Privacy Policy – 29 July 2024
This "Privacy Policy" regulates the processing of your personal data by co-controllers: COMPLI B.V., Chamber of Commerce number 88171833, located at John M. Keynepleis 10, 1060 EP in Amsterdam, hereinafter referred to as: "Compli".
Please read this Privacy Policy carefully, as it contains essential information about how your personal data is processed. This privacy policy is inextricably linked to the Joint Controllers Regulations in the appendix.
General provisions
Compli is offered to your employer, client, contractor and/or manager (hereinafter: "Client") to ensure that persons working on a project comply with the applicable laws and regulations as well as to provide access and attendance registration.
The Client will then make the use of Compli available to you before the start of the work. This means that the Client is a 'Controller' within the meaning of the General Data Protection Regulation (hereinafter: "GDPR") with regard to the Personal Data processed by Compli ('the means').
GDPR Concepts
• "Personal Data" means any information relating to an identified or identifiable natural person;
• "Processing": any operation or set of operations concerning personal data, including collection, transmission, recording, dissemination, organisation, making available, storage, alignment, adaptation, combination, alteration, restriction, retrieval, erasure, consultation, use and destruction;
• 'Data subjects': the person to whom personal data relates.
Scope
This Privacy Policy applies to all processing, fully or partially automated, of personal data. It also applies to the non-automatic processing of personal data contained in a filing system or intended for that purpose. The Privacy Policy applies to anyone who carries out work on a project where COMPLI is applied.
Purpose and processing of personal data
The purpose of this policy is to:
1. protect the privacy of data subjects whose personal data is processed against misuse and against incorrect processing of personal data; and
2. prevent personal data from being processed for a purpose other than the purpose for which it was collected; and
3. to guarantee the rights of data subjects.
Only those personal data that have been lawfully obtained are processed. Processing of the personal data will only take place for the following categories of processing:
a) correct administration of third parties in accordance with the applicable laws and regulations;
b) access and attendance administration to a location/project.
Compli processes Personal Data as soon as a Compli profile is created by a 'Client', and the Personal Data of the person who will be working on a project on behalf of the 'Client'.
Security
Compli shall take all appropriate technical and organisational measures to protect Personal Data against loss or any form of unlawful processing.
Compli takes appropriate technical and organisational measures to prevent the loss or unlawful processing of personal data. These measures guarantee an appropriate level of security, taking into account the risks involved in the processing and the nature of the data to be protected. The measures are also aimed at preventing unnecessary collection and further processing of personal data.
Confidentiality
Anyone who obtains Personal Data of which he knows or can reasonably suspect the confidential nature and who is not already subject to a duty of confidentiality with regard to the personal data by virtue of profession, position or statutory regulation, is obliged to maintain confidentiality. This does not apply if any statutory provision obliges him to publish or if the need for publication arises from his task in the implementation of these regulations.
Anyone who is notified of a (possible) data breach is obliged to report this to Compli without delay. COMPLI will immediately notify the data subject of a data breach if the breach is likely to have adverse consequences for his or her privacy and will report it to the Dutch Data Protection Authority via the following link: https://datalekken.autoriteitpersoonsgegevens.nl
Data Subject Rights
1. The data subject has the right to access processed data relating to his or her person (right of access).
2. The data subject shall have the right to rectification of inaccurate Personal Data concerning him or her or the right to provide a supplementary statement where the processing is carried out on the basis of incomplete data. The Data Controller is obliged to inform any recipient to whom Personal Data has been disclosed of any rectification, unless this is impossible or requires a disproportionate effort.
3. In certain cases, the controller is obliged to erase Personal Data of the data subject without undue delay (right to erasure) at the request of the data subject. This is the case, among other things, if:
a) the personal data are no longer necessary for the purposes of the data processing;
b) the data subject withdraws his or her consent and there is no other legal basis for processing;
c) the data subject objects to the processing;
d) the Personal Data has been unlawfully processed.
4. The data subject has the right to data portability of his or her Personal Data.
5. The data subject has the right to restriction of processing (i.e. that the Personal Data may not be processed (temporarily), if:
a) the Personal Data may be inaccurate;
b) the processing is unlawful but the data subject does not yet want it erased;
c) the Personal Data is no longer necessary for the purpose for which it was collected, but the data subject still needs it for a legal claim;
d) object to the processing of the Personal Data.
Within one month of receipt of the request from the data subject, the controller will inform him in writing of the execution of the request. This also happens if the request will not be carried out. A refusal to comply with the request will be motivated and the data subject will be informed of the possibility of submitting a complaint to the Dutch Data Protection Authority. If more time is needed to respond to the request, the data subject will be informed within one month. The additional time required will be a maximum of two months.
If a data subject is of the opinion that the provisions of the GDPR as elaborated in this Privacy Policy are not being complied with, the data subject can lodge an objection with Compli, via privacy@compli.nl. Compli will analyse the objection together with the other controllers as described in the Joint Controllers Regulations.
If the complaint submitted does not lead to a result acceptable to the data subject, he can turn to the Dutch Data Protection Authority or to the competent court.
Duration of the processing
The personal data are stored and processed by the controller for a period that is necessary in function of the purposes of the processing.
Applicable law and disputes
Dutch law applies exclusively to this Privacy Policy and any agreement between you and Compli and any dispute in connection with this Privacy Policy or the use of Compli will be submitted to the competent court of Amsterdam.
Entry into force
This Privacy Policy came into effect on 08 October 2025.
