workvibezTerug naar home

Privacyverklaring

Hoe Workvibez.nl omgaat met uw persoonsgegevens en gezondheidsdata conform de Algemene Verordening Gegevensbescherming (AVG).

Laatst bijgewerkt: maart 2026

1. Wie zijn wij?

Workvibez.nl is een AI-gedreven burnout preventieplatform, ontwikkeld in Nederland. Ons platform helpt werknemers hun welzijn bij te houden en biedt werkgevers geanonimiseerde inzichten om psychosociale arbeidsbelasting te monitoren en verzuim te voorkomen.

Verwerkingsverantwoordelijke: Workvibez

Contact: info@workvibez.nl

2. Welke persoonsgegevens verwerken wij?

a. Accountgegevens

  • Naam
  • E-mailadres
  • Rol (werknemer of werkgever)
  • Organisatielidmaatschap

b. Gezondheids- en welzijnsgegevens (bijzondere persoonsgegevens conform AVG Artikel 9)

  • Stemmingsscores (0–10)
  • Energieniveaus (0–10)
  • Werkdruk (0–10)
  • Slaapkwaliteit (0–10)
  • Slaapuren
  • Stressoren (vrije tekstinvoer)
  • Overwerk
  • Indicator “nee kunnen zeggen”

Belangrijk: individuele gezondheidsgegevens worden NOOIT gedeeld met werkgevers. Werkgevers ontvangen uitsluitend geanonimiseerde teamaggregaten.

c. Gebruiksgegevens

  • Inlogtijdstempels
  • Authenticatiemethode (wachtwoord of Magic Link)
  • Toestemmingsregistraties
  • Auditlogs

d. Organisatiegegevens (werkgever)

  • Bedrijfsnaam
  • Sector
  • Bedrijfsgrootte

3. Grondslagen voor verwerking

Wij verwerken uw persoonsgegevens op basis van de volgende wettelijke grondslagen:

Accountgegevens

Uitvoering van de overeenkomst (Art. 6 lid 1 sub b AVG) — de verwerking is noodzakelijk voor het uitvoeren van de dienstverlening waarvoor u zich heeft aangemeld.

Gezondheids- en welzijnsgegevens

Uitdrukkelijke toestemming (Art. 9 lid 2 sub a AVG) — vanwege het bijzondere karakter van gezondheidsgegevens vragen wij uw expliciete toestemming voordat wij deze gegevens verwerken.

Auditlogging

Gerechtvaardigd belang (Art. 6 lid 1 sub f AVG) — het bijhouden van auditlogs is noodzakelijk voor de beveiliging van onze dienst en de bescherming van uw gegevens.

Intrekking van toestemming: u kunt uw toestemming voor de verwerking van gezondheidsgegevens op elk moment intrekken. Na intrekking worden al uw gezondheidsgegevens verwijderd en stopt de verwerking ervan onmiddellijk.

4. Doeleinden van verwerking

Wij verwerken uw gegevens voor de volgende doeleinden:

  • Persoonlijke burnout-risicomonitoring — het bieden van inzicht in uw eigen welzijn, energieniveaus en burnout-risico aan u als werknemer.
  • Geanonimiseerde teamanalyses voor werkgevers — het verstrekken van geaggregeerde, niet-herleidbare teamstatistieken ten behoeve van de naleving van de Arbowet.
  • AI-gedreven analyses en aanbevelingen — het genereren van persoonlijke adviezen en interventies op basis van uw check-in gegevens.
  • RI&E-rapportage — het faciliteren van de Risico-Inventarisatie en -Evaluatie conform Arbowet Artikel 5.
  • Verbetering van de dienstverlening — het optimaliseren en verbeteren van ons platform.
  • Fraudepreventie en beveiliging — het bijhouden van auditlogs om misbruik te detecteren en de integriteit van het platform te waarborgen.

5. Bewaartermijnen

Type gegevensBewaartermijn
GezondheidsgegevensZolang het account actief is + 30 dagen na verwijdering
AccountgegevensVerwijderd bij beëindiging van het account
Auditlogs2 jaar (gerechtvaardigd belang voor beveiliging)
Geanonimiseerde/geaggregeerde teamgegevensOnbeperkt bewaard (zijn geen persoonsgegevens meer)

6. Delen van gegevens

Wij delen uw persoonsgegevens alleen met de volgende partijen, en uitsluitend voor zover noodzakelijk voor onze dienstverlening:

Supabase Inc. (Verwerker)

Database hosting — gegevens worden opgeslagen in EU datacenters.

Vercel Inc. (Verwerker)

Website hosting op Europese servers — verantwoordelijk voor het serveren van de applicatie. Gegevens blijven binnen de EU.

