Vacatures

Kandidaat

Werkgevers

Privacyverklaring | YoYo - 2025

YoYo respecteert jouw privacy. Wij verwerken persoonsgegevens in overeenstemming met de Algemene verordening gegevensbescherming (AVG). Deze privacyverklaring legt uit welke persoonsgegevens wij verwerken, voor welke doeleinden, op basis van welke grondslagen, met wie wij gegevens delen, hoe lang wij gegevens bewaren, welke rechten je hebt en hoe wij jouw gegevens beveiligen.

Deze privacyverklaring is van toepassing op het gebruik van het platform www.yoyo.nu (het Platform) door Kandidaten, Werkgevers en overige bezoekers (gezamenlijk: gebruikers).

1. Verwerkingsverantwoordelijke & contact

YoYo B.V.
Hambakenwetering 1
5231 DD 's-Hertogenbosch

Vragen of klachten over privacy? Neem contact via de op het Platform vermelde contactgegevens; we helpen je graag.

2. Begrippen

In deze privacyverklaring hanteren we de volgende begrippen met hoofdletter:

  • Kandidaat: een gebruiker die (onder meer) een profiel en/of cv publiceert op het Platform.
  • Werkgever: een gebruiker die (onder meer) profielen/cv’s van Kandidaten bekijkt via het Platform.
  • Account: jouw persoonlijke omgeving op het Platform.
  • Gebruikersdata: door jou geplaatste of gegenereerde gegevens (zoals profielgegevens, cv, voorkeuren, klikgeschiedenis en saldo-informatie).

3. Welke persoonsgegevens verwerken wij?

Afhankelijk van hoe je het Platform gebruikt, verwerken wij (een deel van) de volgende categorieën persoonsgegevens:

  • Account- en profielgegevens:
    Naam, e-mailadres, wachtwoord (versleuteld), profielfoto/banner, functie(s), vaardigheden, opleidingen, werkervaring, regio, beschikbaarheid en andere gegevens die je in je profiel/cv opneemt.
  • Platform- & transactiegegevens:
    Kliks van Werkgevers op profielen/cv’s van Kandidaten, saldobewegingen en uitbetalingsverzoeken van Kandidaten, gekozen Werkgever, datum feitelijke indiensttreding (voor verificatie), factuur- en betaalgegevens van Werkgevers, communicatie met/over restituties en klachten.
  • Communicatiegegevens:
    Berichten die je aan ons stuurt (bijvoorbeeld via e-mail of contactformulier) en jouw voorkeuren t.a.v. communicatie.
  • Technische & beveiligingsgegevens:
    Login-events, IP-adres (gemaskeerd bij analytische metingen), device- en browserkenmerken (fingerprinting t.b.v. fraudepreventie), hCaptcha-validaties, logbestanden, token-informatie (JWT) en systeemevents.
  • Locatie-/adresgegevens:
    Ingevoerde adressen/zoektermen en (door Google Location Services) teruggegeven lengte-/breedtegraadcoördinaten t.b.v. locatiesuggesties.

Wij verwerken geen bijzondere categorieën persoonsgegevens, tenzij je die zelf in vrije tekst in je profiel/cv opneemt. Plaats zulke gegevens bij voorkeur niet.

4. Doeleinden en rechtsgrondslagen (art. 6 AVG)

Wij verwerken persoonsgegevens alleen wanneer daar een geldige rechtsgrond voor bestaat. Per doel noemen we de bijbehorende grondslag(en):

a) Gebruik van het Platform & uitvoering van overeenkomsten

  • Aanmaken en beheren van Accounts, publiceren van profielen/cv’s, zichtbaar maken voor Werkgevers, zoek- en matchfunctionaliteit.
  • Verwerking van kliks van Werkgevers, opbouw van Kandidaat-saldo, verzoek en afhandeling van uitbetaling, facturatie aan Werkgevers.
  • Noodzakelijke service-communicatie.