ANNEX: JOINT CONTROLLERS REGULATION
General
The Joint Controllers [hereinafter referred to as "Joint Controllers"] use the SaaS platform "Compli". During the mutual cooperation, they will share and process Personal Data within the Compli platform.
There are Joint Controllers within the meaning of Article 26 of the GDPR, because one or more Controllers jointly determine the purpose and means of the Processing(s).
The Regulation has been drawn up because the Joint Controllers wish, in the context of the careful Processing of Personal Data, to make agreements about the division of roles and the associated obligations under the GDPR, in particular the facilitation of the rights of the data subjects and the fulfilment of the information obligations to data subjects.
GDPR definitions
: the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the Processing of Personal Data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).
Party: any Company in the chain that, on the basis of an agreement, has work carried out for the intended purpose (the Project)
Customer: The Party that has entered into a user agreement with Compli
Company in the chain: The Party that has entered the Customer and invites it to use Compli to register its Employees, or other Companies in the chain, in the context of complying with the applicable legal obligations.
Employee(s): the employees engaged by the Parties and other persons whose work falls under the responsibility of the Party in question and who are engaged by that Party for the implementation of the Agreement.
Data subject/Data subject: A natural person whose personal data is processed in Compli.
Project: A specific assignment for which the Client uses Companies in the chain.
Regulation: the present Regulation on Joint Controllers, as referred to in Article 26 of the GDPR.
Division of roles
1. Compli• Developing, hosting, maintaining and improving the Compli platform.
• Assessing the accuracy and authenticity of the data entered.
• Providing support to the users of the platform.
• Storing the personal data for archiving.
• Have the right to share Personal Data in Compli with the Parties after explicit and digitally obtained permission from the employer, via the holder of the company account.
• Compli also takes care of the technical and organizational security of the Compli platform.
2. Compli's
Customer• Adding and managing Projects.
• Registering a Company in the chain.
• Entering Personal Data of own Employees into Compli.
• Updating the Personal Data of the relevant
• Processing the Personal Data of the Companies in the chain for the intended purpose (the Project).
3. The Company in the chain
• Registering a Company in the chain.
• Entering Personal Data of own Employees into Compli.
• Updating the Personal Data of the relevant
• Processing the Personal Data of the Companies in the chain for the intended purpose (the Project).
Obligations and responsibilities of each Party
The following describes the way in which the Parties enter into their obligations and responsibilities among themselves.
A) Technical and organizational security measures
Compli is responsible for implementing appropriate technical and organizational security measures with regard to the SAAS platform.
The Client and the Companies in the chain are responsible for implementing appropriate technical and organisational security measures with regard to the activities within their organisation.
B) Point of contact for a Data subject/Data Subject
:The employer is the first point of contact for the Data subject/Data Subject if he/she wishes to invoke his/her privacy rights (pursuant to Articles 12-23 of the GDPR). In addition, the person concerned can also turn to Compli.
C) Transfer of responsibility to Compli
When a Company in the chain ceases to exist for any reason, Compli becomes the Data Controller for the Personal Data of the relevant Company in the chain. In this case, Compli will retain the Personal Data in accordance with the statutory retention period at the latest.
D) Obligation to report a data breach (art. 33 and art. 34 GDPR)
In the event of (a suspicion of) a Personal Data breach, the Party with whom the (suspected) breach has occurred is responsible for reporting this to the other Joint Controllers, as soon as possible after the (suspected) breach has been detected.
After the discovery of a Data Breach, everyone undertakes to keep the others informed of the mitigating measures that are being taken or have been taken in order to limit the scope of the Data Breach or to be able to avoid it in the future.
Everyone has the right to report a data breach to the Dutch Data Protection Authority.
E) Data Protection Impact Assessment
If, by reason of its nature, scope, context and purposes, data processing may pose a significant risk to the rights and freedoms of natural persons, the Parties shall carry out a data protection impact assessment for the data processing operation in question.
F) Register of processing activities
Each Party is individually responsible for recording the processing activities in an appropriate register.
Liability
Each Joint Controller remains responsible for (the processing of) the Personal Data that it has entered. Each Joint Controller is only liable for damage arising from or related to an attributable failure to comply with this Arrangement. Each Joint Controller must at all times comply with applicable laws and regulations regarding the Processing of Personal Data, failing which they may be held liable.
Duty
of confidentialityThe Joint Controllers impose a duty of confidentiality on each other and the commitment that they will use all Personal Data and related information only for the intended purpose and by virtue of their role, as stated above.
The Joint Controllers also impose this duty of confidentiality on all (legal) persons to be engaged by them, including but not limited to Employees, Processors, Third Parties and other Recipients of Personal Data.
Prohibited Acts
The Joint Controllers are not permitted to:
– Take and share screenshots of screens/pages in Compl
– Share
logins and passwords– Share personal data with unauthorized persons
Duration
This Joint Controller Rule will remain in force as long as the personal data entered for the purpose of a Project is present in the Compli platform.
Privacy Policy
Each Data Subject/Data Subject will have the opportunity to read the Compli Privacy Policy at every check-in. Compli will provide all the necessary information as required by the GDPR.
Final provision
This Joint Controller Scheme is inextricably linked to the Privacy Policy that can be found on Compli's web page, and is therefore accessible to all data subjects. With this privacy policy, Compli aims to comply with its obligation to transparently Process Personal Data as well as the manner in which and for the benefit of which this Processing(s) takes place.
