Privacybeleid — ZZPRisico

    Laatst bijgewerkt: mei 2026 Versie: 1.3

    1. Identiteit van de verwerkingsverantwoordelijke

    ZZPRisico is een compliance-workflowplatform voor Nederlandse organisaties die werken met zzp'ers.

    Contact: contact@zzprisico.nl

    Dit Privacybeleid wordt bijgewerkt na oprichting van een rechtspersoon, zodat de geregistreerde bedrijfsgegevens daarin worden opgenomen.

    2. Reikwijdte

    Dit Privacybeleid is van toepassing op alle gebruikers van het ZZPRisico-platform en de promotionele website. Het legt uit welke persoonsgegevens worden verzameld, op welke rechtsgrondslag, hoe deze worden gebruikt, hoe lang ze worden bewaard en welke rechten u als betrokkene heeft op grond van Verordening (EU) 2016/679 (AVG).

    3. Welke gegevens wij verzamelen en waarom

    Wij verzamelen uitsluitend gegevens die strikt noodzakelijk zijn voor de complianceworkflow-functionaliteit van het platform (beginsel van dataminimalisatie, AVG Artikel 5(1)), en voor de uitvoering van een overeenkomst (AVG Artikel 6(1)).

    3.1 Bedrijfsgegevens

    Gegevens Doel
    Bedrijfsnaam Identificatie en beheer van uw organisatie binnen het platform
    KVK-nummer (Kamer van Koophandel) Verificatie van de registratie van uw organisatie

    3.2 Gebruikersaccountgegevens

    Gegevens Doel
    Volledige naam Identificatie van gebruikers binnen het platform, toewijzing in het auditlogboek
    E-mailadres Accountauthenticatie, communicatie, meldingen
    Wachtwoord Accountauthenticatie (gehasht — wordt nooit in platte tekst opgeslagen)
    Gebruikersrol Toegangscontrole binnen uw organisatie
    Tijdstempels van acceptatie van voorwaarden en privacybeleid Vastlegging van uw toestemming en acceptatie

    3.3 Gegevens van opdrachtnemers / zzp'ers

    Voor elk opdrachtnemersdossier dat door een gebruiker wordt aangemaakt, kunnen de volgende gegevens (in overeenstemming met AVG Artikel 6(1)(f)) worden ingevoerd:

    Gegevens Doel
    Volledige naam Identificatie van de opdrachtnemer binnen het dossier
    E-mailadres Contact met de opdrachtnemer voor het verzamelen van bewijsstukken
    KVK-nummer Verificatie van de bedrijfsregistratie van de opdrachtnemer
    Uurtarief Documentatie van de opdracht
    Startdatum en einddatum Vaststelling van de opdrachtperiode
    Rol / functietitel Beschrijving van de aard van de opdracht
    Afdeling Organisatorische context van de opdracht
    Status Volgen van de levenscyclus van de opdracht

    Het gerechtvaardigde belang is de noodzaak van de opdrachtgevende organisatie om de naleving van regelgeving voor zzp-opdrachten te beheren. U, als platformgebruiker, bent verantwoordelijk voor het waarborgen dat u een rechtmatige grondslag heeft om persoonsgegevens van derden in te voeren (zie Sectie 10).

    3.4 Risicobeoordelingsgegevens

    Het platform verwerkt antwoorden op gestructureerde beoordelingsvragen in drie categorieën (Werknemerschap, Zelfstandigheid en Ondernemerschap). Voor elke vraag beantwoordt de gebruiker Ja, Nee of Gedeeltelijk. Het platform berekent en slaat het volgende op:

    • Een risiconiveauclassificatie (laag, midden of hoog)
    • Een numerieke risicoscore
    • Risicofactoren (factoren die bijdragen aan de score)
    • Aanbevolen mitigaties (acties om het risico te verlagen)
    • Optionele vrije-tekstvelden

    Doel: Het genereren van risicobeoordelingen en het bijhouden van het compliance-auditlogboek. Rechtsgrondslag: Gerechtvaardigd belang (AVG Artikel 6(1)(f)).

    3.5 Bewijsdocumenten

    Gebruikers kunnen ondersteunende documenten per opdrachtnemer uploaden ter onderbouwing van hun compliancedossier.

