PRIVACYVERKLARING — COMPLI-PLATFORM
Voor arbeidskrachten en bezoekers.
Over deze Privacyverklaring
Compli levert een online platform dat opdrachtgevers en hun ketenpartners helpt om te voldoen aan wet- en regelgeving rondom externe arbeidskrachten en aanwezigheid op projectlocaties. Deze Privacyverklaring legt uit welke persoonsgegevens er via het Compli-platform worden verwerkt, waarom dat gebeurt, wie daarvoor verantwoordelijk is en welke rechten je hebt. Deze Privacyverklaring is bedoeld voor drie groepen natuurlijke personen wier gegevens in het Compli-platform worden verwerkt:
· Arbeidskrachten in de keten — werknemers van een hoofdaannemer of een onderaannemer die werkzaam zijn op een project waar ketenaansprakelijkheid op van toepassing is.
· Bezoekers op projectlocaties — personen die geen werknemer zijn van een hoofd- of onderaannemer maar wel een projectlocatie bezoeken (zoals inspecteurs, leveranciers, gasten of klantvertegenwoordigers).
· Arbeidskrachten van nevenaannemers — personen die werkzaam zijn op een projectlocatie uit hoofde van een dienstverband met een organisatie die geen onderdeel uitmaakt van de keten, maar voor wie wel veiligheids- en kwalificatie-eisen gelden.
Hieronder vind je per situatie wat van toepassing is. Algemene informatie (over Geofencing, beveiliging, sub-verwerkers, je rechten en contact) staat onderaan en geldt voor alle drie de groepen.
Wie is verantwoordelijk voor je gegevens
Onder de Algemene Verordening Gegevensbescherming (AVG) is er altijd één partij die verwerkingsverantwoordelijke is voor jouw gegevens. Dat is de partij die bepaalt waarom en hoe je gegevens worden verwerkt. Compli is in alle gevallen verwerker. Wij voeren de verwerking uit volgens de instructies van de verantwoordelijke en op basis van een verwerkersovereenkomst.
Situatie
Verwerkingsverantwoordelijke
Rol van Compli
Je bent een arbeidskracht in de keten
Je werkgever (de hoofdaannemer of de onderaannemer die jou heeft geregistreerd)
Verwerker
Je bent een bezoeker op een projectlocatie
De hoofdaannemer van het project (de Klant van Compli)
Verwerker
Je bent een werknemer van een nevenaannemer
De hoofdaannemer van het project (de Klant van Compli)
Verwerker
Wil je weten wie precies jouw verantwoordelijke is in een concrete situatie? Vraag het bij de persoon die jou heeft uitgenodigd of geregistreerd in Compli, of stuur een e-mail naar privacy@compli.nl.
A. Als je een arbeidskracht in de keten bent
Welke gegevens verwerken wij van jou?
· Naam
· Bedrijfsnaam van je werkgever
· Mobiel telefoonnummer
· E-mailadres
· Woonadres
· Verblijfsadres (als dat afwijkt van je woonadres)
· Burgerservicenummer (BSN)
· Gegevens uit je identiteitsbewijs (soort, documentnummer, vervaldatum, geboortedatum, pasfoto)
· Kopie van je identiteitsbewijs
· Kopie van je verblijfsvergunning, werkvergunning, meldingsbewijs Posted Workers, A1-verklaring of
Certificate of Coverage — voor zover van toepassing
· Kopieën van vakbekwaamheids-, veiligheids- en examineringscertificaten
· Datum en tijd van je check-in en check-out op een projectlocatie
· Locatiegegevens van je mobiele device op het moment van check-in en check-out (zie sectie Geofencing hieronder)
Waarom verwerken wij deze gegevens?
De wet verplicht je werkgever en de opdrachtgever in de keten om bij te houden wie wanneer waar werkt en of die persoon dat mag. Compli ondersteunt dat technisch. De relevante wettelijke verplichtingen zijn onder andere de Ketenaansprakelijkheidsregeling, de Inlenersaansprakelijkheidsregeling, de Wet arbeid vreemdelingen (Wav), de Wet aanpak schijnconstructies (WAS), de Wet arbeidsvoorwaarden gedetacheerde werknemers in de Europese Unie (WagwEU), de Wet allocatie arbeidskrachten door intermediairs (Waadi), de Wet DBA, de Wet minimumloon en minimumvakantiebijslag (WML) en de Arbeidsomstandighedenwet (Arbowet).
Daarnaast wordt jouw aanwezigheid op het project geregistreerd ten behoeve van de veiligheid op de projectlocatie.
Op welke grondslag?