ANNEX: Description of the data processing
Description of data processing
Compli offers a SAAS solution for the administration of external workers for the purpose of complying with applicable laws and regulations.
Legal basis for the processing
Legal obligation in the context of:
– Sequential liability
– Hirer's liability
– Foreign Nationals
Employment Act – Posting Workers (Employment Conditions in the European Union
) Act – The Placement of Workers by Intermediaries Act
Legitimate interest in the context of:
– Attendance registration on a Project
– Increasing security awareness by examining or uploading certificates of a Data Subject
Categories of
– Customer's
Workforce– Enterprise's Workforce in the Chain
Type of data that is processed from Data subject/Data Subject
– Name
– Company name
– Language for communication
– Telephone number– Email
– Home address
– Residence address if it differs from the home address
– Citizen service number
– Data from identity document (type, document number,
Copy of identity document
– Copy of residence permit
– Copy of work permit
– Copy of proof of work permit
exception– Copy of reported certificate Posted Workers
– Copy of A1 certificate (Certificate of Coverage)
– Copy of Certificate of Coverage foreign social security institution
– Copy of certificates
– Date and time check-in
– Date and time check-out
– GPS coordinates of smartphone
Data retention period
The data is stored in accordance with the tax retention periods.
Sub-processors
– Klippa: Intelligent Document Processing API
Privacy Policy – 29 July 2024
This "Privacy Policy" regulates the processing of your personal data by co-controllers: COMPLI B.V., Chamber of Commerce number 88171833, located at John M. Keynepleis 10, 1060 EP in Amsterdam, hereinafter referred to as: "Compli".
Please read this Privacy Policy carefully, as it contains essential information about how your personal data is processed. This privacy policy is inextricably linked to the Joint Controllers Regulations in the appendix.
General provisions
Compli is offered to your employer, client, contractor and/or manager (hereinafter: "Client") to ensure that persons working on a project comply with the applicable laws and regulations as well as to provide access and attendance registration.
The Client will then make the use of Compli available to you before the start of the work. This means that the Client is a 'Controller' within the meaning of the General Data Protection Regulation (hereinafter: "GDPR") with regard to the Personal Data processed by Compli ('the means').
GDPR Concepts
• "Personal Data" means any information relating to an identified or identifiable natural person;
• "Processing": any operation or set of operations concerning personal data, including collection, transmission, recording, dissemination, organisation, making available, storage, alignment, adaptation, combination, alteration, restriction, retrieval, erasure, consultation, use and destruction;
• 'Data subjects': the person to whom personal data relates.
Scope
This Privacy Policy applies to all processing, fully or partially automated, of personal data. It also applies to the non-automatic processing of personal data contained in a filing system or intended for that purpose. The Privacy Policy applies to anyone who carries out work on a project where COMPLI is applied.
Purpose and processing of personal data
The purpose of this policy is to:
1. protect the privacy of data subjects whose personal data is processed against misuse and against incorrect processing of personal data; and
2. prevent personal data from being processed for a purpose other than the purpose for which it was collected; and
3. to guarantee the rights of data subjects.
Only those personal data that have been lawfully obtained are processed. Processing of the personal data will only take place for the following categories of processing:
a) correct administration of third parties in accordance with the applicable laws and regulations;
b) access and attendance administration to a location/project.
Compli processes Personal Data as soon as a Compli profile is created by a 'Client', and the Personal Data of the person who will be working on a project on behalf of the 'Client'.
Security
Compli shall take all appropriate technical and organisational measures to protect Personal Data against loss or any form of unlawful processing.
Compli takes appropriate technical and organisational measures to prevent the loss or unlawful processing of personal data. These measures guarantee an appropriate level of security, taking into account the risks involved in the processing and the nature of the data to be protected. The measures are also aimed at preventing unnecessary collection and further processing of personal data.
Confidentiality
Anyone who obtains Personal Data of which he knows or can reasonably suspect the confidential nature and who is not already subject to a duty of confidentiality with regard to the personal data by virtue of profession, position or statutory regulation, is obliged to maintain confidentiality. This does not apply if any statutory provision obliges him to publish or if the need for publication arises from his task in the implementation of these regulations.
Anyone who is notified of a (possible) data breach is obliged to report this to Compli without delay. COMPLI will immediately notify the data subject of a data breach if the breach is likely to have adverse consequences for his or her privacy and will report it to the Dutch Data Protection Authority via the following link: https://datalekken.autoriteitpersoonsgegevens.nl
Data Subject Rights
1. The data subject has the right to access processed data relating to his or her person (right of access).
2. The data subject shall have the right to rectification of inaccurate Personal Data concerning him or her or the right to provide a supplementary statement where the processing is carried out on the basis of incomplete data. The Data Controller is obliged to inform any recipient to whom Personal Data has been disclosed of any rectification, unless this is impossible or requires a disproportionate effort.
3. In certain cases, the controller is obliged to erase Personal Data of the data subject without undue delay (right to erasure) at the request of the data subject. This is the case, among other things, if:
a) the personal data are no longer necessary for the purposes of the data processing;
b) the data subject withdraws his or her consent and there is no other legal basis for processing;
c) the data subject objects to the processing;
d) the Personal Data has been unlawfully processed.
4. The data subject has the right to data portability of his or her Personal Data.
5. The data subject has the right to restriction of processing (i.e. that the Personal Data may not be processed (temporarily), if:
a) the Personal Data may be inaccurate;
b) the processing is unlawful but the data subject does not yet want it erased;
c) the Personal Data is no longer necessary for the purpose for which it was collected, but the data subject still needs it for a legal claim;
d) object to the processing of the Personal Data.
