Privacybeleid

In het kader van de Privacy Act 1988 (Cth) en de Australian Privacy Principles (APPs), de Algemene Verordening Gegevensbescherming van de EU (AVG) en de Algemene Verordening Gegevensbescherming van het Verenigd Koninkrijk (AVG), is de verantwoordelijke voor de verwerking van persoonsgegevens die via het Reco-platform worden verzameld:

Indien vereist door de AVG van de EU, wordt onze EU-vertegenwoordiger op het platform vermeld. Indien vereist door de AVG van het VK, wordt onze Britse vertegenwoordiger op het platform vermeld.

Reco verwerkt persoonsgegevens op twee verschillende manieren:

• Als gegevensbeheerder zijn wij verantwoordelijk voor de verwerking van gegevens die u rechtstreeks aan ons verstrekt om uw account aan te maken en te gebruiken (bijvoorbeeld uw naam, e-mailadres en accountactiviteit). Dit beleid is van toepassing op die verwerking.
• Als gegevensverwerker zijn wij verantwoordelijk voor de verwerking van de gegevens wanneer een Aanbieder klantcontactgegevens naar het Platform uploadt om verwijzingsuitnodigingen te versturen. In dat geval is de Aanbieder de verwerkingsverantwoordelijke en verwerken wij de gegevens namens de Aanbieder onder onze Addendum inzake gegevensverwerking. Zie paragraaf 12.

"Reco" is de merk- en productnaam. De juridische entiteit is Netfect Platforms Pty Ltd. Verwijzingen in dit beleid naar Reco betekenen Netfect Platforms Pty Ltd, handelend onder de naam Reco.

We verzamelen alleen de persoonsgegevens die we nodig hebben voor de doeleinden die in paragraaf 4 worden beschreven. De categorieën zijn:

Wij verzamelen geen gegevens en u dient deze ook niet in te dienen:

• Overheidsidentificatienummers (belastingnummer, paspoortnummer, rijbewijsnummer).
• Het volledige creditcardnummer of de bankrekeninggegevens (deze worden verwerkt door onze betalingsverwerker).
• Biometrische of genetische informatie.
• Inhoud van berichten die via apps van derden (bijv. WhatsApp, iMessage) worden verzonden en die u buiten het platform gebruikt om een verwijzingslink door te sturen — we zien alleen dat er een link is gegenereerd, niet waar u deze naartoe hebt verzonden.

Wanneer een verwijzer een verwijzing stuurt, gebeurt het volgende in deze volgorde:

1. De verwijzer verstrekt de contactgegevens van een referent (naam en ten minste één van de volgende: e-mailadres, mobiel nummer). We verzamelen deze gegevens om de verwijzing mogelijk te maken.
2. We stellen de referent onmiddellijk op de hoogte via het gekozen kanaal met een duidelijke uitleg over wie hem/haar heeft doorverwezen, welke aanbieder erbij betrokken is en welke opties er zijn.
3. De scheidsrechter kiest of hij het bericht accepteert, afmeldt of negeert. Afmelden is mogelijk in het eerste bericht en op elke pagina van het platform die hij bezoekt.
4. Als de doorverwezen persoon zich afmeldt, stoppen we verder contact over die doorverwijzing, verwijderen we hun contactgegevens binnen een redelijke termijn (behalve indien nodig om toekomstige uitnodigingen via hetzelfde kanaal te blijven blokkeren) en stellen we de doorverwijzer op de hoogte dat de doorverwijzing niet is doorgegaan (zonder de reden te vermelden).
5. Als de verwijzer de verwijzing bevestigt, worden zijn of haar naam en contactgegevens gedeeld met de betreffende aanbieder, zodat deze de beloning kan uitreiken en contact kan opnemen. De toestemming van de verwijzer voor deze gegevensdeling wordt vastgelegd tijdens de verificatie.

Wij vragen niet om gevoelige informatie (zoals gedefinieerd in de Privacywet en de AVG – waaronder gezondheidsgegevens, ras of etnische afkomst, politieke opvattingen, religieuze overtuigingen, seksuele geaardheid, vakbondslidmaatschap, biometrische of genetische gegevens en strafblad).

Omdat Reco wordt gebruikt door zorgverleners in de gezondheidszorg, moeten cliënten voorkomen dat ze gevoelige informatie in beoordelingen of berichten opnemen. Als u dit wel doet, beschouwen we deze informatie als vrijwillig verstrekt en bewaren we deze onder dezelfde bescherming als andere persoonsgegevens. U kunt ons op elk gewenst moment vragen om deze te verwijderen.

