Privacyverklaring

Workster B.V. (hierna: "Workster", "wij") is verantwoordelijk voor de verwerking van persoonsgegevens die via workster.nl worden verzameld. Workster is een online platform dat werkzoekenden in contact brengt met werkgevers in Nederland.

Voor vragen over privacy kun je ons bereiken via privacy@workster.nl.

Afhankelijk van je rol op het platform verzamelen wij:

• Werkzoekenden: naam, e-mailadres, telefoonnummer, locatie (stad, postcode, en daarvan afgeleide provincie en geo-coördinaten t.b.v. regio-matching), opleidingsniveau, werkervaring (jaren), vaardigheden, salarisverwachting (optioneel per sollicitatie), motivatie, antwoorden op screeningsvragen, geüploade CV, en sollicitatiegeschiedenis.
• Werkgevers: bedrijfsnaam, KvK- en BTW-gegevens, adres, telefoonnummer, website, contactpersoon (naam + e-mail), facturatieadres, geplaatste vacatures, ontvangen sollicitaties.
• Alle gebruikers: account-e-mailadres, wachtwoord (versleuteld opgeslagen), ingelogde sessies, IP-adres bij beveiligings- of foutgebeurtenissen.

Wij verwerken je gegevens voor:

• Uitvoering van de overeenkomst — accountbeheer, vacatures plaatsen, solliciteren, matching, communicatie tussen werkgever en kandidaat.
• Wettelijke verplichting — fiscale administratie, AVG-verzoeken.
• Gerechtvaardigd belang — fraudepreventie, platformbeveiliging, productverbetering op basis van foutmeldingen.
• Toestemming — voor commerciële e-mails buiten de kerntoepassing (bijvoorbeeld nieuwsbrieven). Deze kun je altijd intrekken.

• Account-data: zolang je account actief is. Bij een verwijderingsverzoek bewaren we de data nog 48 uur in een grace-periode (zodat je het ongedaan kunt maken). Daarna wordt het account hard verwijderd. Operationele backups worden binnen 30 dagen na de hard-delete gewist.
• Sollicitaties: 12 maanden na de sollicitatiedatum, tenzij beide partijen langere bewaring overeenkomen.
• Facturatiegegevens werkgevers: 7 jaar (wettelijke fiscale bewaarplicht).
• E-mail logs (Resend): 30 dagen.

Wij verkopen geen persoonsgegevens. Wij delen gegevens uitsluitend met sub-verwerkers die ons helpen het platform te draaien, op basis van verwerkersovereenkomsten:

• Supabase — database, authenticatie en file storage (CV's, logo's, vacature-foto's). EU-regio. Verwerkersovereenkomst van toepassing.
• Vercel — webhosting, CDN, Analytics en Speed Insights. Globale infrastructuur (EU + VS) met EU-US Data Privacy Framework / Standard Contractual Clauses.
• Google Analytics 4 — geanonimiseerde bezoekers-statistieken (alleen bij toestemming). IP-adressen worden automatisch geanonimiseerd. Google verwerkt namens ons onder Standard Contractual Clauses; data wordt niet ingezet voor advertentiepersonalisatie tenzij je dat expliciet toestaat.
• Resend — transactionele e-mail (welkomst, sollicitatie-bevestiging, factuur, status-updates). Servers in EU + VS, SCC van toepassing.
• Mollie — betalingsverwerking voor werkgever- abonnementen en credits. EU-gebaseerd, PCI-DSS gecertificeerd.
• PDOK Locatieserver — Nederlandse overheid (Kadaster). We sturen alleen een postcode; we krijgen lat/lon + provincie terug om vacatures op afstand te sorteren. Geen persoonsgegevens in dit verkeer.
• Anthropic (Claude API) — alleen voor het automatisch structureren van geïmporteerde externe-feed-vacatures. We sturen titel, bedrijfsnaam en omschrijving — allemaal informatie die de werkgever zelf publiek op zijn carrière-site heeft gezet. Géén CV's, sollicitatiegegevens of persoonsgegevens van Workster- gebruikers. Servers in VS, SCC + Data Processing Addendum van toepassing. Anthropic gebruikt input niet voor model- training.

