Wij leveren in heel Europa
Neem contact met ons op voor een offerte
Deze Privacyverklaring wordt beheerst door Zweeds recht, en verwijzingen naar wettelijke bepalingen verwijzen naar Zweedse wetgeving, tenzij anders aangegeven.
1.1 Deze Privacyverklaring beschrijft hoe Herbox AB, ondernemingsnummer 559320-7037, Sven Hultings Plats 5, 412 58 Göteborg (“Herbox”, “wij”), de bescherming van
persoonsgegevens waarborgt in al onze activiteiten. Dit geldt dus ook voor de Nederlandse klanten die onder contract staan bij Herbox Nederland (Dispenser Distributeur B.V., KvK 89005244).
1.2 Het doel is te verzekeren dat alle verwerking rechtmatig, behoorlijk en transparant
plaatsvindt in overeenstemming met de AVG en Zweedse wetgeving, en om vertrouwen te creëren bij klanten, gebruikers en partners door transparantie en duidelijkheid over hoe wij persoonsgegevens verzamelen, gebruiken, opslaan en beschermen.
1.3 Herbox werkt systematisch met gegevensbescherming door middel van risicoanalyses, interne procedures, technische beveiligingsmaatregelen en training. Wij streven altijd naar dataminimalisatie en bewaren persoonsgegevens alleen zolang dat nodig is voor elk specifiek doel.
| Begrip | Betekenis |
|---|---|
| Cookie |
Kleine tekstbestanden die in de browser worden opgeslagen om functionaliteit, statistieken en marketing mogelijk te maken. Wordt beheerd in overeenstemming met het afzonderlijke Cookiebeleid van Herbox. |
| Persoonsgegevens |
Alle informatie waarmee een natuurlijke persoon direct of indirect kan worden geïdentificeerd, zoals naam, e-mailadres, IP‑adres of klantnummer. |
| Verwerking |
Elke handeling die wordt uitgevoerd op persoonsgegevens, zoals verzamelen, opslaan, analyseren, delen of verwijderen, handmatig of geautomatiseerd. |
| Verwerkingsverantwoordelijke |
De partij die het doel en de middelen van de verwerking |
| Verwerker |
Een externe partij die gegevens verwerkt namens Herbox op basis van een Verwerkersovereenkomst (DPA). |
| Wettelijke grondslag |
Een rechtsgrondslag op basis van artikel 6 van de AVG |
| Gerechtvaardigd belang |
Wanneer Herbox een legitiem zakelijk belang heeft, zoals |
| Bijzondere categorieën persoonsgegevens |
Gegevens zoals gezondheid, etniciteit, politieke |
| Betrokkene |
De persoon op wie de gegevens betrekking hebben (klant, gebruiker, werknemer, leverancier enz.). |
| SCC / DPF |
De EU‑Standaardcontractbepalingen en het EU‑US Data Privacy Framework, beide mechanismen om bescherming te garanderen bij doorgifte naar derde landen. |
Functionaris Gegevensbescherming (DPO)
Herbox AB
T.a.v. Functionaris Gegevensbescherming
E-mail: info@herbox.se
Adres: Sven Hultings Plats 5, 412 58 Göteborg
Overzicht contactkanalen:
| Materie | Contact | Opmerking |
|---|---|---|
| Algemene vragen |
info@herbox.se |
bevestiging binnen 2 werkdagen, reactie doorgaans |
| AVG-verzoeken: |
info@herbox.se |
identificatie kan vereist zijn (BankID of kopie ID). |
| Incidentmeldingen |
info@herbox.se |
terugkoppeling binnen 24 uur. |
| Toezichthouder: |
De Autoriteit voor Privacybescherming (IMY), Box 8114, 104 20 Stockholm |
Meer informatie op www.imy.se |
4.1 Bij bezoek aan onze website
| Wanneer en waarom | Personuppgifter | Persoonlijke gegevens | Bewaartijd |
|---|---|---|---|
| Voorbeelden omvatten |
IP‑adres, technische logbestanden, |
Gerechtvaardigd belang (noodzakelijke werking) |
2 maanden |
| Statistieken (Google Analytics, Microsoft Clarity), |
IP (getrunked), evenementen, cookie-ID |
