Privacy Policy

Versie 1.1 (vanaf 16 maart 2026)

Toepasselijkheid: deze privacyverklaring geldt voor alle activiteiten van Aviaro Group B.V. (hierna: Aviaro), gevestigd aan Eastonstraat 66, 1068 JB Amsterdam, ingeschreven bij de Kamer van Koophandel onder nummer 98083821. Aviaro is een consultancyonderneming. Wij nemen de bescherming van persoonsgegevens serieus en leven wij de toepasselijke wet- en regelgeving na, waaronder de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG.

1. Wie wij zijn en contactgegevens

Aviaro Group B.V.

Eastonstraat 66, 1068 JB Amsterdam

E‑mail: info@aviaro.nl

Aviaro voert geen grootschalige of risicovolle verwerkingen uit, wij zijn niet wettelijk verplicht een functionaris voor gegevensbescherming (FG) te benoemen. Wel kunt u met privacyvragen contact opnemen met onze interne privacycontactpersoon via bovenstaand e‑mailadres.

2. Welke persoonsgegevens wij verwerken en waarom

Wij verwerken enkel persoonsgegevens die noodzakelijk zijn voor onze dienstverlening. Uitgangspunt is dat wij niet méér gegevens vragen dan nodig is en dat wij de gegevens alleen gebruiken voor het doel waarvoor ze zijn verkregen.

2.1 Opdrachtgevers en hun medewerkers

Wij verwerken de volgende gegevens van (potentiële) opdrachtgevers en contactpersonen:

  • Identificatie‑ en contactgegevens (naam, functie, organisatie, e‑mail, telefoon, adres);

  • Zakelijke financiële gegevens, zoals bankrekeningnummer (voor facturatie);

  • Projectdocumenten die kunnen bestaan uit gespreksverslagen, interviews, organigrammen, functiegegevens en capaciteitsanalyses.

Doel en rechtsgrond:

Wij gebruiken deze gegevens voor het aangaan en uitvoeren van overeenkomsten met opdrachtgevers (uitvoering van een overeenkomst; art. 6 lid 1 sub b AVG), voor facturatie en het voldoen aan fiscale plichten (wettelijke verplichting; art. 6 lid 1 sub c AVG) en voor onze gerechtvaardigde belangen bij bedrijfsvoering, kwaliteitsborging en beveiliging (art. 6 lid 1 sub f AVG).

Projectinformatie verwerken wij alleen in overleg met de opdrachtgever en zo veel mogelijk geanonimiseerd of gepseudonimiseerd.

Bewaartermijnen:

Administratieve gegevens bewaren wij zeven jaar wegens de fiscale bewaarplicht . Projectdata worden na afloop van de opdracht verwijderd of uiterlijk na zeven jaar gearchiveerd in een extra afgeschermde omgeving; geanonimiseerde eindrapporten en methodieken kunnen wij voor onbepaalde tijd bewaren voor interne naslag. U kunt op ieder moment vragen om eerder verwijderen van niet-wettelijk verplichte gegevens.

2.2 Websitebezoekers

Onze website gebruikt uitsluitend functionele cookies. Wij verzamelen geen persoonsgegevens van bezoekers, noch profileren wij websitegebruikers.

2.3 Werknemers

Van onze werknemers verwerken wij identiteitsgegevens (NAW, geboortedatum), contractgegevens, salaris‑ en urenadministratie, declaraties en beoordelingsgegevens. Voor marketing en interne communicatie kunnen wij beeldmateriaal verwerken, uitsluitend met expliciete toestemming. Loggegevens worden geregistreerd voor beveiligings- en beheerdoeleinden; Aviaro monitort geen werknemerssystemen op structurele wijze.

Rechtsgrond: uitvoering van de arbeidsovereenkomst en het voldoen aan wettelijke verplichtingen.

Bewaartermijnen: personeelsdossiers bewaren wij gedurende de looptijd van het dienstverband en zeven jaar daarna, overeenkomstig fiscale en arbeidsrechtelijke verplichtingen.

