Privacybeleid

HiraDevs · Laatst bijgewerkt: 7 maart 2026 · Versie 1.0

HiraDevs ("wij", "ons", "onze") hecht groot belang aan de bescherming van uw persoonsgegevens. Dit privacybeleid legt uit welke gegevens wij verzamelen via de Shiftway-webapplicatie en de Shiftway-mobiele app (samen: "de Dienst"), waarom wij dat doen, hoe lang wij ze bewaren en welke rechten u heeft op grond van de Algemene Verordening Gegevensbescherming (AVG/GDPR).

1. Verwerkingsverantwoordelijke en verwerker

Bij het gebruik van de Dienst is uw werkgever de verwerkingsverantwoordelijke in de zin van de AVG. HiraDevs treedt op als verwerker namens uw werkgever. Met elke werkgever die Shiftway inzet is een verwerkersovereenkomst (conform AVG Art. 28) gesloten.

Dit privacybeleid informeert u over hoe HiraDevs als verwerker omgaat met uw gegevens binnen de Dienst.

Bedrijfsnaam	HiraDevs
Vestigingsplaats	Zevenbergen, Nederland
KvK-nummer	76380289
E-mail	info@hiradevs.com
Telefoon	+31 (0)6 38 31 38 85
Website	hiradevs.com

Voor vragen over dit privacybeleid of over de verwerking van uw persoonsgegevens kunt u contact opnemen via bovenstaand e-mailadres.

2. Welke persoonsgegevens verwerken wij?

Afhankelijk van uw rol binnen de Dienst verwerken wij de volgende categorieën persoonsgegevens:

2.1 Medewerker-/gebruikersgegevens (app-gebruikers)

Categorie	Gegevens
Identiteit	Voornaam, achternaam
Contactgegevens	E-mailadres, telefoonnummer
Geboortedatum	Ter controle van leeftijdsvereisten (bijv. CAO Particuliere Beveiliging)
Arbeidsgegevens	Contracttype, uurloon, rol, kwalificaties (rijbewijs, BHV-certificaat, beveiligingspas)
Accountgegevens	Microsoft Entra-object-ID, uitnodigingstoken (tijdelijk), accountstatus, laatste inlogtijdstip

2.2 Dienstgegevens (shifts, beschikbaarheid, verlof)

Categorie	Gegevens
Dienstplanning	Geplande en werkelijke begin- en eindtijden, diensttitel, objectlocatie
In- en uitklokken	Tijdstip van in-/uitklokken, GPS-coördinaten bij in-/uitklokken (optioneel, alleen bij toestemming via het besturingssysteem)
Overuren & afwezigheid	Overuurminuten, te-laat-registratie, reden te laat/no-show
Verlofaanvragen	Start-/einddatum, type verlof, reden, goedkeuringsstatus
Beschikbaarheid	Wekelijks beschikbaarheidsschema, terugkerende en datumgebonden beschikbaarheidsregels
Dienstrapportages	Door medewerker opgestelde rapportages over uitgevoerde diensten
Ruilverzoeken	Dienstruil tussen medewerkers, reden, goedkeuringsgeschiedenis

2.3 Beheerders-/plannergegevens (webportaal)

Categorie	Gegevens
Identiteit	Voornaam, achternaam, e-mailadres
Accountgegevens	Microsoft Entra-object-ID, rol (Admin/SuperAdmin), laatste inlogtijdstip

2.4 Klant- en onderaannemergegevens

Categorie	Gegevens
Zakelijke gegevens	Bedrijfsnaam, KvK-nummer, btw-nummer
Contactpersoon	Naam, e-mailadres, telefoonnummer contactpersoon
Adresgegevens	Factuuradres, vestigingsadres

2.5 Incidentregistratie

Categorie	Gegevens
Incidentdetails	Beschrijving, GPS-locatie, foto's (kunnen personen bevatten)
Getuigengegevens	Naam, telefoonnummer, e-mailadres, verklaring van getuigen

