Laatst bijgewerkt: 10 november 2025
Welkom bij de Privacy Policy van Metric Moose. Deze policy beschrijft hoe wij persoonsgegevens verzamelen, gebruiken, delen en beschermen wanneer u gebruikmaakt van ons platform voor financiële rapportage en HR analytics.
Verantwoordelijke voor de gegevensverwerking:
Metric Moose
Gevestigd te Woerden, Nederland
KvK-nummer: 76840050
E-mail: Via contactformulier op metricmoose.nl
Website: metricmoose.nl
Wij nemen privacy en de bescherming van uw persoonsgegevens zeer serieus en handelen in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG en andere toepasselijke privacywetgeving.
Voor de verschillende soorten persoonsgegevens die via Metric Moose worden verwerkt, treden wij in verschillende hoedanigheden op:
Als verwerker:
- Voor werknemersgegevens (naam, e-mail, personeelsnummer, salarisinformatie, verzuimgegevens, etc.) die door organisaties via ons platform worden geanalyseerd, treden wij op als verwerker namens de organisatie (de verwerkingsverantwoordelijke).
- Wij verwerken deze gegevens uitsluitend volgens instructies van de organisatie en conform een verwerkersovereenkomst.
Als verwerkingsverantwoordelijke:
- Voor accountgegevens van gebruikers van het platform (degenen die inloggen en het platform gebruiken).
- Voor technische gegevens zoals IP-adressen, auditlogs en gebruiksstatistieken.
Voor organisaties die Metric Moose gebruiken om werknemersgegevens te verwerken, sluiten wij een verwerkersovereenkomst af die voldoet aan artikel 28 AVG. Deze overeenkomst wordt automatisch van toepassing bij gebruik van onze diensten en is op verzoek beschikbaar.
Wij verwerken persoonsgegevens van:
Platformgebruikers: Personen die inloggen op Metric Moose om analyses uit te voeren en rapporten te genereren.
Werknemers van organisaties: Huidige en voormalige werknemers waarvan gegevens door organisaties via ons platform worden geanalyseerd.
Identificatiegegevens:
- Naam (voor- en achternaam)
- E-mailadres
- Google-account informatie
- Organisatie-naam en -domein
Technische en gebruiksgegevens:
- IP-adres bij inloggen
- Browser- en apparaatinformatie (User-Agent strings)
- Geografische locatie (locale settings)
- Inloggegevens (laatste login, login tijdstippen)
- Auditlog van activiteiten binnen het platform
- Conversational AI gebruiksgegevens (prompts, responses, token usage)
- Aantal API-aanroepen en gebruiksstatistieken
Toegangs- en autorisatiegegevens:
- Toegangsrechten en rollen binnen het platform
- OAuth-tokens en sessiegegevens
- Groepslidmaatschappen en tenant-informatie
Identificatiegegevens:
- Naam (voor- en achternaam)
- E-mailadres (werkadres)
- Personeelsnummer
- Geboortedatum
Arbeidsgegevens:
- Functiebeschrijving en functiecode
- Afdeling en afdelingscode
- Startdatum dienstverband
- Einddatum dienstverband (indien van toepassing)
- Salarisinformatie (huidige en historische salarissen)
- Verzuimgegevens
- Werkschema's en roostergegevens
- Organisatie-eenheid
Wij verwerken geen bijzondere persoonsgegevens in de zin van artikel 9 AVG (zoals gezondheidsgegevens, etnische afkomst, religie), tenzij deze onbedoeld door de organisatie worden geüpload. Organisaties zijn zelf verantwoordelijk voor het waarborgen dat alleen noodzakelijke en rechtmatige gegevens worden geüpload.
Verzuimgegevens kunnen indirect gezondheidsgegevens bevatten. Organisaties dienen te waarborgen dat zij een rechtmatige grondslag hebben voor deze verwerking.