    Bestandsspecificaties:

    • Geaccepteerde formaten: gangbare document- en afbeeldingsformaten
    • Maximale bestandsgrootte: 10 MB per bestand
    • Bestanden worden opgeslagen in privéopslag die alleen toegankelijk is voor uw organisatie

    Voor elk bewijsstuk slaat het platform tevens op: indieningsstatus, de identiteit van de beoordelaar, afwijzingsredenen (indien van toepassing) en tijdstempels van indiening/beoordeling.

    Doel: Opslaan van compliancebewijsstukken als onderdeel van de dossierworkflow. Rechtsgrondslag: Gerechtvaardigd belang (AVG Artikel 6(1)(f)).

    3.6 Gegevens van de werkafsprakenovereenkomst

    Het platform biedt standaard contractuele clausules die de Nederlandse compliance-best practices weerspiegelen. Voor elke overeenkomst legt het platform vast: welke clausules zijn geselecteerd, naam van de ondertekenaar namens het bedrijf, naam van de ondertekenaar namens de opdrachtnemer en tijdstempels van ondertekening.

    Doel: Documenteren van werkafspraken ter ondersteuning van de compliancepositie. Rechtsgrondslag: Gerechtvaardigd belang (AVG Artikel 6(1)(f)).

    3.7 Activiteitenlogboeken en audittrail

    Het platform registreert automatisch een audittrail van alle acties, waaronder:

    • Aanmaken van opdrachtnemers en statuswijzigingen
    • Starten en voltooien van beoordelingen
    • Uploaden, goedkeuren en afwijzen van bewijsstukken
    • Aanmaken en ondertekenen van overeenkomsten
    • Uitnodigingen van teamleden en rolwijzigingen
    • Genereren van exports

    Elke logvermelding registreert: het actietype, de naam van de uitvoerder, een tijdstempel en contextuele metadata.

    Doel: Platformbeveiliging, verantwoording en het bijhouden van een compliance-audittrail. Rechtsgrondslag: Gerechtvaardigd belang (AVG Artikel 6(1)(f)).

    3.8 Exports

    Gebruikers kunnen dossierexportpakketten genereren die een PDF-compliancerapport en alle geüploade bewijsdocumenten bevatten.

    Doel: Het leveren van audit-klare documentatie. Rechtsgrondslag: Uitvoering van een overeenkomst (AVG Artikel 6(1)(b)).

    3.9 Teamuitnodigingen en meldingen

    • Uitnodigingsgegevens: e-mailadres, bedrijfsnaam, acceptatiestatus en tijdstempels
    • In-app-meldingen: type workflowevenement, titel, bericht, leesstatus en tijdstempel

    Doel: Onboarding van het team en coördinatie van de workflow. Rechtsgrondslag: Uitvoering van een overeenkomst (AVG Artikel 6(1)(b)).

    3.10 Technische gegevens

    • IP-adressen (alleen in serverlogboeken)
    • Browsertype en sessietijdstempels
    • Authenticatietokens (gebruikt voor sessiebeheer)

    Doel: Platformbeveiliging en authenticatie. Rechtsgrondslag: Gerechtvaardigd belang (AVG Artikel 6(1)(f)).

    3.11 Analyse- en gebruiksgegevens

    Wij maken gebruik van PostHog, een product-analyseplatform, om inzicht te krijgen in het gebruik van het platform en het te verbeteren. Dit omvat:

    • Bezochte pagina's en navigatiepaden
    • Functie-interacties (bijv. het aanmaken van een dossier, het voltooien van een beoordeling)
    • Sessieopnames (schermactiviteit tijdens uw sessie, waarbij wachtwoorden worden gemaskeerd)
    • Browsertype, apparaattype en globale locatie (land/regio)
    • Foutmeldingen en uitzonderingen

    PostHog is geconfigureerd om gebruik te maken van EU-infrastructuur (Frankfurt, Duitsland). Er worden geen analysegegevens buiten de EER overgedragen.

    Doel: Productontwikkeling, foutopsporing en inzicht in gebruikersgedrag. Rechtsgrondslag: Gerechtvaardigd belang (AVG Artikel 6(1)(f)).