Wanneer een aanbieder beoordelingen van individuele partners mogelijk maakt, moet de partner hiervan op de hoogte zijn gesteld door de aanbieder en moet deze toestemming hebben gegeven voordat hij of zij op het platform beoordeeld kan worden. Partners hebben het recht om:

• bekijk wat er over hen is geplaatst;
• Verzoek om correctie van feitelijk onjuiste inhoud;
• verzoeken om hun naam te anonimiseren of te verwijderen uit de recensies;
• verzoek dat ze voortaan van de lijst met te beoordelen medewerkers worden verwijderd.

Verzoeken kunnen worden ingediend via privacy@reco.tips of via de aanbieder.

Reco is voor volwassenen. We verzamelen niet bewust persoonlijke gegevens van personen jonger dan 18 jaar. Zie paragraaf 16.

Het platform maakt gebruik van AI om aanbieders te helpen bij het opstellen van beloningsbeschrijvingen en -voorwaarden. Wanneer een aanbieder deze functies gebruikt:

• De door de aanbieder aangeleverde gegevens (meestal een korte bedrijfsomschrijving en voorkeuren) worden naar een AI-dienstverlener gestuurd voor verwerking.
• Wij gebruiken uw persoonlijke gegevens niet om AI-modellen van derden te trainen. Onze afspraken met AI-dienstverleners verbieden hen om onze API-inputs te gebruiken voor training.
• De resultaten van de AI zijn slechts concepten. De Aanbieder is verantwoordelijk voor het beoordelen en goedkeuren ervan, zoals uitgelegd in clausule 6 van de Servicevoorwaarden.

Aanbieders mogen geen persoonlijke gegevens in AI-functies invoeren die verder gaan dan het minimaal noodzakelijke en mogen geen gevoelige of vertrouwelijke informatie van hun eigen klanten invoeren.

Het platform omvat geautomatiseerde fraudedetectie die verwijzingen beoordeelt op indicatoren van manipulatie. Fraude kan ertoe leiden dat een verwijzing wordt vastgehouden voor beoordeling, een vergoeding wordt terugbetaald of een account wordt geblokkeerd.

• Deze resultaten zijn niet volledig geautomatiseerd — we betrekken een mens bij belangrijke beslissingen die u aanzienlijk beïnvloeden (zoals het opschorten van een provideraccount).
• Indien een aanbieder een fraudemelding betwist, is de in artikel 15 van de Servicevoorwaarden vermelde termijn van 14 dagen van toepassing en wordt de beslissing door een medewerker beoordeeld.
• Wanneer we onder artikel 22 van de AVG vallen, heeft u het recht om een menselijke beoordeling aan te vragen, uw standpunt kenbaar te maken en de beslissing aan te vechten. Schrijf hiervoor naar privacy@reco.tips.

We maken gebruik van een klein aantal dienstverleners om het platform te beheren. Zij verwerken persoonsgegevens volgens onze instructies en op basis van schriftelijke contracten die passende beveiligings- en vertrouwelijkheidsvoorschriften bevatten. Zij mogen de gegevens niet voor eigen doeleinden gebruiken. De categorieën die we gebruiken zijn:

• Cloudhosting, database, authenticatie en bestandsopslag (momenteel Google Cloud en Firebase, beheerd door Google LLC).
• Betalingsverwerking en abonnementsfacturering (momenteel Stripe, Inc. en haar regionale dochterondernemingen). Stripe verwerkt kaartgegevens rechtstreeks en is verantwoordelijk voor de verwerking ervan volgens haar eigen privacybeleid.
• Transactionele sms en e-mail (momenteel Twilio en een e-mailprovider, gepubliceerd in onze huidige lijst met subverwerkers).
• Adres opzoeken en kaarten bekijken (momenteel Google Maps Platform, voor functionaliteit die geschikt is voor het betreffende land).
• Tools voor klantondersteuning voor helpdesk en e-mailcorrespondentie.
• AI-serviceproviders die de AI-ontwerpfuncties mogelijk maken die in sectie 7 worden beschreven.

De actuele lijst met subverwerkers wordt gepubliceerd op het platform en bijgewerkt wanneer onze leveranciers wijzigen. Aanbieders kunnen zich abonneren op meldingen over wijzigingen in subverwerkers via het addendum voor gegevensverwerking.

Wanneer een referent een verwijzing verifieert, delen we de naam en contactgegevens van de referent met de betreffende aanbieder, zodat deze de beloning kan uitkeren en de nodige opvolging kan geven. Deze gegevensdeling:

• Dit gebeurt pas nadat de scheidsrechter dit heeft geverifieerd;
• is beperkt tot de informatie die de scheidsrechter heeft verstrekt ten behoeve van de verwijzing;
• Bevat geen andere informatie over de verwijzer dan de naam van de verwijzer (zodat de aanbieder kan achterhalen wie de nieuwe klant heeft doorverwezen en een eventuele beloning voor de verwijzer kan uitkeren).