Wij verwerken persoonsgegevens voor de volgende doeleinden:
Financiële rapportage en analyse:
- Genereren van management dashboards
- Budget- en prognoseanalyses
- Kostentoewijzing per medewerker en/of afdeling
- Real-time business intelligence
HR Analytics:
- Personeelsanalyses (FTE-berekeningen, verzuimanalyses, salarisanalyses)
- Organisatie-inzichten
- Workforce planning
Conversational AI diensten:
- Natuurlijke taalverwerking voor business intelligence
- Gepersonaliseerde rapportage op basis van gebruikersvragen
- Interactieve data-exploratie
- Gebruikersidentificatie via Google OAuth
- Toegangsbeheer tot verschillende tenants en organisaties
- Sessie- en tokenbeheer
- Autorisatiecontrole
- Audit en logging van gebruikersactiviteiten
- Beveiligingsmonitoring en detectie van ongebruikelijke activiteiten
- Naleving van wettelijke verplichtingen
- Toegangscontrole en preventie van misbruik
- Analyse van gebruikspatronen voor verbetering van de dienstverlening
- Technische foutopsporing en -monitoring
- Optimalisatie van prestaties
Wij verwerken persoonsgegevens op basis van de volgende rechtsgrondslagen:
Overeenkomst (artikel 6 lid 1 sub b AVG): Voor het leveren van onze diensten aan gebruikers die een account hebben aangemaakt.
Gerechtvaardigd belang (artikel 6 lid 1 sub f AVG): Voor beveiliging, fraudepreventie, en verbetering van onze diensten.
Wettelijke verplichting (artikel 6 lid 1 sub c AVG): Voor het voldoen aan fiscale en boekhoudkundige verplichtingen.
Wij verwerken werknemersgegevens uitsluitend op instructie van de organisatie (de verwerkingsverantwoordelijke). De organisatie dient zelf te beschikken over een rechtmatige grondslag voor de verwerking, zoals:
- Toestemming van de werknemer;
- Noodzaak voor de uitvoering van de arbeidsovereenkomst;
- Wettelijke verplichting (bijvoorbeeld loonadministratie);
- Gerechtvaardigd belang van de organisatie.
Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze worden verwerkt:
| Gegevenstype | Bewaartermijn |
|---|---|
| Accountgegevens | Zolang het account actief is + 2 jaar na sluiting |
| Auditlogs en beveiligingsgegevens | 2 jaar |
| Login logs | 2 jaar |
| Conversational AI-data (chat geschiedenis) | 1 jaar |
| API-gebruiksstatistieken | 1 jaar |
| Gegevenstype | Bewaartermijn |
|---|---|
| Werknemersgegevens van actieve werknemers | Zolang het dienstverband actief is |
| Werknemersgegevens van voormalige werknemers | 7 jaar na beëindiging dienstverband (tenzij organisatie korter wenst) |
Let op: Deze bewaartermijnen gelden voor zover wij als verwerker deze gegevens in ons systeem bewaren. De organisatie bepaalt uiteindelijk hoe lang werknemersgegevens bewaard blijven en is verantwoordelijk voor tijdige verwijdering.
Waar wettelijke bewaarplichten gelden (bijvoorbeeld fiscaal recht, 7 jaar), houden wij ons aan deze termijnen.
Voor het leveren van onze diensten maken wij gebruik van zorgvuldig geselecteerde subverwerkers:
| Subverwerker | Doel | Locatie | Waarborgen |
|---|---|---|---|
| Google Workspace API | Authenticatie (OAuth), directory services, en gebruikersbeheer | EU (primair) | Google Cloud Platform met data residency in EU, AVG-compliant verwerkersovereenkomst |
| Sentry | Error monitoring en prestatiebewaking | VS | Privacy Shield gecertificeerd (vervangen door adequaatheidsbesluiten), Standard Contractual Clauses (SCC's) |
| OpenAI | AI/LLM-verwerking voor conversational features | VS | Enterprise-versie met DPA, data wordt niet gebruikt voor training, 30-dagen bewaarperiode voor misbruikmonitoring |
Voor subverwerkers gevestigd buiten de Europese Economische Ruimte (EER) treffen wij de volgende waarborgen:
Standard Contractual Clauses (SCC's): Goedgekeurde modelcontracten van de Europese Commissie.
