Privacyverklaring

Versie 1.0 — laatst bijgewerkt op 22 mei 2026

PDF op aanvraag — mail info@wtta-audit.nl

Versie 1.0 — geldig vanaf 20 mei 2026 De verwerkingsverantwoordelijke voor de in deze Privacyverklaring beschreven verwerkingen is: WTTA-Audit.nl B.V. Havenstraat 64, 1271 AG Huizen E-mail: info@wtta-audit.nl Website: www.wtta-audit.nl Voor vragen over deze Privacyverklaring of de uitoefening van uw rechten als betrokkene kunt u contact opnemen via bovenstaand e-mailadres.

3. Onze rol: verwerker én verwerkingsverantwoordelijke

Bij de uitvoering van onze diensten vervullen wij twee verschillende rollen onder de AVG. Het is belangrijk dat u dit onderscheid begrijpt, omdat de toepasselijke regels per rol verschillen.

3.1 WTTA-Audit als verwerker

Voor het overgrote deel van de gegevens die u via ons Platform verwerkt — met name de inhoud van loonstroken, urenregistraties, kolommenbalansen, KvK-uittreksels, G-rekeningafschriften en andere documenten die u uploadt — treden wij op als verwerker in opdracht van uw werkgever of opdrachtgever (de klant van WTTA-Audit, hierna het "Bedrijf"). Het Bedrijf is in dat geval de verwerkingsverantwoordelijke en bepaalt het doel en de middelen van de verwerking. Wij verwerken die gegevens uitsluitend op basis van de instructies van het Bedrijf, zoals vastgelegd in onze Verwerkersovereenkomst. Indien u medewerker bent van een Bedrijf dat WTTA-Audit gebruikt en u vragen heeft over de verwerking van uw persoonsgegevens uit loonstroken of andere documenten van uw werkgever, dan dient u zich in eerste instantie tot uw werkgever te wenden. Wij verwijzen verzoeken tot uitoefening van rechten in beginsel door naar het Bedrijf.

3.2 WTTA-Audit als verwerkingsverantwoordelijke

Voor een aantal andere verwerkingen zijn wij wél zelfstandig verwerkingsverantwoordelijke. Het gaat dan om de verwerkingen die nodig zijn om ons eigen bedrijf te runnen en om onze diensten te kunnen leveren, beveiligen en doorontwikkelen. Deze Privacyverklaring beschrijft die verwerkingen.

4. Welke persoonsgegevens verwerken wij?

Afhankelijk van de manier waarop u met ons in contact staat, verwerken wij onder meer de volgende categorieën van persoonsgegevens.

4.1 Account- en contactgegevens

Wanneer een Bedrijf een Account aanmaakt en gebruikers toevoegt, verwerken wij van die gebruikers: naam, zakelijk e-mailadres, telefoonnummer (optioneel), functietitel, gebruikersrol binnen het Account en versleuteld opgeslagen wachtwoord.

4.2 Bedrijfsgegevens

Van het Bedrijf zelf verwerken wij: handelsnaam, vestigingsadres, KvK-nummer, btw-nummer, IBAN (voor facturatie), naam en functie van contactpersonen, en informatie over het gekozen abonnement en het gebruik van Credits.

4.3 Gebruiks- en loggegevens

Bij het gebruik van het Platform verwerken wij automatisch: IP-adres, browsertype en -versie, besturingssysteem, taalvoorkeur, tijdstip en duur van bezoeken, gebruikte functionaliteiten, foutmeldingen en logbestanden ten behoeve van beveiliging en troubleshooting.

4.4 Communicatiegegevens

Wanneer u contact met ons opneemt via e-mail, support of een formulier op de website, verwerken wij de inhoud van die communicatie, uw contactgegevens en eventuele bijlagen.

