Privacyverklaring

Hoe Workio met je persoonsgegevens omgaat.

Laatst bijgewerkt: 18 mei 2026 · Versie: 1.0

In één zin: Workio draait standaard lokaal op je telefoon. Je klanten, documenten en prijslijsten verlaten het apparaat nooit, tenzij je een cloudfunctie inschakelt (delen via link, versleutelde back-up of Pro-abonnement). Doe je dat wel, dan worden de gegevens in EU-datacenters gehost.
Inhoud
  1. Wie we zijn
  2. Wanneer deze verklaring van toepassing is
  3. Welke gegevens we verwerken
  4. Doeleinden en rechtsgrondslagen
  5. Subverwerkers
  6. Internationale doorgiften
  7. Hoe lang we je gegevens bewaren
  8. Beveiliging
  9. Je rechten
  10. Kinderen
  11. Wijzigingen in deze verklaring
  12. Contact

1. Wie we zijn

De verwerkingsverantwoordelijke voor persoonsgegevens die worden verwerkt in verband met de Workio Android-app en de website op workio-app.com is:

Innovatek di Cafaro Carmelina
P.IVA / btw-nummer: 06424410659
E-mail: privacy@workio-app.com

We treden op als verwerkingsverantwoordelijke voor de beperkte identiteits- en abonnementsgegevens die we bewaren om de cloudfuncties te kunnen aanbieden. De zakelijke documenten die je met Workio maakt (offertes, facturen, klantgegevens enzovoort) blijven op jouw apparaat onder jouw uitsluitende controle — voor die gegevens treden we niet op als verwerkingsverantwoordelijke of verwerker.

2. Wanneer deze verklaring van toepassing is

Deze verklaring geldt voor:

  • De website workio-app.com
  • De Workio Android-app, beschikbaar in Google Play
  • De Workio-cloudservices (account, delen, back-up, abonnementsvalidatie) wanneer je ervoor kiest die te gebruiken

Deze verklaring geldt niet voor diensten van derden waarmee je documenten verspreidt die je met Workio hebt gemaakt (bijvoorbeeld e-mailproviders, berichten-apps of cloudopslag die je vanuit het Android-deelmenu gebruikt). Zodra je op "delen" tikt en een bestemming kiest, is de privacyverklaring van die bestemming van toepassing.

3. Welke gegevens we verwerken

3.1 Zonder cloudfunctie (standaard)

Als je de gratis, uitsluitend lokale ervaring gebruikt en nooit inlogt, verzamelt Workio:

  • Diagnostische gegevens (Firebase Crashlytics): crash-stacktraces, apparaatmodel, OS-versie en een anonieme installatie-identificator. Uitsluitend gebruikt om bugs te verhelpen.
  • Anonieme gebruiksgegevens (Firebase Analytics): gebeurtenissen op functieniveau zonder persoonsidentificatoren. Je kunt je afmelden vanuit de app.

We verzamelen geen klanten, documenten, producten, logo of bedrijfsprofiel. Die staan in de lokale database van de app en worden nooit verzonden.

3.1bis Websiteanalyse (alleen met je toestemming)

Als — en alleen als — je de analyseoptie in de cookiebanner op workio-app.com accepteert, laadt de website Google Analytics 4 om geaggregeerde paginaweergaven, navigatiepaden en land op stadsniveau te meten. IP-adressen worden geanonimiseerd vóór verdere verwerking. Totdat je accepteert, draait GA4 in Consent Mode v2: er wordt alleen een cookie- en identifierloze ping verzonden. Je kunt je keuze op elk moment wijzigen via de pagina Cookieverklaring. Zie de Cookieverklaring voor de volledige lijst met betrokken cookies.

3.2 Wanneer je inlogt (Pro-abonnement, delen via cloud of back-up)

Via Google Sign-In ontvangen we van Google:

  • Je e-mailadres (door Google geverifieerd)
  • Je weergavenaam
  • Je locale (taalvoorkeur)
  • Een Google subject-identificator — een stabiele, ondoorzichtige string waarmee je account bij latere logins opnieuw kan worden gekoppeld

We ontvangen niet je Google-wachtwoord, je profielfoto of je contactenlijst.

3.3 Wanneer je cloud-delen gebruikt

Wanneer je een deelbare link voor een document aanmaakt, wordt de gegenereerde PDF geüpload naar Azure Blob Storage in de EU. De link verwijst naar een ondoorzichtige token; we registreren het aantal weergaven en, als je klant ondertekent, de afbeelding van de handtekening. Je kunt een link op elk moment intrekken.

3.4 Wanneer je versleutelde back-up gebruikt (Pro)

Je lokale database wordt op het apparaat versleuteld en de resulterende binaire blob wordt geüpload naar Azure Blob Storage in de EU. We bewaren de blob, de grootte en de app-versie die hem heeft gemaakt. We kunnen de inhoud van je back-ups niet lezen; de versleutelingssleutel verlaat je apparaat nooit.

3.5 Wanneer je je abonneert op Workio Pro

Abonnementen worden beheerd via Google Play Billing. We ontvangen statusupdates van het abonnement (actief, verlopen, on hold, gerestitueerd) van Google via webhooks. We zien je kaartgegevens niet — die blijven bij Google.

3.6 Operationele gegevens

Voor beveiliging en misbruikpreventie bewaren we:

  • Refresh-tokens: opgeslagen als SHA-256-hash, met tijdstempels voor uitgifte en verloop en een apparaatomschrijving (model, OS-versie).
  • Toestemmingslog: wanneer je deze verklaring of de voorwaarden accepteert, registreren we het type toestemming, de versie van de verklaring, de tijdstempel en een gehashte vorm van je IP-adres.

