Privacyvoorwaarden Sanaflow

1. Definities

In dit privacybeleid wordt verstaan onder:

• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
• Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
• Verwerking: elke bewerking met betrekking tot persoonsgegevens, zoals verzamelen, opslaan, raadplegen, wijzigen of verwijderen.
• Verwerkingsverantwoordelijke: de organisatie die het doel en de middelen van de verwerking bepaalt (Sanaflow B.V.).
• Verwerker: een derde partij die in opdracht van Sanaflow persoonsgegevens verwerkt.
• Subverwerker: een verwerker die door onze verwerkers wordt ingeschakeld om persoonsgegevens te verwerken.

2. Verantwoordelijke voor de verwerking

Sanaflow B.V. is de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG).

Contactgegevens:

• Bedrijfsnaam: Sanaflow B.V.
• E-mailadres: support@sanaflow.nl
• KvK-nummer: 97792594
• Privacy Officer: Ismaël Zaidi (bereikbaar via support@sanaflow.nl)

3. Welke persoonsgegevens verzamelen wij?

Wij verwerken uitsluitend persoonsgegevens die noodzakelijk zijn voor de uitvoering van onze diensten. Dit kan onder meer omvatten:

• Gebruikersgegevens: naam, e-mailadres, telefoonnummer, functie, inloggegevens.
• Kindgegevens (door ouders/verzorgers aangeleverd): naam, leeftijd, schoolgroep, bijzonderheden die relevant zijn voor deelname aan activiteiten.
• School- en coördinatorgegevens: namen, e-mailadressen, telefoonnummers en rol/functie.
• Technische gegevens: IP-adres, browsergegevens, apparaat-informatie, gebruiksstatistieken binnen het platform.
• Communicatiegegevens: e-mails, berichten via het platform en overige correspondentie.

4. Doeleinden van verwerking

De persoonsgegevens worden verwerkt voor de volgende doeleinden:

1. Uitvoering van onze dienstverlening: coördineren, plannen en beheren van naschoolse activiteiten.
2. Communicatie: informeren van ouders, verzorgers, coördinatoren en aanbieders via e-mail en (indien ingesteld) SMS.
3. Beveiliging en accountbeheer: faciliteren van veilige toegang en beheer van gebruikersaccounts.
4. Verbetering van onze diensten: analyseren van gebruiksstatistieken en optimaliseren van functionaliteiten.
5. Wettelijke verplichtingen: voldoen aan fiscale en administratieve verplichtingen.

5. Rechtsgrond voor verwerking

Wij verwerken persoonsgegevens uitsluitend op basis van een van de volgende grondslagen:

• Toestemming van de betrokkene (bijvoorbeeld bij inschrijving van een kind).
• Uitvoering van een overeenkomst (leveren van de software en diensten).
• Wettelijke verplichting (bijv. fiscale bewaarplicht).
• Gerechtvaardigd belang (zoals verbetering van onze diensten of het beveiligen van systemen).

6. Delen van persoonsgegevens

Wij delen persoonsgegevens uitsluitend met derden indien dit strikt noodzakelijk is:

• IT-dienstverleners en hostingpartners: uitsluitend voor veilige opslag en verwerking van gegevens binnen de Europese Unie.
• Communicatiepartners (bijv. e-mail- of SMS-dienstverleners): uitsluitend voor het verzenden van berichten binnen de EU.
• Scholen en coördinatoren: uitsluitend gegevens die nodig zijn voor uitvoering van naschoolse activiteiten.
• Overheidsinstanties: uitsluitend indien wij hiertoe wettelijk verplicht zijn.

Met alle externe partijen sluiten wij een goedgekeurde verwerkersovereenkomst. Sanaflow B.V. is daarnaast aangesloten bij het Privacyconvenant Onderwijs, waarmee wordt geborgd dat wij voldoen aan de geldende wet- en regelgeving en de afspraken binnen de onderwijssector.

7. Bewaartermijn

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor ze zijn verzameld, tenzij een wettelijke bewaartermijn anders voorschrijft.