Zodra de informatie is gedeeld, is de Aanbieder de verwerkingsverantwoordelijke voor die informatie met betrekking tot zijn eigen vervolgcontact met de Scheidsrechter, en is het privacybeleid van de Aanbieder van toepassing.

Wij kunnen uw persoonsgegevens delen met:

• Professionele adviseurs (advocaten, accountants, verzekeraars) zijn, indien nodig, gebonden aan een geheimhoudingsplicht.
• Autoriteiten reageren op wettelijke verzoeken (gerechtelijke bevelen, dagvaardingen, geldige eisen van toezichthouders). We beoordelen elk verzoek en wijzen het af als het te breed of onwettig is.
• Een opvolgende entiteit in verband met een bedrijfsverkoop, fusie, reorganisatie of soortgelijke gebeurtenis, waarbij de opvolger gebonden is aan verplichtingen die minstens even beschermend zijn als dit beleid.

Voordat we persoonsgegevens naar het buitenland overdragen, nemen we redelijke maatregelen om ervoor te zorgen dat de ontvanger deze gegevens behandelt in overeenstemming met dit beleid en de toepasselijke wetgeving, waaronder:

• voor overdrachten die onderworpen zijn aan APP 8 (Australische privacybeginselen), het beoordelen van het privacyregime van de ontvanger en redelijke stappen om een APP-gelijkwaardige behandeling te waarborgen;
• voor de overdracht van persoonsgegevens uit de EER/het VK naar een land zonder adequaatheidsbesluit, waarbij gebruik wordt gemaakt van de standaardcontractbepalingen van de Europese Commissie (of de Britse IDTA/het Britse addendum, indien van toepassing) en, waar relevant, aanvullende maatregelen die zijn gebaseerd op het Schrems II-besluit en de huidige richtlijnen van het Europees Comité voor gegevensbescherming (EDPB) en de ICO.

De huidige lijst omvat Australië (primair), de Verenigde Staten (cloudhosting, betalingsverwerking, AI-diensten), de Europese Economische Ruimte (e-mailbezorging, back-upregio's) en het Verenigd Koninkrijk. De huidige lijst wordt samen met onze lijst van subverwerkers op het platform gepubliceerd.

Door gebruik te maken van het Platform erkent u dat bepaalde persoonsgegevens in het buitenland worden verwerkt door de dienstverleners die worden vermeld in paragraaf 8.1. Wanneer wij geen stappen kunnen ondernemen die gelijkwaardig zijn aan APP-8, vragen wij uw specifieke toestemming voordat wij gegevens overdragen.

Voordat u formele verzoeken indient, kunt u een aanzienlijk deel van uw persoonlijke gegevens zelf beheren via uw accountinstellingen, waaronder:

• Profielinformatie — bekijk, corrigeer en update uw naam, contactgegevens, locatie, taal en tijdzone.
• Zichtbaarheid en delen — kies wat zichtbaar is op je openbare profiel of communitypagina, en welke velden worden gedeeld met zorgverleners wanneer je een verwijzing verifieert.
• Meldingsvoorkeuren — kies of u e-mails, sms'jes, pushmeldingen of in-app-waarschuwingen wilt ontvangen, voor welke categorieën berichten (service, verwijzingsactiviteit, marketing) en met welke frequentie.
• Marketingvoorkeuren — u kunt zich op elk gewenst moment aan- of afmelden voor marketingcommunicatie. Dit staat los van servicecommunicatie, die noodzakelijk is voor de werking van uw account.
• Beoordelingsinstellingen (Aanbieders) — hiermee kunt u bepalen of individuele medewerkers beoordeeld kunnen worden en op welk detailniveau.
• Verbonden providers (clients) — zie met welke providers u verbonden bent en verbreek de verbinding op elk gewenst moment.
• Account sluiten en gegevens verwijderen — start het verwijderen van uw account en bijbehorende persoonlijke gegevens via uw instellingen.

Wanneer u een instelling wijzigt, wordt de wijziging direct van kracht. Dit is de snelste manier om aan te passen hoe uw gegevens worden verwerkt. Het gebruik van de instellingen binnen uw account is in de meeste gevallen gelijk aan het indienen van een formeel rechtenverzoek volgens dit onderdeel. U kunt altijd een formeel verzoek indienen (zie paragraaf 11.11) als een instelling niet aan uw wensen voldoet.

