burnoutradarTerug naar home

Privacyverklaring

Hoe BurnoutRadar.nl omgaat met uw persoonsgegevens en gezondheidsdata conform de Algemene Verordening Gegevensbescherming (AVG).

Laatst bijgewerkt: maart 2026

1. Wie zijn wij?

BurnoutRadar.nl is een AI-gedreven burnout preventieplatform, ontwikkeld in Nederland. Ons platform helpt werknemers hun welzijn bij te houden en biedt werkgevers geanonimiseerde inzichten om psychosociale arbeidsbelasting te monitoren en verzuim te voorkomen.

Verwerkingsverantwoordelijke: BurnoutRadar

Contact: info@burnoutradar.nl

2. Welke persoonsgegevens verwerken wij?

a. Accountgegevens

  • Naam
  • E-mailadres
  • Rol (werknemer of werkgever)
  • Organisatielidmaatschap

b. Gezondheids- en welzijnsgegevens (bijzondere persoonsgegevens conform AVG Artikel 9)

  • Stemmingsscores (0–10)
  • Energieniveaus (0–10)
  • Werkdruk (0–10)
  • Slaapkwaliteit (0–10)
  • Slaapuren
  • Stressoren (vrije tekstinvoer)
  • Overwerk
  • Indicator “nee kunnen zeggen”

Belangrijk: individuele gezondheidsgegevens worden NOOIT gedeeld met werkgevers. Werkgevers ontvangen uitsluitend geanonimiseerde teamaggregaten.

c. Gebruiksgegevens

  • Inlogtijdstempels
  • Toestemmingsregistraties
  • Auditlogs

d. Organisatiegegevens (werkgever)

  • Bedrijfsnaam
  • Sector
  • Bedrijfsgrootte

3. Grondslagen voor verwerking

Wij verwerken uw persoonsgegevens op basis van de volgende wettelijke grondslagen:

Accountgegevens

Uitvoering van de overeenkomst (Art. 6 lid 1 sub b AVG) — de verwerking is noodzakelijk voor het uitvoeren van de dienstverlening waarvoor u zich heeft aangemeld.

Gezondheids- en welzijnsgegevens

Uitdrukkelijke toestemming (Art. 9 lid 2 sub a AVG) — vanwege het bijzondere karakter van gezondheidsgegevens vragen wij uw expliciete toestemming voordat wij deze gegevens verwerken.

Auditlogging

Gerechtvaardigd belang (Art. 6 lid 1 sub f AVG) — het bijhouden van auditlogs is noodzakelijk voor de beveiliging van onze dienst en de bescherming van uw gegevens.

Intrekking van toestemming: u kunt uw toestemming voor de verwerking van gezondheidsgegevens op elk moment intrekken. Na intrekking worden al uw gezondheidsgegevens verwijderd en stopt de verwerking ervan onmiddellijk.

4. Doeleinden van verwerking

Wij verwerken uw gegevens voor de volgende doeleinden:

  • Persoonlijke burnout-risicomonitoring — het bieden van inzicht in uw eigen welzijn, energieniveaus en burnout-risico aan u als werknemer.
  • Geanonimiseerde teamanalyses voor werkgevers — het verstrekken van geaggregeerde, niet-herleidbare teamstatistieken ten behoeve van de naleving van de Arbowet.
  • AI-gedreven analyses en aanbevelingen — het genereren van persoonlijke adviezen en interventies op basis van uw check-in gegevens.
  • RI&E-rapportage — het faciliteren van de Risico-Inventarisatie en -Evaluatie conform Arbowet Artikel 5.
  • Verbetering van de dienstverlening — het optimaliseren en verbeteren van ons platform.
  • Fraudepreventie en beveiliging — het bijhouden van auditlogs om misbruik te detecteren en de integriteit van het platform te waarborgen.

5. Bewaartermijnen

Type gegevensBewaartermijn
GezondheidsgegevensZolang het account actief is + 30 dagen na verwijdering
AccountgegevensVerwijderd bij beëindiging van het account
Auditlogs2 jaar (gerechtvaardigd belang voor beveiliging)
Geanonimiseerde/geaggregeerde teamgegevensOnbeperkt bewaard (zijn geen persoonsgegevens meer)

6. Delen van gegevens

Wij delen uw persoonsgegevens alleen met de volgende partijen, en uitsluitend voor zover noodzakelijk voor onze dienstverlening:

Supabase Inc. (Verwerker)

Database hosting — gegevens worden opgeslagen in EU datacenters.

