Privacybeleid
Dit privacybeleid beschrijft hoe Monto Bleu BV, eigenaar en uitbater van TimeTic, persoonsgegevens verwerkt in het kader van de TimeTic-dienst voor uurregistratie. Het is opgesteld in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR, Verordening EU 2016/679) en de Belgische Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
1. Wie zijn wij?
Monto Bleu BV
Heidebergstraat 14, 3120 Tremelo, België
Ondernemingsnummer / BTW: BE 0543.842.970
Privacy-contact: privacy@timetic.app
Website: https://timetic.app – Applicatie: https://app.timetic.app
In dit beleid noemen we onszelf "TimeTic", "wij" of "ons".
2. Op wie en waarop is dit beleid van toepassing?
Dit beleid geldt voor:
- bezoekers van timetic.app (inclusief het contactformulier);
- klanten en accountbeheerders van app.timetic.app (werkgevers, zaakvoerders, beheerders);
- werknemers die via TimeTic hun uren registreren;
- partners die deelnemen aan ons partnerprogramma;
- prospects en personen die ons contacteren.
3. Onze rol onder GDPR – verwerker of verantwoordelijke?
Welke pet wij ophebben verschilt per gegevensstroom:
| Wie / wat | Onze rol | Verwerkingsverantwoordelijke |
|---|---|---|
| Werknemersdata (uren, GPS, accountgegevens werknemer) | Verwerker | De werkgever die TimeTic gebruikt |
| Bedrijfsaccount, beheerders, facturatie | Verwerkingsverantwoordelijke | TimeTic |
| Partneraccounts en commissiebetalingen | Verwerkingsverantwoordelijke | TimeTic |
| Bezoekers timetic.app + contactformulier | Verwerkingsverantwoordelijke | TimeTic |
Voor werknemersdata is de werkgever verwerkingsverantwoordelijke en is TimeTic louter verwerker volgens art. 28 GDPR. De werkgever bepaalt het doel ("uren registreren conform de wettelijke verplichting") en de middelen ("via TimeTic"). De voorwaarden waaronder TimeTic deze gegevens verwerkt, zijn vastgelegd in de Verwerkersovereenkomst in Bijlage A van dit document, die integraal deel uitmaakt van onze gebruiksovereenkomst met elke zakelijke klant.
4. Welke persoonsgegevens verwerken wij?
4.1 Werknemers (TimeTic = verwerker)
| Categorie | Gegevens | Verzamelmoment |
|---|---|---|
| Identificatie | Voornaam, naam, geslacht, geboortedatum | Bij toevoegen werknemer door werkgever |
| Contact (optioneel) | E-mailadres | Enkel als web-login gewenst is |
| Authenticatie | Persoonlijke pincode (cryptografisch gehasht opgeslagen) | Bij activering |
| Uurregistratie | Tijdstippen van starten, pauzeren en stoppen | Bij elke prik |
| Locatie | GPS-coördinaten (zie §6) | Bij elke prik via mobiele app |
| Audit | Datum/tijd van inlog, gebruikte methode (QR + PIN, tablet, web) | Continu |
Geslacht en geboortedatum worden gevraagd om werknemers met identieke of gelijkaardige namen ondubbelzinnig te kunnen onderscheiden in rapporten en exports.