2.6 Technische en loggegevens

Categorie	Gegevens
Beveiligingsauditlog	Gebruikers-ID, gebruikersnaam, e-mailadres, IP-adres, user-agent bij beveiligingsrelevante acties
Applicatielogs	IP-adres (via gestructureerde logging), tijdstempels, foutmeldingen

Wij verzamelen géén: Burgerservicenummer (BSN), gegevens over gezondheid, politieke voorkeur, religieuze overtuiging, strafrechtelijke gegevens of andere bijzondere persoonsgegevens in de zin van artikel 9 AVG. De Shiftway-mobiele app biedt optioneel biometrische ontgrendeling (Face ID / vingerafdruk) aan; deze biometrische gegevens worden uitsluitend lokaal op het apparaat van de gebruiker verwerkt door het besturingssysteem en worden nooit naar onze servers verstuurd.

3. Doeleinden en rechtsgronden

Wij verwerken uw persoonsgegevens uitsluitend voor de hieronder genoemde doeleinden, op basis van de bijbehorende rechtsgrond (artikel 6 AVG):

Doeleinde	Rechtsgrond
Uitvoering van de dienstplanning en urenregistratie	Uitvoering overeenkomst (art. 6 lid 1 sub b)
Identiteits- en toegangsbeheer (authenticatie, autorisatie)	Uitvoering overeenkomst (art. 6 lid 1 sub b)
Naleving CAO Particuliere Beveiliging (rusttijden, nachtdiensten, overuren)	Wettelijke verplichting (art. 6 lid 1 sub c) — Arbeidstijdenwet, CAO PB
Loonadministratie en facturatie	Wettelijke verplichting (art. 6 lid 1 sub c) — fiscale bewaarplicht
GPS-locatie bij in-/uitklokken en incidentregistratie	Gerechtvaardigd belang (art. 6 lid 1 sub f) — verificatie aanwezigheid op locatie; óf toestemming (art. 6 lid 1 sub a) indien vereist door het besturingssysteem
Beveiligingsauditlogging en fraudepreventie	Gerechtvaardigd belang (art. 6 lid 1 sub f) — informatiebeveiliging, bescherming tegen onbevoegde toegang
Communicatie (e-mailnotificaties over diensten, verlof)	Uitvoering overeenkomst (art. 6 lid 1 sub b)
Interne analyses en rapportages (beschikbaarheid, prestaties)	Gerechtvaardigd belang (art. 6 lid 1 sub f) — bedrijfsvoering en kwaliteitsverbetering

4. GPS-locatiegegevens

De Shiftway-mobiele app kan GPS-locatiegegevens verzamelen op het moment dat een medewerker in- of uitklokt op een dienstlocatie, en bij het registreren van incidenten. Dit gebeurt uitsluitend voor het verifiëren van de fysieke aanwezigheid op de opdrachtlocatie.

Locatiegegevens worden alleen verzameld op het moment van in-/uitklokken of incidentregistratie — er vindt géén continue tracking op de achtergrond plaats.
Het delen van locatiegegevens is optioneel: de app functioneert ook zonder locatietoestemming.
U kunt de locatietoestemming te allen tijde intrekken via de instellingen van uw apparaat (iOS: Instellingen → PlanIt → Locatie; Android: Instellingen → Apps → PlanIt → Machtigingen → Locatie).

5. Ontvangers en derde partijen

Wij delen uw persoonsgegevens uitsluitend met de volgende partijen, voor zover noodzakelijk voor de hierboven genoemde doeleinden:

Ontvanger	Doel	Locatie
Microsoft Entra External ID (CIAM)	Identiteits- en toegangsbeheer, authenticatie	EU (West-Europa)
Microsoft Graph API	Gebruikersgegevens ophalen, medewerkeruitnodigingen	EU (West-Europa)
E-mailprovider (SMTP/MailKit)	Verzenden van dienstmeldingen, verlofbevestigingen	Configureerbaar per tenant
Uw werkgever (tenant-beheerder)	Planning, rapportage, urenregistratie	Binnen de Dienst

Wij verkopen uw persoonsgegevens niet aan derden. Wij delen uw gegevens niet met adverteerders of data-brokers. De Dienst bevat geen advertenties en maakt geen gebruik van tracking-SDK's van derden (zoals Google Analytics, Facebook SDK, o.i.d.).

