Privacybeleid

1. Wie zijn wij?

Newid Assessments is een dienst van:

• Bedrijfsnaam: Newid B.V.
• KvK-nummer: 88341399
• BTW-nummer: NL864585913B01
• Vestigingsadres: Eusebiusbuitensingel 79, 6828 HZ Arnhem
• E-mail privacy: info@newid-assessments.nl

Newid B.V. is verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de Algemene Verordening Gegevensbescherming (AVG/GDPR) voor de verwerking van persoonsgegevens zoals beschreven in dit beleid.

Onze rol bij teamanalyses

Bij individuele analyses is Newid verwerkingsverantwoordelijke. Bij teamanalyses in opdracht van een organisatie kan Newid optreden als verwerker (artikel 4 lid 8 AVG) namens de opdrachtgevende organisatie (verwerkingsverantwoordelijke). In dat geval verwerken wij persoonsgegevens uitsluitend in opdracht van en conform de instructies van die organisatie, vastgelegd in een verwerkersovereenkomst (artikel 28 AVG). Een verwerkersovereenkomst is op aanvraag beschikbaar via info@newid-assessments.nl.

2. Welke gegevens verzamelen wij?

2.1 Accountgegevens

Bij het aanmaken van een account of het kopen van een analyse: voornaam, achternaam en e-mailadres.

2.2 Analysegegevens (assessment data)

Bij het invullen van de vragenlijst verzamelen wij je antwoorden op gedragsvragen. Dit betreft gedragsvoorkeuren, geen bijzondere persoonsgegevens in de zin van artikel 9 AVG (geen medische, biometrische of strafrechtelijke gegevens). Uit de antwoorden worden berekend:

• DISC-scores: D, I, S, C voor zowel basis- als responsstijl (8 numerieke waarden, schaal 0-50)
• Drijfveren-scores: 7 motivatiedimensies (indien van toepassing)
• Afgeleide stijlcode (bijv. "DI" of "SC")

Na berekening van de scores worden je individuele antwoorden geanonimiseerd. Alleen de berekende scores en het gegenereerde rapport worden in herleidbare vorm opgeslagen.

2.3 AI-gegenereerde rapportinhoud

Wij gebruiken Google Vertex AI (Gemini) om persoonlijke analyseteksten te genereren. Naar Vertex AI worden verzonden: je voornaam en je berekende scores. Niet verzonden worden: achternaam, e-mailadres, individuele antwoorden, of andere identificerende gegevens. De verwerking vindt plaats binnen de EU (Google Cloud regio europe-west4, Nederland). Google verwerkt deze data conform de Google Cloud Data Processing Addendum en gebruikt inputdata niet voor het trainen van modellen.

2.4 Betalingsgegevens

Betalingen worden verwerkt door onze betaaldienstverlener Mollie B.V. (gecertificeerd PCI-DSS). Wij ontvangen van Mollie: een betalingsbevestiging, het betaalde bedrag, de gebruikte betaalmethode en een transactie-ID. Newid slaat geen creditcardnummers, IBAN-nummers of andere directe financiele gegevens op.

2.5 Technische gegevens

Bij gebruik van onze website verzamelen wij automatisch: IP-adres (geanonimiseerd), browsertype en -versie, apparaattype, besturingssysteem, verwijzende URL en paginabezoeken met tijdstempel.

2.6 Communicatiegegevens

Als je contact met ons opneemt (per e-mail of contactformulier) bewaren wij je bericht, e-mailadres en eventuele bijlagen om je vraag te beantwoorden.

3. Waarvoor gebruiken wij je gegevens?

• Dienstverlening: het genereren en beschikbaar stellen van je persoonlijke DISC- en/of Drijfveren-rapport, inclusief AI-gegenereerde teksten.
• Accountbeheer: het aanmaken en beheren van je account, inlogfunctionaliteit.
• Communicatie: het versturen van transactionele e-mails (bevestiging, rapport klaar, herinnering). Wij versturen geen marketing-e-mails tenzij je daar apart toestemming voor geeft.
• Betaling: het verwerken van je bestelling, het aanmaken van facturen en het bijhouden van de transactiehistorie.
• Teamanalyse: het tonen van je DISC-scores (niet je individuele antwoorden) op het teamdashboard voor de teamadmin.
• Verbetering: het verbeteren van vragenlijsten, rapporten, scoring-algoritmes en website op basis van geanonimiseerde, geaggregeerde data waaruit individuele personen niet herleidbaar zijn.
• Wettelijke verplichtingen: het bewaren van factuurgegevens conform fiscale wetgeving.

4. Rechtsgronden voor verwerking

Wij verwerken je gegevens op basis van de volgende rechtsgronden (artikel 6 AVG):

• Uitvoering van de overeenkomst (artikel 6 lid 1 sub b): het leveren van de analyse en het rapport waarvoor je hebt betaald; het beheren van je account.
• Toestemming (artikel 6 lid 1 sub a): het plaatsen van analytische cookies; het versturen van marketing-e-mails (indien van toepassing). Je kunt toestemming te allen tijde intrekken.
• Gerechtvaardigd belang (artikel 6 lid 1 sub f): het verbeteren van onze diensten op basis van geaggregeerde, geanonimiseerde data; het beveiligen van onze systemen; fraudepreventie. Ons gerechtvaardigd belang is het kunnen aanbieden en verbeteren van een betrouwbare dienst.
• Wettelijke verplichting (artikel 6 lid 1 sub c): het bewaren van factuurgegevens conform de Wet op de omzetbelasting en de Algemene wet inzake rijksbelastingen (7 jaar).

