Ga naar de hoofdinhoud

PRIVACYBELEID

1. VERWERKINGSVERANTWOORDELIJKE

KINMU DIGITAL S.L., een vennootschap opgericht naar Spaans recht, met maatschappelijke zetel te Calle Teide, 4, 28703 Madrid, Spanje, en CIF B24996803, treedt op als verwerkingsverantwoordelijke voor persoonsgegevens overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens, en de Organieke Wet 3/2018 van 5 december inzake bescherming van persoonsgegevens en waarborging van digitale rechten. Voor het uitoefenen van rechten inzake gegevensbescherming kunt u contact opnemen met de DPO van Kinmu via dpo@kinmu.app.

2. AARD VAN DE VERWERKING EN GEGEVENSCATEGORIEEN

Kinmu verwerkt persoonsgegevens die voortvloeien uit toegang tot en gebruik van het Kinmu-platform (https://kinmu.app) en de bijbehorende mobiele applicaties. De verwerking wordt uitgevoerd voor de volgende specifieke doeleinden: (i) het aanbieden van functies voor tijdregistratie en aanwezigheid; (ii) het beheren van aanvragen voor afwezigheid, verlof en rust; (iii) het onderhouden van informatie over team, afdeling en organisatiestructuur; (iv) het genereren van rapporten over aanwezigheid en roosters; (v) het bieden van ondersteuning via een AI-chat; (vi) het naleven van wettelijke verplichtingen inzake registratie van werktijd volgens Spaanse arbeidswetgeving; (vii) het detecteren en voorkomen van fraude, vervalsing of frauduleus gedrag bij aanwezigheidscontrole; (viii) het waarborgen van de beveiliging en technische beschikbaarheid van de platform; (ix) communiceren met gebruikers over hun account, beleidswijzigingen, service-updates of technische ondersteuning; (x) analyseren van gebruikstrends en technische werking uitsluitend in geanonimiseerde vorm.

De verwerkte persoonsgegevens omvatten: volledige naam, e-mailadres, werknemersnummer toegekend door het klantbedrijf, in- en uitregistraties (datum, tijd, apparaat waarop is ingecheckt), afwezigheidshistorie en type (ziekte, verlof, vakantie, enz.), wekelijkse rustdagen, contractueel rooster, afdeling en toegewezen team, profielfoto indien verstrekt door de gebruiker, contactinformatie (optioneel telefoonnummer) en technische sessiegegevens (geanonimiseerd IP-adres, browser, apparaat, toegangstijdstempel).

Als de gebruiker kiest voor specifieke functionaliteiten, worden ook verwerkt: inhoud van gesprekken met de AI-chat, validatiegegevens via QR-code of biometrie (gezichtsherkenning) indien die functionaliteit is geïmplementeerd, en locatiegegevens alleen indien de gebruiker expliciet toestemming geeft voor geolokaliseerd inchecken.

Kinmu verzamelt, vraagt of verwerkt niet: exacte GPS-coordinaten van het apparaat tenzij het klantbedrijf expliciet de geolokaliseerde aanwezigheidscontrole activeert; browsegeschiedenis buiten het platform; communicaties of gegevens van derden zonder toestemming; biometrische gegevens zoals vingerafdrukken of iris-herkenning tenzij optionele gezichtsherkenning is geactiveerd; gezondheidsgegevens, genetische gegevens of gegevens waaruit etnische afkomst, politieke opvattingen, religieuze overtuigingen, vakbondslidmaatschap of seksueel leven van de gebruiker blijkt.

3. RECHTSGROND VOOR VERWERKING

De verwerking van persoonsgegevens door Kinmu is gebaseerd op de volgende rechtsgronden overeenkomstig artikelen 6 en 9 van Verordening (EU) 2016/679:

Artikel 6.1.a) - Toestemming: Kinmu verwerkt in- en uitregistratiegegevens, afwezigheidshistorie en afdelingsgegevens op basis van expliciete toestemming van de gebruiker bij het aanmaken van het account en acceptatie van deze Voorwaarden en het Privacybeleid. De gebruiker kan deze toestemming te allen tijde intrekken door contact op te nemen met dpo@kinmu.app, waarbij de intrekking effectief is vanaf dat verzoek en de rechtmatigheid van eerdere verwerking onaangetast blijft.