4.2 Bedrijfsaccounthouders en beheerders (TimeTic = verantwoordelijke)
- Naam, e-mailadres, eventueel functietitel
- Bedrijfsgegevens (firmanaam, KBO/BTW-nummer, adres)
- Aanmeldgegevens (e-mail + cryptografisch gehashte authenticatie)
- Facturatie- en betaalgegevens (verwerkt via Stripe)
- Communicatie met onze support
4.3 Partners
- Bedrijfsgegevens (firmanaam, KBO/BTW-nummer, adres)
- Contactpersoon (naam, e-mail)
- Uitbetalingsgegevens voor commissies (verwerkt via Stripe Connect)
- Toegekende referenties en bijhorende commissies
4.4 Bezoekers timetic.app (contactformulier)
- Naam, e-mailadres, inhoud van het bericht
- Eventuele extra velden die je vrijwillig invult (telefoon, bedrijfsnaam, …)
5. Doeleinden en rechtsgronden
| Doeleinde | Rechtsgrond | Verantwoordelijke |
|---|---|---|
| Uurregistratie en rapportering | Wettelijke verplichting (sociaal strafwetboek; arbeidstijdregistratie) | Werkgever |
| GPS-controle bij prikken | Gerechtvaardigd belang werkgever (correcte tijdsregistratie, mobiele werknemers), kader CAO 81 | Werkgever |
| Aanleveren van de TimeTic-dienst aan de werkgever | Uitvoering overeenkomst | TimeTic |
| Beheer bedrijfsaccount en facturatie | Uitvoering overeenkomst + wettelijke verplichting (boekhoudwet) | TimeTic |
| Partnerprogramma en commissie | Uitvoering overeenkomst | TimeTic |
| Marketing-e-mail (nieuwsbrief, productupdates) | Toestemming (opt-in bij inschrijving) | TimeTic |
| Contactformulier afhandelen | Gerechtvaardigd belang / pre-contractuele stappen | TimeTic |
| Beveiliging, fraudedetectie en misbruikbestrijding | Gerechtvaardigd belang | TimeTic |
Toestemming voor marketing kan je op elk moment intrekken via de uitschrijflink in elke e-mail of via privacy@timetic.app.
6. GPS-locatiegegevens – bijzondere bepalingen
Wanneer een werknemer via de mobiele applicatie prikt (start, pauze, stop), wordt op dat moment de GPS-locatie van het toestel uitgelezen. Deze locatiegegevens:
- worden enkel uitgelezen op het moment van een prik, niet doorlopend;
- worden mee bewaard in de uurregistratierapporten van de werkgever;
- hebben een nauwkeurigheid van enkele meters;
- zijn enkel zichtbaar voor de werkgever en zijn aangestelde beheerders.
Toestemming op toestelniveau: De besturingssystemen (iOS / Android) vragen de werknemer expliciet om toestemming voor het delen van locatie met de TimeTic-app. Zonder die toestemming kan er via de mobiele app niet geprikt worden. Alternatief kan worden ingeklokt via een gedeeld toestel (tablet) op de werkplek met persoonlijke pincode, voor zover dat past binnen de organisatie van de werkgever.
Verplichtingen van de werkgever: De werkgever is verantwoordelijk voor het naleven van de Belgische regels rond werknemerstoezicht, in het bijzonder CAO nr. 81 en het beginsel van voorafgaande, transparante informatie aan zijn werknemers. TimeTic stelt enkel het technisch kader ter beschikking; de werkgever moet zijn interne procedures, communicatie en eventuele overlegverplichtingen zelf invullen.
Vergelijking met vooraf bepaalde werkplekken: De werkgever kan in zijn account één of meerdere werkplekken instellen waar werknemers geacht worden in te klokken. Bij elke prik vergelijkt TimeTic de doorgegeven GPS-coördinaten met die werkplekken en geeft het resultaat aan de werkgever weer via een kleurcode in de rapporten (bijvoorbeeld groen wanneer de prik binnen de verwachte zone valt, oranje of rood bij afwijking). TimeTic blokkeert prikken niet automatisch op basis van die controle; de werkgever beslist zelf hoe hij omgaat met afwijkingen.
7. Bewaartermijnen
| Gegeven | Bewaartermijn |
|---|---|
| Uurregistraties (incl. GPS) | 5 jaar, wettelijke bewaarplicht |
| Werknemersaccount (basisgegevens) | Zo lang het account actief is bij de werkgever; daarna gepseudonimiseerd binnen de 5-jaar-bewaarperiode op de uurregistraties |
| E-mailadres web-login werknemer | Zo lang het account actief is, de werkgever beslist wanneer hij het sluit |
| Bedrijfsaccount (klant) | Voor de duur van de overeenkomst + 7 jaar voor facturatiedata (boekhoudwet) |
| Partneraccount | Voor de duur van het partnerschap + 7 jaar voor uitbetalingsdata |
| Contactformulier-berichten | Maximaal 24 maanden, tenzij een klantrelatie is ontstaan |
| Toegangs- en beveiligingslogs | 12 maanden |
| Backups | Maximaal 90 dagen, daarna automatisch overschreven |
| Marketing-toestemmingen | Tot intrekking van de toestemming, daarna direct verwijderd uit de mailinglijst |
Beëindiging door de werkgever: Wanneer een werkgever zijn TimeTic-account opzegt, leveren wij de volledige uurregistratiegeschiedenis (tot 5 jaar) van alle werknemers af aan de hoofdaccountbeheerder via een beveiligd kanaal. Zo voldoet de werkgever aan zijn wettelijke bewaarplicht. Daarna verwijderen wij de actieve gegevens uit ons productiesysteem (rekening houdend met onze backupcyclus). Het is de verantwoordelijkheid van de werkgever om met deze gegevens veilig om te gaan na overdracht.
