Privacy & Cookies
Versie 2.0 — Van kracht vanaf 28 april 2026
Deze privacyverklaring beschrijft hoe Sunbytes persoonsgegevens verwerkt — of u nu onze website bezoekt, via ons solliciteert op een functie, of met ons samenwerkt als klant, prospect of partner.
Wanneer u uw gegevens bij ons indient, verwerken wij deze alleen wanneer dit nodig is om de dienst te leveren waarvoor u ons heeft ingeschakeld of waarvoor u toestemming heeft gegeven — en uitsluitend binnen ons gesloten netwerk van geverifieerde dienstverleners, die elk werken onder een ondertekende verwerkersovereenkomst en zijn vermeld in ons Trust Center. Wij verkopen uw gegevens niet, delen ze niet buiten dit netwerk en verwerken ze niet voor doeleinden die buiten deze verklaring vallen.
Deze verklaring heeft geen betrekking op de verwerking van persoonsgegevens van Sunbytes-medewerkers, contractanten of eindwerknemers die via onze Employer of Record-dienst worden geplaatst: dat wordt geregeld via hun individuele contracten en ons interne HR-beleid.
Wij gaan zorgvuldig om met persoonsgegevens en in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR), het Vietnamese Decreet inzake bescherming van persoonsgegevens (Decreet 13/2023) en alle toepasselijke nationale wetgeving.
Als iets onduidelijk is of u uw rechten wilt uitoefenen, neem dan contact met ons op via info@sunbytes.io.
1. Wie wij zijn en wie verantwoordelijk is voor uw gegevens
Sunbytes B.V. (Nederland) en Sunbytes Vietnam Co. Ltd. treden op als gezamenlijke verwerkingsverantwoordelijken van persoonsgegevens in de zin van artikel 26 AVG, en werken samen vanuit twee kantoren om onze diensten te leveren.
Sunbytes B.V.
Stadsplateau 7, 3521 AZ Utrecht, Nederland
KvK: 66873630 | BTW: NL856734615B01
Sunbytes Vietnam Co. Ltd.
400/8a Ung Van Khiem, Thanh My Tay Ward, Ho Chi Minh City, Vietnam
Belastingnummer: 0311816866
Eén centraal contactpunt voor alle privacykwesties, inclusief vragen, verzoeken en klachten gericht aan onze functionaris voor gegevensbescherming: info@sunbytes.io
Tussen beide entiteiten is een Joint Controller Arrangement van kracht. Sunbytes B.V. neemt de leiding bij verzoeken van betrokkenen en bij contacten met toezichthouders; beide entiteiten dragen gelijk de verplichtingen van beveiliging, rechtmatigheid en transparantie.
2. Uw rechten
Op welke manier u ook met ons in contact bent gekomen, u heeft altijd recht op:
- Inzage in de persoonsgegevens die wij over u hebben (art. 15 AVG / art. 14 Decreet 13/2023)
- Rectificatie als gegevens onjuist zijn (art. 16 AVG / art. 15 Decreet 13/2023)
- Verwijdering (art. 17 AVG / art. 16 Decreet 13/2023 — voor Vietnamese betrokkenen handelen wij geldige verwijderingsverzoeken binnen 72 uur af)
- Beperking van het gebruik (art. 18 AVG / art. 17 Decreet 13/2023)
- Bezwaar tegen verwerking (art. 21 AVG / art. 9.6 Decreet 13/2023)
- Een overdraagbare kopie van uw gegevens (art. 20 AVG)
- Intrekking van toestemming op elk moment, zonder opgaaf van reden (art. 7 lid 3 AVG / art. 12 Decreet 13/2023)
- Geïnformeerd worden voordat verwerking begint (art. 13-14 AVG / art. 9.1 Decreet 13/2023, “recht om te weten”)
- Bezwaar tegen AI-ondersteunde verwerking van uw gegevens
- Een klacht indienen bij de bevoegde toezichthouder voor gegevensbescherming
Voor Vietnamese betrokkenen: bovenstaande rechten zijn ook afdwingbaar onder Decreet 13/2023, met klachten die kunnen worden ingediend bij het Vietnamese Ministerie van Openbare Veiligheid (Department of Cybersecurity and High-Tech Crime Prevention).