Artikel 6.1.c) - Naleving van een wettelijke verplichting: Kinmu verwerkt gegevens om te voldoen aan verplichtingen voortvloeiend uit de Wet op het Statuut van de Werknemer, Koninklijk Besluit 1619/2012 inzake registratie van werktijd, sociale zekerheidsregelgeving en andere verplichtingen met betrekking tot werktijdregistratie die op Spaanse ondernemingen rusten. Deze verwerkingen zijn wettelijk verplicht en kunnen niet worden ingetrokken zonder de wettelijke verplichtingen van het klantbedrijf te schenden.

Artikel 6.1.f) - Gerechtvaardigd belang: Kinmu verwerkt gegevens voor fraudedetectie in aanwezigheidscontrole, detectie van vervalste roosterregistraties, onderzoek naar mogelijk frauduleus gedrag, technische beveiliging van het platform tegen cyberaanvallen, technische verbetering van beschikbaarheid en werking van het platform in geanonimiseerde vorm, en naleving van de juridische rechten van Kinmu in administratieve of gerechtelijke procedures. Deze verwerkingen zijn gebaseerd op een overwegend gerechtvaardigd belang, waarbij de gebruiker is geïnformeerd en het recht heeft bezwaar te maken.

Artikel 9 - Bijzondere gegevens: In het uitzonderlijke geval dat de gebruiker gezondheidsgegevens verstrekt (bijvoorbeeld ter rechtvaardiging van een medische afwezigheid), verwerkt Kinmu deze uitsluitend met aparte expliciete toestemming en uitsluitend voor doeleinden van afwezigheidsbeheer van het klantbedrijf, en niet voor andere doeleinden.

4. SUBVERWERKERS EN INTERNATIONALE DOORGIFTEN

4.1 Algemene toestemming voor het gebruik van subverwerkers

De gebruiker machtigt Kinmu uitdrukkelijk om subverwerkers aan te stellen voor het leveren van specifieke diensten, overeenkomstig artikel 28 van Verordening (EU) 2016/679 (AVG).

Kinmu verklaart due diligence te hebben uitgevoerd bij de selectie van de hieronder vermelde subverwerkers, en heeft geverifieerd dat zij voldoende garanties bieden om passende technische en organisatorische maatregelen toe te passen zodat de verwerking in overeenstemming is met de AVG.

De gebruiker erkent en accepteert dat:

  • Het gebruik van subverwerkers noodzakelijk is voor het leveren van de dienst.
  • Kinmu de bijbehorende verwerkersovereenkomsten (DPA) met elke subverwerker heeft ondertekend of aangenomen.
  • Subverwerkers verantwoordelijk zijn voor naleving van hun eigen verplichtingen inzake gegevensbescherming.

4.2 Huidige lijst van subverwerkers

Subverwerker Functie Serverlocatie Internationale doorgiften
DigitalOcean, LLC Hosting en cloudinfrastructuur Frankfurt, Duitsland (EU) Niet van toepassing
Mistral AI Conversationele assistent (AI-chat) Parijs, Frankrijk (EU) Niet van toepassing
Anthropic PBC Bedrijfsbeleid generatie met AI Verenigde Staten SCC + DPF
Resend, Inc. Transactionele e-mailbezorging Europese Unie Niet van toepassing
Stripe Payments Europe, Ltd. Betalingsverwerking Ierland (EU) Niet van toepassing
PostHog, Inc. Productgebruik analyse Frankfurt, Duitsland (EU) Niet van toepassing