Artikel 6 lid 1 sub c AVG (wettelijke verplichting) en artikel 6 lid 1 sub f AVG (gerechtvaardigd belang van je werkgever en van de opdrachtgever in de keten om aanwezigheid en kwalificaties bij te houden).
Hoe lang bewaren wij deze gegevens?
Conform de fiscale bewaartermijnen: tot zeven jaar na afloop van het belastingjaar waarop de gegevens betrekking hebben. Korter mag als je werkgever dat instrueert, behalve voor zover een wettelijke bewaarplicht voorschrijft dat de gegevens langer moeten worden bewaard.
B. Als je een bezoeker bent op een projectlocatie
Welke gegevens verwerken wij van jou?
· Naam
· Bedrijfsnaam of organisatie van waaruit je het bezoek aflegt
· Mobiel telefoonnummer
· E-mailadres
· Reden of doel van je bezoek
· Datum en tijd van je check-in en check-out
· Locatiegegevens van je mobiele device op het moment van check-in en check-out (zie sectie Geofencing hieronder)
Wij verwerken geen Burgerservicenummer, geen kopie van je identiteitsbewijs en geen kopieën van vergunningen of certificaten als je een bezoeker bent.
Waarom verwerken wij deze gegevens?
De hoofdaannemer van het project moet onder de Arbeidsomstandighedenwet weten wie zich op haar projectlocatie bevindt — voor veiligheid, voor het kunnen geven van veiligheidsinstructies, en voor het kunnen reconstrueren van een incident als zich er een voordoet.
Op welke grondslag?
Artikel 6 lid 1 sub c AVG (wettelijke verplichting onder de Arbowet) en artikel 6 lid 1 sub f AVG (gerechtvaardigd belang van de hoofdaannemer).
Gerechtvaardigde belangen:
· aanwezigheidsregistratie op een Project;
· verhogen van het veiligheidsbewustzijn door middel van examinering, het aanleveren van certificaten en de aantoonbare aanvaarding van projectspecifieke regels en veiligheidsinstructies (zoals bouwplaatsregels en gedragsregels).
Hoe lang bewaren wij deze gegevens?
90 dagen na de datum van je check-out. Langer alleen als er een lopend incidentenonderzoek is dat dit rechtvaardigt.
C. Als je een arbeidskracht van een nevenaannemer bent
Welke gegevens verwerken wij van jou?
· Naam
· Bedrijfsnaam van de nevenaannemer waarvoor je werkt
· Je functie of werkzaamheid op het project
· Mobiel telefoonnummer
· E-mailadres
· Kopieën van je certificaten (waaronder VCA en andere vakbekwaamheidscertificaten)
· Datum en tijd van je check-in en check-out
· Locatiegegevens van je mobiele device op het moment van check-in en check-out (zie sectie Geofencing hieronder)
Wij verwerken geen Burgerservicenummer, geen kopie van je identiteitsbewijs en geen kopieën van verblijfs- of werkvergunningen als je een werknemer van een nevenaannemer bent.
Waarom verwerken wij deze gegevens?
De hoofdaannemer moet onder de Arbowet kunnen aantonen dat iedereen die op haar projectlocatie werkt over de juiste kwalificaties beschikt (zoals een geldige VCA) en moet je aanwezigheid registreren voor veiligheid en eventuele incidentreconstructie.
Op welke grondslag?
Artikel 6 lid 1 sub c AVG (wettelijke verplichting onder de Arbowet) en artikel 6 lid 1 sub f AVG (gerechtvaardigd belang van de hoofdaannemer).
Gerechtvaardigde belangen:
· aanwezigheidsregistratie op een Project;
· verhogen van het veiligheidsbewustzijn door middel van examinering, het aanleveren van certificaten en de aantoonbare aanvaarding van projectspecifieke regels en veiligheidsinstructies (zoals bouwplaatsregels en gedragsregels).
Hoe lang bewaren wij deze gegevens?
Tot één jaar na afloop van het project waarvoor je op de locatie aanwezig was. Langer alleen als er een lopend incidentenonderzoek of een wettelijke bewaarplicht is die dit rechtvaardigt.
Locatie-verificatie (Geofencing)
Voor de check-in en check-out maakt het Compli-platform gebruik van Geofencing: een virtuele afbakening rondom de projectlocatie. Hieronder leggen wij precies uit wat dat in jouw geval betekent.
Hoe werkt het?
Op het moment dat je incheckt of uitcheckt, vergelijkt de Compli-app de actuele locatie van jouw mobiele device met de coördinaten van de projectlocatie die door de hoofdaannemer zijn vastgelegd.
