logo
Privacy

Wij geven om uw persoonlijke data.

Privacy Beleid

Laatst bijgewerkt: 1-06-2026

1. Inleiding en reikwijdte

Applyfin B.V. (hierna: "Applyfin", "wij", "ons") 

is een gecombineerde Recruitment Process Outsourcing (RPO)- en ATS-dienstverlener.

Wij exploiteren een multi-tenant SaaS Applicant Tracking System waarmee werkgevers hun werving- en selectieproces beheren, en daarnaast voeren wij, geheel of gedeeltelijk, werving- en selectieactiviteiten uit namens onze klanten. 

Onze RPO-dienstverlening omvat onder andere vacaturemarketing en mediadistributie, actieve kandidaatsourcing, voorselectie en screening, kandidaatcommunicatie, en het beheer van talentpools.

Deze privacyverklaring is van toepassing op:

  • Onze marketing website applyfin.com en aanverwante domeinen;

  • Het Applyfin Platform dat door onze klanten wordt gebruikt;

  • De carrièrepagina's die wij namens onze klanten hosten op de door hun gekoppelde (sub)domeinen;

  • Alle RPO- en aanverwante dienstverlening die wij aanbieden.

Wij hechten grote waarde aan een zorgvuldige en transparante omgang met persoonsgegevens en voldoen aan de:

  • General Data Protection Regulation (GDPR/AVG)

  • EU AI Act

  • ISO 27001 standaard voor informatiebeveiliging

2. Verwerker vs. Verwerkings-verantwoordelijke

Welke rol Applyfin vervult onder de AVG hangt af van wie het doel en de middelen van de verwerking bepaalt.

2.1 Applyfin als verwerker
Voor persoonsgegevens die binnen het Applyfin Platform worden verwerkt namens onze klanten, waaronder gegevens van sollicitanten, kandidaten, referenten, en activiteiten zoals vacaturemarketing, kandidaat-sourcing, voorselectie en kandidaat-communicatie, treden wij op als verwerker in de zin van artikel 4 lid 8 AVG.

De werkgever-klant is in deze situaties verwerkings-verantwoordelijk en bepaalt doel, grondslagen en bewaartermijnen. Onze wederzijdse verplichtingen zijn vastgelegd in een verwerkersovereenkomst zoals bedoeld in artikel 28 AVG.

Verantwoordelijkheid bij oplevering, onboarding, AI en dienstverlening. Bij de oplevering en onboarding van het platform ondersteunen wij onze klanten actief bij het voldoen aan de toepasselijke vereisten, waaronder de AVG en de EU AI Act. Wij hanteren daarbij het beginsel dat wie een verwerking, oplevering of ingreep feitelijk uitvoert, daarvoor de verantwoordelijkheid draagt. Onze verantwoordelijkheid omvat daarmee in elk geval:

  • de technische inrichting van het platform, de standaardinstellingen en de bij onboarding geleverde Consent Manager, zoals door ons opgeleverd en ingeregeld;

  • alle AI-toepassingen en geautomatiseerde workflows die wij binnen het platform ontwikkelen, leveren en uitvoeren; wij staan in voor de rechtmatige werking daarvan (zie ook sectie 9);

  • alle aanpassingen die wij doorvoeren en alle diensten die wij verrichten in het kader van support- en dienstverlenende werkzaamheden.

Afbakening met de verantwoordelijkheid van de klant. De klant is uitsluitend verantwoordelijk voor de aanpassingen en gegevens die hij zélf in het platform doorvoert of invoert, voor zijn eigen configuratiekeuzes, en voor de rechtmatigheid van de door hem ingevoerde gegevens (zie 2.3). Welke handelingen door Applyfin en welke door de klant zijn verricht, wordt vastgelegd in de activiteitslogs van het platform, zodat deze verantwoordelijkheidsverdeling te allen tijde herleidbaar is.

Maatregelen en aansprakelijkheid. In onze rol als verwerker nemen wij alle redelijke technische en organisatorische maatregelen ter bescherming van persoonsgegevens; een uitwerking is opgenomen in sectie 8. Wij zijn aansprakelijk voor schade die voortvloeit uit een toerekenbare tekortkoming aan onze zijde, waaronder ontoereikende beveiligingsmaatregelen, een datalek, onrechtmatige verwerking, een tekortkoming in de door ons geleverde of ingeregelde onboarding, platforminrichting, AI-toepassingen, workflows of support-werkzaamheden, of schending van onze verwerkersverplichtingen onder artikel 28 AVG.