4.3 Details over subverwerkers

DigitalOcean, LLC

Mistral AI

  • Bedrijfsnaam: Mistral AI
  • Adres: 15 rue des Halles, 75001 Parijs, Frankrijk
  • Functie: leverancier van het AI-model voor de Kinmu conversationele assistent. Verwerkt chatgesprekken om contextuele antwoorden te genereren over roosters, afwezigheden en gebruikersvragen.
  • Server: Parijs, Frankrijk (EU)
  • Verwerkte gegevens: inhoud van gesprekken met de AI-assistent.
  • Garanties: DPA conform de AVG. Mistral AI verbindt zich contractueel om gebruikersgegevens niet te gebruiken voor modeltraining. Gegevens blijven in de Europese Unie en worden niet overgedragen aan derde landen.
  • Privacy Policy: https://mistral.ai/terms/

Anthropic PBC

  • Bedrijfsnaam: Anthropic PBC
  • Adres: 548 Market St, San Francisco, CA 94104, Verenigde Staten
  • Functie: leverancier van het Claude AI-model, uitsluitend gebruikt voor het configureren van bedrijfsbeleid via natuurlijke taal. Verwerkt instructies van beheerders om arbeidsbeleidconfiguraties te genereren.
  • Server: Verenigde Staten
  • Verwerkte gegevens: instructies voor beleidsconfiguratie geleverd door beheerders. Persoonsgegevens van gebruikers worden niet verwerkt via deze dienst.
  • Garanties: standaardcontractuele clausules (SCC) van de Europese Commissie; certificering onder het EU-VS Data Privacy Framework (DPF). Anthropic verbindt zich contractueel om gegevens niet te gebruiken voor modeltraining.
  • Privacy Policy: https://www.anthropic.com/privacy

Resend, Inc.

  • Bedrijfsnaam: Resend, Inc.
  • Adres: 2261 Market Street #4324, San Francisco, CA 94114, Verenigde Staten
  • Functie: verzending van transactionele e-mails inclusief registratiebevestiging, wachtwoordherstel, wijzigingsnotificaties en administratieve mededelingen.
  • Server: Europese Unie
  • Verwerkte gegevens: e-mailadres en naam van de ontvanger.
  • Garanties: DPA conform de AVG; infrastructuur gehost in de EU.
  • Privacy Policy: https://resend.com/legal/privacy-policy

Stripe Payments Europe, Ltd.

  • Bedrijfsnaam: Stripe Payments Europe, Limited
  • Adres: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ierland
  • Functie: veilige verwerking van kaartbetalingen en abonnementsbeheer.
  • Server: Ierland (EU)
  • Verwerkte gegevens: factureringsgegevens en betaalmethode.
  • Garanties: DPA conform de AVG; PCI-DSS Level 1-certificering; SOC 2 Type II. Kinmu slaat volledige creditcardgegevens niet op, verwerkt deze niet en heeft er geen toegang toe; Stripe is de enige verantwoordelijke voor dergelijke gevoelige gegevens.
  • Privacy Policy: https://stripe.com/es/privacy
  • Sub-processor list: https://stripe.com/es/legal/service-providers

PostHog, Inc.

  • Bedrijfsnaam: PostHog, Inc.
  • Adres: 2261 Market Street #4008, San Francisco, CA 94114, Verenigde Staten
  • Functie: analyse van productgebruik om de gebruikerservaring te verbeteren.
  • Server: Frankfurt, Duitsland (EU)
  • Verwerkte gegevens: geanonimiseerde browsegegevens, gebruiksgebeurtenissen van het platform. PostHog is geconfigureerd om geen identificeerbare persoonsgegevens te verzamelen.
  • Garanties: DPA conform de AVG; EU-cloudinfrastructuur gehost in Duitsland; SOC 2 Type II.
  • Privacy Policy: https://posthog.com/privacy

Meetproviders van de openbare website

De openbare marketingwebsite kan, afhankelijk van cookietoestemming, ook Google Tag Manager en Google Analytics 4 (Google), Meta Pixel en, indien in de toekomst geconfigureerd, TikTok Pixel gebruiken. Deze providers worden alleen gebruikt om verkeersbronnen, paginaweergaven, CTA-klikken en advertentieconversies op de openbare website te meten. Ze worden niet gebruikt om geauthenticeerde tijdregistratiegegevens binnen de Kinmu-applicatie te verwerken.