Anthropic (AI-analyse)

Er worden geen persoonsgegevens naar Anthropic verzonden. Uitsluitend geaggregeerde en geanonimiseerde teamgegevens worden gebruikt voor AI-analyses.

Slack Technologies / Salesforce (Slack-integratie)

Bij activering van de optionele Slack-integratie (Professional en Enterprise) worden uitsluitend herinneringsberichten en geaggregeerde teamnotificaties verstuurd naar het Slack-kanaal van de organisatie. Er worden geen individuele gezondheidsgegevens, welzijnsscores of persoonsgegevens met Slack gedeeld. De integratie verstuurt alleen functionele herinneringen (bijv. “Tijd voor je dagelijkse check-in”) en geanonimiseerde alerts op teamniveau.

Microsoft Corporation (Microsoft Teams-integratie)

Bij activering van de optionele Microsoft Teams-integratie (Professional en Enterprise) worden uitsluitend herinneringsberichten en geaggregeerde teamnotificaties verstuurd naar het Teams-kanaal van de organisatie. Er worden geen individuele gezondheidsgegevens, welzijnsscores of persoonsgegevens met Microsoft gedeeld. De integratie verstuurt alleen functionele herinneringen en geanonimiseerde alerts op teamniveau.

Wij verkopen NOOIT uw gegevens aan derden.

Individuele gegevens worden NOOIT gedeeld met werkgevers.

Met al onze verwerkers zijn verwerkersovereenkomsten gesloten conform de AVG.

7. Beveiliging

Wij nemen de bescherming van uw gegevens zeer serieus en hebben uitgebreide technische en organisatorische maatregelen geïmplementeerd:

Server-side authenticatie-middleware — Next.js middleware valideert elk verzoek

Row-Level Security (RLS) op PostgreSQL-databaseniveau — gebruikers hebben uitsluitend toegang tot hun eigen gegevens

Server-side plan gating voor premiumfuncties

Cryptografisch beveiligde uitnodigingscodes (crypto.getRandomValues) met een vervaltermijn van 30 dagen

Magic Link authenticatie — veilig wachtwoordloos inloggen via een eenmalige, tijdgebonden link per e-mail. Er worden geen wachtwoorden opgeslagen of verzonden; de link verloopt automatisch na gebruik

Sterke wachtwoordvereisten (minimaal 12 tekens, hoofd- en kleine letters + cijfers) voor gebruikers die kiezen voor wachtwoordauthenticatie

Verplichte e-mailverificatie

Beveiligingsheaders: X-Frame-Options DENY, X-Content-Type-Options nosniff, Strict-Transport-Security, Referrer-Policy, Permissions-Policy

Auditlogging van alle gevoelige operaties (data-export, dataverwijdering, toestemmingswijzigingen, regeneratie uitnodigingscodes)

HTTPS/TLS-versleuteling voor data in transit

Versleutelde opslag van data at rest (Supabase)

Server-side admin privilege-escalatie — niet manipuleerbaar vanuit de client

8. Uw rechten

Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

Recht op inzage (Art. 15 AVG)

U kunt al uw gegevens inzien via de instellingenpagina in uw account.

Recht op rectificatie (Art. 16 AVG)

U kunt uw profielgegevens op elk moment bijwerken via uw account.

Recht op verwijdering (Art. 17 AVG)

Via de knop “Verwijder al mijn data” in uw instellingen kunt u al uw gegevens laten verwijderen.

Recht op data-portabiliteit (Art. 20 AVG)

U kunt al uw gegevens exporteren in JSON-formaat via uw instellingenpagina.

Recht op intrekking van toestemming

U kunt uw toestemming voor de verwerking van gezondheidsgegevens op elk moment intrekken. Na intrekking stopt de verwerking onmiddellijk.

Recht om een klacht in te dienen

U heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder op het gebied van gegevensbescherming.

9. Cookies en tracking

  • Wij gebruiken uitsluitend functionele cookies die noodzakelijk zijn voor de authenticatie (Supabase auth-sessie).
  • Wij plaatsen geen marketing- of trackingcookies.
  • Wij maken geen gebruik van externe analytics die individuele gebruikers volgen.

10. Integraties met externe platformen

Workvibez.nl biedt optionele integraties met externe platformen om de gebruikservaring te verbeteren. Deze integraties zijn ontworpen met privacy als uitgangspunt en hebben geen enkele impact op de verwerking van persoonsgegevens of gezondheidsdata.

a. Magic Link (wachtwoordloos inloggen)

Gebruikers met een Starter-abonnement of hoger kunnen inloggen via een Magic Link: een eenmalige, tijdgebonden verificatielink die per e-mail wordt verstuurd. Bij gebruik van Magic Link:

  • Wordt er geen wachtwoord opgeslagen of verwerkt.
  • Wordt uitsluitend het e-mailadres van de Gebruiker gebruikt voor het versturen van de inloglink.
  • Verloopt de link automatisch na eenmalig gebruik of na een korte vervaltermijn.
  • Worden er geen extra persoonsgegevens of gezondheidsgegevens verwerkt of gedeeld.

