WBSO Desk B.V. is een Nederlandse besloten vennootschap, ingeschreven in het Handelsregister van de Kamer van Koophandel. Wij bieden een SaaS-platform aan waarmee ondernemers zelfstandig hun WBSO-aanvragen kunnen opstellen, beheren en indienen bij de Rijksdienst voor Ondernemend Nederland (RVO).
WBSO Desk treedt op in twee hoedanigheden ten aanzien van persoonsgegevens. Voor de verwerking van accountgegevens, facturatiegegevens en gebruiksstatistieken is WBSO Desk verwerkingsverantwoordelijke in de zin van de AVG: wij bepalen het doel en de middelen van die verwerking, en deze privacyverklaring is daarop van toepassing. Voor de persoonsgegevens die u invoert als onderdeel van uw WBSO-dossiers en projectinhoud treedt WBSO Desk op als verwerkerin opdracht van u als verwerkingsverantwoordelijke. Die verwerking valt onder de Verwerkersovereenkomst die onderdeel uitmaakt van de Algemene Voorwaarden. De inhoud van uw dossiers valt daarmee buiten de reikwijdte van deze privacyverklaring.
Artikel 2. Welke gegevens verwerken wij
Art. 13 lid 1 sub c AVG
Wij verwerken uitsluitend gegevens die noodzakelijk zijn voor de in artikel 3 omschreven doeleinden. Onderstaande tabel geeft een volledig overzicht per categorie.
Categorie
Voorbeelden
Accountgegevens
E-mailadres, eenmalige inlogcode per e-mail (OTP, niet opgeslagen), SSO-identifier (Microsoft/Google, optioneel), naam, functietitel, telefoonnummer (optioneel)
Ingelogde tijdregistraties per medewerker, rol (S&O-medewerker of niet), FTE-gegevens
Financiële gegevens
Abonnementskeuze, factuuradres, betaalhistorie (via Stripe. Geen rauwe betaalkaartdata)
Technische gegevens
IP-adres, browser-user-agent, sessie-tokens, tijdstempels van inlogpogingen
Communicatiegegevens
E-mailberichten via ons contactformulier, supportverzoeken
BSN hard-block. WBSO Desk detecteert automatisch Burgerservicenummers (BSN) in alle invoer. Bij herkenning wordt de verwerking onmiddellijk geblokkeerd en de gebruiker gewaarschuwd. BSN-nummers worden nooit opgeslagen of doorgegeven.
Artikel 3. Grondslagen en doeleinden
Art. 6 AVG: rechtmatige grondslag voor elke verwerking
Wij verwerken persoonsgegevens uitsluitend indien daarvoor een rechtmatige grondslag bestaat in de zin van art. 6 AVG. Wij onderscheiden de volgende verwerkingen:
Uitvoering van de overeenkomst
Art. 6 lid 1 sub b AVG
•Aanmaken en beheren van uw account en organisatieprofiel, inclusief authenticatie via SSO-providers (Microsoft, Google).
•Opslaan en verwerken van WBSO-projectgegevens en urenadministratie.
•Genereren van RVO-conforme aanvraagteksten via het AI-systeem.
•Versturen van transactionele e-mails (accountbevestiging, inlogcodes, facturen).
•Verwerken van betalingen via onze betalingsdienstverlener Stripe.
Gerechtvaardigd belang
Art. 6 lid 1 sub f AVG
•Fraudedetectie en misbruikpreventie (analyse van ongewone inlogpatronen).
•Platformbeveiliging: logging van authenticatiepogingen voor incident response.
•Interne productontwikkeling op basis van geanonimiseerde gebruiksstatistieken.
Wettelijke verplichting
Art. 6 lid 1 sub c AVG
•Bewaren van factuur- en betalingsgegevens conform de fiscale bewaarplicht (7 jaar, art. 52 AWR).
•Verstrekking van gegevens aan bevoegde autoriteiten op grond van een wettelijk bevel.
Toestemming
Art. 6 lid 1 sub a AVG
•Verzenden van nieuwsbrieven of productnieuws. Uitsluitend indien u daarvoor expliciet toestemming heeft gegeven. U kunt deze toestemming te allen tijde intrekken via de afmeldlink in elke e-mail of via privacy@wbsodesk.nl.