4.4 Beveiligingsgaranties van subverwerkers

Kinmu vereist contractueel van alle subverwerkers dat zij passende beveiligingsmaatregelen naleven, waaronder:

  • Versleuteling van gegevens in transit via TLS 1.2 of hoger.
  • Versleuteling van gegevens in rust via AES-256 of gelijkwaardig.
  • Toegangscontroles op basis van rollen en het principe van minimale rechten.
  • Periodieke beveiligingsaudits en erkende certificeringen (SOC 2, ISO 27001).
  • Gedocumenteerde procedures voor incidentrespons.
  • Verplichtingen tot melding van beveiligingsinbreuken binnen AVG-compatibele termijnen.

4.5 Internationale gegevensdoorgiften

Gebruikersgegevens bevinden zich voornamelijk binnen de Europese Unie. Voor diensten waarbij overdrachten naar de Verenigde Staten plaatsvinden, zorgt Kinmu voor een adequaat beschermingsniveau via:

  • Standaardcontractuele clausules (SCC): modules goedgekeurd door Uitvoeringsbesluit (EU) 2021/914 van de Commissie.
  • Data Privacy Framework (DPF): voor aanbieders gecertificeerd onder het EU-VS Data Privacy Framework.
  • Transfer Impact Assessments (TIA): Kinmu heeft de nodige beoordelingen uitgevoerd om te controleren dat de geboden waarborgen in de praktijk effectief zijn.

Kinmu verricht geen internationale gegevensdoorgiften buiten het kader van de in dit beleid genoemde subverwerkers.

4.6 Wijziging van subverwerkers

Kinmu behoudt zich het recht voor om subverwerkers toe te voegen, te vervangen of te verwijderen wanneer dit noodzakelijk is voor de dienstverlening, mits:

  • De nieuwe subverwerker garanties biedt die gelijkwaardig aan of hoger zijn dan die van de vervangen subverwerker.
  • Gebruikers ten minste dertig (30) dagen van tevoren worden geïnformeerd via een update van dit Privacybeleid en, indien van toepassing, per e-mail.
  • De bijbehorende Verwerkersovereenkomst wordt gesloten met de nieuwe subverwerker.

De gebruiker die niet akkoord gaat met de toevoeging van een nieuwe subverwerker kan het recht van bezwaar uitoefenen door contact op te nemen met dpo@kinmu.app binnen vijftien (15) dagen na de kennisgeving. Als het bezwaar gegrond is en de dienst niet zonder die subverwerker kan worden geleverd, kan de gebruiker de overeenkomst zonder boete beëindigen.

4.7 Verantwoordelijkheid met betrekking tot subverwerkers

Kinmu is tegenover de gebruiker verantwoordelijk voor de naleving van de gegevensbeschermingsverplichtingen door haar subverwerkers, zoals bepaald in artikel 28.4 van de AVG. Kinmu is echter niet verantwoordelijk voor:

  • Niet-naleving door subverwerkers die verder gaat dan de gedocumenteerde instructies van Kinmu.
  • Autonome beslissingen van subverwerkers die in strijd zijn met de ondertekende Verwerkersovereenkomst.
  • Beveiligingsinbreuken in systemen van subverwerkers die niet tijdig aan Kinmu zijn gemeld.

In elk geval is de aansprakelijkheid van Kinmu beperkt zoals uiteengezet in de Algemene Voorwaarden van de dienst.

4.8 Disclaimer met betrekking tot kunstmatige-intelligentiediensten

De gebruiker erkent en stemt er uitdrukkelijk mee in dat:

  • Antwoorden gegenereerd door kunstmatige-intelligentiediensten (Mistral AI, Anthropic) indicatief zijn en geen juridisch, arbeids- of professioneel advies vormen.
  • Kinmu de nauwkeurigheid, volledigheid of geschiktheid van door AI gegenereerde antwoorden voor specifieke doeleinden niet garandeert.
  • De gebruiker als enige verantwoordelijk is voor het verifiëren en valideren van beleidsconfiguaties of informatie van de AI-assistent voordat deze worden toegepast.
  • AI-aanbieders gegevens uitsluitend verwerken om realtime antwoorden te genereren en zich contractueel verplichten die gegevens niet te gebruiken voor modeltraining.