2.4 Sollicitanten

Wij ontvangen cv’s, motivatiebrieven en correspondentie van sollicitanten. Deze gegevens worden twee weken na afronding van de sollicitatieprocedure verwijderd, tenzij wij toestemming hebben om deze langer te bewaren. Wij bewaren voornaam en basiscontactgegevens maximaal drie maanden na afloop van de procedure om vragen van de sollicitant te kunnen beantwoorden. De rechtsgrond hiervoor is ons gerechtvaardigd belang bij een zorgvuldige werving.

2.5 Bijzondere persoonsgegevens

Wij verwerken slechts bijzondere persoonsgegevens (zoals gezondheidsgegevens) indien dit strikt noodzakelijk is voor een adviesopdracht of werving. Deze gegevens worden altijd gescheiden van overige data opgeslagen, zoveel mogelijk gepseudonimiseerd, en binnen twee weken na afronding verwijderd.

2.6 AI en geautomatiseerde verwerking

Aviaro zet generatieve AI alleen ondersteunend in voor rapportages en interne productontwikkeling. Wij voeren geen geautomatiseerde besluitvorming uit die rechtsgevolgen voor personen heeft. Klantdata worden nooit herkenbaar ingevoerd in AI‑systemen; data worden altijd geanonimiseerd, gesynthetiseerd of geabstraheerd. Medewerkers evalueren de uitkomsten en blijven verantwoordelijk voor beslissingen. Bij toepassingen met een mogelijk hoog privacyrisico voeren wij een data protection impact assessment (DPIA) uit, zoals voorgeschreven wanneer verwerkingen systematisch en uitgebreid persoonlijke aspecten beoordelen of bijzondere gegevens grootschalig worden verwerkt.

3. Grondslagen voor verwerking

Wij verwerken persoonsgegevens uitsluitend wanneer aan één of meer van de volgende rechtsgronden is voldaan:

  1. Uitvoering van een overeenkomst – bijvoorbeeld bij het aangaan van adviesopdrachten of arbeidsovereenkomsten.

  2. Wettelijke verplichting – wij zijn verplicht bepaalde gegevens te bewaren voor de belastingdienst of andere overheidsinstanties.

  3. Gerechtvaardigd belang – om onze bedrijfsvoering te organiseren, relaties te onderhouden, beveiliging te waarborgen of onderzoek uit te voeren. Hierbij maken wij altijd een belangenafweging zodat de privacy van betrokkenen niet onevenredig wordt geschaad.

  4. Toestemming – bij gebruik van beeldmateriaal of andere situaties waarin geen andere grondslag bestaat. Betrokkenen kunnen hun toestemming te allen tijde intrekken.

4. Met wie delen wij persoonsgegevens?

Aviaro verkoopt geen persoonsgegevens. Wij delen gegevens alleen met derden wanneer dit noodzakelijk is voor onze dienstverlening of wanneer de wet dit vereist. Derden kunnen zijn:

  • Dienstverleners (verwerkers) die namens ons gegevens verwerken, zoals cloud‑providers, boekhoudsoftware en facilitaire dienstverleners. Met al onze verwerkers sluiten wij verwerkersovereenkomsten waarin minimaal wordt vastgelegd dat zij voldoen aan de AVG, passende technische en organisatorische maatregelen treffen en geen subverwerkers inzetten zonder onze toestemming.

  • Autoriteiten wanneer wij hiertoe wettelijk verplicht zijn, bijvoorbeeld de Belastingdienst of toezichthouders.

Onze kernapplicatie is Microsoft 365. Onze leverancier is ISO 27001 gecertificeerd, bewaart data in EU‑datacenters en biedt versleuteling van gegevens tijdens verzending en opslag. Voor geautomatiseerde AI‑functionaliteit gebruiken wij uitsluitend geanonimiseerde data. Geen van deze leveranciers gebruikt klantdata voor training van hun modellen.