6. Doorgifte buiten de EER

Uw gegevens worden opgeslagen op servers binnen de Europese Economische Ruimte (EER). Microsoft Entra ID-services worden gehost in de EU-regio (West-Europa). Indien in uitzonderlijke gevallen een doorgifte buiten de EER plaatsvindt (bijvoorbeeld bij Microsoft-ondersteuning), is dit gedekt door het EU-VS Data Privacy Framework of standaardcontractbepalingen (SCC's) conform artikel 46 AVG.

7. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor ze zijn verzameld:

Gegevenscategorie	Bewaartermijn
Accountgegevens (medewerker/beheerder)	Zolang het account actief is + maximaal 12 maanden na deactivering
Plannings- en roostergegevens	52 weken na het verrichten van de arbeid (Arbeidstijdenwet art. 4:3 lid 5)
Uren- en loonadministratie	7 jaar (fiscale bewaarplicht, AWR art. 52)
Financiële gegevens (facturatie)	7 jaar (fiscale bewaarplicht)
GPS-locatiegegevens	Maximaal 12 maanden na registratie
Incidentregistraties	Maximaal 5 jaar (of langer indien wettelijk vereist)
Beveiligingsauditlogs	Maximaal 24 maanden
Applicatielogs (inclusief IP-adressen)	Maximaal 90 dagen
Uitnodigingstokens	Automatisch verwijderd na gebruik of na 30 dagen

Na afloop van de bewaartermijn worden gegevens verwijderd of geanonimiseerd.

8. Cookies en vergelijkbare technologieën

De Shiftway-webapplicatie maakt uitsluitend gebruik van strikt noodzakelijke cookies:

Cookie	Doel	Bewaartermijn
Authenticatiecookie (OpenID Connect)	Sessiebeheer na inloggen	Duur van de browsersessie
Sessiecookie (__Host-PlanIt-Session)	Sessiebeheer	15 minuten inactiviteit
Anti-vervalsingscookie (CSRF)	Bescherming tegen cross-site request forgery	Duur van de sessie
OIDC-protocolcookies	OpenID Connect-inlogprocedure	Kort (minuten)

Alle cookies zijn ingesteld als Secure en HttpOnly. De SameSite-waarde verschilt per cookie: de authenticatiecookie gebruikt SameSite=Lax; de CSRF-cookie gebruikt SameSite=Strict; de OIDC-protocolcookies (CorrelationCookie, NonceCookie) gebruiken SameSite=None — dit is technisch vereist voor het OAuth 2.0/OpenID Connect-inlogproces via een externe identity provider (Microsoft Entra). Wij plaatsen geen tracking-, analytische of marketingcookies. Er is daarom geen cookiebanner nodig op grond van de ePrivacy-richtlijn.

9. Beveiliging van uw gegevens

Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen:

Versleuteling in transit: Alle verbindingen verlopen via TLS 1.2/1.3 (HTTPS). HTTP-verkeer wordt automatisch omgeleid naar HTTPS.
Versleuteling in rust: Database op versleutelde opslagvolumes.
Toegangscontrole: Role-based access control (RBAC); multi-tenant isolatie op databaseniveau (elke tenant ziet alleen eigen gegevens).
Authenticatie: Via Microsoft Entra External ID met JWT-tokens; geen wachtwoordopslag in PlanIt.
Rate limiting: Bescherming tegen brute-force en denial-of-service-aanvallen.
Security headers: Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Permissions-Policy, Referrer-Policy.
Auditlogging: Beveiligingsrelevante acties worden gelogd met gebruiker, IP-adres en tijdstip.
Geheimenbeheer: Applicatiegeheimen worden opgeslagen in Azure Key Vault (productie), niet in broncode.
CI/CD-beveiliging: Automatische secret-scanning (Gitleaks) en statische code-analyse (SonarCloud) in de deployment-pipeline.

