Privacyverklaring

1. Wie zijn wij

Roostrix is een dienst van Mitchell Vermunt, handelend onder de naam Roostrix, en is verantwoordelijk voor de verwerking van persoonsgegevens via de website roostrix.app en de bijbehorende app. Contact: info@roostrix.app.

Let op de rol: voor de gegevens die klanten (werkgevers) in Roostrix invoeren over hun medewerkers treden wij op als verwerker — zie de verwerkersovereenkomst. Voor websitebezoekers en accountbeheer zijn wij verwerkingsverantwoordelijke.

2. Welke gegevens en waarvoor

• Accountgegevens (naam, e-mail) — om je account aan te maken en in te loggen.
• Medewerkergegevens (naam, e-mail, telefoon, geboortedatum, personeelsnummer, contracturen, een kiosk-pincode (versleuteld opgeslagen), rooster, verlof, gewerkte uren) — om te kunnen roosteren en de arbeidsregels te bewaken. Ingevoerd door de werkgever.
• Salaris-/loongegevens (uurloon, loonschaal) — alleen als de werkgever de loonfuncties gebruikt, en alleen zichtbaar voor medewerkers met het recht "salaris zien".
• Aan-/afwezigheid — verlof en ziekmeldingen worden vastgelegd als periode (wel/niet beschikbaar), zónder medische details of diagnose. Dit kan een bijzonder persoonsgegeven (gezondheid) betreffen en wordt extra zorgvuldig behandeld.
• Klok-/tijdregistratie — in- en uitkloktijden. Als de werkgever locatie-verificatie inschakelt, wordt bij het klokken ook de GPS-locatie van dat moment vastgelegd; dit is per bedrijf optioneel en de werkgever is verantwoordelijk voor de inzet daarvan.
• Betaalgegevens — verwerkt door onze betaalprovider; wij bewaren geen volledige kaartgegevens.
• Pushmeldingen — als je meldingen toestaat in de app, bewaren we een device-token om je meldingen te kunnen sturen (nieuw rooster, wijzigingen, herinnering vóór een dienst). Je kunt dit altijd uitzetten in je telefooninstellingen.
• Gebruiks-/technische gegevens — voor beveiliging en het verbeteren van de dienst.

3. Grondslag & bewaartermijn

Wij verwerken gegevens op basis van de uitvoering van de overeenkomst en, waar van toepassing, een gerechtvaardigd belang of wettelijke plicht. Indicatieve bewaartermijnen:

• Account- en medewerkergegevens — zolang het account/de dienst actief is; na opzegging verwijderd of geanonimiseerd binnen circa 3 maanden.
• Uren-, loon- en klokgegevens — bewaard volgens de wettelijke (fiscale) bewaarplicht, in beginsel 7 jaar.
• Push-tokens — tot je meldingen uitzet of het account eindigt.
• Beveiligings-/auditlogboek — bewaard zolang nodig voor beveiliging en wettelijke verantwoording.

De werkgever (verwerkingsverantwoordelijke) bepaalt mede hoe lang medewerkergegevens nodig zijn; wij verwijderen op diens verzoek of bij beëindiging, behoudens bovenstaande wettelijke plichten.

4. Subverwerkers

Wij schakelen zorgvuldig geselecteerde verwerkers in:

• Supabase — database & authenticatie (hosting van applicatiedata).
• Vercel — hosting van de applicatie.
• Stripe — betalingsverwerking.
• Resend — verzending van transactionele e-mails.
• Anthropic — de AI-assistent (verwerkt alleen de roostercontext die nodig is voor een antwoord; wordt niet gebruikt om modellen te trainen).
• Firebase Cloud Messaging (Google) — afleveren van push-notificaties naar de app.
• Google Analytics, Meta (Facebook) Pixel & Microsoft Clarity — websitestatistieken en advertentiemeting, uitsluitend op de publieke marketingpagina's en alleen na jouw cookie-toestemming (zie hieronder).

Met deze partijen zijn verwerkersafspraken gemaakt. Gegevens worden bij voorkeur binnen de EU/EER verwerkt; waar een verwerker (deels) buiten de EER actief is, gebeurt doorgifte op basis van de door de Europese Commissie vastgestelde standaardcontractsbepalingen (SCC's) met passende aanvullende waarborgen.

5. Cookies & advertentiemeting

Voor anonieme bezoekersstatistieken gebruiken we Vercel Analytics; dat werkt zonder cookies en zonder het volgen van personen. Daarnaast gebruiken we op onze publieke marketingpagina's de Meta-pixel, Google Analytics en Microsoft Clarity om te meten of onze advertenties en website werken — maar alléén nadat je daarvoor toestemming hebt gegeven via de cookiebanner. Weiger je, dan wordt er niets geladen. Bij toestemming deelt de pixel gebeurtenissen (zoals een paginabezoek of het starten van een proefperiode) met Meta Platforms Ireland Ltd., meet Google Analytics je bezoek voor Google Ireland Ltd., en legt Microsoft Clarity (Microsoft Ireland Operations Ltd.) geanonimiseerd vast hoe bezoekers de marketingpagina's gebruiken — via heatmaps en sessie-opnames waarin invoervelden standaard worden gemaskeerd. Ook onthouden we bij toestemming tijdelijk via welke advertentie of campagne je op onze site kwam, zodat we weten welke advertenties werken. Je kunt je keuze op elk moment aanpassen via "Cookie-voorkeuren" onderaan de pagina. In de ingelogde omgeving en de mobiele app gebruiken we géén marketing-cookies of tracking.

6. Beveiliging

Gegevens van verschillende bedrijven staan strikt gescheiden (multi-tenant met row-level security). We bieden tweestapsverificatie, versleutelde verbindingen en toegang op basis van rollen/rechten.

7. Je rechten

Je hebt recht op inzage, correctie, verwijdering, beperking en overdraagbaarheid van je gegevens. In de app kan iedere medewerker een kopie van de eigen gegevens downloaden. Verzoeken of klachten? Mail info@roostrix.app. Je kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens.