Privacyverklaring Brightsafe B.V.
Versie 2.1 — april 2026
Deze privacyverklaring legt uit hoe Brightsafe B.V. (“Brightsafe”, “wij”) omgaat met persoonsgegevens bij het gebruik van onze software, diensten, website en meldsystemen. Zij is opgesteld conform de artikelen 12, 13 en 14 van de Algemene Verordening Gegevensbescherming (AVG).
1. Verwerkingsverantwoordelijke en contactgegevens
Voor verwerkingen waarin Brightsafe als verwerkingsverantwoordelijke optreedt (zie paragraaf 6), zijn de contactgegevens:
Brightsafe B.V.
Oosterweezenstraat 6C
1823 CN Alkmaar
E-mail: [email protected]
Voor privacy-vragen, verzoeken tot uitoefening van uw rechten of klachten kunt u per e-mail contact opnemen via bovenstaand adres. Brightsafe streeft ernaar binnen vijf werkdagen een ontvangstbevestiging te sturen.
Functionaris voor Gegevensbescherming
Brightsafe heeft na toetsing aan artikel 37 AVG geen Functionaris voor Gegevensbescherming (FG) aangesteld, omdat dit op dit moment niet als wettelijk verplicht is aangemerkt. Deze toetsing wordt periodiek herhaald, met name bij groei van het aantal klanten of wijzigingen in de aard van verwerkingen. Voor privacy-gerelateerde vragen kunt u contact opnemen via [email protected].
2. Toepassingsbereik
Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens van:
- bezoekers van de Brightsafe-website;
- gebruikers van het Brightsafe-platform (zoals beheerders en eindgebruikers bij klanten);
- personen die meldingen doen via QR-codes of digitale formulieren;
- contactpersonen van (potentiële) klanten;
- personen die per e-mail of contactformulier contact met ons opnemen.
3. Welke persoonsgegevens verwerken wij?
Brightsafe verwerkt uitsluitend persoonsgegevens die noodzakelijk zijn voor het leveren en verbeteren van haar diensten.
3.1 Door u verstrekte gegevens
- Naam en functie
- E-mailadres
- Telefoonnummer (optioneel)
- Bedrijfsnaam
- Inloggegevens (gebruikersnaam, versleuteld wachtwoord)
3.2 Gegevens bij meldingen, inspecties en rapportages
- Inhoud van meldingen (ongevallen, bijna-ongevallen, klachten, complimenten, inspectiebevindingen)
- Foto’s en documenten die bij meldingen worden geüpload
- Datum, tijd en locatie van de melding
- Contactgegevens van de melder, voor zover opgegeven (zie paragraaf 3.4 over anonimiteit)
3.3 Bijzondere persoonsgegevens (artikel 9 AVG)
Bij meldingen over (bijna-)ongevallen, incidenten of klachten kunnen gezondheidsgegevens of andere bijzondere persoonsgegevens worden verwerkt bijvoorbeeld wanneer een ongeval tot letsel heeft geleid. Brightsafe verwerkt deze gegevens uitsluitend in opdracht van en onder verantwoordelijkheid van de klant (verwerkingsverantwoordelijke), die zorgdraagt voor een geldige rechtsgrondslag onder artikel 9 lid 2 AVG (bijvoorbeeld een Arbowettelijke verplichting of expliciete toestemming).
Brightsafe heeft aanvullende technische en organisatorische maatregelen getroffen voor deze categorie gegevens, waaronder versleuteling in rust, strikt beperkte toegang tot enkel geautoriseerd personeel en logging van alle toegangen tot productie-omgevingen.
3.4 QR-code meldingen – anonimiteit in de praktijk
Het Brightsafe-platform ondersteunt meldingen via QR-codes, waarbij de melder ervoor kan kiezen om zelf géén contactgegevens in te vullen (“semi-anonieme meldingen”). Wij willen hier transparant over zijn: een melding zonder ingevulde naam is niet automatisch volledig anoniem. Bij iedere melding worden de volgende technische gegevens vastgelegd:
- IP-adres van de melder
- Datum en tijdstip van de melding
- Locatie van de melding (via de gescande QR-code of opgegeven GPS)
- Browser- en apparaatgegevens (user agent)
Deze technische gegevens zijn noodzakelijk voor het functioneren van het platform en voor beveiliging (onder meer het tegengaan van misbruik en spam).
Belangrijke waarborgen:
- De klant (werkgever) ziet in het platform uitsluitend de inhoud van de melding plus het tijdstip en de locatie. De klant heeft géén toegang tot het IP-adres of de apparaatgegevens van de melder.
- Medewerkers van Brightsafe zelf hebben alleen in uitzonderlijke situaties (zoals het onderzoeken van vermoedelijk misbruik of een beveiligingsincident) toegang tot deze technische gegevens. Dergelijke toegang wordt gelogd.
- In kleine organisaties of bij zeer specifieke meldingen kan herleidbaarheid desondanks niet volledig worden uitgesloten — bijvoorbeeld wanneer de inhoud, locatie of tijdstip in combinatie met een beperkt aantal aanwezigen alsnog herleidbaar is tot een specifieke persoon. Melders wordt geadviseerd hiermee rekening te houden.
3.5 Meldingen onder de Wet bescherming klokkenluiders
Brightsafe is niet ingericht voor meldingen onder de Wet bescherming klokkenluiders. Klanten die een meldkanaal voor klokkenluidersmeldingen wettelijk moeten bieden (bedrijven met 50 of meer werknemers), dienen hiervoor een afzonderlijke voorziening te treffen die voldoet aan de specifieke eisen van die wet inzake vertrouwelijkheid, beperkte toegang en aangewezen behandelaars. Dit is expliciet opgenomen in onze algemene voorwaarden en onboarding-documentatie.
3.6 Technische en gebruiksgegevens
- IP-adres bij inloggen
- Browser- en apparaatgegevens (user agent, schermresolutie)
- Loggegevens (inlogmomenten, gebruik van functionaliteiten)
4. Doeleinden van de verwerking
Brightsafe verwerkt persoonsgegevens uitsluitend voor de volgende doeleinden:
- het leveren, beheren en uitvoeren van onze software en diensten;
- het registreren, opvolgen en analyseren van meldingen, inspecties en rapportages namens klanten;
- het beheren van gebruikersaccounts en toegangsrechten;
- het verbeteren, beveiligen en optimaliseren van het platform, inclusief detectie van misbruik en onrechtmatige toegang;
- het voldoen aan wettelijke verplichtingen (zoals fiscale bewaarplicht, AVG-verplichtingen, meldplicht datalekken);
- het communiceren over updates, ondersteuning, facturatie en dienstverlening.
5. Rechtsgrondslagen
Brightsafe verwerkt persoonsgegevens uitsluitend op basis van één of meer van de volgende AVG-grondslagen:
- Uitvoering van een overeenkomst (artikel 6 lid 1 sub b AVG) — voor het leveren van de dienst aan klanten en hun gebruikers.
- Wettelijke verplichting (artikel 6 lid 1 sub c AVG) — zoals fiscale administratie en medewerking aan bevoegde autoriteiten.
- Gerechtvaardigd belang (artikel 6 lid 1 sub f AVG) — zoals beveiliging, fraudepreventie, continuïteit en productverbetering. Hierbij vindt steeds een belangenafweging plaats.
- Toestemming (artikel 6 lid 1 sub a AVG) — voor zover dit van toepassing is, bijvoorbeeld bij niet-functionele cookies. Toestemming kan altijd worden ingetrokken.
6. Rol van Brightsafe per verwerking
Brightsafe treedt op als verwerker óf verwerkingsverantwoordelijke, afhankelijk van het type verwerking. Onderstaand overzicht maakt dit per categorie expliciet.
| Type verwerking | Rol Brightsafe |
|---|---|
| Websitebezoek, contactformulier, cookies | Verwerkingsverantwoordelijke |
| Account- en inloggegevens van gebruikers | Verwerkingsverantwoordelijke voor identiteits- en beveiligingsgegevens zelf |
| Content die klanten in het platform invoeren (meldingen, inspecties, rapportages, foto’s) | Verwerker namens de klant |
| QR-code meldingen van eindgebruikers bij klanten | Verwerker namens de klant |
| Salesgesprekken, offertes, contractadministratie | Verwerkingsverantwoordelijke |
| Facturatie- en boekhoudgegevens | Verwerkingsverantwoordelijke |
| Supporttickets en helpdesk-communicatie | Verwerker indien klantgegevens; verwerkingsverantwoordelijke voor eigen support-administratie |
Met klanten sluit Brightsafe een verwerkersovereenkomst. Hoofdstuk 4 van de NLdigital Voorwaarden 2025, in combinatie met de bijbehorende bijlagen over verwerkingen, vormt deze verwerkersovereenkomst in de zin van artikel 28 lid 3 AVG.
7. Sub-verwerkers
Brightsafe schakelt voor een aantal verwerkingen sub-verwerkers in. Dit gebeurt uitsluitend wanneer dit noodzakelijk is voor onze dienstverlening, of wanneer wij hiertoe wettelijk verplicht zijn. Met alle sub-verwerkers sluiten wij verwerkersovereenkomsten conform artikel 28 AVG.
Overzicht van huidige sub-verwerkers per categorie:
| Categorie | Functie | Vestiging |
|---|---|---|
| Hostingleverancier (TransIP) | Platform-hosting, database, back-ups | Nederland (EU) |
| Zakelijke e-mail (Google Workspace) | E-mailcommunicatie, kantoorsoftware | EU + VS (doorgifte, zie par. 8) |
| CRM en marketing (HubSpot) | Klantrelatiebeheer, e-mailcampagnes, support | EU + VS (doorgifte, zie par. 8) |
| Website-analyse (Google Analytics) | Bezoekstatistieken website | EU + VS (doorgifte, zie par. 8) |
| Boekhouding (Exact Online) | Facturatie, financiële administratie | Nederland (EU) |
| Extern softwareontwikkelbureau | Softwareontwikkeling en onderhoud platform | Nederland (EU) |
Een actuele en gedetailleerde lijst van sub-verwerkers, inclusief vestigingsadres en functie per leverancier, is beschikbaar op aanvraag via [email protected].
8. Doorgifte buiten de Europese Economische Ruimte
Brightsafe streeft ernaar persoonsgegevens te verwerken en op te slaan binnen de Europese Economische Ruimte (EER). Het platform zelf draait op hosting in Nederland (TransIP). Voor enkele ondersteunende diensten wordt echter gebruikgemaakt van sub-verwerkers met Amerikaanse moederorganisaties, waarbij verwerking deels in de Verenigde Staten kan plaatsvinden:
- Google Workspace (Google LLC) — voor zakelijke e-mail en kantoorsoftware
- HubSpot (HubSpot Inc.) — voor CRM, marketing en support
- Google Analytics (Google LLC) — voor website-analyse
Voor deze doorgiftes maken wij gebruik van passende waarborgen conform hoofdstuk V AVG:
- Het EU-US Data Privacy Framework (adequacy-besluit Europese Commissie juli 2023), waaronder Google LLC en HubSpot Inc. zijn gecertificeerd;
- Aanvullend Standard Contractual Clauses (SCC’s) waar dit door de sub-verwerker wordt aangeboden;
- Waar relevant: aanvullende technische en organisatorische maatregelen.
Voor de verwerking van meldingen, inspectiegegevens en andere klantcontent op het Brightsafe-platform zelf vindt géén doorgifte buiten de EER plaats — deze blijft in Nederland bij TransIP.
9. Beveiliging
Brightsafe treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, misbruik, onbevoegde toegang en andere vormen van onrechtmatige verwerking. Deze maatregelen zijn afgestemd op de aard van de gegevens en worden periodiek geëvalueerd.
Concrete maatregelen omvatten:
- Versleuteling van data in rust (databasebeveiliging)
- Versleuteling van data in transit via TLS (HTTPS)
- Logging en monitoring van toegang tot productie-omgevingen
- Periodieke penetratietests door een externe deskundige partij
- Toegangsbeheer op basis van het principe van minimale rechten: alleen geautoriseerde medewerkers hebben toegang tot productie-data, en uitsluitend voor zover noodzakelijk voor hun functie
- Verwerkersovereenkomsten met alle sub-verwerkers die toegang (kunnen) hebben tot persoonsgegevens
Brightsafe is op dit moment niet gecertificeerd onder ISO 27001 of SOC 2. Certificering wordt periodiek heroverwogen in het kader van organisatorische groei.
10. Bewaartermijnen
Brightsafe bewaart persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld, of dan wettelijk verplicht is. Per categorie hanteren wij de volgende termijnen:
| Categorie gegevens | Bewaartermijn |
|---|---|
| Accountgegevens gebruikers | Gedurende looptijd klantovereenkomst, plus 6 maanden daarna voor overdracht en audit |
| Meldingen, incidenten, inspectierapporten | Conform de door de klant ingestelde termijn. Standaard 5 jaar, in lijn met Arbowet-conforme bewaring van ongevalsregistraties |
| Loggegevens (inlog, platformgebruik, toegang) | Maximaal 12 maanden voor beveiligings- en auditdoeleinden, daarna geanonimiseerd of verwijderd |
| Facturatie- en boekhoudgegevens | 7 jaar (fiscale bewaarplicht artikel 52 AWR) |
| Contactformulier en algemene e-mailcorrespondentie | 12 maanden na het laatste contactmoment |
| Cookies en website-tracking | Zie het afzonderlijke cookiebeleid |
Na afloop van de bewaartermijn worden gegevens verwijderd of onomkeerbaar geanonimiseerd.
