van 100 euro, RCS Creteil 823 547 526, maatschappelijke zetel: 49 rue Charles Infroit, 94500 Champigny-sur-Marne.

Functionaris voor gegevensbescherming (DPO): Arthur Dagard — dpo@payemesheures.fr.

Dit beleid is opgesteld in overeenstemming met Verordening (EU) 2016/679 van 27 april 2016 (AVG) en de Franse wet nr. 78-17 van 6 januari 1978, zoals gewijzigd (Wet informatica en vrijheden).

Functionaris voor gegevensbescherming: dpo@payemesheures.fr — VOIGHT-KAMPFF, 49 rue Charles Infroit, 94500 Champigny-sur-Marne.

Artikel 2 — Verzamelde gegevens

Wij verzamelen de volgende categorieen gegevens, afhankelijk van de gebruikte functies:

Identificatiegegevens: e-mailadres, wachtwoord (opgeslagen in gehashte vorm met bcrypt, kostfactor 12 — nooit in leesbare tekst), land van verblijf.

Professionele gegevens: naam van de werkgever, SIRET/KBO-nummer, collectieve arbeidsovereenkomst / paritair comite, contracttype, professionele status, bruto maandsalaris, contractuele werkuren, datum van indiensttreding, aangegeven verlof- en afwezigheidsperioden.

Documenten: loonstrookjes geupload in PDF-formaat (opgeslagen in een versleutelde prive-bucket op Supabase, servers in Frankfurt, Duitsland, EU), analyseresultaten gextraheerd door kunstmatige intelligentie.

Agendagegevens (optioneel, met toestemming): als u een externe agenda verbindt (Google Calendar, Outlook, Slack), hebben wij alleen-lezen toegang tot metagegevens (datum, tijd, titel). Gedetailleerde berichtinhoud wordt niet verzameld. Toegang is op elk moment herroepbaar.

Transactiegegevens: aankoopgeschiedenis, bedragen, betalingsdata, factuurnummers. Bankkaartgegevens worden nooit verzameld of opgeslagen door VOIGHT-KAMPFF (verwerkt door Stancer, PCI DSS Niveau 1 gecertificeerd).

Technische gegevens: IP-adres (beveiliging en fraudepreventie), verbindingstijdstempels, browser-useragent.

Artikel 3 — Rechtsgronden en doeleinden

Uw gegevens worden verwerkt op de volgende rechtsgronden:

Uitvoering van het contract (art. 6.1.b AVG): levering van de auditdienst, loonstrookanalyse, afwijkingsdetectie, documentgeneratie, account- en aankoopbeheer.

Toestemming (art. 6.1.a AVG): toegang tot externe agenda's en berichtendiensten (Google, Outlook, Slack), verzending van commerciele communicatie.

Wettelijke verplichting (art. 6.1.c AVG): bewaring van facturen (art. L.123-22 van het Franse Wetboek van koophandel, 10 jaar), fraudepreventie, reactie op gerechtelijke verzoeken.

Gerechtvaardigd belang (art. 6.1.f AVG): verzending van dienstemails (accountverificatie, wachtwoord resetten, beveiligingsmeldingen), verbetering van de dienst op basis van geanonimiseerde statistieken, preventie van misbruik en beveiliging van de Dienst.

Artikel 4 — Hosting en subverwerkers

Uw gegevens worden gehost en verwerkt door de volgende subverwerkers, allen gebonden door verwerkingsovereenkomsten (DPA's) conform de AVG:

• Supabase Inc. — PostgreSQL-database en bestandsopslag, servers in Frankfurt, Duitsland (EU)

• Vercel Inc. — hosting van de webapplicatie, edge-netwerk met verwerking in de EU (SCC's en Data Privacy Framework)

• Stancer SAS — betalingsverwerking, Frankrijk, PCI DSS Niveau 1 gecertificeerd

• Brevo SAS — transactionele en marketing e-mailverzending, Frankrijk

• Google LLC (Gemini API) — loonstrookanalyse door AI, afbeeldingen worden niet door Google bewaard na verwerking (SCC's en Data Privacy Framework)