Artikel 4. Ontvangers en sub-verwerkers
Art. 13 lid 1 sub e en art. 28 AVG
Wij delen uw gegevens uitsluitend met derden voor zover dat noodzakelijk is voor de dienstverlening of wettelijk verplicht. Met alle sub-verwerkers hebben wij een verwerkersovereenkomst gesloten die voldoet aan art. 28 AVG. Wij verkopen uw gegevens nooit aan derden.
Sub-verwerker
Rol
Locatie
Gegevens
Supabase (Frankfurt, fra1)
Databaseopslag en authenticatie
EU (Duitsland)
Alle platformgegevens
Microsoft Corporation (Microsoft Entra ID)
SSO-authenticatie (optioneel, alleen bij gebruik Microsoft-login)
EER (EU Data Boundary). SCCs van toepassing conform Microsoft DPA
Wij verstrekken gegevens aan de Belastingdienst, de Autoriteit Persoonsgegevens of andere bevoegde autoriteiten uitsluitend indien wij daartoe wettelijk verplicht zijn of een rechterlijk bevel ontvangen.
Artikel 5. Doorgifte buiten de EER
Art. 44–49 AVG
Wij verwerken uw persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER). Alle in artikel 4 genoemde sub-verwerkers zijn geconfigureerd op EU-regio's.
Voor SSO-authenticatie via Microsoft of Google geldt: Microsoft verwerkt identiteitsdata uitsluitend binnen de EU Data Boundary. Google Identity Services verwerkt OAuth-authenticatiegegevens wereldwijd (inclusief VS). In beide gevallen zijn door de Europese Commissie goedgekeurde standaardcontractbepalingen (SCCs, art. 46 lid 2 sub c AVG) van toepassing conform de respectieve DPA's van Microsoft en Google. SSO-gebruik is uitsluitend optioneel: kiest u voor inloggen met kiest u voor inloggen met e-mailadres en OTP-code, dan vindt er geen gegevensdoorgifte naar Microsoft of Google plaats.
EER-verwerking als uitgangspunt
•Supabase: regio fra1 (Frankfurt, Duitsland)
•AWS Bedrock: regio eu-central-1 (Frankfurt, Duitsland)
•Vercel: EU-regio verplicht geconfigureerd in projectinstellingen
•Stripe: verwerking via Stripe Payments Europe Ltd. (Ierland)
•Microsoft Entra ID: EU Data Boundary, SCCs van toepassing (alleen bij SSO-gebruik)
•Google Identity Services: VS/wereldwijd, SCCs van toepassing (alleen bij SSO-gebruik)
Mochten wij in de toekomst een sub-verwerker inschakelen die gegevens buiten de EER verwerkt, dan zullen wij dit uitsluitend doen op basis van door de Europese Commissie goedgekeurde standaardcontractbepalingen (SCC's, art. 46 lid 2 sub c AVG) en u hierover vooraf informeren via een update van deze verklaring.
Artikel 6. Bewaartermijnen
Art. 5 lid 1 sub e AVG: opslagbeperking
Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor zij zijn verzameld, of zo lang als wettelijk vereist. Onderstaande termijnen gelden als uitgangspunt.
Gegevenstype
Bewaartermijn
Grondslag
Accountgegevens
Tot 30 dagen na opzegging abonnement, daarna harde verwijdering
Contractuele noodzaak
WBSO-projectgegevens en urenadministratie (actieve werkruimte)
Tot 30 dagen na opzegging, daarna harde verwijdering
Contractuele noodzaak
WBSO-dossiers in de Documentenkluis (afgerond)
7 jaar vanaf datum van indiening bij de RVO, of bij ontbreken daarvan 7 jaar na aanmaken van het dossier
Beheerd door Supabase (sub-verwerker) conform hun retentiebeleid. WBSO Desk slaat geen aparte IP- of sessielogs op in eigen databases.