Adequaatheidsbesluit: Voor landen waarvoor de Europese Commissie heeft vastgesteld dat zij een adequaat beschermingsniveau bieden.
Aanvullende technische en organisatorische maatregelen: Zoals encryptie en toegangscontroles.
Wij delen persoonsgegevens alleen met derden indien:
- Dit noodzakelijk is voor de uitvoering van de overeenkomst;
- U hiervoor uitdrukkelijk toestemming heeft gegeven;
- Dit wettelijk verplicht is (bijvoorbeeld bij een gerechtelijk bevel);
- Dit noodzakelijk is voor de bescherming van onze rechten.
Wij verkopen uw persoonsgegevens nooit aan derden.
Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, verlies, vernietiging of wijziging.
Encryptie: Data wordt versleuteld tijdens transport (TLS/SSL) en in rust (at rest encryption).
Toegangscontrole: Rolgebaseerde toegangscontroles (RBAC) en multi-factor authenticatie waar mogelijk.
OAuth 2.0: Gebruik van industriestandaard OAuth 2.0 voor authenticatie.
Firewall en netwerksegmentatie: Bescherming van infrastructuur tegen ongeautoriseerde toegang.
Logging en monitoring: Continue monitoring van beveiligingsincidenten via Sentry en eigen logging.
Privacy by Design en by Default: Privacy is ingebed in het ontwerp van onze systemen.
Minimale toegang: Alleen geautoriseerd personeel heeft toegang tot persoonsgegevens.
Verwerkersovereenkomsten: Met alle subverwerkers zijn verwerkersovereenkomsten gesloten.
Beveiligingsbeleid: Wij hanteren strikte beveiligings- en privacyprotocollen.
Training: Medewerkers worden getraind in gegevensbescherming.
Wij maken regelmatig back-ups van data om dataverlies te voorkomen. Back-ups worden versleuteld opgeslagen en volgens dezelfde beveiligingsstandaarden behandeld als productiedata.
Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:
U heeft het recht om inzage te krijgen in de persoonsgegevens die wij van u verwerken.
U heeft het recht om onjuiste of onvolledige persoonsgegevens te laten corrigeren.
U heeft het recht om uw persoonsgegevens te laten verwijderen, tenzij er een wettelijke grondslag is om deze te bewaren.
U heeft het recht om de verwerking van uw persoonsgegevens te beperken.
U heeft het recht om uw persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen en naar een andere organisatie over te dragen.
U heeft het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens op grond van een gerechtvaardigd belang.
U heeft het recht om niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking (inclusief AI) gebaseerd besluit dat rechtsgevolgen heeft of u anderszins in aanmerkelijke mate treft. Metric Moose neemt geen geautomatiseerde besluiten die rechtsgevolgen hebben; AI-functionaliteit is ondersteunend en wordt gebruikt voor rapportage en analyse.
U kunt uw rechten uitoefenen door contact met ons op te nemen via het contactformulier op metricmoose.nl. Wij reageren binnen 1 maand op uw verzoek. In complexe gevallen kunnen wij deze termijn met maximaal 2 maanden verlengen, waarvan wij u op de hoogte stellen.
Voor werknemers van organisaties die Metric Moose gebruiken: Als uw werkgevers gegevens over u via Metric Moose verwerkt en u een beroep wilt doen op uw rechten, dient u zich in de eerste instantie te richten tot uw werkgever (de verwerkingsverantwoordelijke). Wij zullen uw werkgever ondersteunen bij het inwilligen van uw verzoek.