Privacy-impact: Geen. Magic Link vervangt uitsluitend de authenticatiemethode. Er worden geen aanvullende gegevens verzameld, opgeslagen of gedeeld. Uw gezondheidsgegevens worden op exact dezelfde wijze beschermd als bij reguliere wachtwoordauthenticatie.

b. Slack-integratie

Gebruikers met een Professional- of Enterprise-abonnement kunnen een optionele koppeling met Slack activeren. Deze integratie biedt:

  • Herinneringsberichten voor dagelijkse check-ins in een door de organisatie gekozen Slack-kanaal.
  • Geanonimiseerde teamnotificaties (bijv. “Het team scoort deze week lager op energie”) op geaggregeerd niveau.

Er worden GEEN individuele gezondheidsgegevens, welzijnsscores, stemmingsscores, stressoren of andere persoonsgegevens met Slack gedeeld — ook niet indirect of in geanonimiseerde vorm op individueel niveau.

Privacy-impact: Geen. De Slack-integratie verstuurt uitsluitend functionele herinneringsteksten en geaggregeerde teamsignalen. Er worden geen persoonsgegevens, gezondheidsgegevens of gebruikersprofielen naar Slack verstuurd. Slack ontvangt geen informatie waarmee individuele werknemers geïdentificeerd kunnen worden.

c. Microsoft Teams-integratie

Gebruikers met een Professional- of Enterprise-abonnement kunnen een optionele koppeling met Microsoft Teams activeren. De functionaliteit en privacywaarborgen zijn identiek aan de Slack-integratie:

  • Herinneringsberichten voor dagelijkse check-ins in een door de organisatie gekozen Teams-kanaal.
  • Geanonimiseerde teamnotificaties op geaggregeerd niveau.

Er worden GEEN individuele gezondheidsgegevens, welzijnsscores, stemmingsscores, stressoren of andere persoonsgegevens met Microsoft Teams gedeeld.

Privacy-impact: Geen. De Microsoft Teams-integratie verstuurt uitsluitend functionele herinneringsteksten en geaggregeerde teamsignalen. Er worden geen persoonsgegevens, gezondheidsgegevens of gebruikersprofielen naar Microsoft verstuurd.

d. Algemene principes voor integraties

Opt-in: Alle integraties zijn volledig optioneel en worden uitsluitend geactiveerd op uitdrukkelijk verzoek van de Werkgever of Gebruiker.

Minimale datadeling: Integraties ontvangen uitsluitend de minimale informatie die nodig is voor hun functie (herinneringsteksten, geaggregeerde teamsignalen). Persoonsgegevens en gezondheidsgegevens verlaten het Workvibez-platform nooit via integraties.

Deactivering: Integraties kunnen op elk moment worden uitgeschakeld. Na deactivering stopt de gegevensuitwisseling onmiddellijk.

11. Internationale doorgifte

Wij streven ernaar uw gegevens zo veel mogelijk binnen de Europese Unie te verwerken:

Supabase (primaire gegevensopslag)

Gegevens worden verwerkt en opgeslagen in de EU-regio.

Vercel (website hosting)

De applicatie wordt gehost op Europese servers van Vercel. Gegevens blijven binnen de EU.

Anthropic (AI-analyse)

Er worden uitsluitend geaggregeerde teamgegevens verzonden, zonder persoonlijke identificatoren.

Slack / Microsoft Teams (optionele integraties)

Bij activering van deze optionele integraties worden uitsluitend functionele herinneringsteksten en geaggregeerde teamsignalen verstuurd. Er worden geen persoonsgegevens of gezondheidsgegevens naar deze platformen doorgestuurd. Beide diensten vallen onder het EU-US Data Privacy Framework.

12. Wijzigingen in deze verklaring

Wij kunnen deze privacyverklaring van tijd tot tijd wijzigen. Wijzigingen worden aan u gecommuniceerd via:

  • E-mailnotificatie aan uw geregistreerde e-mailadres.
  • Een melding binnen de applicatie.

Bij wezenlijke wijzigingen in de verwerking van gezondheidsgegevens vragen wij opnieuw om uw uitdrukkelijke toestemming.

13. Contact en klachten

Heeft u vragen over deze privacyverklaring of over de verwerking van uw persoonsgegevens? Neem dan contact met ons op:

E-mail: info@workvibez.nl

KvK-nummer: [wordt aangevuld]

Bent u niet tevreden met de wijze waarop wij met uw gegevens omgaan? Dan heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.