2.2 Applyfin als verwerking-verantwoordelijke
Voor gegevens die wij voor onze eigen bedrijfsvoering verwerken, waaronder gegevens van bezoekers van applyfin.com, prospects, en de zakelijke contactpersonen en gebruikers van onze klanten, bepalen wij zelf doel en middelen. Voor deze verwerking zijn wij verwerking-verantwoordelijke in de zin van artikel 4 lid 7 AVG.

2.3 Verantwoordelijkheid van onze klanten
Onze klanten dragen als verwerkings-verantwoordelijke een eigen verantwoordelijkheid voor de rechtmatigheid van de verwerking binnen hun gebruik van het platform. Dit omvat onder meer een geldige grondslag bij het invoeren van persoonsgegevens, het correct configureren en in stand houden van de door Applyfin bij onboarding geleverde Consent Manager, het bewaken van AVG-conformiteit bij eigen integraties en API-koppelingen, en het uitsluitend verlenen van toegang tot persoonsgegevens aan daartoe geautoriseerde personen.

2.4 Praktische consequenties voor betrokkenen
Sollicitanten en kandidaten die hebben gereageerd op of zijn benaderd voor een vacature van een specifieke werkgever, wenden zich met vragen of verzoeken primair tot die werkgever; wij ondersteunen onze klanten bij de tijdige en correcte afhandeling. Voor verwerkingen waarvoor Applyfin zelf verwerkings-verantwoordelijke is, kunt u zich rechtstreeks tot ons richten via de contactgegevens onderaan deze verklaring.

2.5 Informatieplicht bij datalekken
Zowel Applyfin als onze klanten zijn verplicht elkaar onverwijld te informeren bij een (vermoeden van) datalek of AVG-overtreding, zodat tijdig passende maatregelen kunnen worden genomen. Zie ook sectie 8.4.

3. Welke persoonsgegevens wij verwerken

Gegevens die zijn verwerkt via anonieme arbeidsmarkt/campagne metrics (zie 4.5), of geanonimiseerde server-side tracking (zie 4.6), kwalificeren niet als persoonsgegevens en vallen buiten het bereik van deze sectie.

Wij maken in deze sectie onderscheid tussen verwerkingen waarvoor Applyfin verwerkings-verantwoordelijke is, en verwerkingen waarvoor onze klant verwerkings-verantwoordelijke is en Applyfin als verwerker optreedt. Welke rol van toepassing is, bepaalt tot wie u zich met een verzoek wendt (zie sectie 2 en sectie 10).

A. Verwerkingen waarvoor Applyfin verwerkings-verantwoordelijke is

3.1 Bezoekers van applyfin.com en prospects
Naam, e-mailadres, telefoonnummer, organisatienaam, functie, correspondentie en eventuele gegevens die u zelf verstrekt via formulieren; technische gegevens zoals IP-adres, browsertype, apparaatinformatie en bezoekstatistieken (voor zover verwerkt met toestemming).

3.2 Klanten en hun gebruikers
Naam- en contactgegevens van contactpersonen en gebruikers binnen klantorganisaties; inloggegevens; gebruiksgegevens en auditlogs; factuur- en betaalgegevens (waaronder bankrekeningnummer of SEPA-mandaat); contractuele en commerciële correspondentie.

B. Verwerkingen waarvoor onze klant verwerkings-verantwoordelijke is (Applyfin als verwerker)

Voor het invullen van vacatures verwerken wij namens onze klanten persoonsgegevens van sollicitanten en kandidaten. Deze gegevens bereiken het platform via twee routes — de kandidaat solliciteert zelf, of de kandidaat wordt gevonden via een kandidatendatabase — en kunnen daarna, met toestemming, worden opgenomen in de talentpool van de werkgever. In alle onderstaande gevallen is de werkgever-klant verwerkings-verantwoordelijke: hij bepaalt doel, grondslag en bewaartermijn. Applyfin verwerkt uitsluitend in opdracht van en op instructie van de klant.

3.3 Sollicitanten die zelf solliciteren
Wanneer een kandidaat zelf reageert op een vacature — via een door ons gehoste carrièrepagina of via een gekoppeld jobboard — verwerken wij NAW-gegevens, contactgegevens, geboortedatum, cv en motivatiebrief, opleidings- en arbeidsverleden, sollicitatiestatus, correspondentie tussen sollicitant en werkgever, en eventuele aanvullende gegevens die de werkgever uitvraagt.

3.4 Kandidaten gevonden via een kandidatendatabase
Onze klanten kunnen, ongeacht of zij RPO-dienstverlening afnemen, gebruikmaken van kandidatendatabases om proactief geschikte kandidaten te vinden. Hierbij verwerken wij naam, professionele contactgegevens, huidige en eerdere functies, opleidingsachtergrond, vaardigheden, locatie-indicatie, en de bron waaruit de gegevens afkomstig zijn. De klant beslist over de inzet van deze functionaliteit en over het benaderen van een kandidaat, en doet dit op zijn eigen grondslag als werkgever; wij beperken de verwerking strikt tot gegevens die relevant zijn voor een mogelijke beroepsmatige match.