U kunt een kopie opvragen van de persoonsgegevens die wij over u bewaren.

U kunt ons vragen om informatie te corrigeren die onjuist, verouderd, onvolledig, irrelevant of misleidend is. De meeste velden kunt u rechtstreeks in uw accountinstellingen aanpassen.

U kunt ons verzoeken uw persoonlijke gegevens te verwijderen. Wij zullen dit doen, tenzij wij wettelijk verplicht of gerechtigd zijn deze te bewaren (zie paragraaf 10). U kunt de verwijdering rechtstreeks initiëren via uw accountinstellingen of door een e-mail te sturen naar privacy@reco.tips. Wij zullen uw identiteit verifiëren voordat wij een verzoek in behandeling nemen en de voltooiing binnen 30 dagen bevestigen.

Je kunt je op elk gewenst moment afmelden voor marketingberichten door op de afmeldlink in een marketingmail te klikken of door je voorkeuren in je accountinstellingen aan te passen.

Wanneer wij ons beroepen op gerechtvaardigde belangen, kunt u bezwaar maken tegen de verwerking. Indien aan bepaalde voorwaarden is voldaan, kunt u ons verzoeken de verwerking te beperken.

Wanneer wij uw gegevens op basis van uw toestemming of een overeenkomst verwerken en dit geautomatiseerd doen, kunt u een kopie van uw gegevens opvragen in een gestructureerd, gangbaar en machineleesbaar formaat, of ons vragen deze, indien technisch mogelijk, door te geven aan een andere verwerkingsverantwoordelijke.

Wanneer wij uw toestemming nodig hebben, kunt u deze te allen tijde intrekken. Intrekking heeft geen invloed op de rechtmatigheid van de verwerking vóór de intrekking.

Onder APP 2 kunt u, waar wettelijk en praktisch mogelijk, anoniem of onder een pseudoniem met ons communiceren. Voor een account is dit doorgaans niet mogelijk, omdat verificatie essentieel is voor het platform; we zullen uitleggen wanneer dit het geval is.

Zie paragraaf 7.2. U kunt een menselijke beoordeling aanvragen van een geautomatiseerde beslissing die u raakt.

U kunt een klacht indienen bij een toezichthoudende instantie – zie paragraaf 18.

Stuur een e-mail naar privacy@reco.tips. Geef aan welk recht u wilt uitoefenen en vermeld voldoende informatie om u te identificeren (meestal het e-mailadres dat aan uw account is gekoppeld). Mogelijk moeten we uw identiteit verifiëren om uw gegevens te beschermen tegen identiteitsfraude. We reageren binnen 30 dagen (één maand in de EER/het VK) op geverifieerde verzoeken en laten u weten als we deze termijn moeten verlengen, tot maximaal drie maanden voor complexe verzoeken, zoals wettelijk is toegestaan. Er worden geen kosten in rekening gebracht voor een redelijk verzoek.

Als we een verzoek afwijzen, zullen we u de reden daarvoor meedelen en uw verdere rechten toelichten.

Wanneer een Aanbieder informatie over zijn eigen klanten uploadt, importeert of op een andere manier invoert in het Platform (bijvoorbeeld een contactlijst die wordt gebruikt om bestaande klanten uit te nodigen deel te nemen aan het verwijzingsprogramma van de Aanbieder), is de Aanbieder de verwerkingsverantwoordelijke van die informatie en is Reco de verwerker.

Artikel 18 van de Servicevoorwaarden beschrijft de garanties van de Aanbieder, waaronder de garantie dat de Aanbieder een wettelijke basis heeft om de gegevens aan Reco te verstrekken en dat hij alle vereiste kennisgevingen heeft gedaan en de vereiste toestemmingen heeft verkregen conform de toepasselijke privacywetgeving in het rechtsgebied van de Aanbieder.

Indien vereist door de toepasselijke privacywetgeving (waaronder de AVG en de Britse AVG), is het Data Processing Addendum ("DPA") van Reco van toepassing tussen de Aanbieder en Reco. Het actuele DPA is gepubliceerd op het Platform en maakt deel uit van de Servicevoorwaarden wanneer een Aanbieder persoonsgegevens uploadt. Het DPA beschrijft het volgende:

• het onderwerp en de duur van de verwerking;
• categorieën van betrokkenen en persoonsgegevens;
• subprocessor-voorwaarden;
• internationale overdrachtsmechanismen (inclusief standaardcontractbepalingen waar nodig);
• beveiligingsmaatregelen (artikel 32 AVG);
• melding van inbreuk;
• controle- en bijstandsrechten; en
• Teruggeven/verwijderen van gegevens bij beëindiging.