4. Doeleinden en rechtsgrondslagen

GegevensDoelRechtsgrondslag (AVG art. 6)
E-mail, naam, Google subject-IDAccountaanmaak, login, klantondersteuningUitvoering van een overeenkomst
AbonnementsstatusVrijschakelen van Pro-functiesUitvoering van een overeenkomst
Versleutelde back-upblobHerstel van je gegevens op een nieuw apparaatUitvoering van een overeenkomst
Gedeelde documentblob & handtekeningHet document tonen aan je ontvangerUitvoering van een overeenkomst / jouw toestemming
Refresh-tokenhash, apparaatomschrijvingSessiebeveiliging, misbruikpreventieGerechtvaardigd belang
Crashlytics-crashrapportenBugs opsporen en oplossenGerechtvaardigd belang
Firebase Analytics-gebeurtenissen (app)Inzicht in functiegebruikJouw toestemming (opt-in)
Google Analytics 4-gebeurtenissen (website)Geaggregeerd websiteverkeer metenJouw toestemming (cookiebanner)
ToestemmingslogAantonen van naleving van AVG art. 7Wettelijke verplichting

5. Subverwerkers

We doen een beroep op de volgende providers om de dienst te leveren. Elk handelt op basis van een schriftelijke verwerkersovereenkomst.

ProviderRolLocatie
Microsoft Ireland Operations Ltd. (Azure)Hosting van cloudfuncties, database, opslag en key vaultEU (Italië / West-Europa)
Google LLC / Google Ireland Ltd.Sign-In, Play Billing, Crashlytics, AnalyticsEU + VS (onder SCC's)

6. Internationale doorgiften

De hoofddienst (account, delen, back-up) wordt volledig in de Europese Unie gehost. Sommige Google-subverwerkers geven gegevens door aan de Verenigde Staten; in die gevallen berusten de doorgiften op de Standaardcontractbepalingen van de Europese Commissie en de Data Processing Addendum van Google. Je kunt een kopie van de getroffen waarborgen opvragen door te mailen naar privacy@workio-app.com.

7. Hoe lang we je gegevens bewaren

  • Accountgegevens: zolang je account bestaat. Wanneer je het account verwijdert vanuit de app of door ons aan te schrijven, worden de identiteitsgegevens binnen 30 dagen verwijderd, met uitzondering van vermeldingen die wettelijk verplicht zijn (bijvoorbeeld factuurgegevens voor het abonnement).
  • Gedeelde documentblobs: tot de door jou ingestelde vervaldatum van de link, of totdat je de link intrekt.
  • Back-ups: totdat je ze vervangt of het account verwijdert.
  • Refresh-tokens: tot het verloop, plus een korte respijtperiode voor beveiligingsaudit.
  • Crashlytics-rapporten: 90 dagen.
  • Google Analytics 4-gebeurtenissen: 14 maanden (standaard GA4-bewaartermijn).
  • Toestemmingslog: 10 jaar (wettelijke verplichting).

8. Beveiliging

We passen technische en organisatorische maatregelen toe die passend zijn bij het risico:

  • TLS 1.2+ voor alle gegevens in transit
  • Versleuteling at rest op Azure Storage
  • Client-side versleuteling voor back-ups: de sleutel verlaat je apparaat nooit
  • Secrets beheerd in Azure Key Vault met rolgebaseerde toegang
  • Geen wachtwoord — authenticatie gedelegeerd aan Google
  • Gehashte (SHA-256) refresh-tokens, nooit in leesbare vorm opgeslagen

9. Je rechten

Onder de AVG kun je:

  • Inzage krijgen in de persoonsgegevens die we over je bewaren (art. 15)
  • Onjuiste gegevens laten corrigeren (art. 16)
  • Je gegevens laten wissen — dit sluit ook je account (art. 17)
  • Bepaalde verwerkingen laten beperken of er bezwaar tegen maken (art. 18, 21)
  • Je gegevens exporteren in een machineleesbaar formaat (art. 20)
  • Je toestemming op elk moment intrekken, zonder afbreuk te doen aan eerdere verwerking (art. 7.3)
  • Een klacht indienen bij je lokale toezichthoudende autoriteit — in Nederland de Autoriteit Persoonsgegevens (AP), in Italië de Garante per la Protezione dei Dati Personali

Je kunt de meeste van deze rechten rechtstreeks uitoefenen vanuit de instellingen van de app, of door te mailen naar privacy@workio-app.com. We reageren binnen een maand.

10. Kinderen

Workio is niet gericht op kinderen jonger dan 16. We verzamelen niet bewust gegevens van personen onder die leeftijd. Als je vermoedt dat een minderjarige ons persoonsgegevens heeft verstrekt, neem dan contact met ons op; we verwijderen die dan.

11. Wijzigingen in deze verklaring

We kunnen deze verklaring van tijd tot tijd bijwerken om wijzigingen in het product of de wet weer te geven. Bij een wezenlijke wijziging informeren we je in de app of per e-mail, en de datum "laatst bijgewerkt" bovenaan deze pagina wordt aangepast. Door Workio na een wezenlijke wijziging te blijven gebruiken, accepteer je de bijgewerkte verklaring.

12. Contact

Vragen, klachten of verzoeken in verband met rechten:

Innovatek di Cafaro Carmelina
E-mail: privacy@workio-app.com
Algemeen contact: info@workio-app.com