De snelste manier om uw rechten uit te oefenen is via ons selfservice-formulier voor gegevensrechten: https://trust.sunbytes.io/your-data. U kunt ook mailen naar info@sunbytes.io. Wij behandelen verzoeken binnen de wettelijke termijnen (binnen 72 uur voor verwijderingsverzoeken van Vietnamese betrokkenen, binnen 30 dagen voor alle overige verzoeken onder de AVG).
3. Websitebezoekers
Wanneer u sunbytes.io bezoekt voor zuiver informatieve doeleinden, stuurt uw browser technische gegevens naar onze servers die wij gebruiken om de site weer te geven en veilig te houden (art. 6 lid 1(f) AVG — gerechtvaardigd belang):
- Datum en tijd van bezoek
- Doorverwijzende URL
- IP-adres (geanonimiseerd voor analyse — zie § 8)
- Browsertype en versie
- Hoeveelheid gegevens overgedragen
- Succes of fouten bij het laden
Cookies
Wij gebruiken zowel tijdelijke (sessie-)cookies als blijvende cookies (na 12 maanden automatisch verwijderd, of wanneer u ze zelf wist). Essentiële cookies werken zonder toestemming; functionele, analytische en marketingcookies worden alleen geladen nadat u toestemming geeft via onze cookiebanner (art. 6 lid 1(a) AVG). U kunt uw toestemming op elk moment intrekken via diezelfde banner.
U kunt uw browser zo instellen dat sommige of alle cookies worden geweigerd. Als u dat doet, kunnen sommige functies van de website mogelijk niet meer werken.
4. Contactformulier en e-mail
Wanneer u contact met ons opneemt via een contactformulier of per e-mail, slaan wij uw naam, bedrijf, e-mailadres, telefoonnummer (indien opgegeven) en het bericht zelf op zodat wij u kunnen antwoorden. De rechtsgrond is hetzij het nemen van stappen vóór het sluiten van een overeenkomst (art. 6 lid 1(b) AVG), hetzij ons gerechtvaardigd belang om vragen efficiënt te behandelen (art. 6 lid 1(f) AVG).
Wij verwijderen deze gegevens zodra opslag niet meer nodig is, of beperken de verwerking als de wet ons verplicht ze te bewaren.
5. Nieuwsbrief en marketingcommunicatie
Wanneer u zich abonneert op onze nieuwsbrief geeft u toestemming op grond van art. 6 lid 1(a) en art. 7 AVG (en art. 11-12 Decreet 13/2023 voor Vietnamese betrokkenen). Wij gebruiken een dubbele opt-in-bevestiging. Iedere nieuwsbrief bevat een afmeldlink met één klik.
Wij kunnen ingetrokken e-mailadressen tot drie jaar bewaren op basis van gerechtvaardigd belang (bewijs van eerdere toestemming, verweer tegen claims). U kunt te allen tijde eerdere verwijdering verzoeken.
De nieuwsbrief wordt verspreid via Mailchimp (The Rocket Science Group, LLC, Atlanta GA, VS), onder een ondertekende verwerkersovereenkomst en met passende doorgifte-waarborgen, waaronder Standaardcontractbepalingen en het EU-VS Data Privacy Framework. Voorwaarden van Mailchimp: https://mailchimp.com/gdpr/
6. Kandidaten en sollicitanten
Als u via ons solliciteert op een functie, door onze recruiters wordt benaderd, of op een andere wijze in onze talentpijplijn terechtkomt, is deze sectie op u van toepassing.
Wat wij verzamelen
CV en resumé-inhoud, contactgegevens, werkervaring, vaardigheden, voorkeuren, verwachtingen, interviewnotities, technische assessmentresultaten, en meeting-opnames of -transcripten waar u over geïnformeerd bent en toestemming heeft gegeven volgens de meldingspraktijk van het meeting-instrument.
Waarom wij ze gebruiken, en op welke rechtsgrond
Om u te koppelen aan huidige en toekomstige kansen, om uw geschiktheid voor onze enterprise-klanten te beoordelen, en om u op de hoogte te houden van relevante functies en onze voortgang voor u. De rechtsgrond is uw toestemming (art. 6 lid 1(a) AVG / art. 11 Decreet 13/2023). U kunt deze op elk moment intrekken zonder dat dit invloed heeft op de rechtmatigheid van eerdere verwerking.
