Privacybeleid

Dit privacybeleid beschrijft hoe Vortexcode ("wij", "ons"), exploitant van Shifo, persoonsgegevens verwerkt wanneer je de dienst gebruikt. Wij zijn de verwerkingsverantwoordelijke voor de accountgegevens die je aan ons verstrekt. Voor data die je binnen Shifo aanmaakt (taken, diensten, urenregistratie, verlofverzoeken, personeelscontracten, reacties, sectie-inhoud) is je organisatie de verwerkingsverantwoordelijke en handelen wij als verwerker namens haar.

1. Welke data we verzamelen

Accountgegevens — naam, e-mailadres, wachtwoord (opgeslagen als hash), voorkeurstaal, profielfoto (indien geüpload) en apparaatgegevens voor pushberichten.

Organisatiegegevens — de naam van je organisatie, leden, rollen, secties, taken, diensten, roosters, urenregistratie, verlofverzoeken, verlofsaldi, personeelscontracten, plus/min-periodes, toeslag- en pauzeregels, reacties, bijlagen en gerelateerde inhoud die je team in Shifo aanmaakt.

Factureringsgegevens — als je organisatie een betaald abonnement heeft, bewaren we een Stripe klant-ID en de laatste vier cijfers en het merk van de betaalmethode. Volledige kaartgegevens worden door Stripe afgehandeld en bereiken onze servers nooit.

Gevoelige HR-gegevens — wanneer een personeelscontract wordt geüpload, worden velden zoals BSN, IBAN, bruto uurloon en maandelijkse vaste kosten op applicatieniveau versleuteld, zodat ze niet rechtstreeks uit de database te lezen zijn.

Technische gegevens — IP-adres, browsertype en bezochte pagina's, verzameld via serverlogs voor beveiliging en debugging.

Communicatiegegevens — e-mails die je naar support@shifo.nl stuurt en onze reacties.

2. Waarvoor we deze data verwerken

• Om de dienst Shifo te laten werken en te beveiligen.
• Om je te authenticeren en je sessie te onderhouden.
• Om realtime updates, notificaties en transactionele e-mails (zoals uitnodigingen en wachtwoordherstel) te leveren.
• Om facturatie te verwerken en te voldoen aan fiscale verplichtingen.
• Om supportverzoeken te beantwoorden.
• Om het product te verbeteren op basis van geaggregeerde gebruikspatronen.

Onze grondslagen volgens de AVG zijn:

• Uitvoering van overeenkomst — voor account-, organisatie- en factureringsgegevens.
• Gerechtvaardigd belang — voor beveiligingslogs en productverbetering.
• Toestemming — voor optionele analytics, wanneer je cookies hebt geaccepteerd.
• Wettelijke verplichting — voor fiscale en boekhoudkundige administratie.

3. Hoe lang we data bewaren

• Account- en organisatiegegevens — zolang je account actief is, plus maximaal 30 dagen na verwijdering.
• Facturatie-administratie — zeven jaar, zoals vereist door de Nederlandse belastingwet.
• Support-e-mails — maximaal twee jaar na de laatste interactie.
• Serverlogs — maximaal 90 dagen.

4. Wie je data verwerkt

We gebruiken de volgende subverwerkers voor Shifo. Elk is gebonden aan een verwerkersovereenkomst:

• Vercel Inc. — hosting van de frontend en CDN (Verenigde Staten / EU-edge).
• Resend — levering van transactionele e-mails (Verenigde Staten).
• Laravel Forge — server provisioning, deployment en beheer (Verenigde Staten; SSH-toegang tot onze EU-server).
• EU VPS hostingprovider — applicatieserver, database en zelf-gehoste Laravel Reverb websocket-server (Europese Unie). De specifieke provider staat vermeld in onze verwerkersovereenkomst en wordt op deze pagina bijgewerkt wanneer deze wijzigt.
• Stripe — betalingsverwerking en abonnementsfacturatie (Verenigde Staten / Europese Unie).

Doorgiftes naar de Verenigde Staten zijn gebaseerd op Standaardcontractbepalingen en, waar van toepassing, het EU–VS Data Privacy Framework.

5. Je rechten

Je hebt het recht om:

• De persoonsgegevens die we over je bewaren in te zien.
• Onjuiste gegevens te laten corrigeren.
• Je account en bijbehorende gegevens te laten verwijderen.
• Je gegevens in een overdraagbare vorm te exporteren.
• Bepaalde verwerkingen te beperken of bezwaar te maken.
• Toestemming in te trekken waar de verwerking op toestemming gebaseerd is.
• Een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Om een van deze rechten uit te oefenen, mail ons op support@shifo.nl. We reageren binnen één maand.

6. Beveiliging

We gebruiken industriestandaard-beveiliging: TLS-versleuteling tijdens verzending, gehashte wachtwoorden, scoped API-tokens en versleuteling op applicatieniveau van gevoelige HR-velden (zoals BSN, IBAN en loongegevens), zodat deze onleesbaar blijven zelfs met toegang tot de database. Toegang tot productiedata is beperkt tot een klein aantal bevoegde personen.

Geen systeem is volledig veilig. Als we op de hoogte raken van een datalek met risico voor jou, melden we dit binnen 72 uur conform de AVG.

7. Kinderen

Shifo is een zakelijk hulpmiddel en richt zich niet op kinderen onder 16 jaar. We verzamelen bewust geen persoonsgegevens van kinderen.

8. Wijzigingen in dit beleid

We kunnen dit privacybeleid van tijd tot tijd bijwerken. Wezenlijke wijzigingen worden minimaal 30 dagen vóór ingang gemeld via e-mail of een in-app-melding.

9. Contact

Voor privacyvragen kun je contact met ons opnemen via support@shifo.nl.