10. Uw rechten als betrokkene

Op grond van de AVG/GDPR heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

Recht op inzage (art. 15 AVG) — U heeft het recht om te weten of wij persoonsgegevens van u verwerken en, zo ja, welke gegevens dat zijn.
Recht op rectificatie (art. 16 AVG) — U heeft het recht om onjuiste of onvolledige persoonsgegevens te laten corrigeren.
Recht op verwijdering ("recht op vergetelheid") (art. 17 AVG) — U kunt verzoeken om verwijdering van uw persoonsgegevens, tenzij wij wettelijk verplicht zijn deze te bewaren.
Recht op beperking van de verwerking (art. 18 AVG) — U kunt vragen om de verwerking van uw gegevens tijdelijk te beperken.
Recht op dataportabiliteit (art. 20 AVG) — U heeft het recht om uw persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen.
Recht van bezwaar (art. 21 AVG) — U kunt bezwaar maken tegen verwerkingen die gebaseerd zijn op gerechtvaardigd belang.
Recht om toestemming in te trekken (art. 7 lid 3 AVG) — Indien de verwerking is gebaseerd op uw toestemming, kunt u deze te allen tijde intrekken zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking vóór de intrekking.

Om uw rechten uit te oefenen, stuurt u een e-mail naar info@hiradevs.com met vermelding van uw naam en het specifieke verzoek. Wij reageren binnen 30 dagen op uw verzoek, conform de wettelijke termijn.

10.1 Verwijdering van uw account en gegevens

U kunt te allen tijde verzoeken om verwijdering van uw account en alle bijbehorende persoonsgegevens. Dit kan op de volgende manieren:

Via de app: Ga naar Instellingen → Account verwijderen.
Via e-mail: Stuur een verwijderingsverzoek naar info@hiradevs.com.
Via uw werkgever: Vraag uw beheerder om uw account te deactiveren in het PlanIt-webportaal.

Na ontvangst van uw verzoek verwijderen wij uw persoonsgegevens binnen 30 dagen, met uitzondering van gegevens die wij op grond van wettelijke bewaarplichten langer moeten bewaren (zie sectie 7). In dat geval worden de gegevens na afloop van de bewaartermijn automatisch verwijderd.

11. Geautomatiseerde besluitvorming en profilering

De Dienst maakt geen gebruik van geautomatiseerde besluitvorming of profilering in de zin van artikel 22 AVG die rechtsgevolgen heeft voor u of u op vergelijkbare wijze aanmerkelijk treft. De planning wordt door menselijke beheerders opgesteld; eventuele suggesties van het systeem (zoals Smart Assignment) zijn ondersteunend en worden altijd door een mens beoordeeld.

12. Kinderen

De Dienst is niet bedoeld voor personen jonger dan 16 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen onder de 16. Indien wij ontdekken dat wij onbedoeld gegevens van een kind hebben verzameld, verwijderen wij deze onmiddellijk. Ouders of verzorgers die vermoeden dat hun kind gegevens aan ons heeft verstrekt, kunnen contact opnemen via info@hiradevs.com.

13. Wijzigingen in dit privacybeleid

Wij kunnen dit privacybeleid van tijd tot tijd bijwerken, bijvoorbeeld bij wijzigingen in de Dienst, de wetgeving of ons beleid. Bij significante wijzigingen informeren wij u via een melding in de app of per e-mail. De meest recente versie is altijd beschikbaar op deze pagina. Wij raden u aan dit beleid regelmatig te raadplegen.

14. Klacht indienen

Indien u van mening bent dat wij niet zorgvuldig omgaan met uw persoonsgegevens, horen wij dat graag. Neem allereerst contact met ons op via info@hiradevs.com, zodat wij uw klacht samen kunnen oplossen.

U heeft daarnaast altijd het recht om een klacht in te dienen bij de toezichthouder:

Toezichthouder	Autoriteit Persoonsgegevens
Website	autoriteitpersoonsgegevens.nl
Telefoon	070 - 888 85 00

15. Contact

Voor vragen, opmerkingen of verzoeken met betrekking tot dit privacybeleid of de verwerking van uw persoonsgegevens kunt u ons bereiken via:

E-mail	info@hiradevs.com
Telefoon	+31 (0)6 38 31 38 85
KvK-nummer	76380289
Website	hiradevs.com