Hoe wij AI gebruiken
Wij gebruiken AI om onze recruiters efficiënter te laten werken — om CV’s samen te vatten, notities op te stellen en relevante eerdere gesprekken op te halen, zodat u zich niet hoeft te herhalen. AI ondersteunt ons team; het neemt geen beslissingen over uw kandidaatschap. Elke shortlist, elk interview en elk aanbod wordt door een mens beslist. U kunt te allen tijde bezwaar maken tegen AI-ondersteunde verwerking. Wij gebruiken uitsluitend enterprise-AI-diensten waarvan in het contract is vastgelegd dat zij hun modellen niet trainen op uw gegevens.
Hoe lang wij uw gegevens bewaren
Wij bewaren kandidaatgegevens tot 48 maanden na ons laatste wederzijdse contact met u. Als er 48 maanden voorbijgaan zonder wederzijds contact, worden uw gegevens automatisch verwijderd.
Wij bewaren kandidaatgegevens op deze rolling basis omdat techcarrières in cycli verlopen — de functie waarvoor wij u vandaag niet kunnen plaatsen, kan over twee of drie jaar perfect passen, en wij willen er dán zijn. Wij verlengen de bewaartermijn alleen wanneer er een specifieke, gedocumenteerde reden is die dit rechtvaardigt (bijvoorbeeld een actieve betrokkenheid, een hangende plaatsing of een wettelijke verplichting). U heeft altijd het recht om eerdere verwijdering te verzoeken, ongeacht de rolling clock.
Onder “wederzijds contact” verstaan wij elke tweerichtingsuitwisseling die u initieert of waarop u actief reageert: een e-mailantwoord, een CV- of profielupdate, deelname aan een interview of gesprek, het accepteren of afwijzen van een door ons voorgestelde functie, of een referral. Eenrichtingsactiviteit van onze kant (e-mails die wij sturen waar u niet op reageert, sourcing-activiteit) zet de teller niet terug.
7. Klanten, prospects en partners
Als u een huidige klant, een prospect waarmee wij in gesprek zijn, of een zakelijke partner vertegenwoordigt, is deze sectie op u van toepassing.
Wat wij verzamelen
Zakelijke contactgegevens (naam, functie, werkgever, e-mail, telefoon), notities van vergaderingen en gesprekken, contractuele gegevens, factureringsgegevens en publiekelijk beschikbare zakelijke informatie (bedrijfsgrootte, sector, technologiestack) die wij gebruiken voor sales en accountmanagement.
Waarom wij ze gebruiken, en op welke rechtsgrond
Om onze diensten contractueel te leveren (art. 6 lid 1(b) AVG), om de commerciële relatie te beheren, en om prospects te benaderen wier rol zakelijk contact tot een gerechtvaardigd belang van beide partijen maakt (art. 6 lid 1(f) AVG — wij hebben hiervoor een Legitimate Interest Assessment uitgevoerd). Voor marketingcommunicatie waarvan u zich altijd kunt afmelden via een afmeldlink of door ons te mailen, baseren wij ons op toestemming (art. 6 lid 1(a) AVG).
Hoe wij AI gebruiken
Dezelfde principes als bij kandidaten zijn van toepassing: AI ondersteunt, AI beslist niet, AI-leveranciers trainen niet op uw gegevens. AI helpt ons bij het voorbereiden van vergaderingen, samenvatten van gesprekken en ophalen van relevante context binnen de relatie — nooit ter vervanging van menselijk oordeel over uw account.
Hoe lang wij uw gegevens bewaren
Voor actieve klanten en partners gedurende de looptijd van de relatie plus de door fiscale en handelsrechtelijke wetgeving vereiste termijn (in Nederland doorgaans 7 jaar; langer waar de Vietnamese wet dit vereist). Voor prospects 36 maanden na ons laatste wederzijdse contact, tenzij u ons vraagt eerder te verwijderen.
8. Webanalyse en tracking
Wij gebruiken Google Analytics, Salesfeed.nl en Leadfeeder om te begrijpen hoe mensen onze website gebruiken en om onze content en campagnes te optimaliseren. Deze tools worden uitsluitend geladen nadat u toestemming geeft via de cookiebanner (art. 6 lid 1(a) en art. 49 lid 1(a) AVG).
