Logo PulseTimePulseTime

Wettelijke vermeldingen en privacy

Privacybeleid

PulseTime is een tijdregistratie-applicatie voor Belgische kmo's en hun medewerkers. Dit beleid legt uit welke persoonsgegevens wij verwerken, waarom, hoe lang en hoe u uw rechten kunt uitoefenen, in overeenstemming met Verordening (EU) 2016/679 (AVG) en de Belgische wet van 30 juli 2018.

1. Verwerkingsverantwoordelijke

H&H Informatique SA, Rue Léon Morel 4, 5032 Isnes (België), ondernemingsnummer KBO 0431.238.937, is verwerkingsverantwoordelijke voor de website pulsetime.be en de applicatie PulseTime wat betreft:

  • de bezoekers van de publieke website;
  • de Hoofdbeheerders die een abonnement afsluiten;
  • de beheerders en medewerkers die door hun werkgever worden uitgenodigd (B2B2C-relatie).

Voor de registraties en HR-gegevens van uw medewerkers is uw onderneming (de Hoofdbeheerder) verwerkingsverantwoordelijke en treedt PulseTime op als verwerker in de zin van artikel 28 AVG. De voorwaarden van deze verwerking worden beschreven in een verwerkersovereenkomst (DPA), op verzoek aan zakelijke klanten bezorgd via dpo@pulsetime.be.

Functionaris voor gegevensbescherming (FG): dpo@pulsetime.be.

2. Verzamelde gegevens en doeleinden

2.1 Account Hoofdbeheerder

Bij het aanmaken van een account:

  • Identiteit: voornaam, achternaam, e-mailadres, taalvoorkeur.
  • Authenticatie: wachtwoord (gehasht met bcrypt, nooit in leesbare vorm opgeslagen); persoonlijke toegangslink (« magic link »).
  • Onderneming: maatschappelijke naam, btw-nummer, adres, facturatie-e-mail, IBAN.

Doel: uitvoering van de overeenkomst (aanmaken van het account, toegang tot de dienst, facturatie). Rechtsgrond: uitvoering van een overeenkomst (art. 6.1.b AVG).

2.2 Uitgenodigde medewerkers

  • Identiteit: voornaam, achternaam, e-mailadres en/of telefoonnummer (minstens één van beide), taal.
  • Registraties: begin-/eindtijd van de prestatie, gebruikte methode (smartphone/web, QR-code, tablet-terminal), gekoppelde locatie.
  • Gps-positie (uitsluitend indien de beheerder de optie activeert en de medewerker dit in zijn browser toestaat): breedte- en lengtegraad op het moment van de registratie en een benaderend adres verkregen via omgekeerde geocodering.
  • IP-adres en user-agent bij elke aanmelding (beveiligingslogboek).

Doel: arbeidstijdregister (Belgische wettelijke verplichting, wet van 26 juni 2002 over de arbeid en verwachte verplichting in 2027), beheer van prestaties, opmaak van rapporten voor het sociaal secretariaat. Rechtsgrond: wettelijke verplichting (art. 6.1.c AVG) en gerechtvaardigd belang (art. 6.1.f) voor veiligheid en fraudebestrijding.

2.3 Auditlogboek

Alle gevoelige handelingen (aanmaak / wijziging / verwijdering van een registratie, validatie van een correctie, versturen van een uitnodiging, wijziging van pakket …) worden vastgelegd in een append-only-logboek, met auteur, datum, tijdstempel en IP. Dit logboek dient voor traceerbaarheid en AVG-conformiteit (artikel 5.1.f, integriteit en vertrouwelijkheid).

3. Niet verzamelde gegevenscategorieën

Wij verwerken geen gevoelige gegevens in de zin van artikel 9 AVG (raciale afkomst, politieke opvattingen, gezondheidsgegevens, seksuele geaardheid …). Wij profileren gebruikers niet voor reclamedoeleinden.

