Verwerkingsverantwoordelijke
Quest Media Group, KvK 82781486 · BTW NL862602282B01 · Zwanebloem 47, 2408 LT Alphen aan den Rijn · privacy@questmediagroup.eu · +31 6 50218580.
Wij hebben geen Functionaris Gegevensbescherming (niet verplicht onder AVG art. 37 — geen kerntaak grootschalige observatie). Voor klachten kunt u terecht bij de Autoriteit Persoonsgegevens.
Welke gegevens & rechtsgrondslag
Per categorie betrokkene leggen wij de gegevens en de rechtsgrond vast:
| Categorie | Gegevens | Rechtsgrond |
|---|---|---|
| Adverteerder / contractpartij | Bedrijfsnaam, KvK, BTW, factuuradres, contactnaam, e-mail, telefoon, betaalgegevens (via Stripe) | Art. 6.1.b — overeenkomst |
| Sitebezoeker | IP (kort, niet gelogd), user agent, page views (server-log) | Art. 6.1.f — gerechtvaardigd belang (basis-analytics) |
| Cookie-consent gevers | Klaro consent record (welke categorieën, timestamp, IP-hash) | Art. 6.1.c — wettelijke verplichting (ePrivacy) |
| Werkzoekende (CV-upload) | CV-bestand, naam, e-mail, telefoon, geëxtraheerde skills, voorkeuren | Art. 6.1.a — toestemming |
| DSA-melder | Naam (optioneel), e-mail, IP-hash, melding | Art. 6.1.c — DSA art. 16 verplichting |
Wij verkopen geen persoonsgegevens. Wij maken geen gebruikersprofielen voor cross-site advertising. Onze ad-pool werkt op contextuele match (regio + categorie), niet op persoonsprofielen.
Bewaartermijnen
| Soort gegevens | Bewaartermijn |
|---|---|
| Facturen & boekhouding | 7 jaar (fiscaal verplicht — AWR art. 52) |
| Adverteerder-account | Tot opzegging + 30d recovery window |
| CV / job-seeker profiel | Maximaal 12 maanden, met 2 herinneringsmails (60d / 14d voor expiry); auto-delete daarna |
| Server-logs | 14 dagen, daarna verwijderd |
| Ad-events (impressies / clicks) | 30 dagen, dan geaggregeerd + ruwe rijen verwijderd |
| Chatbot-conversaties | 90 dagen, dan verwijderd |
| Klaro consent log | Maximaal 12 maanden |
| DSA-meldingen | Tot afgerond + 6 maanden voor audit-trail |
Verwerkers & sub-verwerkers
Wij gebruiken de volgende verwerkers met EU-conforme dataverwerkingsovereenkomsten:
| Verwerker | Doel | Locatie |
|---|---|---|
| Supabase (DB Limited) | Postgres database + Storage + Auth | EU (Frankfurt) |
| Stripe Payments Europe | Betalingen, abonnementen, factuur-PDF's | EU / IE |
| Cloudflare | CDN, edge-cache, DDoS-protectie | Wereldwijd, EU-data pinned |
| Strato | Hosting | EU (Berlijn) |
| Anthropic Claude | AI-tekstgeneratie (geen persoonsgegevens als input) | EU / US — DPF-gecertificeerd |
| Brevo | Transactionele e-mail | EU (Parijs) |
Volledige sub-verwerkerslijst beschikbaar op verzoek via privacy@questmediagroup.eu.
Doorgifte buiten EER
Indien data buiten de EER wordt verwerkt (bijv. bij Anthropic via DPF / SCC), gebruiken wij standard contractual clauses + adequacy-besluiten. Geen routinematige doorgifte van persoonsgegevens naar landen zonder adequaat beschermingsniveau.
Uw rechten (AVG art. 15-22)
- Recht op inzage in welke gegevens wij van u verwerken
- Recht op correctie als gegevens onjuist zijn
- Recht op verwijdering ("vergeten worden")
- Recht op beperking van verwerking
- Recht op dataportabiliteit (machineleesbaar export)
- Recht van bezwaar tegen verwerking op basis van gerechtvaardigd belang
- Recht om toestemming in te trekken (cookies, CV-upload)
Verzoek indienen: privacy@questmediagroup.eu. Wij reageren binnen 30 dagen (AVG art. 12.3). Klacht over onze verwerking: Autoriteit Persoonsgegevens.
Werkzoekenden / CV-upload (AVG art. 6.1.a)
Werkzoekenden kunnen op /cv-upload/ kosteloos hun CV uploaden om automatisch te worden gematcht met openstaande vacatures op het netwerk. Verwerking gebeurt uitsluitend op basis van uw expliciete toestemming (AVG art. 6.1.a). Toestemming kunt u op elk moment intrekken.
| Wat | Hoe lang |
|---|---|
| CV-bestand (PDF/DOCX) in private Supabase Storage, hash-naam zonder PII in pad | Maximaal 12 maanden vanaf laatste upload of verlenging |
| Geëxtraheerde skills/functies/opleiding/ervaringsjaren (Claude Haiku, EU/US-DPF) | Idem 12 maanden |
| Naam, e-mail, telefoon, voorkeuren (categorie, stad, dienstverband) | Idem 12 maanden |
| Match-historie (vacancy_id + score + click-status) | Idem 12 maanden, cascade-delete bij profielverwijdering |
Herinneringen vóór auto-delete: 60 dagen vóór vervaldatum + 14 dagen vóór vervaldatum sturen we een e-mail. Na de vervaldatum verwijderen we uw profiel en alle gekoppelde matches automatisch — geen actie van uzelf nodig. U kunt uw profiel ook op elk moment direct verwijderen via /mijn/cv/.
Delen met werkgever: bij privacy-instelling anoniem (default) ziet de werkgever alleen de match-score en geen contactgegevens. Bij volledig ziet de gematchte werkgever uw naam + e-mail om u te kunnen benaderen. U kunt deze instelling te allen tijde wijzigen.
Cookies & tracking
Wij gebruiken alleen technisch noodzakelijke cookies (sessie, taalvoorkeur, consent-keuze). Analytics en marketing-cookies plaatsen wij uitsluitend na uw expliciete toestemming via de Klaro cookie-banner. Voorkeuren wijzigen: cookie-instellingen.
Beveiliging
TLS 1.2+ overal, encryption at rest in Supabase, geen toegang voor externe partijen behalve via DPA-gedekte verwerkers. Datalekken melden wij binnen 72u aan AP (AVG art. 33).
Wijzigingen
Wij kunnen deze verklaring wijzigen. De versie + datum bovenaan tonen de meest recente. Wezenlijke wijzigingen kondigen wij aan via e-mail (voor accounthouders) en banner op de website.
Quest Media Group · KvK 82781486 · BTW NL862602282B01 · Zwanebloem 47, 2408 LT Alphen aan den Rijn