11. Rechten van betrokkenen
U heeft op grond van de AVG de volgende rechten:
- Recht op inzage in de persoonsgegevens die wij van u verwerken (artikel 15 AVG)
- Recht op rectificatie van onjuiste of onvolledige gegevens (artikel 16 AVG)
- Recht op verwijdering, voor zover van toepassing (artikel 17 AVG)
- Recht op beperking van de verwerking (artikel 18 AVG)
- Recht op overdraagbaarheid van uw gegevens (artikel 20 AVG)
- Recht van bezwaar tegen verwerking op basis van gerechtvaardigd belang (artikel 21 AVG)
- Recht om toestemming in te trekken, voor zover een verwerking op toestemming is gebaseerd
Procedure
U kunt een verzoek indienen via [email protected]. Brightsafe reageert in beginsel binnen één maand na ontvangst. In complexe gevallen kunnen wij deze termijn met maximaal twee maanden verlengen, waarvan u binnen één maand bericht ontvangt met toelichting.
Wij behandelen verzoeken kosteloos, tenzij deze kennelijk ongegrond of buitensporig zijn in dat geval kunnen wij een redelijke vergoeding vragen of het verzoek weigeren, met motivering.
Ter verificatie van uw identiteit kunnen wij aanvullende informatie vragen. Dit voorkomt dat iemand anders ten onrechte toegang krijgt tot uw gegevens.
Indien Brightsafe in een specifieke situatie als verwerker optreedt (zie paragraaf 6), sturen wij uw verzoek door naar de betreffende verwerkingsverantwoordelijke (de klant) en informeren u hierover.
12. Procedure bij datalekken
Brightsafe beschikt over een intern datalekprotocol. Indien zich een inbreuk in verband met persoonsgegevens voordoet die waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen, handelen wij conform artikel 33 en 34 AVG:
- Melding aan de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking, indien Brightsafe verwerkingsverantwoordelijke is;
- Onverwijlde melding aan de betreffende klant indien Brightsafe als verwerker optreedt, zodat de klant als verantwoordelijke zijn meldplicht kan vervullen;
- Melding aan betrokkenen indien de inbreuk een hoog risico voor hun rechten en vrijheden inhoudt.
13. Cookies en websitegebruik
Brightsafe maakt gebruik van cookies en vergelijkbare technieken. Voor volledige informatie over welke cookies wij plaatsen, met welk doel, en hoe u uw voorkeuren beheert, verwijzen wij naar ons afzonderlijke cookiebeleid op brightsafe.nl/cookieverklaring-brightsafe.
14. Wijzigingen
Brightsafe behoudt zich het recht voor deze privacyverklaring te wijzigen. De meest actuele versie wordt steeds gepubliceerd op onze website, met vermelding van de versiedatum en een korte samenvatting van de belangrijkste wijzigingen ten opzichte van de vorige versie.
Versiegeschiedenis
- Versie 2.1 (april 2026) – volledig ingevulde versie op basis van interne audit: expliciete rolverdeling per verwerking, concrete sub-verwerkerslijst, transparantie over QR-meldingen en metadata, bewaartermijnen per categorie, datalekprocedure, explicitering dat platform niet voor klokkenluiders-meldingen bedoeld is.
- Versie 2.0 (april 2026) – structurele herziening.
- Versie 1.0 (april 2026) – initiële versie.
15. Relatie tot algemene voorwaarden
Voor klanten van Brightsafe zijn op de dienstverlening daarnaast de NLdigital Voorwaarden 2025 van toepassing. Hierin zijn afspraken opgenomen over gegevensverwerking, beveiliging en de rolverdeling tussen Brightsafe en klanten waaronder een verwerkersovereenkomst in de zin van artikel 28 lid 3 AVG.
Deze privacyverklaring informeert betrokkenen op grond van artikel 13 en 14 AVG en vormt geen contractueel onderdeel van de overeenkomst met klanten.
16. Contact en klachten
Voor vragen over deze privacyverklaring of de verwerking van uw persoonsgegevens kunt u contact opnemen via:
Brightsafe B.V.
Oosterweezenstraat 6C
1823 CN Alkmaar
E-mail: [email protected]
Indien u niet tevreden bent over de afhandeling van uw verzoek of klacht, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens:
Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Telefoon: 088 – 1805 250
Website: autoriteitpersoonsgegevens.nl