Onze verantwoordelijkheid voor de databases die wij leveren. Hoewel de klant verwerkings-verantwoordelijke is voor het gebruik van de databases en voor de wervingsbeslissing, dragen wij als leverancier de verantwoordelijkheid voor de rechtmatige samenstelling, de beveiliging en de correcte ontsluiting van de databases die wij beschikbaar stellen. Dit omvat onder meer dat gegevens uit legitieme bronnen afkomstig zijn, dat een klant uitsluitend toegang krijgt tot de voor hem bestemde databases, en dat een door een betrokkene ingeroepen bezwaar of onderdrukkingsverzoek door ons wordt geëffectueerd. Bijzondere categorieën persoonsgegevens verwerken wij niet, tenzij de werkgever daartoe een wettelijke grondslag heeft en wij hierover een aanvullende afspraak hebben gemaakt.

3.5 Talentpool-deelnemers
Onze klanten kunnen binnen het platform een eigen, klant-specifieke talentpool aanhouden. Kandidaten die — al dan niet na een eerdere sollicitatie of actieve benadering — hebben ingestemd met opname in de talentpool van een werkgever, verwerken wij met aanvullende gegevens zoals voorkeuren, beschikbaarheid en interesse in specifieke functies of sectoren. De werkgever is verwerkings-verantwoordelijke voor zijn talentpool en bepaalt doel, grondslag (doorgaans toestemming), bewaartermijn en het moment van herbevestiging; wij verwerken uitsluitend op zijn instructie.

4. Hoe wij persoonsgegevens verzamelen

Wij verzamelen persoonsgegevens via verschillende kanalen, afhankelijk van uw rol en uw interactie met onze diensten. De rol die Applyfin per verwerking vervult — verwerkings-verantwoordelijke of verwerker — volgt uit sectie 3. Geanonimiseerde stromen (server-side tracking, zie 4.6, en campagnemetrieken, zie 4.5) vallen buiten het bereik van deze sectie.

A. Verzameling waarvoor Applyfin verwerking verantwoordelijke is

4.1 Direct van u
Wanneer u onze website bezoekt, een formulier invult, een proefaccount aanvraagt of contact opneemt met onze sales- of supportafdeling, verzamelen wij de gegevens die u zelf actief verstrekt.

4.2 Van onze klanten en hun gebruikers
Voor het beheer van klantorganisaties en hun gebruikersaccounts verzamelen en bewaren wij naam- en contactgegevens van contactpersonen en gebruikers, inloggegevens, gebruiks- en auditgegevens, en factuur- en betaalgegevens. Deze gegevens worden opgeslagen in onze centraal beheerde (globale) database en niet binnen de geïsoleerde tenant-omgeving van een individuele klant. Voor deze gegevens is Applyfin verwerkings-verantwoordelijke (zie 3.2) en dragen wij de verantwoordelijkheid voor de rechtmatige verwerking en beveiliging ervan.

4.3 Via geautomatiseerde systeem- en beveiliging-logs
Voor het waarborgen van de beveiliging, stabiliteit en traceerbaarheid van het platform genereren wij automatisch logs met onder meer IP-adres, tijdstempel, browsersignatuur en uitgevoerde actie.

B. Verzameling waarvoor onze klant verwerking verantwoordelijke is

Persoonsgegevens van sollicitanten en kandidaten bereiken het platform doordat de kandidaat zelf solliciteert, doordat de kandidaat via een kandidatendatabase wordt gevonden, of doordat de werkgever de gegevens zelf invoert of uploadt (handmatig of via integraties). Deze gegevens worden binnen de geïsoleerde tenant-omgeving van de betreffende werkgever opgeslagen.

4.4 Direct van sollicitanten
Wanneer u solliciteert via een carrièrepagina die wij namens een werkgever hosten, of via een gekoppeld jobboard, verzamelen wij de gegevens die u zelf verstrekt ten behoeve van uw sollicitatie (zie 3.3). Nadat u heeft gesolliciteerd, behoudt de werkgever het recht om uw kandidatuur te screenen. Bij deze screening verwerken wij zowel de gegevens die u zelf heeft aangeleverd als aanvullende gegevens uit publiek toegankelijke en professionele bronnen (zie 4.4), voor zover relevant voor de beoordeling van een mogelijke match met de functie. De werkgever is hiervoor verwerkings-verantwoordelijke en bepaalt doel en grondslag; wij verwerken uitsluitend op zijn instructie.