5. BEWAARTERMIJN VAN GEGEVENS

Kinmu bewaart persoonsgegevens voor specifieke perioden die worden bepaald door wettelijke verplichtingen, operationele noodzaak of contractuele verplichtingen. Zodra de bewaartermijn is verstreken, worden gegevens veilig verwijderd via cryptografische vernietiging of fysieke vernietiging van dragers.

Gegevens voor aanwezigheidscontrole en registratie van werktijd worden vier jaar bewaard vanaf het moment van aanmaak, zoals vereist door Spaanse arbeidsinspectiewetgeving overeenkomstig de sociale zekerheidsregels.

Gegevens van afwezigheids-, verlof- en rustaanvragen worden vier jaar bewaard vanaf de datum van afsluiting van de afwezigheid, noodzakelijk voor rechtvaardiging tegenover arbeidsautoriteiten van de wettigheid van de werktijdregistratie.

Gegevens over organisatiestructuur, team, afdeling en hiërarchie worden bewaard zolang het klantbedrijf een actieve gebruiker van het platform is, en worden dertig dagen na annulering van het abonnement verwijderd.

Gegevens van AI-chatconversaties worden zes maanden bewaard en daarna automatisch verwijderd zonder tussenkomst van de gebruiker. De gebruiker kan onmiddellijke verwijdering van conversaties verzoeken door contact op te nemen met dpo@kinmu.app.

Technische sessiegegevens (geanonimiseerd IP-adres, browser, tijdstempel) worden dertig dagen bewaard voor beveiligingsanalyse en detectie van aanvalspatronen.

Gegevens van verwijderde gebruikers worden in geanonimiseerde vorm twee jaar bewaard voor statistische analyse van platformgebruik op een manier die geen directe of indirecte identificatie van de persoon mogelijk maakt.

Gegevens met betrekking tot administratieve procedures, rechtszaken of fraudeonderzoeken worden bewaard voor de duur van de procedure plus zes jaar, in overeenstemming met verjaringstermijnen.

6. BEVEILIGINGSMAATREGELEN

Kinmu implementeert technische, organisatorische en juridische maatregelen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, accidentele of opzettelijke openbaarmaking, wijziging, vernietiging of beschadiging. Beveiligingsmaatregelen omvatten: versleuteling van gegevens in transit via het TLS-protocol (Transport Layer Security) versie 1.3 of hoger voor alle communicatie tussen client en Kinmu-servers; versleuteling van gegevens in rust via het AES-256 algoritme voor alle records opgeslagen in databases; onomkeerbare hashing via het bcrypt-algoritme voor wachtwoordopslag, waardoor het onmogelijk is originele wachtwoorden te herstellen; netwerksegmentatie via firewalls, waarbij toegang tot gegevens wordt beperkt tot geautoriseerde systemen; optionele multi-factor authenticatie voor gebruikers met de mogelijkheid een tweede factor te activeren via een authenticator-app; rolgebaseerde toegangscontrole (RBAC) die toegang tot gegevens beperkt tot geautoriseerd Kinmu-personeel; toegangscontrole door gedetailleerde logging van alle bewerkingen op gevoelige gegevens met timestamp, verantwoordelijke gebruiker en uitgevoerde actie; reactie op beveiligingsincidenten met een escalatieprotocol naar de security officer in realtime.

Cookies en authenticatietokens worden verzonden met beveiligingsattributen: HttpOnly-vlag die lezen via JavaScript verhindert en XSS-aanvalsvectoren elimineert; Secure-vlag die verzending beperkt tot versleutelde HTTPS-verbindingen; SameSite-attribuut dat het verzenden van cross-site cookies verhindert en CSRF-aanvalsvectoren elimineert; automatische sessie-vervaldatum na dertig minuten inactiviteit; automatische vernieuwing van JWT-tokens elke zes uur.