Persoonsgegevens worden niet buiten de Europese Economische Ruimte (EER) verwerkt. Als een eventuele doorgifte buiten de EER noodzakelijk is, zorgen wij voor een passende waarborg (zoals de EU‑modelcontractbepalingen).

5. Beveiligingsmaatregelen

Aviaro past zowel technische als organisatorische maatregelen toe om persoonsgegevens te beveiligen, passend bij het risico (art. 32 AVG).

Technisch: versleuteling van data in rust en tijdens transport, gebruik van beveiligde cloudopslag, tweefactorauthenticatie, regelmatige back‑ups en patches.

Organisatorisch: duidelijke interne privacy‑ en informatiebeveiligingsprotocollen, opleiding van medewerkers, periodieke beoordelingen van verwerkers, en jaarlijkse audits. Onze maatregelen worden vastgesteld en aangepast op basis van een periodieke risicoanalyse en waar nodig een DPIA.

6. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan nodig is voor het doel waarvoor wij ze hebben verkregen. Daarna worden de gegevens verwijderd of geanonimiseerd. Specifieke termijnen zijn hierboven per categorie opgenomen. Administratieve basisgegevens (o.a. financiële administratie) bewaren wij zeven jaar; bepaalde stukken die verband houden met onroerende zaken of EU‑verkoop kunnen tien jaar bewaard worden. Wij beoordelen periodiek of gegevens nog nodig zijn en passen bewaartermijnen hierop aan.

7. Uw rechten als betrokkene

Op grond van de AVG heeft u de volgende rechten:

  • Recht op inzage – u mag uw persoonsgegevens bij ons opvragen;

  • Recht op rectificatie – u kunt onjuiste gegevens laten corrigeren;

  • Recht op verwijdering – u kunt vragen om verwijdering van gegevens die wij niet langer nodig hebben;

  • Recht op beperking van verwerking – in bepaalde gevallen kunt u vragen de verwerking te beperken;

  • Recht op dataportabiliteit – u kunt vragen om een machineleesbare kopie van uw gegevens;

  • Recht van bezwaar – u kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang of voor direct marketing;

  • Recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming.

U kunt uw verzoeken richten aan info@aviaro.nl. Wij reageren binnen één maand. Bij complexe verzoeken kan deze termijn met twee maanden worden verlengd; wij informeren u dan tijdig.

8. Datalekken en incidenten

Als zich ondanks onze maatregelen een datalek voordoet, volgen wij onze interne incidentresponsprocedure. We documenteren het lek en nemen maatregelen om herhaling te voorkomen. Wanneer er sprake is van een risico voor betrokkenen melden wij het lek binnen 72 uur bij de Autoriteit Persoonsgegevens en, bij een hoog risico, ook bij de betrokkenen.

9. Governance, verwerkingsregister en DPIA

Wij houden een intern verwerkingsregister bij waarin onze verwerkingen, de doeleinden, gegevenscategorieën, ontvangers en bewaartermijnen worden beschreven.

Wij nemen privacy en informatiebeveiliging structureel op in onze bedrijfsvoering. De directie is eindverantwoordelijk; de privacycontactpersoon coördineert naleving en adviseert over nieuwe verwerkingen.

Voor projecten waarbij een hoog privacyrisico waarschijnlijk is (bijvoorbeeld grootschalige verwerking, profiling of bijzondere persoonsgegevens), voeren wij vooraf een DPIA uit.

Wij herzien dit beleid regelmatig en passen het aan bij wijzigende wetgeving of bedrijfsprocessen.

10. Klachten en contact

Heeft u vragen of klachten over deze privacyverklaring of over de manier waarop Aviaro met persoonsgegevens omgaat? Neem dan contact op via info@aviaro.nl. U heeft ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl).

Deze aangescherpte privacyverklaring is opgesteld met inachtneming van de Rijksoverheid‑richtlijnen voor privacyverklaringen en de adviezen van de Autoriteit Persoonsgegevens met betrekking tot bewaartermijnen, verplichte informatie in een privacystatement en wanneer een FG of DPIA nodig is.