4.5 Uit publieke en professionele bronnen
Ten behoeve van de kandidatendatabases die wij aan onze klanten beschikbaar stellen (zie 3.4) — en ten behoeve van de screening beschreven in 4.3 — verzamelen wij gegevens uit publiek toegankelijke en professionele bronnen, zoals professionele netwerksites, vakgerichte platforms en CV-databases waarvoor de betrokkene toestemming heeft gegeven aan de aanbieder van die database. Wij zijn als leverancier verantwoordelijk voor de rechtmatige samenstelling, de herkomst en de beveiliging van deze databases; de klant die een database gebruikt om een kandidaat te vinden, te benaderen of te screenen, is verwerkings-verantwoordelijke voor dat gebruik en hanteert daarvoor zijn eigen grondslag als werkgever. Op verzoek delen wij de specifieke bron waaruit uw gegevens afkomstig zijn, en kunt u bezwaar maken of verzoeken niet langer te worden benaderd (zie sectie 10).

4.6 Via jobboard-, distributie- en marktdata partners
Wij ontvangen sollicitatiegegevens van jobboards en vacature-distributiepartners (waaronder onder meer Indeed, LinkedIn en aanverwante platforms) wanneer een kandidaat via die kanalen solliciteert op een vacature die door of namens een Applyfin-klant wordt gedistribueerd. Deze sollicitatiegegevens verwerken wij namens onze klanten, binnen de tenant context van de betreffende werkgever (zie 3.3). Daarnaast ontvangen wij van mediapartners campagne- en arbeidsmarkt metrieken in het kader van vacaturemarketing en posting; deze gegevens zijn geaggregeerd en geanonimiseerd, kwalificeren niet als persoonsgegevens en vallen buiten het bereik van sectie 3.

C. Cookies en tracking (rol afhankelijk van de omgeving)

Op onze corporate website (applyfin.com) is Applyfin verwerkingsverantwoordelijke voor de tracking; op de carrièrepagina's die wij namens werkgevers hosten, is de betreffende werkgever verwerkingsverantwoordelijke en treedt Applyfin als verwerker op. In beide omgevingen scheiden wij verwerkingen die persoonsgegevens betreffen strikt van verwerkingen op basis van geanonimiseerde gegevens, conform de AVG en artikel 11.7a Telecommunicatiewet.

4.7 Cookies en client-side tracking. Wij plaatsen cookies die strikt noodzakelijk zijn voor het functioneren van de dienst — zoals sessiebeheer, taalvoorkeur, beveiliging en bescherming tegen misbruik; hiervoor geldt de wettelijke uitzondering op de toestemmingsplicht uit artikel 11.7a lid 3 Telecommunicatiewet. Verleent u via onze cookiebanner expliciet toestemming, dan verwerken wij aanvullende gegevens die wél als persoonsgegevens kunnen kwalificeren, zoals een volledig IP-adres, gedrag over meerdere sessies, en attributie- en conversiegegevens, op grondslag van uw toestemming (artikel 6 lid 1 sub a AVG). U kunt deze toestemming op elk moment intrekken via de cookie-instellingen, zonder gevolgen voor het gebruik van onze diensten.

4.8 Server-side tracking (geanonimiseerd, zonder toestemming). Voor het meten van algemeen gebruik, het optimaliseren van prestaties en het waarborgen van beveiliging passen wij server-side tracking toe waarbij gegevens reeds aan de serverzijde worden geanonimiseerd: IP-adressen worden direct bij ontvangst getrunceerd, wij plaatsen geen identificerende cookies of fingerprints, en wij koppelen geen sessies of bezoeken aan een individuele bezoeker. Gegevens worden uitsluitend geaggregeerd en statistisch gebruikt. Deze gegevens kwalificeren als geanonimiseerd in de zin van overweging 26 AVG, zijn niet herleidbaar tot een individu en vereisen geen toestemming. Wij houden deze stroom technisch en organisatorisch gescheiden van de stroom waarvoor toestemming is gegeven, zodat koppeling achteraf is uitgesloten; dit controleren wij periodiek.

Een gedetailleerd overzicht van de specifieke cookies en pixels die op onze sites worden ingezet vindt u in onze cookieverklaring.

5. Doeleinden en wettelijke grondslagen

Wij verwerken persoonsgegevens uitsluitend voor de hieronder genoemde doeleinden. Voor de verwerkingen in blok A bepalen wij zelf doel en grondslag; voor de verwerkingen in blok B handelen wij op instructie van en op de grondslag van de werkgever-klant.