    4. Gegevens die wij niet verzamelen

    Wij verzamelen geen:

    • Betalings- of financiële gegevens
    • Bijzondere categorieën van persoonsgegevens (AVG Artikel 9)
    • Gegevens van minderjarigen
    • Advertentieprofielen of gegevens die aan derden worden verkocht

    5. Verwerkers

    Alle platformgegevens worden opgeslagen en verwerkt met behulp van de volgende externe dienstverleners, die elk optreden als verwerker:

    Dienstverlener Dienst Locatie Rol
    Supabase Database en bestandsopslag EU (Frankfurt, Duitsland) Slaat alle gebruikersgegevens, opdrachtnemersdossiers, bewijsdocumenten en beoordelingsresultaten op. Treedt op als verwerker op basis van een ondertekende verwerkersovereenkomst (DPA) in overeenstemming met AVG Artikel 28.
    Railway Back-end API-hosting EU Host de applicatielogica en API. Verwerkt gebruikersverzoeken en communiceert met de database. Slaat geen gegevens op voor de lange termijn. Alle gegevens in transit zijn versleuteld.
    Netlify Front-end hosting VS Host uitsluitend de statische webinterface. Netlify verwerkt of bewaart geen gebruikersgegevens anders dan noodzakelijk voor het leveren van de webpagina's. Er gaan geen persoonsgegevens of documenten via Netlify.
    PostHog Productanalyse en sessieopname EU (Frankfurt, Duitsland) Verzamelt geanonimiseerde gebruiksgebeurtenissen, paginaweergaven, functie-interacties en sessieopnames om ons te helpen het platform te verbeteren. Wachtwoorden en gevoelige formuliervelden worden gemaskeerd. PostHog is geconfigureerd om alle gegevens binnen de EER op te slaan.

    Belangrijke garanties:

    • Alle gebruikersgegevens (database en bestanden) worden door Supabase gehost in de EU. Gegevens verlaten de Europese Economische Ruimte niet.
    • Een Transfer Impact Assessment (TIA) is verkregen van Supabase, ter bevestiging van de rechtsgrondslag voor gegevensopslag binnen de EER.
    • De privacydocumentatie van Supabase is beschikbaar op: supabase.com/privacy
    • Een kopie van de verwerkersovereenkomst (DPA) met Supabase is op verzoek beschikbaar. Neem contact met ons op via contact@zzprisico.nl.

    6. Delen van gegevens

    Wij verkopen, verhuren of delen uw persoonsgegevens niet met derden voor commerciële doeleinden.

    Gegevens kunnen in de volgende beperkte omstandigheden worden verstrekt:

    • Aan Supabase, Railway, Netlify en PostHog als verwerkers (zie Sectie 5)
    • Indien vereist door Nederlands of EU-recht, gerechtelijk bevel of bevoegde autoriteit
    • Met uw uitdrukkelijke toestemming

    7. Bewaartermijnen

    Gegevenscategorie Bewaartermijn
    Accountgegevens (gebruikersprofiel, bedrijf) Tot verwijdering van het account, daarna definitief verwijderd binnen 30 dagen
    Opdrachtnemer- en beoordelingsgegevens Tot verwijdering van het account of dossier, daarna definitief verwijderd binnen 30 dagen
    Bewijsdocumenten (geüploade bestanden) Tot handmatige verwijdering of verwijdering van het account, daarna definitief verwijderd binnen 30 dagen
    Werkafsprakenovereenkomsten Tot verwijdering van het account of dossier, daarna definitief verwijderd binnen 30 dagen
    Activiteitenlogboeken (audittrail) Bewaard gedurende de duur van de pilot, verwijderd samen met alle andere gegevens aan het einde van de bewaartermijn
    Teamuitnodigingen Tot acceptatie of verwijdering van het account
    Meldingen Tot gelezen of verwijdering van het account
    Technische logboeken (server-side) 90 dagen doorlopend

    Pilotspecifieke bewaring: Tijdens de pilotfase worden alle gegevens definitief verwijderd binnen 30 dagen na het einde van de pilotperiode, tenzij u bent overgestapt naar een post-pilot-account op basis van een afzonderlijke overeenkomst.

    U kunt op elk moment verzoeken om onmiddellijke verwijdering van al uw gegevens door contact op te nemen via contact@zzprisico.nl.