Vercel Inc. (Verwerker)

Website hosting — verantwoordelijk voor het serveren van de applicatie.

Anthropic (AI-analyse)

Er worden geen persoonsgegevens naar Anthropic verzonden. Uitsluitend geaggregeerde en geanonimiseerde teamgegevens worden gebruikt voor AI-analyses.

Wij verkopen NOOIT uw gegevens aan derden.

Individuele gegevens worden NOOIT gedeeld met werkgevers.

Met al onze verwerkers zijn verwerkersovereenkomsten gesloten conform de AVG.

7. Beveiliging

Wij nemen de bescherming van uw gegevens zeer serieus en hebben uitgebreide technische en organisatorische maatregelen geïmplementeerd:

Server-side authenticatie-middleware — Next.js middleware valideert elk verzoek

Row-Level Security (RLS) op PostgreSQL-databaseniveau — gebruikers hebben uitsluitend toegang tot hun eigen gegevens

Server-side plan gating voor premiumfuncties

Cryptografisch beveiligde uitnodigingscodes (crypto.getRandomValues) met een vervaltermijn van 30 dagen

Sterke wachtwoordvereisten (minimaal 12 tekens, hoofd- en kleine letters + cijfers)

Verplichte e-mailverificatie

Beveiligingsheaders: X-Frame-Options DENY, X-Content-Type-Options nosniff, Strict-Transport-Security, Referrer-Policy, Permissions-Policy

Auditlogging van alle gevoelige operaties (data-export, dataverwijdering, toestemmingswijzigingen, regeneratie uitnodigingscodes)

HTTPS/TLS-versleuteling voor data in transit

Versleutelde opslag van data at rest (Supabase)

Server-side admin privilege-escalatie — niet manipuleerbaar vanuit de client

8. Uw rechten

Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

Recht op inzage (Art. 15 AVG)

U kunt al uw gegevens inzien via de instellingenpagina in uw account.

Recht op rectificatie (Art. 16 AVG)

U kunt uw profielgegevens op elk moment bijwerken via uw account.

Recht op verwijdering (Art. 17 AVG)

Via de knop “Verwijder al mijn data” in uw instellingen kunt u al uw gegevens laten verwijderen.

Recht op data-portabiliteit (Art. 20 AVG)

U kunt al uw gegevens exporteren in JSON-formaat via uw instellingenpagina.

Recht op intrekking van toestemming

U kunt uw toestemming voor de verwerking van gezondheidsgegevens op elk moment intrekken. Na intrekking stopt de verwerking onmiddellijk.

Recht om een klacht in te dienen

U heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder op het gebied van gegevensbescherming.

9. Cookies en tracking

  • Wij gebruiken uitsluitend functionele cookies die noodzakelijk zijn voor de authenticatie (Supabase auth-sessie).
  • Wij plaatsen geen marketing- of trackingcookies.
  • Wij maken geen gebruik van externe analytics die individuele gebruikers volgen.

10. Internationale doorgifte

Wij streven ernaar uw gegevens zo veel mogelijk binnen de Europese Unie te verwerken:

Supabase (primaire gegevensopslag)

Gegevens worden verwerkt en opgeslagen in de EU-regio.

Vercel (website hosting)

Kan gegevens verwerken in de VS. Deze doorgifte is gedekt door het EU-US Data Privacy Framework.

Anthropic (AI-analyse)

Er worden uitsluitend geaggregeerde teamgegevens verzonden, zonder persoonlijke identificatoren.

11. Wijzigingen in deze verklaring

Wij kunnen deze privacyverklaring van tijd tot tijd wijzigen. Wijzigingen worden aan u gecommuniceerd via:

  • E-mailnotificatie aan uw geregistreerde e-mailadres.
  • Een melding binnen de applicatie.

Bij wezenlijke wijzigingen in de verwerking van gezondheidsgegevens vragen wij opnieuw om uw uitdrukkelijke toestemming.

12. Contact en klachten

Heeft u vragen over deze privacyverklaring of over de verwerking van uw persoonsgegevens? Neem dan contact met ons op:

E-mail: info@burnoutradar.nl

KvK-nummer: [wordt aangevuld]

Bent u niet tevreden met de wijze waarop wij met uw gegevens omgaan? Dan heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.