A. Verwerkingen waarvoor Applyfin verwerkings-verantwoordelijke is

  • Het aangaan en uitvoeren van overeenkomsten met onze klanten en het leveren van het platform en onze dienstverlening (artikel 6 lid 1 sub b AVG);

  • Klantbeheer, facturatie en debiteurenbeheer, op basis van overeenkomst en wettelijke verplichting (artikel 6 lid 1 sub b en c AVG);

  • Het samenstellen, actualiseren en aanbieden van rechtmatig samengestelde kandidaten databases aan onze klanten, op basis van ons gerechtvaardigd belang bij het leveren van een bruikbare en rechtmatige werving dienst (artikel 6 lid 1 sub f AVG). Wij voeren hierbij een belangenafweging uit waarin het belang van de betrokkene bij privacy en rust wordt afgezet tegen het professionele karakter van de gegevens, de publieke herkomst, en de redelijke verwachting die professionals mogen hebben omtrent recruitment. Betrokkenen kunnen op elk moment bezwaar maken en worden op een onderdrukkingslijst geplaatst (zie 3.4 en sectie 10);

  • Productverbetering, beveiliging en fraudepreventie, waaronder systeem- en beveiliging logs, op basis van gerechtvaardigd belang (artikel 6 lid 1 sub f AVG);

  • Marketingcommunicatie richting bestaande klanten en prospects die hiervoor toestemming hebben gegeven of waarvoor een gerechtvaardigd belang bestaat (artikel 6 lid 1 sub a of f AVG); afmelden kan op elk moment;

  • Voldoen aan wettelijke verplichtingen zoals fiscale bewaarplichten (artikel 6 lid 1 sub c AVG).

B. Verwerkingen waarvoor onze klant verwerkings-verantwoordelijke is (Applyfin als verwerker)

Voor onderstaande doeleinden bepaalt de werkgever-klant doel en grondslag; wij verwerken uitsluitend op zijn instructie. De vermelde grondslagen zijn de grondslagen die de werkgever daarbij doorgaans hanteert.

  • Het ontvangen, beoordelen en beheren van sollicitaties ten behoeve van het invullen van vacatures, doorgaans op grondslag van de uitvoering of voorbereiding van een arbeidsovereenkomst of toestemming (artikel 6 lid 1 sub b of a AVG);

  • Het proactief vinden, benaderen en screenen van kandidaten via de kandidaten databases, op basis van het gerechtvaardigd belang van de werkgever bij het invullen van zijn vacatures (artikel 6 lid 1 sub f AVG). De werkgever weegt hierbij het belang van de betrokkene af tegen het beperkte karakter van de eerste benadering en de relevantie voor een concrete vacature; een ingeroepen bezwaar effectueren wij (zie 3.4);

  • Bemiddeling en communicatie tussen kandidaat en werkgever in het kader van een lopende procedure, op grondslag van de werkgever;

  • Het beheren van de klant-specifieke talentpool, doorgaans op basis van toestemming van de kandidaat (artikel 6 lid 1 sub a AVG).


6. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk. Voor de verwerkingen in blok B bepaalt de werkgever-verwerkings-verantwoordelijke de bewaartermijn; wij hanteren de onderstaande standaarden tenzij de werkgever anders instrueert.

A. Verwerkingen waarvoor Applyfin verwerkings-verantwoordelijke is

  • Gegevens van prospects: tot 24 maanden na het laatste contactmoment, tenzij u zich eerder afmeldt;

  • Gegevens van klanten en hun gebruikers: gedurende de looptijd van de overeenkomst en daarna conform de wettelijke bewaartermijnen (waaronder een fiscale bewaarplicht van 7 jaar voor financiële gegevens);

  • Kandidatendatabases die wij samenstellen en aanbieden: wij actualiseren deze periodiek, verwijderen verouderde of onrechtmatig opgenomen gegevens, en effectueren bezwaar- en onderdrukkingsverzoeken doorlopend;

  • Logging en beveiligingslogs: maximaal 12 maanden, tenzij langer bewaren noodzakelijk is in het kader van een incident of wettelijke verplichting.

B. Verwerkingen waarvoor onze klant verwerkings-verantwoordelijke is (Applyfin als verwerker)

  • Sollicitantgegevens binnen het ATS: conform de instructies en het bewaarbeleid van de werkgever. Standaard volgt Applyfin de richtlijn van de Autoriteit Persoonsgegevens (4 weken na afronding van de procedure, of 1 jaar met toestemming);

  • Gesourcede kandidaten binnen de tenant zonder vervolgcontact: standaard maximaal 6 maanden na het eerste benaderingsmoment, tenzij de kandidaat heeft ingestemd met langere bewaring of opname in de talentpool;

  • Talentpool-deelnemers: maximaal 2 jaar na het laatste contact of de laatste actualisatie, met een herbevestigingsmoment voor het einde van die periode. De toestemming kan op elk moment worden ingetrokken, waarna de werkgever de gegevens laat verwijderen.