Gerechtvaardigd belang (beveiliging)
AI-gebruiksgegevens (Fair Use teller)
Maximaal 30 dagen, daarna automatisch verwijderd
Gerechtvaardigd belang (misbruikpreventie)
Communicatiegegevens (support)
2 jaar na afsluiting van het verzoek
Gerechtvaardigd belang
Nieuwsbrief-abonnement
Tot intrekking toestemming + 30 dagen
Toestemming (art. 6 lid 1 sub a AVG)
Soft-delete procedure. Bij opzegging worden gegevens eerst 30 dagen in een soft-deleted staat gehouden zodat u uw account eventueel kunt heractiveren. Na 30 dagen vindt automatische harde verwijdering plaats uit alle systemen, inclusief back-ups die ouder zijn dan de rotatietermijn van 30 dagen. Dit is tevens de invulling van uw recht op vergetelheid conform art. 17 AVG.
Artikel 7. Uw rechten
Art. 15–22 AVG
U heeft als betrokkene de volgende rechten. U kunt deze uitoefenen door een verzoek te sturen naar privacy@wbsodesk.nl. Wij reageren binnen 30 dagen (art. 12 lid 3 AVG). Bij complexe of meervoudige verzoeken kunnen wij deze termijn met maximaal twee maanden verlengen, mits wij u hierover binnen de eerste 30 dagen informeren.
Recht op inzage
Art. 15 AVG
U heeft het recht te weten welke persoonsgegevens wij van u verwerken, voor welk doel, hoe lang wij ze bewaren en aan wie wij ze verstrekken. U kunt via uw accountinstellingen direct een overzicht downloaden van uw eigen gegevens.
Recht op rectificatie
Art. 16 AVG
U heeft het recht onjuiste of onvolledige persoonsgegevens te laten corrigeren. De meeste accountgegevens kunt u zelf aanpassen in uw profiel.
Recht op vergetelheid
Art. 17 AVG
U heeft het recht uw account en alle bijbehorende gegevens te laten verwijderen. Na opzegging worden gegevens na 30 dagen hard verwijderd uit alle systemen. Fiscaal verplichte gegevens (facturen) worden bewaard conform de AWR-termijn van 7 jaar.
Recht op beperking van verwerking
Art. 18 AVG
U kunt verzoeken de verwerking van uw gegevens te beperken, bijvoorbeeld terwijl een bezwaar in behandeling is. Wij verwerken de gegevens dan uitsluitend voor opslag.
Recht op gegevensoverdraagbaarheid
Art. 20 AVG
U heeft het recht uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat (JSON of CSV) te ontvangen, zodat u ze kunt overdragen aan een andere dienstverlener. Exportfunctie beschikbaar via uw accountinstellingen.
Recht van bezwaar
Art. 21 AVG
U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang (art. 6 lid 1 sub f AVG). Wij staken de verwerking tenzij wij dwingende gerechtvaardigde gronden aanvoeren die zwaarder wegen dan uw belangen.
Recht op menselijke tussenkomst bij geautomatiseerde besluitvorming
Art. 22 AVG
WBSO Desk neemt geen geautomatiseerde besluiten met rechtsgevolgen op basis van persoonsgegevens. De AI-functionaliteit genereert uitsluitend teksten ter ondersteuning. De eindverantwoordelijkheid ligt altijd bij u als gebruiker.
Identiteitsverificatie. Om misbruik te voorkomen vragen wij u bij een verzoek uw identiteit te bevestigen. Dit doen wij door te verifiëren dat het verzoek afkomstig is van het e-mailadres dat aan uw account is gekoppeld. Wij vragen nooit een kopie van uw identiteitsbewijs tenzij wij daartoe wettelijk verplicht zijn.
Artikel 8. Cookies
Art. 5 lid 3 ePrivacy-richtlijn (Cookiewet)
WBSO Desk gebruikt uitsluitend functioneel noodzakelijke cookies. Wij plaatsen geen tracking-, advertentie- of analytische cookies van derden zonder uw toestemming.
Cookie
Doel
Bewaartermijn
Type
sb-access-token
Supabase sessie-authenticatie
Sessie
Strikt noodzakelijk
sb-refresh-token
Verlenging van de Supabase sessie
7 dagen
Strikt noodzakelijk
__vercel_live_feedback
Vercel preview-omgeving (alleen intern)
Sessie
Strikt noodzakelijk
ms-cv / MUID (Microsoft)
SSO-sessiebeheer bij Microsoft-login (optioneel). Wordt uitsluitend geplaatst indien u kiest voor inloggen via Microsoft.