5. Geautomatiseerde besluitvorming en profilering

De DISC- en Drijfveren-scores worden geautomatiseerd berekend op basis van je antwoorden op de vragenlijst. De AI-gegenereerde rapportteksten worden eveneens automatisch gegenereerd. Dit betreft geautomatiseerde verwerking in de zin van artikel 22 AVG.

Wij benadrukken dat:

• De analyse een hulpmiddel voor zelfinzicht is, geen diagnose of beoordeling met rechtsgevolgen.
• Er geen besluiten met betrekking tot werving, selectie, ontslag of andere juridische gevolgen worden genomen op basis van de analyse door Newid.
• Je het recht hebt om menselijke tussenkomst te verzoeken bij de interpretatie van je rapport. Neem hiervoor contact op via info@newid-assessments.nl of boek een coaching sessie.

Let op voor organisaties: als je als werkgever of opdrachtgever DISC-resultaten gebruikt bij beslissingen over medewerkers, ben je zelf verwerkingsverantwoordelijke voor die beslissingen. Newid adviseert DISC niet te gebruiken als enig selectie-instrument.

6. Delen met derden en sub-verwerkers

Wij delen persoonsgegevens alleen met de volgende partijen, uitsluitend voor zover noodzakelijk voor de genoemde doeleinden:

• Mollie B.V. (Amsterdam, Nederland) – betaalverwerking. Privacy policy Mollie.
• Google Cloud Platform (servers in Europa, regio europe-west4) – hosting en opslag van applicatiedata en rapportgegevens. Privacy Google Cloud.
• Google Vertex AI (verwerking in Europe-west4) – genereren van persoonlijke analyseteksten op basis van voornaam en scores. Data governance Vertex AI.
• Wix.com Ltd. (hosting website) – websitehosting en e-mailfunctionaliteit. Privacy policy Wix.
• [E-mailprovider] – [invullen: bijv. SendGrid, Mailgun] voor het versturen van transactionele e-mails.

Met alle sub-verwerkers zijn verwerkersovereenkomsten afgesloten conform artikel 28 AVG, of zijn standaard contractbepalingen (SCC's) van toepassing.

Wij verkopen persoonsgegevens nooit aan derden. Wij gebruiken persoonsgegevens niet voor advertenties, profiling voor derden of andere commerciele doeleinden.

7. Internationale doorgifte

Alle primaire dataverwerking vindt plaats binnen de Europese Economische Ruimte (EER). Specifiek:

• Rapportdata: Google Cloud Platform, regio europe-west4 (Eemshaven, Nederland).
• AI-verwerking: Google Vertex AI, regio europe-west4 (Nederland).
• Betaalverwerking: Mollie B.V. (Nederland).

Sommige sub-verwerkers (waaronder Google en Wix) zijn gevestigd buiten de EER. In die gevallen zijn passende waarborgen getroffen conform hoofdstuk V van de AVG, waaronder Standard Contractual Clauses (SCC's) en/of adequaatheidsbesluiten van de Europese Commissie.

8. Opslag en beveiliging

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, verlies, vernietiging of wijziging (artikel 32 AVG):

• Versleuteling in transit (TLS 1.2+) en at rest (AES-256).
• Toegangscontrole op basis van het least-privilege principe (alleen geautoriseerde medewerkers).
• Twee-factor-authenticatie voor toegang tot beheersystemen.
• Regelmatige back-ups met versleutelde opslag.
• Periodieke beveiligingsreviews en -updates.

Ondanks deze maatregelen kan geen enkel systeem 100% veiligheid garanderen. Bij een vermoeden van een beveiligingsincident kun je contact opnemen via info@newid-assessments.nl.

9. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld:

• Accountgegevens (naam, e-mail): zolang je account actief is, plus 12 maanden na de laatste activiteit. Daarna verwijderd, tenzij je eerder om verwijdering verzoekt.
• Analysegegevens en rapporten (scores, rapport, AI-teksten): 24 maanden na generatie. Daarna automatisch verwijderd. Je kunt eerder verwijdering aanvragen.
• Individuele vragenlijst-antwoorden: geanonimiseerd direct na scoreberekening. Niet langer herleidbaar tot individuen.
• Betalingsgegevens (facturen, transactie-ID's): 7 jaar na het boekjaar waarin de transactie plaatsvond (wettelijke verplichting, artikel 52 AWR).
• Technische gegevens (analytics): maximaal 26 maanden, geanonimiseerd.
• Communicatiegegevens (e-mails, contactverzoeken): 12 maanden na afhandeling.