7. Delen, sub-verwerkers en internationale doorgifte

Wij delen persoonsgegevens uitsluitend met derden wanneer dat noodzakelijk is voor de uitvoering van onze diensten, op uw verzoek, of wanneer wij hiertoe wettelijk verplicht zijn. Met alle ingeschakelde partijen sluiten wij overeenkomsten die voldoen aan artikel 28 AVG.

A. Verwerkers die wij inschakelen voor onze eigen verwerkingen (Applyfin als verwerkings-verantwoordelijke)

Voor de verwerkingen waarvoor wij zelf verantwoordelijke zijn, schakelen wij verwerkers in op basis van een verwerkersovereenkomst, onder meer voor:

  • Cloudhosting en infrastructuur binnen de EER (onze globale database en corporate website);

  • Betaal- en incassodienstverleners;

  • E-mail-, communicatie- en notificatiediensten voor onze eigen communicatie;

  • Analyse- en monitoringtools voor applyfin.com.

B. Sub-verwerkers die wij inschakelen bij verwerkingen namens onze klanten (Applyfin als verwerker)

Voor de verwerkingen die wij namens onze klanten uitvoeren, schakelen wij sub-verwerkers in met toestemming van de klant en onder de voorwaarden van de verwerkersovereenkomst (artikel 28 lid 2 en 4 AVG). Wij informeren onze klanten over voorgenomen wijzigingen in deze sub-verwerkers, zodat zij daartegen bezwaar kunnen maken. Het betreft onder meer:

  • Cloudhosting en infrastructuur binnen de EER voor de geïsoleerde tenant-omgevingen;

  • E-mail- en notificatiediensten ten behoeve van kandidaatcommunicatie;

  • Job-distributiepartners (wanneer een klant ervoor kiest vacatures via externe kanalen te publiceren).

Een actueel overzicht van onze verwerkers en sub-verwerkers is op verzoek beschikbaar voor onze klanten.

Internationale doorgifte (beide rollen). Onze primaire infrastructuur wordt gehost binnen de Europese Unie (Duitsland). Wanneer doorgifte buiten de Europese Economische Ruimte onvermijdelijk is, vindt deze uitsluitend plaats op basis van passende waarborgen zoals de modelcontractbepalingen (Standard Contractual Clauses) van de Europese Commissie, aangevuld met aanvullende organisatorische en technische maatregelen waar nodig.

8. Beveiliging — ISO 27001 ready

Applyfin hanteert het ISO 27001-raamwerk als leidraad voor de inrichting van haar Information Security Management System (ISMS). Op het moment van publicatie van deze verklaring zijn wij ISO 27001 ready: ons platform, onze processen en ons beleid voldoen aan de eisen van de norm, hoewel wij nog niet formeel zijn gecertificeerd.

8.1 Kernprincipes voor informatiebeveiliging
Wij richten ons werk in op basis van de drie kernprincipes van informatiebeveiliging:

  • Vertrouwelijkheid — gegevens zijn uitsluitend toegankelijk voor diegenen die daartoe geautoriseerd zijn;

  • Integriteit — gegevens zijn juist, volledig en worden niet ongeautoriseerd gewijzigd;

  • Beschikbaarheid — gegevens en systemen zijn beschikbaar wanneer geautoriseerde gebruikers ze nodig hebben.

8.2 Multi-tenant architectuur en data-isolatie
Het Applyfin-platform is opgebouwd volgens een multi-tenant architectuur. Hoewel het platform vanuit één codebase wordt aangeboden, worden gegevens van elke klant strikt logisch en fysiek gescheiden opgeslagen:

  • Aparte database per klant. Elke tenant beschikt over een eigen, geïsoleerde database. Gegevens van klant A zijn niet zichtbaar of opvraagbaar voor klant B, en omgekeerd.

  • Tenant-scoped toegang. Iedere ingelogde gebruiker en iedere API-aanroep wordt op infrastructuurniveau gebonden aan één specifieke tenantcontext. Cross-tenant toegang is technisch uitgesloten.

  • Versleutelde scheiding van back-ups. Back-ups worden per tenant gescheiden gemaakt en versleuteld opgeslagen.

  • Geen marketing- of analyse-uitwisseling tussen tenants. Gegevens van de ene klant worden nooit gedeeld met, ontsloten aan of gebruikt voor de marketing- of analysedoeleinden van een andere klant.