Sessie
Strikt noodzakelijk (bij SSO-gebruik)
G_AUTHUSER_H / GAPS (Google)
SSO-sessiebeheer bij Google-login (optioneel). Wordt uitsluitend geplaatst indien u kiest voor inloggen via Google.
Sessie
Strikt noodzakelijk (bij SSO-gebruik)
Strikt noodzakelijke cookies vereisen geen toestemming (art. 5 lid 3 ePrivacy-richtlijn). Mochten wij in de toekomst analytische cookies plaatsen, dan vragen wij vooraf uw expliciete toestemming via een cookiebanner.
Artikel 9. Beveiliging
Art. 32 AVG: passende technische en organisatorische maatregelen
Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beveiligen tegen ongeoorloofde toegang, verlies of vernietiging. Onze maatregelen omvatten onder meer:
Versleuteling in transit en at rest
Alle verbindingen zijn beveiligd met TLS 1.2+. Databaseopslag is versleuteld at rest via Supabase AES-256.
Tweefactorauthenticatie (AAL2)
Editors zijn verplicht TOTP-gebaseerde 2FA in te schakelen. Dit is het hoogste authenticatieniveau conform NIST SP 800-63B.
Row Level Security
Elke databasequery is gefilterd op tenant-niveau via Supabase RLS. Technisch is het onmogelijk data van andere tenants te lezen.
PII-anonimisering voor AI
Persoonsgegevens worden geanonimiseerd vóór verzending naar AWS Bedrock. PII wordt nooit opgeslagen in AI-logs of prompthistorie.
Minimale toegangsrechten
Medewerkers hebben uitsluitend toegang tot gegevens die noodzakelijk zijn voor hun functie (need-to-know principe).
Datalekprocedure
Bij een datalek melden wij dit binnen 72 uur bij de Autoriteit Persoonsgegevens (art. 33 AVG) en informeren wij betrokkenen indien vereist (art. 34 AVG).
Meer informatie over onze beveiligingsarchitectuur vindt u op de beveiligingspagina.
Artikel 10. Wijzigingen
Art. 13 lid 2 AVG
Wij behouden het recht deze privacyverklaring te wijzigen. De actuele versie is altijd beschikbaar op www.wbsodesk.nl/privacy. De datum bovenaan de verklaring geeft aan wanneer de laatste wijziging heeft plaatsgevonden.
Bij materiële wijzigingen, dat wil zeggen wijzigingen die uw rechten of de verwerking van uw gegevens wezenlijk raken, informeren wij u ten minste 30 dagen van tevoren per e-mail. U heeft in dat geval het recht uw account op te zeggen zonder verdere kosten.
Niet-materiële wijzigingen (bijvoorbeeld correcties van taalfouten of verduidelijkingen zonder inhoudelijke gevolgen) worden zonder voorafgaande kennisgeving doorgevoerd.
Artikel 11. Toezichthouder en klachten
Art. 13 lid 2 sub d en art. 77 AVG
Indien u van mening bent dat wij uw persoonsgegevens niet conform de AVG verwerken, verzoeken wij u eerst contact met ons op te nemen via privacy@wbsodesk.nl. Wij lossen uw klacht zo snel mogelijk op.
U heeft echter te allen tijde het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit. In Nederland is dat de Autoriteit Persoonsgegevens (AP):
Reactietermijn: binnen 30 dagen conform art. 12 lid 3 AVG.
Functionaris voor Gegevensbescherming (FG)
WBSO Desk B.V. is op dit moment niet wettelijk verplicht een Functionaris voor Gegevensbescherming (FG/DPO) aan te wijzen (art. 37 AVG). Privacyvragen worden behandeld door de directie. Zodra wij op grond van art. 37 AVG verplicht zijn een FG aan te wijzen, of dit vrijwillig doen, wordt de FG-contactinformatie in deze verklaring opgenomen en gemeld bij de Autoriteit Persoonsgegevens.
Slotbepaling
Deze privacyverklaring is opgesteld in overeenstemming met Verordening (EU) 2016/679 (AVG) en de Uitvoeringswet AVG (UAVG). Op deze verklaring en alle geschillen die daaruit voortvloeien is Nederlands recht van toepassing. De bevoegde rechter is de rechtbank van het arrondissement waar WBSO Desk B.V. is gevestigd.