Within one month of receipt of the request from the data subject, the controller will inform him in writing of the execution of the request. This also happens if the request will not be carried out. A refusal to comply with the request will be motivated and the data subject will be informed of the possibility of submitting a complaint to the Dutch Data Protection Authority. If more time is needed to respond to the request, the data subject will be informed within one month. The additional time required will be a maximum of two months.
If a data subject is of the opinion that the provisions of the GDPR as elaborated in this Privacy Policy are not being complied with, the data subject can lodge an objection with Compli, via privacy@compli.nl. Compli will analyse the objection together with the other controllers as described in the Joint Controllers Regulations.
If the complaint submitted does not lead to a result acceptable to the data subject, he can turn to the Dutch Data Protection Authority or to the competent court.
Duration of the processing
The personal data are stored and processed by the controller for a period that is necessary in function of the purposes of the processing.
Applicable law and disputes
Dutch law applies exclusively to this Privacy Policy and any agreement between you and Compli and any dispute in connection with this Privacy Policy or the use of Compli will be submitted to the competent court of Amsterdam.
Entry into force
This Privacy Policy came into effect on 08 October 2025.
ANNEX: JOINT CONTROLLERS REGULATION
General
The Joint Controllers [hereinafter referred to as "Joint Controllers"] use the SaaS platform "Compli". During the mutual cooperation, they will share and process Personal Data within the Compli platform.
There are Joint Controllers within the meaning of Article 26 of the GDPR, because one or more Controllers jointly determine the purpose and means of the Processing(s).
The Regulation has been drawn up because the Joint Controllers wish, in the context of the careful Processing of Personal Data, to make agreements about the division of roles and the associated obligations under the GDPR, in particular the facilitation of the rights of the data subjects and the fulfilment of the information obligations to data subjects.
GDPR definitions
: the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the Processing of Personal Data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).
Party: any Company in the chain that, on the basis of an agreement, has work carried out for the intended purpose (the Project)
Customer: The Party that has entered into a user agreement with Compli
Company in the chain: The Party that has entered the Customer and invites it to use Compli to register its Employees, or other Companies in the chain, in the context of complying with the applicable legal obligations.
Employee(s): the employees engaged by the Parties and other persons whose work falls under the responsibility of the Party in question and who are engaged by that Party for the implementation of the Agreement.
Data subject/Data subject: A natural person whose personal data is processed in Compli.
Project: A specific assignment for which the Client uses Companies in the chain.
Regulation: the present Regulation on Joint Controllers, as referred to in Article 26 of the GDPR.
Division of roles
1. Compli• Developing, hosting, maintaining and improving the Compli platform.
• Assessing the accuracy and authenticity of the data entered.
• Providing support to the users of the platform.
• Storing the personal data for archiving.
• Have the right to share Personal Data in Compli with the Parties after explicit and digitally obtained permission from the employer, via the holder of the company account.
• Compli also takes care of the technical and organizational security of the Compli platform.
2. Compli's
Customer• Adding and managing Projects.
• Registering a Company in the chain.
• Entering Personal Data of own Employees into Compli.
• Updating the Personal Data of the relevant
• Processing the Personal Data of the Companies in the chain for the intended purpose (the Project).
3. The Company in the chain
• Registering a Company in the chain.
• Entering Personal Data of own Employees into Compli.
• Updating the Personal Data of the relevant
• Processing the Personal Data of the Companies in the chain for the intended purpose (the Project).
Obligations and responsibilities of each Party
The following describes the way in which the Parties enter into their obligations and responsibilities among themselves.
A) Technical and organizational security measures
Compli is responsible for implementing appropriate technical and organizational security measures with regard to the SAAS platform.
The Client and the Companies in the chain are responsible for implementing appropriate technical and organisational security measures with regard to the activities within their organisation.
B) Point of contact for a Data subject/Data Subject
:The employer is the first point of contact for the Data subject/Data Subject if he/she wishes to invoke his/her privacy rights (pursuant to Articles 12-23 of the GDPR). In addition, the person concerned can also turn to Compli.
C) Transfer of responsibility to Compli
When a Company in the chain ceases to exist for any reason, Compli becomes the Data Controller for the Personal Data of the relevant Company in the chain. In this case, Compli will retain the Personal Data in accordance with the statutory retention period at the latest.
D) Obligation to report a data breach (art. 33 and art. 34 GDPR)
In the event of (a suspicion of) a Personal Data breach, the Party with whom the (suspected) breach has occurred is responsible for reporting this to the other Joint Controllers, as soon as possible after the (suspected) breach has been detected.
After the discovery of a Data Breach, everyone undertakes to keep the others informed of the mitigating measures that are being taken or have been taken in order to limit the scope of the Data Breach or to be able to avoid it in the future.
Everyone has the right to report a data breach to the Dutch Data Protection Authority.
E) Data Protection Impact Assessment
If, by reason of its nature, scope, context and purposes, data processing may pose a significant risk to the rights and freedoms of natural persons, the Parties shall carry out a data protection impact assessment for the data processing operation in question.
F) Register of processing activities
Each Party is individually responsible for recording the processing activities in an appropriate register.