  • Geen cross-tenant AI-training. AI-modellen die binnen het platform worden ingezet, worden niet getraind op klantdata die over tenants heen wordt samengevoegd. Trainingsdata is afkomstig van bronnen waarvoor wij zelf een geldige rechtsgrond hebben, of — in voorkomende gevallen — van expliciet door een klant beschikbaar gestelde data uitsluitend ten behoeve van die specifieke klant.

Deze architectuur garandeert dat sollicitanten van werkgever A nooit via Applyfin in beeld komen bij werkgever B, en dat klanten onderling geen inzage hebben in elkaars wervingsdata, gebruikersaccounts of statistieken.

8.3 Technische en organisatorische maatregelen
In aanvulling op de architecturele scheiding treffen wij onder meer de volgende maatregelen:

Technische maatregelen. Versleuteling van data in transit (TLS 1.3+) en at rest; gehardende infrastructuur en netwerksegmentatie; geautomatiseerd patchbeheer; geverifieerde en versleutelde back-ups; centrale logging en monitoring met alerting op afwijkend gedrag; bescherming tegen veelvoorkomende aanvalsvormen zoals beschreven in de OWASP Top 10; periodieke kwetsbaarheidsscans en penetratietests.

Organisatorische maatregelen. Toegangsbeleid op basis van least-privilege en need-to-know; multi-factor authenticatie voor medewerkers met toegang tot productie; formeel risicomanagementproces en periodieke risico-evaluaties; informatiebeveiligingsbeleid en bijbehorende procedures; geheimhoudingsverplichtingen en screening van medewerkers; security awareness-trainingen; leveranciersbeoordelingen vóór en tijdens samenwerking; gedefinieerde incident response- en business continuity-procedures.

Continue verbetering. Wij evalueren en actualiseren ons beveiligingsbeleid en onze maatregelen periodiek op basis van risicoanalyses, audits, leerpunten uit incidenten en ontwikkelingen in het dreigingslandschap.

8.4 Datalekken en incidentbeheer
Wij beschikken over een incident response-procedure waarmee beveiligingsincidenten en datalekken tijdig worden gedetecteerd, beoordeeld en afgehandeld. Indien sprake is van een meldplichtig datalek melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens en, waar van toepassing, aan onze klanten en betrokkenen, conform artikelen 33 en 34 AVG. Zowel Applyfin als onze klanten zijn verplicht elkaar onverwijld te informeren bij een (vermoeden van) datalek of AVG-overtreding, zodat tijdig passende maatregelen kunnen worden genomen.

9. AI Toepassingen - EU AI Act

Wij erkennen dat AI-systemen die worden ingezet binnen werving en selectie onder de EU AI Act (Verordening (EU) 2024/1689) kwalificeren als hoog-risico AI-systemen in de zin van Annex III, punt 4. Wij hanteren een terughoudende en transparante aanpak bij de inzet van AI binnen het Applyfin-platform en de daarmee verbonden RPO-dienstverlening, en richten onze processen in op de eisen die de AI Act aan providers en deployers stelt.

9.1 Waar AI binnen het platform wordt ingezet
AI-functionaliteit kan binnen het Applyfin-platform worden gebruikt ter ondersteuning van onder meer matching tussen vacatures en kandidaten, voorselectie en analyse van sollicitatiedocumenten, het opstellen van conceptberichten richting kandidaten, en het samenvatten van interacties. Deze functionaliteit wordt door onze klanten naar eigen inzicht in- of uitgeschakeld; bij activatie worden klanten gewezen op hun verplichtingen als deployer onder de AI Act.

9.2 Geen volledig geautomatiseerde besluitvorming over kandidaten
Wij nemen geen besluiten met juridische gevolgen of vergelijkbaar aanmerkelijke gevolgen voor een kandidaat uitsluitend op basis van geautomatiseerde verwerking. AI-uitkomsten zoals scores, rangschikkingen of aanbevelingen fungeren als ondersteuning van de recruiter en vormen nooit een eindbeslissing. Iedere afwijzing, uitnodiging of vergelijkbare beslissing vereist menselijke beoordeling en bekrachtiging.

9.3 Menselijk toezicht (artikel 14 AI Act)
Onze AI-functionaliteit is zo ontworpen dat recruiters AI-uitkomsten kunnen openen, beoordelen en overrulen; dat de redenering achter een aanbeveling op hoofdlijnen inzichtelijk wordt gemaakt; dat recruiters hun beslissing zelfstandig moeten vastleggen en niet door enkel een AI-aanbeveling te bevestigen; en dat AI-functionaliteit per klant, per gebruiker of voor specifieke functietypen uitgeschakeld kan worden.