Wanneer een werkzoekende solliciteert op een vacature, worden zijn/haar sollicitatiegegevens (incl. CV en contactgegevens) gedeeld met de betreffende werkgever — dit is inherent aan de dienst.

Wijzigingen in sub-verwerkers: als wij een nieuwe sub-verwerker willen toevoegen die persoonsgegevens verwerkt, informeren wij ingelogde gebruikers tenminste 30 dagen vooraf via e-mail. Je kunt dan bezwaar maken via privacy@workster.nl.

Een CV kan onbedoeld bijzondere persoonsgegevens bevatten (gezondheidsinfo, religieuze of politieke voorkeur, vakbondslidmaatschap — Art. 9 AVG). Deze categorieën verwerken we alleen op basis van de uitdrukkelijke toestemming die je geeft wanneer je je CV uploadt en solliciteert.

We adviseren om gevoelige gegevens die niet relevant zijn voor de functie weg te laten uit je CV. Heb je per ongeluk gegevens gedeeld die je liever wil intrekken? Mail privacy@workster.nl of verwijder je account (zie sectie 8).

Workster richt zich op de Nederlandse arbeidsmarkt. Je moet minimaal 16 jaarzijn om een account aan te maken. Voor <16: ouderlijke toestemming is vereist (AVG Art. 8). Bij signup vragen we expliciet om bevestiging.

Wachtwoorden worden gehasht (bcrypt). Verbindingen verlopen via HTTPS. Toegang tot productiedata is beperkt tot bevoegd personeel via multi-factor authenticatie. Toegang tot eigen data is afgeschermd via Supabase Row Level Security policies.

Workster gebruikt twee categorieën cookies. Functionele cookies plaatsen we direct (nodig om de site te laten werken); analytische cookies plaatsen we pas na jouw expliciete toestemming via de cookie-banner.

Functioneel (altijd actief)

• Auth-cookies (Supabase): nodig om je ingelogd te houden tussen sessies. Geen consent vereist onder de AVG.
• Demo-cookie: optionele bypass voor demonstratie-doeleinden (alleen actief in dev/preview).
• Vercel Analytics + Speed Insights: cookieless, geaggregeerde bezoekers-statistieken (pageviews, top-pagina's, Core Web Vitals). Bevat geen persoonsgegevens of unieke ID's. Meer info: vercel.com/docs/analytics/privacy-policy.
• localStorage: bewaart of je de cookie-banner al hebt geaccepteerd of geweigerd. Geen persoonsgegevens.

Analytisch (alleen na toestemming)

• Google Analytics 4 (G-XX3QMXD228): meet hoe bezoekers Workster gebruiken (welke pagina's, welke routes, hoe lang). Plaatst de cookies _ga en _ga_* met een levensduur van maximaal 24 maanden. We draaien Google Consent Mode v2 — zonder accepteren plaatst GA géén cookies en verzamelt het geen identifiers. IP-adressen worden automatisch geanonimiseerd. Je keuze kun je altijd wijzigen door je browser-localStorage voor workster.nl te wissen — de banner verschijnt dan opnieuw.

Je hebt het recht op:

• Inzage in de gegevens die we van je hebben
• Correctie van onjuiste gegevens
• Verwijdering van je account en gegevens
• Beperking van verwerking
• Dataportabiliteit (een export van je gegevens)
• Bezwaar tegen verwerking op basis van gerechtvaardigd belang

Je kunt deze rechten uitoefenen door een e-mail te sturen naar privacy@workster.nl. We reageren binnen 4 weken. Verwijderen kan ook zelfstandig vanuit je dashboard: Profiel → Account verwijderen (werkzoekenden) of Bedrijfsprofiel → Account verwijderen (werkgevers). Je hebt na bevestiging 48 uur om de verwijdering ongedaan te maken; daarna wordt alles definitief verwijderd.

Als je vindt dat we niet zorgvuldig met je gegevens omgaan, hopen we eerst dat je contact met ons opneemt zodat we het op kunnen lossen. Je hebt ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

We kunnen deze privacyverklaring aanpassen. De laatste versie staat altijd op deze pagina; significante wijzigingen melden we per e-mail aan ingelogde gebruikers.