Administratieve toegang tot de infrastructuur is beschermd door tweefactorauthenticatie, waardoor toegang met één enkele referentie onmogelijk is; tussenliggende bastionhosts voor toegang tot databaseservers; absoluut verbod op het opslaan van referenties in broncode of applicatieconfiguratie; auditing van alle administratieve toegangen.

7. MELDING VAN DATALEKKEN

Als Kinmu een Datalek detecteert dat de persoonsgegevens van gebruikers in gevaar brengt, inclusief ongeautoriseerde toegang, onbedoelde openbaarmaking, wijziging of vernietiging van gegevens, zal Kinmu handelen conform artikel 33 van Verordening (EU) 2016/679. Kinmu zal de toezichthoudende autoriteit voor gegevensbescherming (Spaans Agentschap voor Gegevensbescherming - AEPD) binnen tweeënzeventig (72) uur na detectie van het lek in kennis stellen. Kinmu zal de AEPD voorzien van: een beschrijving van de aard van het lek, een schatting van het aantal betroffen personen, een beschrijving van de gecompromitteerde gegevens, de waarschijnlijke gevolgen van het lek, de genomen maatregelen om het lek in te dammen en de voorgestelde maatregelen om de impact te beperken.

Als het beveiligingslek een hoog risico vormt voor de rechten en vrijheden van gebruikers (inclusief risico op discriminatie, financiële schade, identiteitsdiefstal of openbare openbaarmaking van gevoelige gegevens), zal Kinmu de getroffen gebruiker zonder onnodige vertraging per e-mail op het geregistreerde adres informeren, in duidelijke en begrijpelijke taal. De kennisgeving omvat: een beschrijving van de aard van het lek, het type gecompromitteerde gegevens, de technische maatregelen voor insluiting, de aan de gebruiker aanbevolen maatregelen voor zelfbescherming, en een contactreferentie bij Kinmu voor verdere vragen (dpo@kinmu.app).

Kinmu zal een gedocumenteerd register bijhouden van alle beveiligingslekken, ook als ze geen melding vereisen vanwege laag risico, waarbij het register beschikbaar is voor beoordeling door de AEPD bij onderzoek.

8. RECHTEN VAN GEBRUIKERS

In overeenstemming met artikelen 15 tot 22 van Verordening (EU) 2016/679 heeft de gebruiker de volgende rechten met betrekking tot zijn persoonsgegevens:

Recht op inzage (Artikel 15): de gebruiker heeft het recht om te bevestigen of Kinmu zijn persoonsgegevens verwerkt en, zo ja, om een kopie te ontvangen in een gestructureerd, gangbaar en machinaal leesbaar formaat. De gebruiker kan dit recht eenmaal per kalendermaand kosteloos uitoefenen. Om het recht op inzage uit te oefenen, dient de gebruiker contact op te nemen met dpo@kinmu.app met de vermelding "Inzageverzoek op grond van Artikel 15 AVG"; Kinmu zal binnen maximaal dertig dagen een volledige kopie van de gegevens verstrekken.

Recht op rectificatie (Artikel 16): de gebruiker heeft het recht om onjuiste of onvolledige gegevens te laten corrigeren. De gebruiker kan profielinformatie rechtstreeks op het platform bijwerken (naam, e-mailadres, foto), waarbij wijzigingen onmiddellijk van kracht worden. Gegevens over aanwezigheidsregistraties kunnen niet door de gebruiker zelf worden gerectificeerd, maar alleen door de beheerder van het klantbedrijf of via een verzoek aan de Kinmu-ondersteuning.

Recht op wissen (Artikel 17): de gebruiker heeft het recht om verwijdering van zijn persoonsgegevens te verzoeken onder specifieke omstandigheden, waaronder wanneer de gegevens niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld, de gebruiker de toestemming waarop de verwerking is gebaseerd intrekt, of de verwerking onrechtmatig is. Kinmu kan gegevens echter bewaren als er een wettelijke bewaarplicht bestaat (naleving van arbeidsrecht) of als er een doorslaggevend gerechtvaardigd belang is (verdediging van wettelijke rechten in rechtszaken). Een gebruiker die het recht op wissen wil uitoefenen, dient contact op te nemen met dpo@kinmu.app; Kinmu beoordeelt het verzoek en antwoordt binnen dertig dagen.