Tussen je check-in en je check-out maakt de Compli-app gebruik van de native geofencing-functie van iOS of Android op jouw telefoon. Jouw besturingssysteem houdt op systeemniveau in de gaten of je de geofence verlaat, en geeft uitsluitend een signaal aan de Compli-app op het moment dat je de geofence binnenkomt of verlaat. De Compli-app ontvangt geen doorlopende stroom van locatiegegevens en verwerkt geen tussentijdse coördinaten. Dat doen we expliciet zo om je privacy te beschermen.
Wat slaan we op?
We slaan alleen op:
· Datum en tijdstip van je check-in;
· Datum en tijdstip van je check-out.
De daadwerkelijke locatiecoördinaten van je telefoon worden niet opgeslagen.
Wat als je geen toestemming geeft op je telefoon?
Wanneer de app je voor het eerst vraagt om locatietoestemming, kun je kiezen voor "Alleen voor één sessie", "Bij gebruik van de app" of "Niet toestaan". Als je geen toestemming geeft, kun je niet zelf met de app inchecken op een projectlocatie. In dat geval kun je alleen worden in- en uitgecheckt door een collega of andere geautoriseerde gebruiker die op de projectlocatie aanwezig is en daartoe in het Compli-platform de juiste rechten heeft. Een check-in van buiten de geofence is niet mogelijk. Het systeem weigert die en registreert hem niet.
Compliance-controle bij check-in
Op het moment van je check-in kijkt het Compli-platform of de documenten en certificaten die in het systeem staan op dat moment nog geldig zijn voor het werk op het betreffende project. Denk aan je identiteitsbewijs, verblijfs- of werkvergunning, A1-verklaring of certificaten zoals VCA.
De uitkomst van die controle wordt aan jou en aan de geautoriseerde gebruikers van het platform getoond. Het Compli-platform neemt op grond van die controle geen automatisch besluit met rechtsgevolgen of een vergelijkbaar aanzienlijk gevolg in de zin van artikel 22 AVG. De uiteindelijke beslissing of je wel of niet wordt toegelaten tot het werk wordt altijd door een mens genomen — je werkgever of de hoofdaannemer.
Aanvaarding van projectspecifieke regels
De hoofdaannemer van een project kan vereisen dat je akkoord gaat met projectspecifieke regels en instructies — bijvoorbeeld veiligheidsinstructies, gedragsregels of bouwplaatsregels — voordat je toegang krijgt tot de projectlocatie. Wanneer je via de Compli-app of via checkin.compli.nl op "Ik ga akkoord" klikt, legt het Compli-platform jouw aanvaarding vast met: jouw naam of identifier, datum en tijdstip, en de versie van het document waarmee je akkoord bent gegaan.[CH3] [SK4]
De inhoud en versies van deze regels worden bepaald door de hoofdaannemer. Compli treedt voor de vastlegging op als verwerker.
Beveiliging van je gegevens
Compli werkt volgens het ISO 27001-managementsysteem voor informatiebeveiliging. Dat betekent dat we systematisch werken aan beveiligingsrisico's, met onder meer de volgende maatregelen:
· Toegang tot je gegevens is beperkt tot wie ze écht nodig heeft voor zijn werk (rolgebaseerde toegangscontrole, multi-factor authenticatie waar passend).
· Versleuteling van je gegevens onderweg (TLS 1.2 of hoger) en in opslag (AES-256).
· Specifieke versleuteling van je Burgerservicenummer en versleutelde opslag van kopieën van identiteits- en werkdocumenten.
· Periodieke risicoanalyses, audits en bewustwordingstrainingen voor onze medewerkers.
· Een incident- en datalekprocedure die ervoor zorgt dat we snel kunnen reageren als er onverhoopt iets misgaat.
Iets verdachts gezien? Meld het bij ons.
Merk je iets op dat een datalek zou kunnen zijn — bijvoorbeeld dat iemand anders jouw gegevens lijkt te kunnen zien, een verkeerd geadresseerde bevestiging, of toegang vanuit een onbekend apparaat — laat het ons dan zo snel mogelijk weten via privacy@compli.nl. Hoe eerder wij ervan weten, hoe sneller wij kunnen ingrijpen.
Sub-verwerkers
Compli werkt voor bepaalde onderdelen van de dienstverlening samen met gespecialiseerde leveranciers. Wij hebben met al deze partijen verwerkersovereenkomsten gesloten waarin minstens dezelfde beveiligings- en privacyverplichtingen gelden als die Compli zelf hanteert.