4.5 Loonstrookgegevens (in onze rol als verwerker)

Wanneer een Bedrijf loonstroken uploadt, verwerken wij de daarop voorkomende persoonsgegevens van medewerkers in opdracht van dat Bedrijf. Het gaat onder meer om: naam, adres, geboortedatum, personeelsnummer, functie, CAO-inschaling, loon, toeslagen, gewerkte uren, vakantiegeld en overige loonstrookelementen die nodig zijn voor de vergelijking met de gelijkwaardige beloning conform de Cao voor Uitzendkrachten 2026 en het WTTA-stelsel. Burgerservicenummers (BSN) worden door het Platform versleuteld opgeslagen met behulp van een KMS-encryptiesleutel in een Europees datacenter. Wij verwerken BSN op basis van artikel 9 lid 2 sub b en artikel 9 lid 2 sub g AVG juncto de Waadi en de Wet aanpak schijnconstructies: het BSN is noodzakelijk om bij een audit door een geaccrediteerde inspectie-instelling of toezichthouder de identiteit van een uitzendkracht eenduidig te kunnen koppelen aan zijn loonstrookgegevens en aan de door de opdrachtgever aangeleverde arbeidsvoorwaarden (SETU). Het BSN wordt niet getoond in de gebruikersinterface, niet in rapporten, niet in e-mails en niet in logbestanden; ontsleuteling vindt uitsluitend plaats binnen een afgeschermde audit-functie en wordt elke keer geregistreerd in een audit-trail. Toegang tot deze functie is beperkt tot daartoe gemachtigde gebruikers binnen het Bedrijf.

5. Voor welke doeleinden en op welke grondslag verwerken wij persoonsgegevens?

Wij verwerken persoonsgegevens uitsluitend voor zover dat noodzakelijk is voor één of meer van de volgende doeleinden. Hieronder vermelden wij per doeleinde de juridische grondslag onder artikel 6 AVG.

Wanneer wij persoonsgegevens verwerken op basis van een gerechtvaardigd belang, hebben wij een afweging gemaakt tussen ons belang (bijvoorbeeld bij beveiliging of klantbehoud) en uw rechten en vrijheden. U heeft het recht bezwaar te maken tegen verwerkingen op deze grondslag (zie hoofdstuk 9).

6. Geautomatiseerde verwerking en AI

Het Platform maakt gebruik van geautomatiseerde technieken, waaronder optische tekenherkenning (OCR) en kunstmatige intelligentie, om gegevens uit geüploade loonstroken uit te lezen en om vergelijkingen uit te voeren tegen de elf elementen van het loonverhoudingsvoorschrift uit het SNA-normenkader (SNA Handboek Normen 26.01 + Wtta-normenkader uit Staatscourant 2026, 6946). Deze geautomatiseerde verwerkingen vormen geen geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg in de zin van artikel 22 AVG. Het Platform genereert classificaties ("conform", "attentie", "overtreding") als signalering en hulpmiddel; de uiteindelijke beoordeling van een uitzending, het herstellen van eventuele afwijkingen en de besluitvorming richting medewerker, inlener of Inspectie-instelling worden altijd door een mens (medewerker van het Bedrijf) genomen. Voor de AI-uitlezing maken wij gebruik van zorgvuldig geselecteerde leveranciers. Wij gebruiken loonstrookgegevens niet om generieke AI-modellen van leveranciers te trainen.

7. Met wie delen wij persoonsgegevens?

Wij verkopen persoonsgegevens niet aan derden. Wij delen persoonsgegevens uitsluitend in de volgende gevallen:

7.1 Sub-verwerkers

Wij maken bij de uitvoering van onze diensten gebruik van zorgvuldig geselecteerde sub-verwerkers. Met elk van deze sub-verwerkers hebben wij een verwerkersovereenkomst gesloten waarin wordt geregeld dat zij persoonsgegevens uitsluitend in opdracht van ons verwerken, met passende beveiligingsmaatregelen en in overeenstemming met de AVG. Op het moment van publicatie van deze Privacyverklaring betreft het onder meer:

  • Onze cloudhosting-leverancier — hosting van het Platform in Europese datacenters (regio Frankfurt);
  • Leveranciers van AI- en OCR-technologie voor de uitlezing van loonstroken;
  • Aanbieders van elektronische handtekeningdiensten — uitsluitend na activering van de PAdES-handtekening (zie de gefaseerde uitrol in Artikel 3.5 van de Gebruiksvoorwaarden);
  • Leveranciers van e-mail-, support- en helpdesksoftware;
  • Boekhoud- en facturatiesoftware en betaaldienstverleners;
  • Aanbieders van monitoring-, analyse- en beveiligingsdiensten.

Een actuele lijst van sub-verwerkers is op aanvraag beschikbaar voor klanten van WTTA-Audit en is daarnaast als bijlage bij de Verwerkersovereenkomst opgenomen.

7.2 Andere ontvangers

Daarnaast kunnen wij persoonsgegevens delen met:

  • Onze accountant, boekhouder en juridisch adviseur, voor zover dat nodig is voor onze bedrijfsvoering;
  • Bevoegde autoriteiten, indien wij daartoe op grond van toepasselijke wet- en regelgeving verplicht zijn (bijvoorbeeld de Belastingdienst, toezichthouders, politie of de Autoriteit Persoonsgegevens);
  • Partijen die zijn betrokken bij een eventuele fusie, overname of reorganisatie van WTTA-Audit, mits zij gebonden zijn aan passende geheimhoudings- en verwerkingsafspraken.