"Verwijderen" door beheerder: Wanneer een beheerder een werknemer verwijdert binnen het account, wordt het account gesloten maar blijven de uurregistraties (en de daaraan gekoppelde minimale identificatiegegevens) bewaard zolang de wettelijke bewaarplicht loopt. Volledige verwijdering volgt na het verstrijken van die termijn.
8. Met wie delen wij persoonsgegevens? (sub-verwerkers)
Wij delen persoonsgegevens enkel met sub-verwerkers die gelijkaardige of strengere veiligheidsstandaarden hanteren als wijzelf, en uitsluitend voor de hieronder vermelde doeleinden.
| Sub-verwerker | Doel | Locatie |
|---|---|---|
| Supabase (Supabase Inc., via EU-regio) | Database en authenticatie | EU |
| Resend (Resend Inc.) | Verzending van transactionele e-mail (welkomstmails, magic links) | EU |
| Stripe Payments Europe Ltd. | Betaalverwerking en partneruitbetalingen | Ierland (EU), kan beperkte internationale doorgifte inhouden voor fraudepreventie |
| Vercel Inc. | Hosting van app.timetic.app (frontend en API) | EU-regio met SCC's voor support vanuit de VS |
| Cloudflare Inc. | DNS, beveiliging en bot-bescherming (Turnstile) | Wereldwijd edge-netwerk met SCC's |
We verkopen persoonsgegevens nooit aan derden en gebruiken ze niet voor reclame of profilering.
9. Doorgifte buiten de Europese Economische Ruimte
Onze primaire infrastructuur (database, hosting, mailing) bevindt zich in de EU. Voor sommige sub-verwerkers (Stripe, Vercel, Cloudflare) kan in beperkte mate ondersteunende verwerking buiten de EER plaatsvinden. In dat geval steunt de doorgifte op de Standard Contractual Clauses (SCC) van de Europese Commissie, aangevuld met passende technische maatregelen (versleuteling tijdens transport en in rust).
10. Beveiliging
Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, misbruik of ongeoorloofde toegang. Onder meer:
- Versleuteling tijdens transport: alle communicatie loopt over TLS;
- Versleutelde authenticatie: pincodes en wachtwoorden worden enkel als cryptografische hash bewaard, nooit in leesbare vorm;
- Toegangscontrole op het principe van "least privilege", met gescheiden omgevingen voor productie en testing;
- Audit-logging van administratieve handelingen;
- Monitoring van verdachte activiteit en automatische bot-bescherming op aanmeld- en registratieformulieren;
- Periodieke evaluatie en updates van onze beveiligingsmaatregelen.
Specifieke technische details worden niet publiek gedeeld om geen aanvalsoppervlakte te creëren. Vermoed je een datalek of misbruik? Mail ons onmiddellijk op privacy@timetic.app.
11. Cookies
app.timetic.app plaatst momenteel enkel strikt noodzakelijke en functionele cookies. We zetten op dit moment geen analytics-, marketing- of trackingcookies in op de applicatie. Indien daar in de toekomst verandering in komt (bijvoorbeeld voor het meten van conversies of het optimaliseren van onze website), passen wij dit beleid aan en voorzien wij (waar wettelijk vereist) vooraf een toestemmingsmechanisme zoals beschreven in artikel 11.4.