Liability
Each Joint Controller remains responsible for (the processing of) the Personal Data that it has entered. Each Joint Controller is only liable for damage arising from or related to an attributable failure to comply with this Arrangement. Each Joint Controller must at all times comply with applicable laws and regulations regarding the Processing of Personal Data, failing which they may be held liable.
Duty
of confidentialityThe Joint Controllers impose a duty of confidentiality on each other and the commitment that they will use all Personal Data and related information only for the intended purpose and by virtue of their role, as stated above.
The Joint Controllers also impose this duty of confidentiality on all (legal) persons to be engaged by them, including but not limited to Employees, Processors, Third Parties and other Recipients of Personal Data.
Prohibited Acts
The Joint Controllers are not permitted to:
– Take and share screenshots of screens/pages in Compl
– Share
logins and passwords– Share personal data with unauthorized persons
Duration
This Joint Controller Rule will remain in force as long as the personal data entered for the purpose of a Project is present in the Compli platform.
Privacy Policy
Each Data Subject/Data Subject will have the opportunity to read the Compli Privacy Policy at every check-in. Compli will provide all the necessary information as required by the GDPR.
Final provision
This Joint Controller Scheme is inextricably linked to the Privacy Policy that can be found on Compli's web page, and is therefore accessible to all data subjects. With this privacy policy, Compli aims to comply with its obligation to transparently Process Personal Data as well as the manner in which and for the benefit of which this Processing(s) takes place.
ANNEX: Description of the data processing
Description of data processing
Compli offers a SAAS solution for the administration of external workers for the purpose of complying with applicable laws and regulations.
Legal basis for the processing
Legal obligation in the context of:
– Sequential liability
– Hirer's liability
– Foreign Nationals
Employment Act – Posting Workers (Employment Conditions in the European Union
) Act – The Placement of Workers by Intermediaries Act
Legitimate interest in the context of:
– Attendance registration on a Project
– Increasing security awareness by examining or uploading certificates of a Data Subject
Categories of
– Customer's
Workforce– Enterprise's Workforce in the Chain
Type of data that is processed from Data subject/Data Subject
– Name
– Company name
– Language for communication
– Telephone number– Email
– Home address
– Residence address if it differs from the home address
– Citizen service number
– Data from identity document (type, document number,
Copy of identity document
– Copy of residence permit
– Copy of work permit
– Copy of proof of work permit
exception– Copy of reported certificate Posted Workers
– Copy of A1 certificate (Certificate of Coverage)
– Copy of Certificate of Coverage foreign social security institution
– Copy of certificates
– Date and time check-in
– Date and time check-out
– GPS coordinates of smartphone
Data retention period
The data is stored in accordance with the tax retention periods.
Sub-processors
– Klippa: Intelligent Document Processing API
Privacybeleid – 29 juli 2024
Dit "Privacybeleid" regelt de verwerking van uw persoonsgegevens door mede-verwerkingsverantwoordelijken: COMPLI B.V., KvK-nummer 88171833, gevestigd aan John M. Keynepleis 10, 1060 EP in Amsterdam, hierna te noemen: "Compli".
Lees dit Privacybeleid zorgvuldig door, aangezien het essentiële informatie bevat over hoe uw persoonsgegevens worden verwerkt. Dit privacybeleid is onlosmakelijk verbonden met de Regeling Gezamenlijke Verwerkingsverantwoordelijken in de bijlage.
Algemene bepalingen
Compli wordt aangeboden aan uw werkgever, klant, opdrachtnemer en/of manager (hierna: "Opdrachtgever") om ervoor te zorgen dat personen die aan een project werken voldoen aan de toepasselijke wet- en regelgeving en om toegangs- en aanwezigheidsregistratie mogelijk te maken.
De Opdrachtgever stelt het gebruik van Compli vervolgens vóór aanvang van het werk aan u beschikbaar. Dit betekent dat de Opdrachtgever in de zin van de Algemene verordening gegevensbescherming (hierna: "AVG") een 'Verwerkingsverantwoordelijke' is met betrekking tot de Persoonsgegevens die door Compli worden verwerkt ('de middelen').
Begrippen AVG
• "Persoonsgegevens" betekent alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;
• "Verwerking": elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, waaronder het verzamelen, doorgeven, vastleggen, verspreiden, organiseren, ter beschikking stellen, opslaan, afstemmen, aanpassen, combineren, wijzigen, beperken, opvragen, wissen, raadplegen, gebruiken en vernietigen;
• 'Betrokkenen': de persoon op wie de persoonsgegevens betrekking hebben.
Toepassingsgebied
Dit Privacybeleid is van toepassing op alle, volledig of gedeeltelijk geautomatiseerde, verwerkingen van persoonsgegevens. Het is ook van toepassing op de niet-geautomatiseerde verwerking van persoonsgegevens die zijn opgenomen in een geautomatiseerd bestandssysteem of die daarvoor zijn bestemd. Het Privacybeleid is van toepassing op iedereen die werkzaamheden verricht aan een project waarop COMPLI wordt toegepast.
Doel en verwerking van persoonsgegevens
Het doel van dit beleid is om:
1. de privacy te beschermen van betrokkenen van wie persoonsgegevens worden verwerkt tegen misbruik en tegen onjuiste verwerking van persoonsgegevens; en
2. te voorkomen dat persoonsgegevens worden verwerkt voor een ander doel dan het doel waarvoor ze zijn verzameld; en
3. de rechten van betrokkenen te waarborgen.