Aanbieders moeten hun eigen privacybeleid hanteren met betrekking tot het verzamelen en gebruiken van klantgegevens, inclusief het gebruik van het Reco-platform. Het beleid van Reco vervangt de verplichtingen van de aanbieder niet.

Een communitypagina is een openbare pagina over een bedrijf dat door een klant is aanbevolen. Deze pagina kan bestaan, ongeacht of het bedrijf zich bij Reco heeft aangemeld. Zie paragraaf 27 van onze servicevoorwaarden.

Voor een bedrijf dat geen lid is, kan een communitypagina het volgende bevatten:

• de bedrijfsnaam, de vestigingsplaats (op voorstads-/stadsniveau) en de openbaar beschikbare contactgegevens;
• een beschrijving en categorie;
• beoordelingen en waarderingen ingediend door klanten;
• Het feit dat het bedrijf is aanbevolen, en het totale aantal aanbevelingen.

Wanneer een niet-lidbedrijf een eenmanszaak is of wanneer de bedrijfsnaam een persoonsnaam bevat, kan de communitypagina incidenteel persoonsgegevens bevatten. Wij behandelen die gegevens in overeenstemming met dit beleid en de toepasselijke privacywetgeving.

Je kunt:

• Claim de pagina door een geverifieerd aanbiedersaccount aan te maken, waarna u de controle over de pagina krijgt.
• Corrigeer feitelijke onjuistheden via complaints@reco.tips of via de klachtenprocedure van het platform.
• Verwijder de pagina door een geverifieerd verzoek in te dienen. Na ontvangst zullen we uw verzoek binnen 14 dagen beoordelen en de pagina verwijderen, tenzij behoud ervan vereist is om juridische redenen, in het algemeen belang of ter bescherming tegen wettelijke verplichtingen, en zelfs dan alleen in de minimale mate.
• Bezwaar maken tegen specifieke beoordelingen of inhoud, wat wij zullen behandelen onder clausule 9 van de Servicevoorwaarden en sectie 18 van dit Beleid.

We zullen de informatie op uw communitypagina niet gebruiken voor commerciële doeleinden jegens uw directe concurrenten zonder uw toestemming (we zullen bijvoorbeeld een concurrent niet vertellen dat uw bedrijf negatief is beoordeeld).

Wanneer een datalek waarschijnlijk ernstige schade zal toebrengen aan de betrokken personen en voldoet aan de criteria voor een "in aanmerking komend datalek" onder Deel IIIC van de Privacywet, zullen wij het Bureau van de Australische Informatiecommissaris en de betrokken personen zo spoedig mogelijk op de hoogte stellen, conform de regeling.

Indien de AVG of de Britse AVG van toepassing is, zullen wij de relevante toezichthoudende autoriteit binnen 72 uur na constatering van een datalek op de hoogte stellen, indien dit vereist is. Betrokkenen worden zonder onnodige vertraging op de hoogte gesteld indien het datalek een groot risico vormt voor hun rechten en vrijheden.

Als u een vermoedelijk datalek op het Platform vermoedt (bijvoorbeeld een gehackt account, het openbaar maken van scheidsrechtersgegevens of een e-mail die ogenschijnlijk van Reco afkomstig is maar die u niet verwachtte), moet u ons binnen 24 uur op de hoogte stellen via privacy@reco.tips en complaints@reco.tips.

Als u van mening bent dat wij uw persoonlijke gegevens onjuist hebben behandeld, neem dan contact met ons op via privacy@reco.tips (of complaints@reco.tips voor zaken betreffende het verwijderen van content). Wij zullen uw bericht binnen 3 werkdagen bevestigen en binnen 30 dagen inhoudelijk reageren.

U hebt ook het recht om een klacht in te dienen bij een privacytoezichthouder. Afhankelijk van uw locatie kan dat zijn:

• Australië — Bureau van de Australische Informatiecommissaris (OAIC), op oaic.gov.au.
• Aangelegenheden van de publieke sector in New South Wales — NSW Information and Privacy Commission (IPC), op ipc.nsw.gov.au.
• Europese Economische Ruimte — de toezichthoudende autoriteit in de EU-lidstaat waar u woont, werkt of waar de vermeende inbreuk heeft plaatsgevonden.
• Verenigd Koninkrijk — Information Commissioner's Office (ICO), op ico.org.uk.
• Andere rechtsgebieden — uw lokale privacy- of gegevensbeschermingsautoriteit.

U hoeft niet eerst bij ons te klagen voordat u naar een toezichthouder stapt, maar we stellen het op prijs als we de gelegenheid krijgen om uw zorgen direct aan te pakken.