Grondslag: uitvoering van de overeenkomst of om op jouw verzoek vóór sluiting daarvan maatregelen te nemen (art. 6 lid 1 sub b AVG).

b) Platformbeheer, beveiliging en bedrijfsvoering

  • Hosting, databases, opslag van afbeeldingen, authenticatie (JWT), hCaptcha, device/browser-fingerprinting (misbruikdetectie), logging, back-ups en continuïteit.
  • Administratie en boekhouding (incl. gebruik van boekhoudsoftware en accountant).

Grondslag: gerechtvaardigd belang (art. 6 lid 1 sub f AVG): het kunnen aanbieden van een veilig en goed functionerend Platform en het voeren van een beheerste bedrijfsvoering. We verwerken niet méér gegevens dan noodzakelijk en wegen steeds onze belangen af tegen jouw privacybelang.

c) Klantenservice & communicatie

  • Beantwoorden van vragen/klachten.
  • Nieuwsbrieven en productupdates aan bestaande of oude gebruikers van het Platform. Je kunt je altijd uitschrijven.

Grondslag: gerechtvaardigd belang (art. 6 lid 1 sub f) en/of toestemming (art. 6 lid 1 sub a) voor niet-noodzakelijke communicatie.

d) Toestemminggestuurde verwerkingen

  • Contact opnemen via formulier/e-mail;
  • Eventuele andere specifieke verwerkingen waarvoor we je vooraf expliciet om toestemming vragen.

Grondslag: toestemming (art. 6 lid 1 sub a). Je kunt je toestemming altijd intrekken; dit heeft geen terugwerkende kracht.

e) Wettelijke verplichtingen

Het voldoen aan fiscale, administratieve of andere wettelijke plichten.

Grondslag: wettelijke verplichting (art. 6 lid 1 sub c).

5. Specifieke werking van het Platform

Deze bepalingen lichten het door jou aangeleverde kader toe en bepalen hoe persoonsgegevens in dat kader worden verwerkt:

  1. Klik & vergoeding: Het Platform is een vacatureplatform voor Werkgevers en Kandidaten. Werkgevers betalen per klik op een profiel/cv van een Kandidaat een overeengekomen vergoeding. Een contractueel afgesproken deel daarvan kan – onder de voorwaarden hieronder – ten goede komen aan de betreffende Kandidaat (saldo).
  2. Saldo-opbouw en toerekening: Per klik wordt het afgesproken deel aan het saldo van de Kandidaat toegevoegd. YoYo administreert deze verwerking en factureert aan Werkgevers conform de gebruiksvoorwaarden.
  3. Verval van saldo: Wanneer zes maanden zijn verstreken sinds een Werkgever op het profiel/cv van de Kandidaat heeft geklikt en de Kandidaat tegen die tijd geen uitbetalingsverzoek conform lid 4 heeft gedaan, vervalt de betreffende klikvergoeding. Het aan de Kandidaat toekomende deel wordt dan in mindering gebracht op zijn saldo en dat bedrag wordt uiteindelijk niet aan de Werkgever doorbelast. Dit geldt eveneens voor kliks in de 14 dagen voorafgaand aan de datum waarop de Kandidaat om uitbetaling verzoekt.
  4. Uitbetalingsverzoek & verificatie: Bij een uitbetalingsverzoek geeft de Kandidaat – via de Account-instructies – de gevraagde gegevens op, waaronder met name de datum van feitelijke indiensttreding en bij welke Werkgever. Op de opgegeven startdatum verifieert YoYo of de Kandidaat daadwerkelijk is begonnen. Bij bevestiging wordt binnen 30 dagen uitbetaald.
  5. Geen start, geen uitbetaling: Geeft de Werkgever aan dat de Kandidaat niet is gestart, of ontbreekt bevestiging, dan betaalt YoYo niet uit. YoYo mag uitgaan van de juistheid van de verklaring van de Werkgever.
  6. Zichtbaarheid profiel: Vanaf het moment van een uitbetalingsverzoek wordt het profiel/cv van de Kandidaat onzichtbaar. De Kandidaat kan dit 30 dagen na de opgegeven startdatum weer zichtbaar maken.
  7. Facturatie aan Werkgevers & informatie-deling Na uitbetaling aan de Kandidaat brengt YoYo dit bedrag aan de betrokken Werkgever(s) in rekening. De Kandidaat geeft aan waarom is gekozen voor de Werkgever waarbij hij/zij in dienst treedt; YoYo kan deze informatie delen met Werkgevers die wel voor inzage betaalden maar waarbij geen indiensttreding plaatsvond.
  8. Misbruik en omzeiling: Werkgevers mogen geen contactgegevens van Kandidaten gebruiken of plaatsingen realiseren buiten het Platform om, zonder de verschuldigde vergoeding te betalen. YoYo kan in dat geval het Werkgever-Account blokkeren en volledige schadevergoeding vorderen.
  9. Klachten over Kandidaten: Bij een gemotiveerde klacht van een Werkgever over het gedrag of de (cv/profiel-)juistheid van een Kandidaat kan YoYo, met het oog op misleiding, fraude of ernstige overtredingen van de platformregels, restitutie/kwijtschelding verlenen voor de betreffende klik en het corresponderende bedrag op het Kandidaat-saldo in mindering brengen.