Alleen die persoonsgegevens die rechtmatig zijn verkregen, worden verwerkt. Verwerking van de persoonsgegevens vindt uitsluitend plaats voor de volgende categorieën van verwerking:
a) correcte administratie van derden in overeenstemming met de toepasselijke wet- en regelgeving;
b) toegangs- en aanwezigheidsadministratie voor een locatie/project.
Compli verwerkt Persoonsgegevens zodra door een 'Opdrachtgever' een Compli-profiel wordt aangemaakt, en de Persoonsgegevens van de persoon die namens de 'Opdrachtgever' op een project zal werken.
Beveiliging
Compli neemt alle passende technische en organisatorische maatregelen om Persoonsgegevens te beschermen tegen verlies of elke vorm van onrechtmatige verwerking.
Compli neemt passende technische en organisatorische maatregelen om verlies of onrechtmatige verwerking van persoonsgegevens te voorkomen. Deze maatregelen waarborgen een passend beveiligingsniveau, rekening houdend met de risico's die verbonden zijn aan de verwerking en de aard van de te beschermen gegevens. De maatregelen zijn er ook op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Vertrouwelijkheid
Eenieder die Persoonsgegevens verkrijgt waarvan hij weet of redelijkerwijs kan vermoeden dat deze vertrouwelijk van aard zijn en die niet reeds uit hoofde van beroep, functie of wettelijke regeling aan een geheimhoudingsplicht ten aanzien van de persoonsgegevens is onderworpen, is verplicht tot geheimhouding. Dit geldt niet indien enige wettelijke bepaling hem tot openbaarmaking verplicht of indien de noodzaak tot openbaarmaking voortvloeit uit zijn taak bij de uitvoering van deze regeling.
Eenieder die op de hoogte wordt gesteld van een (mogelijk) datalek is verplicht dit onverwijld aan Compli te melden. COMPLI stelt de betrokkene onverwijld op de hoogte van een datalek indien het lek waarschijnlijk nadelige gevolgen heeft voor zijn of haar privacy en meldt dit aan de Autoriteit Persoonsgegevens via de volgende link: https://datalekken.autoriteitpersoonsgegevens.nl
Rechten van betrokkenen
1. De betrokkene heeft het recht op inzage in verwerkte gegevens die betrekking hebben op zijn of haar persoon (recht op inzage).
2. De betrokkene heeft het recht op rectificatie van onjuiste Persoonsgegevens die hem of haar betreffen of het recht om een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens. De Verwerkingsverantwoordelijke is verplicht iedere ontvanger aan wie Persoonsgegevens zijn verstrekt op de hoogte te stellen van elke rectificatie, tenzij dit onmogelijk is of onevenredige inspanning kost.
3. In bepaalde gevallen is de verwerkingsverantwoordelijke verplicht de Persoonsgegevens van de betrokkene zonder onredelijke vertraging op verzoek van de betrokkene te wissen (recht op gegevenswissing). Dit is onder meer het geval indien:
a) de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden van de gegevensverwerking;
b) de betrokkene zijn of haar toestemming intrekt en er geen andere rechtsgrondslag voor de verwerking bestaat;
c) de betrokkene bezwaar maakt tegen de verwerking;
d) de Persoonsgegevens onrechtmatig zijn verwerkt.
4. De betrokkene heeft recht op overdraagbaarheid van zijn of haar Persoonsgegevens.
5. De betrokkene heeft recht op beperking van de verwerking (d.w.z. dat de Persoonsgegevens (tijdelijk) niet mogen worden verwerkt, indien:
a) de Persoonsgegevens mogelijk onjuist zijn;
b) de verwerking onrechtmatig is, maar de betrokkene niet wil dat deze nog wordt gewist;
c) de Persoonsgegevens niet langer noodzakelijk zijn voor het doel waarvoor zij zijn verzameld, maar de betrokkene deze nog nodig heeft voor een rechtsvordering;
d) bezwaar maken tegen de verwerking van de Persoonsgegevens.
Binnen één maand na ontvangst van het verzoek van de betrokkene informeert de verwerkingsverantwoordelijke hem schriftelijk over de uitvoering van het verzoek. Dit gebeurt ook indien het verzoek niet wordt uitgevoerd. Een weigering om aan het verzoek te voldoen wordt gemotiveerd en de betrokkene wordt geïnformeerd over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Indien meer tijd nodig is om op het verzoek te reageren, wordt de betrokkene binnen één maand geïnformeerd. De extra benodigde tijd bedraagt maximaal twee maanden.
Indien een betrokkene van oordeel is dat de bepalingen van de AVG zoals uitgewerkt in dit Privacybeleid niet worden nageleefd, kan de betrokkene bezwaar maken bij Compli, via privacy@compli.nl. Compli zal het bezwaar samen met de andere verwerkingsverantwoordelijken analyseren zoals beschreven in de Regeling Gezamenlijke Verwerkingsverantwoordelijken.
Indien de ingediende klacht niet leidt tot een voor de betrokkene aanvaardbaar resultaat, kan hij zich wenden tot de Autoriteit Persoonsgegevens of tot de bevoegde rechter.
Duur van de verwerking
De persoonsgegevens worden door de verwerkingsverantwoordelijke opgeslagen en verwerkt gedurende een periode die nodig is voor de doeleinden van de verwerking.
Toepasselijk recht en geschillen
Op dit Privacybeleid en elke overeenkomst tussen u en Compli is uitsluitend Nederlands recht van toepassing en elk geschil in verband met dit Privacybeleid of het gebruik van Compli wordt voorgelegd aan de bevoegde rechter te Amsterdam.