Samtycke (ePrivacy) |
90 dagen |
| Advertentie- en platformpixels |
Hashad e-post, eenheids-/cookie-ID |
Toestemming / gerechtvaardigd belang (klanten) |
Variëren van 2 maanden tot 24 maanden. |
4.2 Bij contact met bestaande en potentiële klanten
| Wanneer en waarom | Persoonsgegevens | Juridische grond | Opslagtijd |
|---|---|---|---|
| Klantrelatie en ondersteuning |
Naam, e-mail, overeenkomst, communicatie |
Overeenkomst / gerechtvaardigd belang |
Tot 10 jaar (boekhouding 7 jaar) |
| Marketing naar klanten |
Contactgegevens, interactiegegevens |
Gerechtvaardigd belang (opt-out) |
Tills opt-out of 36 maanden inactiviteit |
| Prospectmarketing |
Contact, beroepsrol, interacties |
Samenvatting (e-mail) / gerechtvaardigd belang |
36 maanden |
4.3 Automatisering en AI-ondersteuning
| Wanneer en waarom | Persoonsgegevens | Juridische basis | Opslagperiode |
|---|---|---|---|
| Automatisering van workflows |
Geminimaliseerde velden afhankelijk van Zapier |
Gerechtvaardigd belang |
Korte termijn opslag in Zapier |
| AI‑ontwerp voor e‑mail (OpenAI) |
Beperkte e‑mailextracten |
Berettigd belang |
Enkel proces, geen permanente lokale opslag |
4.4 In verband met werving, aanstelling en HR-administratie
| Wanneer en waarom | Persoonsgegevens | Juridische basis | Opslagtijd |
|---|---|---|---|
| Ontvangst en beoordeling van aanvragen |
CV, contactgegevens, aantekeningen |
Gerechtvaardigd belang (wervingsproces) + toestemming voor langere opslag |
24 maanden (langer met instemming) |
| Referentiecontrole en achtergrondonderzoek |
Contactgegevens van referenties, aantekeningen van referentiegesprekken, verificatie van opleiding of dienstverband |
Toestemming (van de kandidaat voordat er contact wordt opgenomen) + gerechtvaardigd belang om een correcte werving te waarborgen |
24 maanden na het beëindigen van het wervingsproces (of langer met uitdrukkelijke toestemming van de kandidaat) |
| Bij aanwerving en HR-administratie |
Contactgegevens, salaris, afwezigheid, competentiegegevens en gegevens over familieleden |
Behandeling vindt plaats om het arbeidscontract na te komen, juridische verplichtingen (bijv. belasting- en arbeidsrecht) en het gerechtvaardigd belang van Herbox om HR-processen te beheren. |
Onder de aanstelling en daarna 2–10 jaar, afhankelijk van het type taak (bijv. loon- en boekhoudtaken 7 jaar, contracten tot 10 jaar, contactgegevens 2 jaar) |
4.5 Vid uitvoering van juridische verplichtingen en om juridische belangen te behartigen
| Wettelijke verplichting | Voorbeeld van de betrokken gegevens | Toepasselijke wet / regelgeving | Lagringstijd |
|---|---|---|---|
| Boekhouding en verslaglegging |
Klant- en leveranciersfacturen, betalingsgegevens, verificaties |
Boekhoudwet (1999:1078) |
7 jaar na het einde van het boekjaar |
| Prescriptie van vordering / geschil |
Avtalsunderlag, communicatie, betalingshistoriek |
Prescriptiewet (1981:130) |
Tot 10 jaar |
| Belasting- en heffingsrapportage |
Loonbasis, facturen, uitbetalingen |
Belastingprocedurewet (2011:1244) |
7 jaar |
| Juridische claims en overheidszaken |
Correspondentie, onderzoeksdocumenten |
GDPR art. 17.3 e (verdediging van juridische aanspraken) |
Tills het geval is afgesloten |
| Tewerkstellingsdocumentatie |
Arbeidsovereenkomst, salaris- en pensioenbasis |
Arbeidsrechtelijke wetgeving |
2-10 jaar, afhankelijk van het documenttype |
Herbox houdt ook een register bij van alle behandelingen volgens artikel 30 GDPR, dat wordt bijgewerkt door de DPO.