De in dit hoofdstuk beschreven verwerkingen vinden plaats op grond van uitvoering van de overeenkomst en/of ons gerechtvaardigd belang bij correcte afwikkeling en fraudepreventie.

6. Minderjarigen

Het Platform is uitsluitend bestemd voor personen van 18 jaar en ouder. Door het Platform te gebruiken verklaar je dat je minstens 18 jaar oud en handelingsbekwaam bent. Wij nemen redelijke maatregelen om te voorkomen dat wij gegevens van minderjarigen verwerken. Als blijkt dat iemand jonger dan 18 een Account heeft of gegevens heeft verstrekt, blokkeren we de toegang, sluiten we het Account en verwijderen we de betreffende gegevens.

7. Ontvangers en (sub)verwerkers

Voor het leveren en beveiligen van het Platform maken wij gebruik van gespecialiseerde dienstverleners. Voor zover zij in onze opdracht persoonsgegevens verwerken, sluiten we verwerkersovereenkomsten en waarborgen we passende technische en organisatorische maatregelen.

Inzet van (sub)verwerkers

  • Microsoft Azure (West Europe): hosting, databases (Azure SQL, private endpoints/VNet), opslag van afbeeldingen (Azure Blob Storage, private + SAS-toegang), authenticatie-backend (JWT), logging, back-ups, Key Vault (geheimbeheer), Azure AI Search (indexeren/zoeken). Microsoft treedt op als subverwerker.
  • Azure Communication Services (ACS): uitgaande e-mail. ACS is een wereldwijde dienst; bepaalde metadata kan via de wereldwijde infrastructuur van Microsoft worden verwerkt.
  • hCaptcha: validatie of een gebruiker mens is; verwerking van technische gegevens t.b.v. spam- en botpreventie.
  • Google Location Services: om ingevoerde adressen/zoektermen om te zetten naar lengte-/breedtegraadcoördinaten t.b.v. locatiesuggesties. Google is subverwerker voor deze functionaliteit.
  • Boekhoudsoftware / accountant (bijvoorbeeld AFAS/boekhouder): financiële administratie en verslaglegging.

(Mogelijk) in de toekomst

  • Google Analytics: voor platform-analyse. Indien we GA inzetten, stellen we dit privacyvriendelijk in (o.a. IP-maskering, geen data delen voor aanvullende Google-diensten) en – indien wettelijk vereist – vragen we voorafgaande toestemming via een cookiebanner.

Wij delen geen persoonsgegevens met derden voor hun eigen marketingdoeleinden.