Recht op beperking van de verwerking (Artikel 18): de gebruiker heeft het recht om beperking van de verwerking van zijn gegevens te verzoeken, waarbij gegevens worden opgeslagen maar niet voor specifieke doeleinden worden verwerkt. Dit verzoek is nuttig wanneer de gebruiker de juistheid van de gegevens betwist (beperking tijdens onderzoek), wanneer de gebruiker de verwerking onrechtmatig acht maar bezwaar maakt tegen verwijdering, of wanneer de gebruiker het recht van bezwaar uitoefent. Beperkte gegevens worden uitsluitend verwerkt voor de verdediging van de wettelijke rechten van Kinmu, naleving van wettelijke verplichting, of met de uitdrukkelijke toestemming van de gebruiker.

Recht op gegevensoverdraagbaarheid (Artikel 20): de gebruiker heeft het recht zijn persoonsgegevens in een gestructureerd formaat (doorgaans JSON of CSV) te ontvangen en over te dragen aan een andere verwerkingsverantwoordelijke. Dit recht stelt de gebruiker in staat van platform te wisselen met behoud van zijn historische gegevens. De gebruiker dient contact op te nemen met dpo@kinmu.app met de vermelding "Portabiliteitsverzoek op grond van Artikel 20 AVG"; Kinmu zal de gegevens binnen maximaal dertig dagen in een gestructureerd elektronisch formaat verstrekken. Geëxporteerde gegevens omvatten: gebruikersprofiel, aanwezigheidsgeschiedenis, afwezigheidsverzoeken, team-/afdelingsconfiguratie en AI-chatgesprekken.

Recht van bezwaar (Artikel 21): de gebruiker heeft het recht bezwaar te maken tegen de verwerking van zijn gegevens op basis van het gerechtvaardigd belang van Kinmu. Specifieke bezwaarrechten omvatten: bezwaar tegen verwerking voor fraudedetectie (waarbij de verwerking wordt opgeschort, hoewel met het risico dat frauduleus gedrag niet wordt gedetecteerd), bezwaar tegen analyse van gebruikspatronen voor technische verbetering van het platform, en bezwaar tegen commerciële of marketingcommunicatie van Kinmu. De gebruiker kan echter geen bezwaar maken tegen verwerking die wettelijk verplicht is.

Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (Artikel 22): de gebruiker heeft het recht om niet te worden onderworpen aan besluiten die rechtsgevolgen hebben of hem aanzienlijk treffen wanneer dergelijke besluiten uitsluitend zijn gebaseerd op geautomatiseerde verwerking (met inbegrip van profilering). Kinmu implementeert echter momenteel geen geautomatiseerde besluiten die de gebruiker treffen buiten technische aanbevelingen; alle arbeidsgerelateerde besluiten (goedkeuring van afwezigheden, disciplinaire maatregelen, contractwijzigingen) zijn de verantwoordelijkheid van een natuurlijke persoon die het klantbedrijf vertegenwoordigt.

Om een van deze rechten uit te oefenen, dient de gebruiker contact op te nemen met dpo@kinmu.app met een duidelijke identificatie van het verzoek, de betrokken persoonsgegevens en de grondslag van het uitgeoefende recht. Kinmu zal binnen maximaal dertig dagen antwoorden. Als een verzoek bijzonder complex is of aanvullende identiteitsverificatie vereist, kan Kinmu de termijn met gemotiveerde mededeling verlengen tot maximaal zestig dagen.

9. GEGEVENS VAN MINDERJARIGEN

Het Kinmu-platform is niet ontworpen of gericht op personen jonger dan achttien (18) jaar. Kinmu verzamelt niet bewust persoonsgegevens van minderjarige gebruikers. In het uitzonderlijke geval dat een minderjarige het platform gebruikt, vereist Kinmu toestemming van een ouder of wettelijk voogd voor enige verwerking. Als Kinmu ontdekt dat persoonsgegevens van een minderjarige zijn verzameld zonder de vereiste toestemming, worden die gegevens onmiddellijk verwijderd.