Partij
Waarvoor
Land
Doorgifte buiten EER
Amazon Web Services (AWS)
Hosting van het Compli-platform
Verwerking binnen de EER (Frankfurt, Duitsland)
Nee
Didit.me
Verificatie van identiteitsbewijzen (alleen voor arbeidskrachten in de keten)
Spanje
Nee
BulkSMS
Versturen van SMS-berichten met verificatiecodes voor inloggen
Verenigd Koninkrijk en Zuid-Afrika
Ja — met EU Standard Contractual Clauses en aanvullende waarborgen[PP5] [SK6]
HubSpot
Klantsupport en CRM
Verenigde Staten (waar mogelijk EU-datacenter)
Ja — onder het EU-U.S. Data Privacy Framework, met aanvullende Standard Contractual Clauses
Doorgifte van je gegevens naar landen buiten de EER
Zoals hierboven beschreven gaat een beperkt deel van je gegevens — alleen telefoonnummer en SMS-tekst (BulkSMS), of contactgegevens en supportberichten (HubSpot) — naar landen buiten de Europese Economische Ruimte. Dat gebeurt uitsluitend op basis van een geldige doorgiftegrondslag onder hoofdstuk V AVG: het EU-U.S. Data Privacy Framework voor HubSpot, en de Standard Contractual Clauses van de Europese Commissie plus aanvullende waarborgen voor BulkSMS, conform de Schrems II-jurisprudentie van het Hof van Justitie.
Identificatiegegevens, kopieën van identiteitsbewijzen, BSN, vergunningen en certificaten blijven binnen de EER.
Jouw rechten
Je hebt onder de AVG de volgende rechten ten aanzien van je persoonsgegevens:
· Inzage — je hebt het recht te weten welke gegevens van jou worden verwerkt en daarvan een kopie te krijgen.
· Rectificatie — als je gegevens onjuist of onvolledig zijn, kun je vragen om correctie of aanvulling.
· Wissing — onder bepaalde voorwaarden kun je vragen om verwijdering van je gegevens. Let op: wettelijke bewaartermijnen kunnen verwijdering uitsluiten zolang die termijn loopt.
· Beperking — je kunt vragen om de verwerking tijdelijk stop te zetten, bijvoorbeeld terwijl een rectificatieverzoek wordt beoordeeld.
· Bezwaar — je kunt bezwaar maken tegen de verwerking, in het bijzonder tegen verwerking op grond van gerechtvaardigd belang.
· Dataportabiliteit — voor zover de verwerking is gebaseerd op toestemming of een overeenkomst en geautomatiseerd plaatsvindt, kun je vragen om je gegevens in een gangbaar formaat te ontvangen of over te dragen.
· Intrekken van toestemming — heb je voor een specifieke verwerking toestemming gegeven (zoals voor het delen van je locatie via de app), dan kun je die toestemming op elk moment intrekken via de instellingen van je telefoon.
Hoe oefen je je rechten uit?
Je kunt je rechten in de eerste plaats uitoefenen bij de verwerkingsverantwoordelijke — dat is je werkgever (als je een arbeidskracht in de keten bent) of de hoofdaannemer (als je een bezoeker of werknemer van een nevenaannemer bent). Als je niet weet wie dat in jouw geval is, of als je je rechten via Compli wilt uitoefenen, stuur dan een e-mail naar privacy@compli.nl. Wij sturen je verzoek dan onverwijld door naar de juiste verantwoordelijke en houden je daarvan op de hoogte.
Wij hanteren een reactietermijn van maximaal één maand, in lijn met artikel 12 lid 3 AVG.
Klachten
Heb je een klacht over de manier waarop je gegevens worden verwerkt? Neem dan eerst contact op met de verwerkingsverantwoordelijke (je werkgever of de hoofdaannemer) of met ons via privacy@compli.nl. Komen we er samen niet uit, dan heb je altijd het recht om een klacht in te dienen bij de Nederlandse toezichthouder:
Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
https://www.autoriteitpersoonsgegevens.nl
Wijzigingen in deze Privacyverklaring
Wij kunnen deze Privacyverklaring van tijd tot tijd aanpassen, bijvoorbeeld als wet- en regelgeving verandert of als we een nieuwe functionaliteit toevoegen aan het Compli-platform. De meest actuele versie staat altijd op compli.nl/jouwprivacy. Materiële wijzigingen kondigen we vooraf aan via de app en/of via het bij ons bekende e-mailadres of telefoonnummer.
Contact
Heb je vragen over deze Privacyverklaring of over hoe wij omgaan met je gegevens?
Compli B.V.
John M. Keynesplein 10, Amsterdam
KvK 88171833
E-mail: privacy@compli.nl
Versie 2.0 — laatste update: 29 mei 2026