Wij gebruiken IP-anonimisering, zodat uw volledige IP-adres niet wordt opgeslagen. Blijvende cookies verlopen na maximaal twee jaar. Geregistreerde gebruikersdata wordt automatisch verwijderd na 26 maanden.
Google valt onder de Amerikaanse CLOUD Act, die Amerikaanse federale wetshandhaving het recht geeft op gegevens die bij Google zijn opgeslagen. Doorgiften zijn afgedekt door Standaardcontractbepalingen en het EU-VS Data Privacy Framework. Privacy-informatie van Google: https://policies.google.com/privacy
U kunt zich te allen tijde afmelden via de cookiebanner, de Google Analytics opt-out add-on (https://tools.google.com/dlpage/gaoptout), of via uw browserinstellingen.
reCAPTCHA van Google beschermt onze formulieren tegen geautomatiseerd misbruik, op basis van gerechtvaardigd belang (art. 6 lid 1(f) AVG). Het stuurt uw IP (binnen de EER geanonimiseerd) en gedragsinformatie naar Google ter beoordeling.
9. Cybersecurity-diensten geleverd aan klanten
Waar Sunbytes penetratietests, vulnerability scans of andere cybersecurity-opdrachten levert, worden eventuele persoonsgegevens die tijdens de opdracht worden verwerkt, behandeld onder de schriftelijke dienstverleningsovereenkomst en verwerkersovereenkomst die met de klant is ondertekend. Sunbytes treedt in deze context op als verwerker; de klant blijft verwerkingsverantwoordelijke. Deze verwerking valt niet onder deze publieke privacyverklaring.
Als u meent dat u onderwerp bent of bent geweest van een Sunbytes cybersecurity-opdracht en daarover vragen heeft, neem dan eerst contact op met uw werkgever (de klant), aangezien zij de scope van de opdracht beheren. U kunt ook contact opnemen met info@sunbytes.io.
10. Ingebedde media en sociale profielen
Wij sluiten YouTube-video’s in en linken naar ons LinkedIn-bedrijfsprofiel. Het laden van een YouTube-video draagt gegevens over aan YouTube (Google LLC); een bezoek aan ons LinkedIn-profiel draagt gegevens over aan LinkedIn (LinkedIn Ireland Unlimited Company). Wij hebben geen invloed op hoe deze platforms uw gegevens verwerken zodra u ermee interacteert; hun privacyverklaringen zijn van toepassing.
Waar wij bedrijfsprofielen op sociale platforms beheren, gebruiken die platforms doorgaans cookies en gedragsdata voor hun eigen marketing en analyse. Wij zijn niet verantwoordelijk voor die verwerking. Om profielkoppeling te voorkomen, log uit bij die platforms voordat u onze site bezoekt.
11. Dienstverleners en subverwerkers — ons gesloten netwerk
Uw gegevens bewegen zich uitsluitend binnen een gesloten netwerk van geverifieerde dienstverleners. Elke leverancier in dit netwerk werkt onder een ondertekende verwerkersovereenkomst, is gescreend op security- en compliance-niveau, en is contractueel verboden om uw gegevens voor andere doeleinden te gebruiken dan het leveren van de dienst aan Sunbytes.
Voor doorgiften buiten de EU/EER baseren wij ons op Standaardcontractbepalingen, het EU-VS Data Privacy Framework waar de importeur is gecertificeerd, en aanvullende technische en organisatorische waarborgen.
De volledige, altijd actuele lijst van leveranciers in dit netwerk — inclusief welke AI-leveranciers wij gebruiken, wat zij doen en waar zij gevestigd zijn — is gepubliceerd in ons Trust Center: https://trust.sunbytes.io/subprocessors
Wij werken die lijst bij naarmate ons toolchain evolueert. Het Trust Center is de enige bron van waarheid. Wij schakelen geen leveranciers buiten dit netwerk in voor de verwerking van persoonsgegevens.