    8. Beveiligingsmaatregelen

    Wij implementeren technische en organisatorische maatregelen om uw gegevens te beschermen, waaronder:

    • Versleuteling in transit voor alle gegevens tussen de browser, API-server en database
    • Versleuteling in rust voor opgeslagen gegevens en bestanden
    • Veilige authenticatie met sessieverloop
    • Wachtwoord-hashing (wachtwoorden worden nooit in platte tekst opgeslagen)
    • Multi-tenant gegevensisolatie waardoor de gegevens van uw organisatie strikt gescheiden blijven van die van andere deelnemers
    • Privébestandsopslag uitsluitend toegankelijk voor geauthenticeerde gebruikers binnen uw organisatie
    • Rolgebaseerde toegangscontrole binnen organisaties

    Hoewel wij passende beveiligingsmaatregelen implementeren, claimen wij in dit stadium geen enterprise-grade beveiligingscertificering. Upload geen gegevens waarvan openbaarmaking ernstige schade zou veroorzaken.

    9. Uw rechten onder de AVG

    Als betrokkene heeft u de volgende rechten, die u kunt uitoefenen door contact op te nemen via contact@zzprisico.nl:

    • Recht op inzage (Artikel 15): Een kopie opvragen van de persoonsgegevens die wij over u bewaren
    • Recht op rectificatie (Artikel 16): Onjuiste of onvolledige gegevens corrigeren
    • Recht op wissing (Artikel 17): Verzoeken om verwijdering van uw gegevens ("recht om vergeten te worden")
    • Recht op beperking van de verwerking (Artikel 18): Verzoeken om de verwerking van uw gegevens te beperken
    • Recht op overdraagbaarheid van gegevens (Artikel 20): Uw gegevens ontvangen in een gestructureerd, machineleesbaar formaat
    • Recht van bezwaar (Artikel 21): Bezwaar maken tegen verwerking op basis van gerechtvaardigd belang

    Wij reageren op alle verzoeken binnen 30 dagen. Indien u niet tevreden bent met onze reactie, heeft u het recht een klacht in te dienen bij de Nederlandse toezichthouder:

    Autoriteit Persoonsgegevens autoriteitpersoonsgegevens.nl Telefoon: +31 70 888 8500

    10. Uw verantwoordelijkheden als platformgebruiker

    Wanneer u persoonsgegevens van derden invoert (zoals namen, e-mailadressen en KVK-nummers van opdrachtnemers) in ZZPRisico, treedt u op als zelfstandig verwerkingsverantwoordelijke voor die gegevens. U bent verantwoordelijk voor:

    • Het waarborgen dat u een rechtmatige grondslag onder de AVG heeft om die gegevens te verwerken
    • Het informeren van de betreffende betrokkenen (uw opdrachtnemers) dat hun gegevens worden verwerkt via het ZZPRisico-platform
    • Het naleven van de toepasselijke gegevensbeschermingswetgeving bij uw gebruik van het platform

    ZZPRisico biedt de technische infrastructuur, maar neemt geen verwerkingsverantwoordelijkheid op zich voor gegevens die u over derden invoert.

    11. Cookies

    Het ZZPRisico-platform gebruikt technisch noodzakelijke sessiecookies voor authenticatiedoeleinden. Daarnaast gebruiken wij Google Analytics (Google Ireland Limited) om geanonimiseerde gebruiksstatistieken te verzamelen, zoals paginaweergaven en sessieduur. Google Analytics maakt gebruik van cookies die pas worden geplaatst nadat u hiervoor toestemming hebt gegeven via onze cookiebanner, in overeenstemming met de Nederlandse Telecommunicatiewet. U kunt uw toestemming op elk moment intrekken door uw cookies te verwijderen. Er worden geen advertentiecookies gebruikt.

    12. Wijzigingen in dit beleid

    Dit Privacybeleid kan worden bijgewerkt om wijzigingen in het platform, wettelijke vereisten of onze organisatiestructuur (inclusief oprichting van een rechtspersoon) weer te geven. Wezenlijke wijzigingen worden ten minste 14 dagen voordat ze van kracht worden per e-mail medegedeeld aan geregistreerde gebruikers. De datum van de laatste herziening staat bovenaan dit document vermeld.

    13. Contact

    Voor vragen, verzoeken of klachten met betrekking tot dit Privacybeleid:

    E-mail: contact@zzprisico.nl Reactietijd: Binnen 30 dagen