Indien u niet tevreden bent over de manier waarop wij met uw persoonsgegevens omgaan, kunt u een klacht indienen bij de Autoriteit Persoonsgegevens:
Autoriteit Persoonsgegevens
Postbus 93374
2509 AJ Den Haag
Telefoon: 088 - 1805 250
Website: autoriteitpersoonsgegevens.nl
Metric Moose maakt minimaal gebruik van cookies en tracking-technologieën.
Wij gebruiken functionele cookies die strikt noodzakelijk zijn voor de werking van het platform:
Sessiecookies: Voor het beheren van uw inlogsessie.
OAuth-tokens: Voor authenticatie via Google.
Voorkeurscookies: Voor het opslaan van uw taal- en interface-instellingen.
Deze cookies zijn noodzakelijk voor de werking van de dienst en vereisen geen toestemming.
Wij gebruiken geen externe analytische cookies van partijen zoals Google Analytics. Gebruiksstatistieken worden intern verzameld zonder gebruik van tracking-cookies.
Wij gebruiken geen marketing- of advertentiecookies.
Subverwerkers zoals Sentry kunnen technische cookies plaatsen voor error monitoring. Deze cookies worden alleen gebruikt voor technische doeleinden en niet voor tracking of profilering.
Metric Moose maakt gebruik van OpenAI's API voor conversational AI-functionaliteit (chatbot en natuurlijke taal queries). Bij gebruik van deze functionaliteit worden uw prompts (vragen) en de gegenereerde responses via OpenAI's servers verwerkt.
Wij gebruiken de Enterprise-versie van OpenAI, waarbij:
Geen training: Uw data wordt NIET gebruikt voor het trainen of verbeteren van OpenAI's modellen.
30-dagen bewaarperiode: OpenAI bewaart data maximaal 30 dagen voor misbruikmonitoring en beveiliging, waarna het permanent wordt verwijderd.
Verwerkersovereenkomst: Wij hebben een Data Processing Agreement (DPA) met OpenAI afgesloten die voldoet aan de AVG.
OpenAI is gevestigd in de Verenigde Staten. De doorgifte van gegevens naar OpenAI is gebaseerd op:
Standard Contractual Clauses (SCC's): Goedgekeurde modelcontracten van de Europese Commissie.
Aanvullende waarborgen: Zoals encryptie in transit en at rest, toegangscontroles en beveiligingsaudits.
U bent verantwoordelijk voor het niet invoeren van bijzonder gevoelige of vertrouwelijke informatie in AI-prompts, tenzij dit noodzakelijk is voor het beoogde gebruik. Wij adviseren om:
- Geen persoonlijke identificeerbare informatie (PII) te delen die niet nodig is voor de analyse;
- Geen bijzondere persoonsgegevens (artikel 9 AVG) te delen;
- Geen bedrijfsgeheimen of vertrouwelijke commerciële informatie te delen.
AI-gegenereerde content kan onjuistheden bevatten. Wij aanvaarden geen aansprakelijkheid voor beslissingen die worden genomen op basis van AI-output. Gebruikers dienen de output kritisch te beoordelen.
Wij behouden ons het recht voor om deze Privacy Policy te wijzigen. Bij substantiële wijzigingen zullen wij u hiervan op de hoogte stellen via e-mail of via een melding in het platform.
Datum laatste wijziging: 10 november 2025
Wij adviseren u om deze Privacy Policy regelmatig te raadplegen voor eventuele wijzigingen. De meest recente versie is te vinden op metricmoose.nl.
Heeft u vragen over deze Privacy Policy of over de verwerking van uw persoonsgegevens? Neem dan contact met ons op:
Metric Moose
E-mail: Via contactformulier op metricmoose.nl
Website: metricmoose.nl
KvK-nummer: 76840050
Wij streven ernaar om binnen 5 werkdagen te reageren op uw vragen.