• Accountgegevens: zolang de gebruiker actief is op ons platform.
• De persoonsgegevens van leerlingen (zoals naam en klas) worden uitsluitend bewaard voor het kunnen tonen van historische deelname aan activiteiten gedurende hun schoolloopbaan. Deze gegevens worden uiterlijk verwijderd of geanonimiseerd binnen één maand na het einde van het schooljaar waarin de leerling de Onderwijsinstelling verlaat. Op basis van de klasgegevens wordt dit moment ingeschat, zonder dat aanvullende persoonsgegevens hoeven te worden bijgehouden.
• Contactgegevens van ouders/verzorgers (zoals e-mailadres en telefoonnummer) worden uiterlijk verwijderd of geanonimiseerd binnen één maand na het einde van het schooljaar waarin de leerling de Onderwijsinstelling verlaat. Hetzelfde geldt voor aanvullende informatie die zij verstrekken (zoals toestemming om alleen naar huis te gaan, toestemming voor beeldmateriaal en opmerkingen).
• Facturatie- en administratieve gegevens: 7 jaar (wettelijke fiscale bewaarplicht).

8. Beveiliging van gegevens

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, onbevoegde toegang, wijziging en openbaarmaking. Dit omvat o.a.:

• Opslag en verwerking uitsluitend op servers binnen de Europese Unie.
• Encryptie van data in transit (SSL/TLS) en waar mogelijk ook in rust.
• Dagelijkse back-ups, eveneens uitsluitend binnen de EU opgeslagen.
• Strikte toegangscontrole en authenticatie.
• Logging en monitoring van alle toegang tot persoonsgegevens.
• Regelmatige beveiligingsupdates en penetratietests.

9. Rechten van betrokkenen

Betrokkenen hebben op grond van de AVG de volgende rechten:

• Recht op inzage in hun persoonsgegevens.
• Recht op rectificatie van onjuiste gegevens.
• Recht op verwijdering ("recht om vergeten te worden"), tenzij wettelijke bewaarplichten dit verhinderen.
• Recht op beperking van de verwerking.
• Recht op dataportabiliteit.
• Recht van bezwaar tegen verwerking op grond van gerechtvaardigd belang of direct marketing.

Verzoeken kunnen worden gericht aan support@sanaflow.nl (t.a.v. Ismaël Zaidi, Privacy Officer). Wij reageren binnen 30 dagen.

10. Internationale doorgifte

Wij verwerken gegevens binnen de EU. Indien subverwerkers buiten de EU gevestigd zijn, zorgen wij voor verwerking binnen EU-datacenters en passen wij Standard Contractual Clauses (SCC's) toe.

11. Incidenten en datalekken

Sanaflow B.V. hanteert een strikt meldingsprotocol bij beveiligingsincidenten en datalekken. Indien er sprake is van een datalek dat gevolgen heeft voor betrokkenen, zullen wij dit onverwijld melden aan de Autoriteit Persoonsgegevens binnen 72 uur en – indien vereist – de betrokkenen zelf informeren.

12. Aansprakelijkheid

Sanaflow B.V. neemt de grootst mogelijke zorgvuldigheid in acht bij de verwerking van persoonsgegevens. Toch kunnen wij geen absolute garanties geven tegen alle mogelijke risico's.

Onze aansprakelijkheid, uit welke hoofde dan ook, is beperkt tot het bedrag dat in het betreffende geval door onze aansprakelijkheidsverzekering wordt uitgekeerd, vermeerderd met het eigen risico van Sanaflow B.V. Indien om welke reden dan ook geen uitkering krachtens verzekering plaatsvindt, is de aansprakelijkheid van Sanaflow B.V. beperkt tot maximaal het bedrag van de vergoeding die in het betreffende jaar door de betreffende school of organisatie aan ons is betaald voor de dienstverlening.

Wij zijn in geen geval aansprakelijk voor indirecte schade, gevolgschade of gederfde inkomsten.

13. Minderjarigen

Onze diensten worden gebruikt door scholen en ouders/verzorgers voor het inschrijven van kinderen. Gegevens van kinderen jonger dan 16 jaar worden uitsluitend verwerkt met toestemming van een ouder/verzorger of in opdracht van een school.

14. Wijzigingen & versiebeheer

Wij behouden ons het recht voor dit privacybeleid te wijzigen of bij te werken.

• Bij materiële wijzigingen zullen wij betrokkenen (scholen en/of ouders/verzorgers) actief informeren via e-mail of het platform.
• De meest actuele versie is altijd beschikbaar via ons platform.

15. Toepasselijk recht en geschillen

Op dit privacybeleid is uitsluitend Nederlands recht van toepassing. Geschillen die voortvloeien uit of verband houden met dit beleid, worden bij uitsluiting voorgelegd aan de bevoegde rechter te Rotterdam, tenzij dwingend recht een andere bevoegde rechter aanwijst.