4. Verwerkers

Wij doen een beroep op de volgende verwerkers voor de werking van de dienst. Allen bieden AVG-conformiteitsgaranties:

  • Contabo GmbH (Duitsland, EU): hosting van de applicatieservers en de databank.
  • Stripe Payments Europe Ltd. (Ierland, EU): verwerking van kaartbetalingen en abonnementen. Stripe is zelfstandig verwerkingsverantwoordelijke voor de betaalgegevens (PCI-DSS).
  • Resend Inc. (Delaware, VS): versturen van transactionele e-mails (uitnodigingen, bevestigingen, toegangscodes). Overdracht omkaderd door de Modelcontractbepalingen van de Europese Commissie.
  • Proximus / RingRing (België, EU): versturen van uitnodigings-sms en pincodes.
  • OpenStreetMap (Nominatim): omgekeerde geocoderingsdienst die breedte-/lengtegraad omzet in een postadres, zonder cookies of profilering.
  • Microsoft Ireland Operations Limited (Clarity): gedragsanalyse en ergonomie (heatmaps, geanonimiseerde sessieopnames). Strikte maskering is ingeschakeld op pagina's met persoonsgegevens: geen tekst wordt vastgelegd. Servers binnen de Europese Unie. Alleen actief na uitdrukkelijke toestemming via de cookiebanner.

5. Hosting en lokalisatie van de gegevens

Alle applicatiegegevens en back-ups worden gehost op Contabo-servers in Duitsland (Europese Unie). De transactionele e-mails lopen via Resend, waarbij een overdracht naar de Verenigde Staten kan optreden; deze overdracht is omkaderd door de Modelcontractbepalingen (MCB) van de Europese Commissie.

6. Bewaartermijn

  • Registraties: 5 jaar na het jaar van de prestatie, overeenkomstig de bewaarplicht van de prestatieregisters door de Belgische wetgeving.
  • Auditlogboek: 5 jaar (afgeleid van het voorgaande).
  • Accountgegevens (beheerder, medewerker): tot 30 dagen na deactivering / opzegging, daarna verwijdering of anonimisering.
  • Versleutelde back-ups: rotatie na 30 dagen, behoudens langere wettelijke verplichting.
  • Beveiligingslogboeken (IP, user-agent): 12 maanden.

7. Uw rechten

Overeenkomstig de AVG beschikt u over de volgende rechten:

  • Inzage in uw gegevens en kopie ervan;
  • Rectificatie bij onjuistheid;
  • Wissen in de door de wet voorziene gevallen (het « recht om vergeten te worden »);
  • Beperking van de verwerking;
  • Overdraagbaarheid van uw gegevens in een machineleesbaar formaat;
  • Bezwaar tegen een verwerking gebaseerd op gerechtvaardigd belang;
  • Intrekking van toestemming op elk moment indien deze als rechtsgrond dient.

Het tabblad Account → AVG van de applicatie laat de Hoofdbeheerder toe de volledige verwijdering van de onderneming aan te vragen. Medewerkers kunnen een onderneming verlaten via hun profiel; voor elke andere aanvraag richten zij zich tot de Hoofdbeheerder van hun werkgever (verwerkingsverantwoordelijke).

Om een recht uit te oefenen of een vraag te stellen, neem contact op met dpo@pulsetime.be. Wij antwoorden binnen een maand.

8. Klacht

Indien u meent dat uw rechten niet worden gerespecteerd, kunt u een klacht indienen bij de Gegevensbeschermingsautoriteit (GBA) van België: www.autoriteprotectiondonnees.be.

9. Veiligheid

Wij implementeren redelijke technische en organisatorische maatregelen om uw gegevens te beschermen: end-to-end TLS-versleuteling, bcrypt-hashing van wachtwoorden, toegangslogboeken, versleutelde back-ups, sleutelrotatie, principe van minst bevoorrechte toegang voor onze teams. Geen enkel systeem is onfeilbaar. Bij een inbreuk met risico verwittigen wij de GBA en de betrokken personen binnen de door de AVG voorziene termijnen (72 uur).