7.3 Doorgifte buiten de EER

Wij streven ernaar persoonsgegevens binnen de Europese Economische Ruimte (EER) te verwerken. De primaire hostinglocatie voor het Platform bevindt zich in Europese datacenters (regio Frankfurt). Indien voor specifieke ondersteunende diensten (bijvoorbeeld bepaalde monitoring- of beveiligingsdiensten) een doorgifte naar landen buiten de EER nodig is, vindt deze doorgifte uitsluitend plaats op basis van een door de Europese Commissie genomen adequaatheidsbesluit, op basis van Standaardcontractbepalingen ("SCC"s) aangevuld met passende aanvullende waarborgen, of op basis van een andere in de AVG voorziene grondslag voor doorgifte naar derde landen.

8. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld, of zoals voorgeschreven door wet- en regelgeving. Wij hanteren onder meer de volgende bewaartermijnen:

  • Account- en gebruiksgegevens: voor de duur van het Account, plus maximaal twaalf (12) maanden na beëindiging, waarna gegevens worden verwijderd of geanonimiseerd. Het Bedrijf wordt voorafgaand aan verwijdering in de gelegenheid gesteld de eigen data te downloaden;
  • Loonstrook- en dossierdata (verwerker-rol): conform de instructies van het Bedrijf; bij beëindiging van het Abonnement wordt deze data verwijderd na een redelijke termijn van ten minste dertig (30) dagen. Op verzoek van het Bedrijf kan dit eerder gebeuren;
  • Facturatie- en boekhoudgegevens: zeven (7) jaar, conform de fiscale bewaarplicht (artikel 52 AWR);
  • Communicatie met klantenservice: drie (3) jaar na laatste contact;
  • Beveiligings- en logbestanden: in beginsel maximaal twaalf (12) maanden;
  • Marketinggegevens van prospects: tot intrekking van toestemming, en uiterlijk drie (3) jaar na het laatste contactmoment;
  • Burgerservicenummers (BSN): worden versleuteld bewaard zolang het bijbehorende medewerker-dossier actief is bij het Bedrijf; bij verwijdering van het dossier of beëindiging van het Abonnement worden het BSN en de bijbehorende encryptiesleutels onomkeerbaar vernietigd binnen dertig (30) dagen, behoudens een fiscale of audit-rechtelijke bewaarplicht;
  • Gegevens die nodig zijn voor de vaststelling, uitoefening of verdediging van rechtsvorderingen: tot de relevante verjaringstermijn is verstreken.

9. Uw rechten als betrokkene

U heeft op grond van de AVG de volgende rechten met betrekking tot uw persoonsgegevens:

  • Recht op inzage: u kunt opvragen welke persoonsgegevens wij van u verwerken;
  • Recht op rectificatie: u kunt verzoeken om correctie van onjuiste of onvolledige gegevens;
  • Recht op verwijdering ("recht om vergeten te worden"): u kunt verzoeken om verwijdering van uw gegevens, voor zover wij geen wettelijke of contractuele grondslag hebben om deze te bewaren;
  • Recht op beperking van de verwerking: u kunt verzoeken om verwerking van uw gegevens tijdelijk stop te zetten;
  • Recht op dataportabiliteit: u kunt verzoeken om uw gegevens in een gangbaar, gestructureerd en machineleesbaar formaat te ontvangen of rechtstreeks aan een andere verwerkingsverantwoordelijke over te dragen;
  • Recht van bezwaar: u kunt bezwaar maken tegen verwerkingen op grond van gerechtvaardigd belang, waaronder verwerking voor direct marketing;
  • Recht om toestemming in te trekken: indien een verwerking op uw toestemming is gebaseerd, kunt u die toestemming op elk moment intrekken zonder dat dit afbreuk doet aan de rechtmatigheid van verwerkingen voorafgaand aan de intrekking;
  • Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl).

U kunt uw rechten uitoefenen door een verzoek te sturen naar het in hoofdstuk 2 genoemde e-mailadres. Wij reageren binnen één (1) maand op uw verzoek. In complexe gevallen kunnen wij deze termijn verlengen met maximaal twee (2) maanden, waarover wij u dan binnen één (1) maand informeren. Om uw identiteit vast te stellen, kunnen wij u vragen om aanvullende informatie. Indien u medewerker bent van een Bedrijf dat WTTA-Audit gebruikt en uw verzoek betrekking heeft op gegevens uit loonstroken of andere documenten van uw werkgever, verwijzen wij u door naar uw werkgever, die voor die verwerking de verwerkingsverantwoordelijke is.