• Google LLC / Microsoft Corp. — Calendar, Gmail, Outlook, Teams API's (alleen-lezen toegang, met toestemming, gegevens verwerkt in de EU via SCC's)

• Slack Technologies LLC — berichten-API (alleen metagegevens, met toestemming, SCC's)

Artikel 5 — Gegevensoverdrachten buiten de EU

Sommige van onze subverwerkers (Vercel, Google, Slack) zijn Amerikaanse bedrijven. Gegevensoverdrachten naar de Verenigde Staten worden beheerst door:

• Het EU-VS Data Privacy Framework (adequaatheidsbesluit van de Europese Commissie van 10 juli 2023) voor gecertificeerde subverwerkers

• Standaardcontractbepalingen (SCC's) aangenomen door de Europese Commissie (besluit 2021/914) als aanvulling

VOIGHT-KAMPFF verbindt zich ertoe dat geen overdracht van persoonsgegevens plaatsvindt naar een derde land zonder passende waarborgen. Wij verkopen, verhuren of delen uw persoonsgegevens nooit met derden voor commerciele doeleinden.

Artikel 6 — Bewaartermijnen

Gegevens worden bewaard gedurende de volgende perioden:

• Accountgegevens (profiel, instellingen) — levensduur van het actieve account + 30 dagen na verwijdering

• Loonstrookjes en analyses — levensduur van het account, gewist binnen 30 dagen na verwijdering van het account

• Goimporteerde agendagegevens — levensduur van het account, gewist bij ontkoppeling van de integratie of verwijdering van het account

• Facturen en boekhoudkundige gegevens — 10 jaar vanaf het afsluiten van het boekjaar (wettelijke verplichting, art. L.123-22 van het Franse Wetboek van koophandel)

• Gegevens van wettelijke toestemming (aangevinkte vakjes, geaccepteerde AVV-versies, IP-adres) — 5 jaar vanaf de aanvaarding

• Technische logs (IP-adres, tijdstempels) — 12 maanden

• Geanonimiseerde gegevens voor statistische doeleinden — zonder beperking in de tijd

Artikel 7 — Uw rechten (AVG)

Overeenkomstig de artikelen 15 tot 22 van de AVG en de artikelen 48 tot 56 van de Franse Wet informatica en vrijheden heeft u de volgende rechten:

Recht op inzage (art. 15 AVG): bevestiging verkrijgen dat uw gegevens worden verwerkt en een kopie ontvangen. Oefen dit recht uit via Instellingen → Mijn gegevens, of per e-mail aan dpo@payemesheures.fr.

Recht op rectificatie (art. 16 AVG): onjuiste of onvolledige gegevens laten corrigeren.

Recht op wissing — 'recht om vergeten te worden' (art. 17 AVG): verwijdering van uw gegevens verkrijgen. Oefen dit recht uit via Instellingen → Mijn account verwijderen. Definitieve verwijdering binnen 30 dagen.

Recht op gegevensoverdraagbaarheid (art. 20 AVG): uw gegevens ontvangen in een gestructureerd, machineleesbaar formaat (JSON). Oefen dit recht uit via Instellingen → Mijn gegevens → Exporteren.

Recht van bezwaar en recht op beperking (art. 18 en 21 AVG): bezwaar maken tegen verwerking op legitieme gronden. Contact: dpo@payemesheures.fr.

Recht op intrekking van toestemming: op elk moment intrekbaar zonder de rechtmatigheid van de eerdere verwerking aan te tasten. Voor integraties: ontkoppelen via Integraties. Voor e-mails: afmeldlink in elke e-mail.

U kunt een klacht indienen bij de CNIL (www.cnil.fr) of, voor Belgische inwoners, bij de Gegevensbeschermingsautoriteit (www.gegevensbeschermingsautoriteit.be).