10. Je rechten onder de AVG

Op grond van de AVG (artikelen 15-22) heb je de volgende rechten:

• Recht op inzage (art. 15): je mag opvragen welke gegevens wij van je verwerken en een kopie ontvangen.
• Recht op rectificatie (art. 16): je mag onjuiste of onvolledige gegevens laten corrigeren.
• Recht op verwijdering (art. 17, "recht op vergetelheid"): je mag verzoeken om verwijdering van je gegevens, tenzij een wettelijke bewaarplicht dit verhindert.
• Recht op beperking (art. 18): je mag verzoeken om beperking van de verwerking terwijl een bezwaar wordt beoordeeld.
• Recht op overdraagbaarheid (art. 20): je mag je gegevens opvragen in een gestructureerd, gangbaar en machineleesbaar formaat (JSON of CSV).
• Recht van bezwaar (art. 21): je mag bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
• Recht met betrekking tot geautomatiseerde besluitvorming (art. 22): je mag menselijke tussenkomst verzoeken bij de interpretatie van je geautomatiseerd gegenereerde rapport.
• Recht op intrekking van toestemming (art. 7): als verwerking is gebaseerd op toestemming, mag je deze te allen tijde intrekken zonder dat dit afbreuk doet aan de rechtmatigheid van eerdere verwerking.

Hoe oefen je je rechten uit?

Stuur een e-mail naar info@newid-assessments.nl met als onderwerp "AVG-verzoek". Vermeld:

• Welk recht je wilt uitoefenen
• Je volledige naam en het e-mailadres waarmee je de analyse hebt gedaan

Wij verifieren je identiteit (om misbruik te voorkomen) en reageren binnen 30 dagen. Bij complexe of omvangrijke verzoeken kan deze termijn eenmalig met 60 dagen worden verlengd, waarover wij je tijdig informeren (artikel 12 lid 3 AVG).

Bij verwijdering worden je accountgegevens, analyseresultaten en rapport permanent verwijderd. Betalingsgegevens bewaren wij 7 jaar conform fiscale wetgeving. Geanonimiseerde, geaggregeerde data (waaruit je niet herleidbaar bent) valt buiten het verwijderingsverzoek.

11. Cookies

Onze website gebruikt een beperkt aantal cookies, conform de Telecommunicatiewet (artikel 11.7a) en de AVG.

Strikt noodzakelijke cookies (geen toestemming vereist)

Deze cookies zijn vereist voor het functioneren van de website en vallen onder de uitzondering van artikel 11.7a lid 3 Tw.

• Sessiecookie – houdt je inlogstatus bij. Vervalt na sluiten van de browser.
• Cookie-voorkeur – onthoudt je cookiekeuze. Vervalt na 12 maanden.

Analytische cookies (toestemming vereist)

Wij gebruiken Plausible Analytics voor geanonimiseerde bezoekersstatistieken. Plausible is een cookieloos analytics-platform en plaatst geen cookies op je apparaat. Deze cookies worden alleen geplaatst na je uitdrukkelijke toestemming via de cookiebanner.

• Plausible Analytics maakt geen gebruik van cookies. Er worden geen persoonsgegevens verwerkt. Meer informatie: plausible.io.

Cookies van derden

Onze betaalpartner Mollie kan functionele cookies plaatsen tijdens het betaalproces. Onze websitehost Wix kan functionele en analytische cookies plaatsen. Deze vallen onder het privacybeleid van Mollie respectievelijk Wix.

Je kunt cookies beheren of verwijderen via je browserinstellingen. Het blokkeren van strikt noodzakelijke cookies kan de werking van de website beperken.

12. Minimumleeftijd

Onze diensten zijn niet gericht op personen jonger dan 16 jaar. Wij verzamelen niet bewust persoonsgegevens van personen jonger dan 16 jaar. Als je vermoedt dat wij gegevens van een minderjarige hebben verzameld, neem dan contact op via info@newid-assessments.nl zodat wij deze kunnen verwijderen.

13. Datalekken

In geval van een datalek dat waarschijnlijk een risico vormt voor de rechten en vrijheden van betrokkenen, melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens (artikel 33 AVG). Als het lek een hoog risico vormt voor jou persoonlijk, informeren wij je ook direct (artikel 34 AVG).

Vermoed je een datalek? Meld dit zo snel mogelijk via info@newid-assessments.nl.

14. Wijzigingen

Wij kunnen dit privacybeleid wijzigen, bijvoorbeeld bij veranderingen in onze dienstverlening, wetgeving of sub-verwerkers. Bij substantiele wijzigingen informeren wij je per e-mail minimaal 14 dagen voor de wijziging ingaat. De meest recente versie is altijd beschikbaar op deze pagina, met bovenaan de datum van de laatste wijziging.

15. Contact en toezichthouder

Vragen of verzoeken over dit privacybeleid? Neem contact op:

• E-mail: info@newid-assessments.nl
• Post: Newid B.V., Eusebiusbuitensingel 79, 6828 HZ Arnhem

Je hebt het recht om een klacht in te dienen bij de toezichthoudende autoriteit:

• Autoriteit Persoonsgegevens
  Postbus 93374, 2509 AJ Den Haag
  autoriteitpersoonsgegevens.nl
  Telefoon: 088 - 1805 250