11.1 Strikt noodzakelijke cookies
| Naam | Doel | Levensduur |
|---|---|---|
sb-…-auth-token |
Bewaart je Supabase-sessie zodat je ingelogd blijft | 30 dagen |
sb-…-auth-token-code-verifier |
Cryptografische verifier voor magic-link aanmelden | Sessie (max 1 u) |
cf_* |
Cloudflare Turnstile bot-bescherming op login / registratie | Kortstondig |
11.2 Functionele cookies
| Naam | Doel | Levensduur |
|---|---|---|
referral_code |
Onthoudt via welke partner je TimeTic ontdekt hebt, voor commissietoekenning | 90 dagen |
referral_sig |
Cryptografische handtekening tegen manipulatie van referral_code |
90 dagen |
Eerstepartij-cookies zijn waar mogelijk Secure, HttpOnly en SameSite=Lax.
11.3 Waarom geen cookie-consent-banner?
Onder art. 5(3) van de e-Privacy Richtlijn (in BE: art. 129 §2 Wet Elektronische Communicatie) is toestemming niet vereist voor cookies die strikt noodzakelijk zijn voor de door de gebruiker uitdrukkelijk gevraagde dienst. Alle bovenstaande cookies vallen onder die uitzondering.
11.4 Toekomstige cookies
Indien wij in de toekomst cookies zouden plaatsen die wél toestemming vereisen (bijvoorbeeld analytics of conversiemetingen), introduceren wij vooraf een cookie-consent-banner en passen we dit beleid aan.
11.5 Beheer
Je kan cookies altijd verwijderen via de instellingen van je browser. Zonder de Supabase-sessiecookie kan je niet aangemeld blijven en moet je opnieuw aanmelden.
12. Jouw rechten
Onder de AVG heb je de volgende rechten:
- Recht op inzage in je persoonsgegevens
- Recht op correctie van onjuiste gegevens
- Recht op verwijdering ("recht op vergetelheid"), behoudens wettelijke bewaarplichten (zie §7)
- Recht op beperking van de verwerking
- Recht op overdraagbaarheid van je gegevens
- Recht op bezwaar tegen verwerking op basis van gerechtvaardigd belang
- Recht om je toestemming in te trekken (voor verwerkingen op basis van toestemming)
- Recht om geen geautomatiseerde beslissing met rechtsgevolg te ondergaan: wij nemen die niet
Hoe oefen je deze rechten uit?
- Ben je werknemer en wil je rechten uitoefenen op uurregistratie- of GPS-data? Richt je in eerste instantie tot je werkgever, die als verwerkingsverantwoordelijke het aanspreekpunt is. Wij ondersteunen werkgevers bij elk gegrond verzoek.
- Ben je klant, partner of bezoeker? Mail ons op privacy@timetic.app. We reageren binnen 30 dagen, conform art. 12 AVG.
Klachten
Niet tevreden over hoe wij met je gegevens omgaan? Je kan altijd klacht indienen bij de Gegevensbeschermingsautoriteit (GBA):
Drukpersstraat 35, 1000 Brussel – contact@apd-gba.be – www.gegevensbeschermingsautoriteit.be
13. Wijzigingen aan dit beleid
Wij kunnen dit beleid aanpassen, bijvoorbeeld bij wetswijzigingen, nieuwe functionaliteiten of nieuwe sub-verwerkers. De actuele versie is steeds raadpleegbaar op timetic.app (in elke beschikbare taalversie van de site) met versienummer en datum. Belangrijke wijzigingen communiceren we proactief aan onze klanten.
14. Contact
Voor alle privacy-gerelateerde vragen, gegevensrechten, klachten of meldingen van datalekken: privacy@timetic.app. E-mail is hiervoor ons enige kanaal, zo blijft alles traceerbaar.
15. Toepasselijk recht en bevoegde rechtbank
Op dit privacybeleid is Belgisch recht van toepassing. In geval van geschil zijn uitsluitend de rechtbanken van het arrondissement Leuven bevoegd, onverminderd de mogelijkheid voor consumenten om een klacht in te dienen bij de bevoegde toezichthouder of de rechtbank van hun woonplaats wanneer de wet dit dwingend voorschrijft.