9.4 Transparantie richting kandidaten (artikelen 13, 50 en 86 AI Act)
Wanneer u als kandidaat in een procedure terechtkomt waarin AI-ondersteuning wordt gebruikt door de werkgever, wordt u daarover geïnformeerd. U heeft het recht om:

  • Te weten dat AI is ingezet bij de beoordeling van uw kandidatuur en op welke wijze;

  • Informatie te ontvangen over de hoofdlogica en de mogelijke gevolgen van die verwerking;

  • Een menselijke beoordeling te vragen van een beslissing die mede op basis van AI-ondersteuning is genomen;

  • Uw zienswijze kenbaar te maken en de beslissing aan te vechten;

  • Te worden geïnformeerd wanneer u rechtstreeks communiceert met een AI-systeem, zoals een chatbot of geautomatiseerde assistent.

Deze rechten kunt u uitoefenen via de werkgever in wiens procedure u zit. Wij ondersteunen onze klanten om dergelijke verzoeken correct en tijdig af te handelen.

9.5 Data governance en bias-mitigatie (artikel 10 AI Act)
Wij hanteren een datakwaliteitsbeleid voor de gegevens waarop onze AI-functionaliteit wordt ontwikkeld, gevalideerd en getest. Wij streven actief naar het detecteren en mitigeren van mogelijke vooringenomenheid — naar onder meer geslacht, leeftijd, etniciteit of beperking — door selectie van representatieve gegevens, periodieke evaluatie van modeluitkomsten, en het uitsluiten van beschermde kenmerken als directe of indirecte determinanten in besluitvormingsmodellen. Trainings- en validatiedata worden niet over tenants heen samengevoegd; zie ook 8.2.

9.6 Onze rol en die van onze klanten onder de AI Act
Wij treden op als provider (aanbieder) van AI-systemen binnen het platform. Onze klanten zijn deployer (gebruiksverantwoordelijke) wanneer zij deze AI-functionaliteit binnen hun wervingsproces inzetten. Beide rollen brengen eigen verplichtingen mee, waaronder registratie, monitoring, logging en informatie aan betrokkenen. Wij beleggen deze verantwoordelijkheden expliciet in onze documentatie en contractuele afspraken met klanten.

9.7 Verboden toepassingen (artikel 5 AI Act)
Wij zetten geen AI in voor emotieherkenning op de werkplek of tijdens sollicitatiegesprekken, voor sociale scoring, of voor het afleiden van bijzondere persoonsgegevens uit biometrische gegevens. Klanten zijn contractueel uitgesloten van het inzetten van het platform voor dergelijke toepassingen.

9.8 Logging en traceerbaarheid (artikel 12 AI Act)
Inzet van AI-functionaliteit binnen het platform wordt automatisch gelogd, zodanig dat achteraf herleidbaar is wanneer en hoe AI heeft bijgedragen aan een proces. Deze logs zijn beschikbaar voor onze klanten ter onderbouwing van hun eigen AI Act-verantwoording.

10. Uw rechten als betrokkene

U heeft onder de AVG de volgende rechten:

  • Recht op inzage in uw persoonsgegevens;

  • Recht op rectificatie van onjuiste of onvolledige gegevens;

  • Recht op verwijdering ("recht om vergeten te worden");

  • Recht op beperking van de verwerking;

  • Recht op overdraagbaarheid van gegevens (dataportabiliteit);

  • Recht van bezwaar tegen verwerking op basis van een gerechtvaardigd belang of voor directe marketing;

  • Recht om eerder gegeven toestemming in te trekken;

  • Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

Een verzoek kunt u indienen via de contactgegevens onderaan deze verklaring. Indien u sollicitant bent en uw verzoek ziet op gegevens die binnen het ATS van een specifieke werkgever zijn opgeslagen, dient u zich tot die werkgever te wenden; deze is de verwerkings-verantwoordelijke voor uw sollicitatiegegevens.

Indien u door Applyfin proactief bent benaderd op basis van publieke of professionele bronnen, heeft u te allen tijde het recht om bezwaar te maken tegen verdere verwerking en om opgenomen te worden in een onderdrukkingslijst, zodat wij u niet opnieuw benaderen. Op uw verzoek delen wij ook de bron waaruit wij uw gegevens hebben verkregen.

11. Wijzigingen in deze privacyverklaring

Wij kunnen deze privacyverklaring van tijd tot tijd aanpassen om wijzigingen in onze dienstverlening, wet- en regelgeving of beveiligingspraktijken te weerspiegelen. Materiële wijzigingen kondigen wij vooraf aan via het platform of per e-mail. Wij raden u aan deze pagina periodiek te raadplegen.

12. Contact

Applyfin B.V. Wittevrouwenstraat 38B 3512 CV Utrecht info@applyfin.com +31 85 078 6002

Voor privacy- en beveiligingsgerelateerde vragen kunt u contact opnemen via privacy@applyfin.com.