10. Beveiliging

Wij hebben passende technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligen tegen verlies, misbruik of onbevoegde toegang, wijziging of verstrekking. Tot deze maatregelen behoren onder meer:

  • Versleuteling van persoonsgegevens in transport (TLS) en in rust (encryption-at-rest);
  • Strikte data-isolatie per tenant: gegevens van klant A komen technisch niet bij klant B;
  • Hosting binnen de EER, in de regio Frankfurt;
  • Toegangsbeheer op basis van rol en het principe van minimale toegang ("least privilege");
  • Logging en monitoring van toegang tot persoonsgegevens;
  • Periodieke beveiligingstests en kwetsbaarheidsscans;
  • Geheimhoudingsverklaringen voor medewerkers en sub-verwerkers;
  • Een vastgestelde procedure voor het melden en afhandelen van datalekken.

Indien zich onverhoopt een datalek voordoet dat tot een risico voor betrokkenen kan leiden, melden wij dit binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens en, waar vereist, aan de betrokkenen en/of het betrokken Bedrijf.

11. Cookies en vergelijkbare technieken

Op onze website www.wtta-audit.nl en in het Platform maken wij gebruik van cookies en vergelijkbare technieken. Een gedetailleerd overzicht van de gebruikte cookies, hun doel en bewaartermijnen vindt u in onze Cookieverklaring op www.wtta-audit.nl/cookies. Voor het plaatsen van niet-functionele cookies (zoals analytische cookies waarvoor geen uitzondering geldt, en marketing-cookies) vragen wij uw toestemming via een cookiebanner. U kunt uw cookie-instellingen op elk moment aanpassen via de cookiebanner.

12. Kinderen

Onze Diensten zijn niet gericht op kinderen onder de 16 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen onder de 16 jaar. Indien u meent dat wij dergelijke gegevens onbedoeld hebben verzameld, neem dan contact met ons op, dan zullen wij deze gegevens zo spoedig mogelijk verwijderen.

13. Wijzigingen in deze Privacyverklaring

Wij kunnen deze Privacyverklaring van tijd tot tijd wijzigen, bijvoorbeeld bij wijzigingen in onze dienstverlening, bij nieuwe wettelijke verplichtingen of bij voortschrijdend inzicht. De meest recente versie is te raadplegen op www.wtta-audit.nl/privacy. Bij ingrijpende wijzigingen die u rechtstreeks raken, zullen wij u hierover actief informeren via een melding op het Platform en/of per e-mail.

— Einde Privacyverklaring —

| Doeleinde | Soort gegevens | Grondslag (art. 6 AVG) | |---|---|---| | Account aanmaken en beheren | Account- en contactgegevens, bedrijfsgegevens | Uitvoering van de overeenkomst (art. 6 lid 1 sub b) | | Leveren van de Diensten | Account-, gebruiks- en communicatiegegevens | Uitvoering van de overeenkomst (art. 6 lid 1 sub b) | | Facturatie en boekhouding | Bedrijfsgegevens, IBAN, factuurgegevens | Uitvoering overeenkomst en wettelijke verplichting (art. 6 lid 1 sub b en c) | | Klantenservice en support | Communicatiegegevens, account- en contactgegevens | Uitvoering van de overeenkomst (art. 6 lid 1 sub b) | | Beveiliging, fraudepreventie en logging | Gebruiks- en loggegevens, IP-adres | Gerechtvaardigd belang (art. 6 lid 1 sub f) | | Doorontwikkeling op basis van geanonimiseerde data | Geaggregeerde, geanonimiseerde gegevens (géén persoonsgegevens) | Geen AVG-grondslag nodig (geen persoonsgegevens) | | Direct marketing aan bestaande klanten | Account- en contactgegevens | Gerechtvaardigd belang (art. 6 lid 1 sub f), met opt-out | | Nieuwsbrief en marketing aan prospects | Naam en e-mailadres | Toestemming (art. 6 lid 1 sub a) | | Naleven wettelijke verplichtingen | Diverse gegevens, afhankelijk van de verplichting | Wettelijke verplichting (art. 6 lid 1 sub c) | | Vaststelling, uitoefening of verdediging in rechte | Alle relevante gegevens | Gerechtvaardigd belang (art. 6 lid 1 sub f) |