Inwerkingtreding
Dit Privacybeleid is in werking getreden op 08 oktober 2025.
BIJLAGE: REGELING GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKEN
Algemeen
De Gezamenlijke Verwerkingsverantwoordelijken [hierna te noemen "Gezamenlijke Verwerkingsverantwoordelijken"] maken gebruik van het SaaS-platform "Compli". Tijdens de onderlinge samenwerking zullen zij Persoonsgegevens delen en verwerken binnen het Compli-platform.
Er is sprake van Gezamenlijke Verwerkingsverantwoordelijken in de zin van artikel 26 van de AVG, omdat een of meer Verwerkingsverantwoordelijken gezamenlijk het doel en de middelen van de Verwerking(en) bepalen.
De Regeling is opgesteld omdat de Gezamenlijke Verwerkingsverantwoordelijken in het kader van de zorgvuldige Verwerking van Persoonsgegevens afspraken willen maken over de verdeling van rollen en de daarbij behorende verplichtingen onder de AVG, in het bijzonder de facilitering van de rechten van de betrokkenen en de nakoming van de informatieverplichtingen jegens betrokkenen.
Begrippen AVG
: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming).
Partij: elke Onderneming in de keten die op basis van een overeenkomst werk laat verrichten voor het beoogde doel (het Project)
Opdrachtgever: De Partij die een gebruikersovereenkomst met Compli is aangegaan
Onderneming in de keten: De Partij die de Opdrachtgever heeft aangebracht en uitnodigt om Compli te gebruiken om haar Werknemers, of andere Ondernemingen in de keten, te registreren in het kader van de naleving van de toepasselijke wettelijke verplichtingen.
Werknemer(s): de werknemers die door de Partijen worden ingezet en andere personen van wie de werkzaamheden onder de verantwoordelijkheid van de betreffende Partij vallen en die door die Partij worden ingezet voor de uitvoering van de Overeenkomst.
Betrokkene/Betrokkene: Een natuurlijke persoon van wie persoonsgegevens in Compli worden verwerkt.
Project: Een specifieke opdracht waarvoor de Opdrachtgever Ondernemingen in de keten gebruikt.
Regeling: de onderhavige Regeling Gezamenlijke Verwerkingsverantwoordelijken, zoals bedoeld in artikel 26 van de AVG.
Taakverdeling
1. Compli• Ontwikkelen, hosten, onderhouden en verbeteren van het Compli-platform.
• De juistheid en authenticiteit van de ingevoerde gegevens beoordelen.
• Ondersteuning bieden aan de gebruikers van het platform.
• De persoonsgegevens opslaan voor archivering.
• Het recht hebben om Persoonsgegevens in Compli te delen met de Partijen na uitdrukkelijke en digitaal verkregen toestemming van de werkgever, via de houder van het bedrijfsaccount.
• Compli zorgt ook voor de technische en organisatorische beveiliging van het Compli-platform.
2. Compli's
Opdrachtgever• Projecten toevoegen en beheren.
• Een Onderneming in de keten registreren.
• Persoonsgegevens van eigen Werknemers in Compli invoeren.
• De Persoonsgegevens van de betreffende
• De Persoonsgegevens van de Ondernemingen in de keten verwerken voor het beoogde doel (het Project).
3. De Onderneming in de keten
• Een Onderneming in de keten registreren.
• Persoonsgegevens van eigen Werknemers in Compli invoeren.
• De Persoonsgegevens van de betreffende
• De Persoonsgegevens van de Ondernemingen in de keten verwerken voor het beoogde doel (het Project).
Verplichtingen en verantwoordelijkheden van elke Partij
Hieronder wordt beschreven op welke wijze de Partijen onderling hun verplichtingen en verantwoordelijkheden aangaan.
A) Technische en organisatorische beveiligingsmaatregelen
Compli is verantwoordelijk voor het implementeren van passende technische en organisatorische beveiligingsmaatregelen met betrekking tot het SAAS-platform.
De Opdrachtgever en de Ondernemingen in de keten zijn verantwoordelijk voor het implementeren van passende technische en organisatorische beveiligingsmaatregelen met betrekking tot de activiteiten binnen hun organisatie.
B) Aanspreekpunt voor een Betrokkene/Betrokkene
:De werkgever is het eerste aanspreekpunt voor de Betrokkene/Betrokkene indien hij/zij een beroep wil doen op zijn/haar privacyrechten (op grond van de artikelen 12-23 van de AVG). Daarnaast kan de betrokkene ook terecht bij Compli.
C) Overdracht van verantwoordelijkheid aan Compli
Wanneer een Onderneming in de keten om welke reden dan ook ophoudt te bestaan, wordt Compli de Verwerkingsverantwoordelijke voor de Persoonsgegevens van de betreffende Onderneming in de keten. In dat geval zal Compli de Persoonsgegevens uiterlijk conform de wettelijke bewaartermijn bewaren.
D) Verplichting om een datalek te melden (art. 33 en art. 34 AVG)
In geval van een (vermoeden van een) inbreuk op Persoonsgegevens is de Partij bij wie de (vermoede) inbreuk heeft plaatsgevonden verantwoordelijk voor het zo spoedig mogelijk melden hiervan aan de andere Gezamenlijke Verwerkingsverantwoordelijken, nadat de (vermoede) inbreuk is vastgesteld.