8. Doorgiften buiten de EER

Wij streven ernaar gegevens binnen de EER te verwerken (Azure-regio West Europe; zone-redundante back-ups binnen de regio). Sommige diensten (zoals ACS of onderdelen van hCaptcha/Google) kunnen echter buiten de EER verwerken of toegankelijk maken. In die gevallen zorgen we voor passende waarborgmaatregelen (bijvoorbeeld door het sluiten van door de Europese Commissie goedgekeurde standaardcontractbepalingen (SCC’s) en – waar nodig – aanvullende maatregelen), en beoordelen we de risico’s conform Schrems II-vereisten.

9. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen (art. 32 AVG). Voorbeelden:

  • Versleuteling: server-side encryptie door Azure; aanvullende applicatie-level encryptie voor o.a. wachtwoorden en (specifieke) content.
  • Netwerkbeveiliging: private endpoints, VNet-segregatie.
  • Toegangsbeperking: least-privilege, rolgebaseerde toegang, geheimbeheer via Azure Key Vault.
  • Integriteit & beschikbaarheid: zone-redundantie binnen de regio, back-ups, monitoring en logging.
  • Misbruikpreventie: hCaptcha, device/browser-fingerprinting voor detectie van verdachte inlogpogingen en misbruik.

We evalueren onze maatregelen periodiek en passen deze aan waar nodig.

10. Cookies en vergelijkbare technieken

Wij gebruiken functionele cookies (noodzakelijk voor het functioneren van het Platform) en analytische cookies die privacyvriendelijk zijn ingesteld (o.a. IP-maskering; geen datadeling met aanvullende Google-diensten). We plaatsen geen marketingcookies zonder jouw toestemming. Je kunt cookies beperken of uitschakelen via je browserinstellingen. Het is mogelijk dat delen van het Platform dan minder goed werken. Indien wij in de toekomst aanvullende analytische of marketingcookies inzetten, werken we deze privacyverklaring bij en – waar vereist – vragen we vooraf toestemming via een duidelijke cookiebanner.

11. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor we ze verwerken of voor zover wettelijk vereist. Waar toepasselijk hanteren we interne (categorie-specifieke) termijnen; als die termijnen verstrijken, worden gegevens verwijderd of geanonimiseerd.

12. Jouw rechten

Je hebt – binnen de wettelijke kaders – de volgende rechten: inzage, rectificatie, wissing, beperking, bezwaar (o.a. tegen verwerkingen op basis van gerechtvaardigd belang) en overdraagbaarheid van jouw gegevens. Trek je toestemming eenvoudig in via de geboden kanalen (bijvoorbeeld uitschrijflink in mail); dit werkt niet terug.

Voor het uitoefenen van je rechten kun je contact met ons opnemen. Ter verificatie kunnen we je vragen een kopie van een identiteitsbewijs mee te sturen, waarbij je BSN, documentnummer en MRZ afschermt. We reageren zo snel mogelijk en in ieder geval binnen vier weken.

Daarnaast kun je een klacht indienen bij de Autoriteit Persoonsgegevens of – indien je buiten Nederland woont – bij jouw lokale toezichthouder.

13. Marketingcommunicatie

Als je klant bent of was, kunnen we je service-mails en – binnen de grenzen van de wet – nieuwsbrieven/platformupdates sturen. Hiervoor kun je je op elk moment uitschrijven via de link onderaan elk bericht. Voor communicatie die noodzakelijk is voor de uitvoering van onze overeenkomst kun je je niet afmelden.

14. Dataminimalisatie

We verwerken niet meer gegevens dan nodig en beperken de toegang tot persoonsgegevens tot medewerkers en verwerkers die deze gegevens nodig hebben voor hun taak. Met verwerkers die in onze opdracht persoonsgegevens verwerken, sluiten we verwerkersovereenkomsten waarin – onder meer – vertrouwelijkheid, beveiliging en dataminimalisatie zijn geborgd.

15. Wijzigingen

Wij kunnen deze privacyverklaring aanpassen. Bovenaan zie je de laatst bijgewerkte datum. Bij ingrijpende wijzigingen informeren we je op passende wijze (bijvoorbeeld via het Platform of per e-mail).