| Persoonsgegevensverwerker / Ontvanger | Categorie | Persoonsgegevens die worden verwerkt | Rol | Bijzondere beschermingsmaatregelen |
|---|---|---|---|---|
| Upsales, Mailchimp |
CRM en marketing |
Naam, e-mail, communicatiegeschiedenis, voorkeuren |
Gegevensverwerkingscontract |
Versleuteling, toegangsbeperkingen, DPA |
| Google Workspace |
E-mail en productiviteit |
Naam, e-mail, document, bestanden, metadata |
Gegevensverwerkingscontract |
DPF-certificering, MFA, dataminimalisering |
| Zapier |
Automatisering |
Beperkte datavelden voor systeemintegratie |
Gegevensverwerkingscontract |
Kryptografie tijdens overdracht, SCC |
| OpenAI |
AI-analyse en geautomatiseerde ondersteuning |
Kortere tekstfragmenten (geminimaliseerd) |
Gegevensverwerkingscontract |
DPF-certificering, blokkering tegen modeltraining |
| Google Ads, Microsoft Ads, LinkedIn, Microsoft Clarity etc. |
Adverteren en meten |
Hashad e-mail, cookie-ID, IP-adres, apparaatgegevens |
Zelfstandig verantwoordelijk |
Samtyckesstyrning via GTM, DPF/SCC |
| TeamTailor |
Rekrutering |
Naam, contactgegevens, CV, interviewaantekeningen |
Gegevensverwerkingscontract |
DPA, dataminimalisatie, automatische verwijdering |
| Accountantskantoor, accountant, vracht- en servicepartners |
Economie en levering |
Naam, adres, betalingsgegevens, factuurondersteuning |
Biträden / zelfstandig verantwoordelijken |
Vertrouwelijkheidsverklaringen, versleutelde communicatie, wettelijke uitdunning |
| Omgeving | Type taak / behandeling | Technische en organisatorische beveiligingsmaatregelen | Lagringstijd / vernietigingstermijn |
|---|---|---|---|
| Technische veiligheid |
Systeemgegevens, toegangslogboeken, back-ups |
Kryptografie tijdens overdracht en opslag, rolgebaseerde toegang, multifactor-authenticatie (MFA), logging en regelmatige autorisatie-audits. |
Logboeken 12 maanden, back-ups volgens IT-beleid (maximaal 12 maanden) |
| Organisatorische veiligheid |
Alle persoonsgegevens |
Geheimhoudingsovereenkomst, doorlopende opleiding, incidentproces, jaarlijkse controle van procedures |
Continue onder aanstelling / opdracht |
| Incidenthantering |
Informatie die in incidentrapporten is opgenomen |
DPO-toezichthoudend proces, interne logging, melding aan IMY binnen 72 uur bij risico voor de rechten van individuen, informatie aan betrokken geregistreerden volgens art. 33–34 GDPR |
Documentatie wordt 5 jaar na afsluiting van de zaak bewaard. |
| CRM en klantgegevens |
Correspondentie, onderzoeksrijkmateriaal |
GDPR art. 17.3 e (verdediging van juridische aanspraken) |
Tills het dossier is afgesloten |
| Aanstellingsdocumentatie |
Arbeidscontract, salaris- en pensioeninformatie |
Arbeidsrechtelijke wetgeving |
2-10 jaar, afhankelijk van het documenttype |
Herbox verwerkt voornamelijk persoonsgegevens binnen de EU/EER. Sommige leveranciers gebruiken echter infrastructuur of ondersteuning in de VS. Alle overdrachten vinden plaats volgens hoofdstuk V van de GDPR en na TIA-beoordeling.