12. Internationale gegevensoverdrachten
Sunbytes werkt vanuit Nederland en Vietnam, en gebruikt dienstverleners in de EU/EER, het Verenigd Koninkrijk, de Verenigde Staten en andere regio’s. Waar persoonsgegevens buiten de EU/EER worden doorgegeven, baseren wij ons op:
- Adequaatheidsbesluiten (bijvoorbeeld VK)
- EU Standaardcontractbepalingen (SCC’s) en het equivalente UK IDTA
- Het EU-VS Data Privacy Framework waar de importeur is gecertificeerd
- Aanvullende technische en organisatorische waarborgen (encryptie, toegangscontrole, gecontroleerde verwerkersovereenkomsten)
Recruiters in ons Vietnam-kantoor benaderen in de EU opgeslagen persoonsgegevens vanuit Vietnam onder SCC’s met een gedocumenteerde Transfer Impact Assessment.
Voor Vietnamese betrokkenen vinden doorgiften van persoonsgegevens buiten Vietnam plaats in lijn met Decreet 13/2023 artikel 25, met een Transfer Impact Assessment die in dossier wordt gehouden. Vietnamese betrokkenen behouden het recht om bezwaar te maken tegen grensoverschrijdende doorgifte van hun persoonsgegevens.
13. Hoe wij uw gegevens beschermen
Sunbytes is ISO 27001-gecertificeerd en wordt continu gemonitord op compliance via Sprinto. In de praktijk betekent dat:
- Multi-factor authenticatie op elk systeem dat persoonsgegevens bevat
- Rolgebaseerde toegang — alleen mensen die uw informatie écht nodig hebben, kunnen die zien
- Encryptie tijdens transport (TLS 1.2+) en in opslag (AES-256)
- Continue vulnerability scanning, snel patchen, regelmatige onafhankelijke audits
- Een gedocumenteerd incident response-proces dat aansluit op de wettelijke meldingsverplichtingen (waaronder de 72-uurs meldplicht aan toezichthouders onder art. 33 AVG en art. 23 Decreet 13/2023)
Volledige details en actuele attestaties zijn te vinden op https://trust.sunbytes.io
14. Intrekking en bezwaar
U kunt te allen tijde toestemming intrekken zonder opgaaf van reden. Zodra u ons informeert, stoppen wij met de verwerking van uw persoonsgegevens op basis van die toestemming (de rechtmatigheid van eerdere verwerking blijft daarbij onaangetast).
Waar verwerking is gebaseerd op gerechtvaardigd belang (art. 6 lid 1(f) AVG), kunt u bezwaar maken. Vertel ons waarom onze voortgezette verwerking niet zou moeten plaatsvinden, en wij zullen ofwel stoppen, ofwel aanpassen, ofwel onze zwaarwegende gerechtvaardigde gronden uitleggen.
U kunt te allen tijde bezwaar maken tegen direct marketing of AI-ondersteunde verwerking, zonder dat u dit hoeft te onderbouwen.
15. Wijzigingen in deze verklaring
Wij werken deze verklaring bij wanneer onze praktijken, ons toolchain of de toepasselijke wetgeving wijzigen. Het versienummer en de ingangsdatum bovenaan dit document tellen als de versie die u leest. Bij materiële wijzigingen die uw rechten raken, informeren wij betrokkenen rechtstreeks waar wij over contactgegevens beschikken.
Een wijzigingsoverzicht is op verzoek beschikbaar via info@sunbytes.io.
16. Contact
Voor elke privacyvraag, elk verzoek of elke klacht:
E-mail: info@sunbytes.io
Per post (vermeld op envelop “Data Protection Officer”):
Sunbytes B.V., Stadsplateau 7, 3521 AS Utrecht, Nederland
U heeft daarnaast het recht een klacht in te dienen bij de bevoegde toezichthouder voor gegevensbescherming in uw land, waaronder de Autoriteit Persoonsgegevens voor in de EU gevestigde betrokkenen, en het Vietnamese Ministerie van Openbare Veiligheid (Department of Cybersecurity and High-Tech Crime Prevention) voor Vietnamese betrokkenen.
Privacyverklaring v2.0 — Sunbytes B.V. & Sunbytes Vietnam Co. Ltd. — 28 april 2026
Heb je vragen?
Heb je vragen over ons privacy- en gegevensbeleid? Neem nu contact met ons op