Bijlage A – Verwerkersovereenkomst (DPA)
Deze verwerkersovereenkomst (hierna "DPA") maakt integraal deel uit van de overeenkomst tussen Monto Bleu BV ("Verwerker") en de zakelijke gebruiker van TimeTic ("Verwerkingsverantwoordelijke"), hierna gezamenlijk de "Partijen".
A.1 Voorwerp
De Verwerkingsverantwoordelijke geeft de Verwerker de opdracht persoonsgegevens te verwerken in het kader van het leveren van de TimeTic-dienst voor uurregistratie van werknemers.
A.2 Aard, duur en doel van de verwerking
- Aard: opslag, raadpleging, structurering, exporteren en verwijderen van uurregistratie- en bijhorende werknemersdata.
- Doel: het naleven door de Verwerkingsverantwoordelijke van de wettelijke verplichtingen rond arbeidstijdregistratie en het beheer van zijn personeelstijd.
- Duur: voor de duur van de overeenkomst tussen Partijen, vermeerderd met de wettelijke bewaarplichten daarna.
A.3 Categorieën betrokkenen en gegevens
- Betrokkenen: werknemers, freelancers en andere tewerkgestelde personen van de Verwerkingsverantwoordelijke.
- Gegevens: zoals beschreven in §4.1 van het privacybeleid (identificatie, authenticatie, uurregistratie, GPS, audit-logs).
A.4 Verplichtingen van de Verwerker
De Verwerker:
- verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, behoudens andersluidende wettelijke verplichting;
- waarborgt dat personen die toegang hebben tot persoonsgegevens gehouden zijn aan vertrouwelijkheid;
- neemt passende technische en organisatorische maatregelen conform art. 32 GDPR (zie §10 privacybeleid);
- zet sub-verwerkers enkel in mits voorafgaande algemene toestemming (zie §8 privacybeleid); de Verwerkingsverantwoordelijke kan tegen toevoeging van een nieuwe sub-verwerker bezwaar maken binnen 14 dagen na kennisgeving;
- ondersteunt de Verwerkingsverantwoordelijke bij verzoeken van betrokkenen, datalekken (art. 33 GDPR) en gegevensbeschermingseffectbeoordelingen (art. 35 GDPR);
- meldt een datalek aan de Verwerkingsverantwoordelijke binnen 48 uur na kennisname, met de informatie nodig om diens meldplicht aan de GBA na te komen;
- verwijdert of retourneert na beëindiging van de overeenkomst alle persoonsgegevens, behoudens wettelijke bewaarplichten;
- stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking om de naleving van art. 28 GDPR aan te tonen, en maakt audits mogelijk op redelijke kennisgeving en op kosten van de Verwerkingsverantwoordelijke.
A.5 Verplichtingen van de Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke:
- zorgt zelf voor een geldige rechtsgrond voor de verwerking;
- informeert zijn werknemers over de verwerking conform art. 13 GDPR en CAO nr. 81 voor zover van toepassing;
- respecteert overlegprocedures met de ondernemingsraad of vakbondsafvaardiging waar wettelijk vereist;
- gebruikt TimeTic conform de gebruiksvoorwaarden;
- is verantwoordelijk voor de veilige bewaring van geëxporteerde data na beëindiging.
A.6 Sub-verwerkers
Algemene toestemming wordt gegeven voor de sub-verwerkers vermeld in §8 van het privacybeleid. De Verwerker kan deze lijst wijzigen mits voorafgaande kennisgeving van minstens 14 dagen via e-mail of in-app-melding.
A.7 Doorgifte buiten EER
Doorgifte buiten de EER vindt enkel plaats onder de voorwaarden vermeld in §9 van het privacybeleid (SCC's en aanvullende technische maatregelen).
A.8 Aansprakelijkheid
De aansprakelijkheid van Partijen onder deze DPA is onderworpen aan de aansprakelijkheidsbeperkingen uit de hoofdovereenkomst, behoudens wettelijke uitzonderingen onder art. 82 GDPR.
A.9 Toepasselijk recht
Deze DPA wordt beheerst door het Belgisch recht. Geschillen behoren tot de uitsluitende bevoegdheid van de rechtbanken te Leuven.
Versie 1.0 – 6 mei 2026 – Monto Bleu BV