Functionaris voor gegevensbescherming: dpo@payemesheures.fr — VOIGHT-KAMPFF, 49 rue Charles Infroit, 94500 Champigny-sur-Marne.

Artikel 8 — Gegevensbeveiliging

VOIGHT-KAMPFF implementeert de volgende technische en organisatorische maatregelen om uw gegevens te beschermen:

• Versleuteling van alle communicatie via HTTPS (TLS 1.3)

• Wachtwoorden gehasht met bcrypt (kostfactor 12)

• OAuth-integratietokens versleuteld in de database (AES-256)

• Loonstrookjes opgeslagen in een prive-bucket die niet publiek toegankelijk is

• JSON Web Token (JWT) authenticatie met vervaldatum

• Bescherming tegen CSRF-, XSS- en SQL-injectieaanvallen

• HTTP-beveiligingsheaders (HSTS, X-Frame-Options, CSP, X-Content-Type-Options)

• Rate limiting op alle API-routes

• Row Level Security (RLS) ingeschakeld op alle databasetabellen

• Beheerderstoegang beschermd door afzonderlijke authenticatie

Artikel 9 — Cookies

De site maakt uitsluitend gebruik van strikt noodzakelijke cookies voor het functioneren van de dienst, die geen voorafgaande toestemming vereisen overeenkomstig artikel 82 van de Franse Wet informatica en vrijheden:

• 'token' — JWT-authenticatiecookie (duur: 30 dagen)

• 'cookie_consent' — opslag van de keuze van de gebruiker (duur: 12 maanden)

Er worden geen reclame-, profilerings-, tracking- of analytische cookies van derden geplaatst. Er worden geen meettools voor publiek van derden gebruikt.

Artikel 10 — Kunstmatige intelligentie

De analyse van loonstrookjes wordt uitgevoerd door een model voor kunstmatige intelligentie (Google Gemini) via de Google AI API. Afbeeldingen van uw loonstrookjes worden veilig (HTTPS) naar de API gestuurd voor gegevensextractie (gewerkte uren, bedragen, benamingen).

Overeenkomstig de gebruiksvoorwaarden van de Google AI API: verzonden gegevens worden niet door Google gebruikt om modellen te trainen; gegevens worden niet door Google bewaard na de verwerkingstijd; geextraheerde resultaten worden opgeslagen op onze servers gehost in de EU (Supabase, Frankfurt).

De gebruiker wordt erop gewezen dat AI-analyseresultaten schattingen zijn en moeten worden geverifieerd.

Artikel 11 — Minderjarigen

De Dienst is uitsluitend bestemd voor meerderjarigen (18 jaar of ouder). VOIGHT-KAMPFF verzamelt niet bewust persoonsgegevens van minderjarigen. Als wij ontdekken dat een minderjarige een account heeft aangemaakt, wordt dit verwijderd en worden de gegevens gewist.

Artikel 12 — Wijziging van het beleid

Dit beleid kan worden bijgewerkt om juridische, technische of praktijkwijzigingen weer te geven. Bij een substantiele wijziging worden de gebruikers minstens vijftien (15) dagen voor de inwerkingtreding per e-mail geinformeerd. De datum van de laatste update staat bovenaan deze pagina vermeld.

Artikel 13 — Contact

Om uw rechten uit te oefenen, een vraag te stellen of een beveiligingsincident te melden:

Functionaris voor gegevensbescherming — dpo@payemesheures.fr

Postadres: VOIGHT-KAMPFF, DPO, 49 rue Charles Infroit, 94500 Champigny-sur-Marne, Frankrijk

Reactietijd: maximaal dertig (30) dagen vanaf ontvangst van het verzoek (art. 12.3 AVG).

Functionaris voor gegevensbescherming: dpo@payemesheures.fr — VOIGHT-KAMPFF, 49 rue Charles Infroit, 94500 Champigny-sur-Marne.