Na ontdekking van een Datalek verplicht iedereen zich de anderen op de hoogte te houden van de mitigerende maatregelen die worden of zijn genomen om de omvang van het Datalek te beperken of om dit in de toekomst te kunnen voorkomen.
Iedereen heeft het recht om een datalek te melden aan de Autoriteit Persoonsgegevens.
E) Gegevensbeschermingseffectbeoordeling
Indien de gegevensverwerking vanwege de aard, omvang, context en doeleinden een aanzienlijk risico kan opleveren voor de rechten en vrijheden van natuurlijke personen, voeren de Partijen voor de betreffende verwerking een gegevensbeschermingseffectbeoordeling uit.
F) Register van verwerkingsactiviteiten
Elke Partij is individueel verantwoordelijk voor het opnemen van de verwerkingsactiviteiten in een passend register.
Aansprakelijkheid
Iedere Gezamenlijke Verwerkingsverantwoordelijke blijft verantwoordelijk voor de Persoonsgegevens die hij heeft ingevoerd (de verwerking daarvan). Iedere Gezamenlijke Verwerkingsverantwoordelijke is slechts aansprakelijk voor schade die voortvloeit uit of verband houdt met een toerekenbare tekortkoming in de nakoming van deze Regeling. Iedere Gezamenlijke Verwerkingsverantwoordelijke dient te allen tijde te voldoen aan de toepasselijke wet- en regelgeving inzake de Verwerking van Persoonsgegevens, bij gebreke waarvan hij aansprakelijk kan worden gesteld.
Geheimhoudingsplicht
De Gezamenlijke Verwerkingsverantwoordelijken leggen elkaar een geheimhoudingsplicht op en verbinden zich ertoe dat zij alle Persoonsgegevens en daarmee samenhangende informatie uitsluitend zullen gebruiken voor het beoogde doel en uit hoofde van hun rol, zoals hierboven vermeld.
De Gezamenlijke Verwerkingsverantwoordelijken leggen deze geheimhoudingsplicht ook op aan alle door hen in te schakelen (rechts)personen, waaronder maar niet beperkt tot Werknemers, Verwerkers, Derden en andere Ontvangers van Persoonsgegevens.
Verboden Handelingen
De Gezamenlijke Verwerkingsverantwoordelijken is het niet toegestaan om:
– Schermafbeeldingen van schermen/pagina's in Compli te maken en te delen
– Inloggegevens en wachtwoorden te delen– Persoonsgegevens te delen met onbevoegden
Duur
Deze Regeling voor Gezamenlijke Verwerkingsverantwoordelijken blijft van kracht zolang de voor een Project ingevoerde persoonsgegevens aanwezig zijn op het Compli-platform.
Privacybeleid
Iedere Betrokkene/Betrokkene krijgt bij elke check-in de gelegenheid om het Privacybeleid van Compli te lezen. Compli zal alle noodzakelijke informatie verstrekken zoals vereist door de AVG.
Slotbepaling
Deze Regeling voor Gezamenlijke Verwerkingsverantwoordelijken is onlosmakelijk verbonden met het Privacybeleid dat te vinden is op de webpagina van Compli, en is daardoor toegankelijk voor alle betrokkenen. Met dit privacybeleid beoogt Compli te voldoen aan haar verplichting om Persoonsgegevens op transparante wijze te Verwerken, alsmede aan de wijze waarop en ten behoeve waarvan deze Verwerking(en) plaatsvinden.
BIJLAGE: Beschrijving van de gegevensverwerking
Beschrijving van de gegevensverwerking
Compli biedt een SaaS-oplossing voor de administratie van externe werknemers ten behoeve van de naleving van toepasselijke wet- en regelgeving.
Rechtsgrondslag voor de verwerking
Wettelijke verplichting in het kader van:
– Ketenaansprakelijkheid
– Inlenersaansprakelijkheid
– Wet arbeid vreemdelingen – Wet arbeidsvoorwaarden gedetacheerde werknemers in de Europese Unie
) – Wet allocatie arbeidskrachten door intermediairs
Gerechtvaardigd belang in het kader van:
– Aanwezigheidsregistratie op een Project
– Vergroten van het veiligheidsbewustzijn door het controleren of uploaden van certificaten van een Betrokkene
Categorieën van
– Personeel van de Opdrachtgever
Werkgeverspersoneel– Personeel van de onderneming in de keten
Soort gegevens die worden verwerkt van Betrokkene/Betrokkene
– Naam
– Bedrijfsnaam
– Taal voor communicatie
– Telefoonnummer– E-mail
– Woonadres
– Verblijfsadres indien dit afwijkt van het woonadres
– Burgerservicenummer
– Gegevens van identiteitsdocument (type, documentnummer,
Kopie identiteitsdocument
– Kopie verblijfsvergunning
– Kopie werkvergunning
– Kopie bewijs van werkvergunning
uitzondering– Kopie van gemelde verklaring gedetacheerde werknemers
– Kopie van A1-verklaring (Certificate of Coverage)
– Kopie van Certificate of Coverage van buitenlandse sociale verzekeringsinstelling
– Kopie van certificaten
– Datum en tijd check-in
– Datum en tijd check-out
– GPS-coördinaten van smartphone
Bewaartermijn van gegevens
De gegevens worden bewaard overeenkomstig de fiscale bewaartermijnen.
Subverwerkers
– Klippa: Intelligent Document Processing API
Copyright © 2026 Compli
Copyright © 2026 Compli
Copyright © 2026 Compli