| Categorie / Leverancier | Soort persoonsgegevens | Behandlingsplaats (hoofdzakelijk) | Overdrachtsmechanisme |
|---|---|---|---|
| Google Workspace |
Naam, e-mail, document, metadata |
US (DPF-gecertificeerd) |
EU-VS Gegevensprivacykader (DPF) |
| Microsoft Clarity / Microsoft Ads |
IP-adres (geanonimiseerd), cookie-ID, analysegegevens |
US (DPF-gecertificeerd) |
EU-US Gegevensprivacykader (DPF) |
| OpenAI (API/Team) |
Kortere tekstfragmenten (geminimaliseerd) |
US (DPF-gecertificeerd) |
EU-US Data Privacy Framework (DPF) |
| Zapier Inc. |
Beperkte datavelden voor systeemintegratie |
US (bijv. DPF-gecertificeerd) |
Standaardcontractclausules (SCC) + aanvullende maatregelen |
| Mailchimp (Intuit Inc.) |
Naam, e-mailadres, interactiegegevens |
US (DPF-gecertificeerd) |
EU-VS-kader voor gegevensbescherming (DPF) |
| Recht | Article | Betekenis | Hoe u uw recht uitoefent |
|---|---|---|---|
| Toegang |
Art. 15 |
Vraag een kopie van persoonlijke gegevens en informatie over de verwerking aan. |
Begär via info@herbox.se. |
| Correctie |
Art. 16 |
Corrigeer onjuiste of onvolledige gegevens. |
Neem contact met ons op via e‑mail of telefoon. |
| Radering ("vergeten worden") |
Art. 17 |
Verwijdering wanneer de gegevens niet langer nodig zijn of wanneer de toestemming wordt ingetrokken. |
Mail naar info@herbox.se. |
| Beperking |
Art. 18 |
Tijdelijk de behandeling stopzetten bij geschil over juistheid of wettigheid. |
Markeer e‑mails als "Beperking". |
| Dataportabiliteit |
Art. 20 |
Krijg gegevens in gestructureerd formaat of draag over aan een andere partij. |
Vraag export (CSV/JSON). |
| Bezwaar |
Art. 21 |
Bezwaarschrift tegen gerechtvaardigd belang of directe marketing. |
Gebruik opt-out-links of neem contact met ons op. |
| Intrekken van toestemming |
Art. 7.3 |
Trek de toestemming terug zonder eerdere verwerking te beïnvloeden. |
Via cookie-banner of e-mail. |
| Geautomatiseerde beslissingen |
Art. 22 |
Vraag handmatige beoordeling van beslissingen met rechtsgevolgen. |
E-mail info@herbox.se. |
9.1 Herbox herzien deze privacyverklaring minstens één keer per jaar of indien nodig, bijvoorbeeld als:
a) Nieuwe of gewijzigde wetgeving van kracht wordt,
b) De activiteiten veranderen op een manier die de verwerking van persoonsgegevens beïnvloedt,
c) Nieuwe systemen, leveranciers of behandelingen worden geïntroduceerd, of
d) De Autoriteit Persoonsgegevens (AP) of EU-instanties nieuwe richtlijnen of besluiten uitgeven.
9.2 De beoordeling wordt uitgevoerd door de dataprotectieverantwoordelijke (DPO) van Herbox in overleg met het management en relevante systeembeheerders. De DPO is verantwoordelijk voor het identificeren van de behoefte aan updates, het documenteren van wijzigingen en het waarborgen dat nieuwe versies voldoen aan de geldende wetgeving en het interne informatiebeveiligingsbeleid van Herbox.
9.3 Wanneer er belangrijke wijzigingen worden aangebracht, informeren wij:
a) Intern aan alle medewerkers via e-mail en/of intranet, en
b) Extern aan klanten, samenwerkingspartners en geregistreerden via onze website (herbox.se) en, indien relevant, via directe verzending.
9.4 Elke nieuwe versie krijgt een revisiedatum en een versienummer, en de vorige versie wordt gearchiveerd volgens de documentbeheerprocedures van Herbox.
9.5 De geldende versie is altijd gepubliceerd op www.herbox.se.
Laatst bijgewerkt: 28 oktober 2025