10. COMMUNICATIE EN MARKETING

Kinmu zal de e-mailgegevens van de gebruiker gebruiken om transactionele communicaties te verzenden die essentieel zijn voor de werking van de dienst, waaronder registratiebevestiging, wachtwoordherstel, meldingen over beleidswijzigingen, beveiligingswaarschuwingen en reacties op technische ondersteuningsverzoeken.

Kinmu gebruikt persoonsgegevens van gebruikers niet voor marketing, reclame of proactieve commerciële communicatie die individueel op de gebruiker is gericht. Kinmu verkoopt, draagt of verhandelt geen persoonsgegevens van de gebruiker aan derden voor marketing- of reclamedoeleinden. Als Kinmu in de toekomst marketingcommunicatie implementeert (nieuwsbrieven, productupdates, promoties), is expliciete en afzonderlijke toestemming vereist voordat deze worden verzonden, en de gebruiker kan zich op elk moment afmelden via de link die in elke communicatie is opgenomen of door contact op te nemen met dpo@kinmu.app.

11. TOESTEMMING VOOR KUNSTMATIGE-INTELLIGENTIE-CHAT

Het gebruik van de AI-chatfunctionaliteit is optioneel en vereist expliciete en afzonderlijke toestemming van de gebruiker, los van de algemene toestemming voor het gebruik van het platform. De gebruiker wordt uitdrukkelijk geïnformeerd voordat de AI-chat wordt geactiveerd dat: (i) gesprekken worden verwerkt door een gespecialiseerde derde partij (Mistral AI) op basis van een verwerkersovereenkomst; (ii) Mistral AI gespreksgegevens niet gebruikt om haar modellen te trainen; (iii) gesprekken privé zijn en niet toegankelijk voor een manager of bedrijfsbeheerder; (iv) chatreacties indicatief zijn en geen garantie vormen voor juridische of arbeidsrechtelijke nauwkeurigheid; (v) de gebruiker de toestemming kan intrekken door de functionaliteit op elk moment zonder penalty te deactiveren.

Gespreksgegevens worden zes maanden bewaard en daarna automatisch verwijderd. De gebruiker kan onmiddellijke verwijdering verzoeken door contact op te nemen met dpo@kinmu.app.

12. WIJZIGINGEN IN DIT BELEID

Kinmu behoudt zich het recht voor dit Privacybeleid op elk moment te wijzigen om zich aan te passen aan wetswijzigingen, nieuwe beveiligingspraktijken, de implementatie van nieuwe functionaliteiten of wijzigingen in de technische architectuur. Substantiële wijzigingen worden ten minste dertig (30) dagen van tevoren per e-mail gecommuniceerd, en de gebruiker kan het abonnement tijdens de opzegtermijn zonder boete opzeggen als hij de wijzigingen niet accepteert.

De actuele versie is altijd toegankelijk op https://kinmu.app/nl/privacybeleid. Voortgezet gebruik van het platform na de ingangsdatum van wijzigingen vormt aanvaarding van die wijzigingen.

13. JURISDICTIE EN TOEZICHTHOUDENDE AUTORITEITEN

Dit Privacybeleid wordt beheerst door Spaans en Europees gegevensbeschermingsrecht, waarbij de bevoegde toezichthoudende autoriteit het Spaanse Agentschap voor gegevensbescherming (AEPD) is. De gebruiker heeft het recht een klacht in te dienen bij de AEPD als hij van mening is dat de verwerking van zijn gegevens door Kinmu de toepasselijke wetgeving schendt; klachten kunnen worden ingediend op: www.aepd.es of per post aan: C/ Jorge Juan, 6, 28001 Madrid.

Kinmu Digital S.L.
Calle Teide, 4
28703 Madrid, Spain
CIF: B24996803
https://kinmu.app