Privacyverklaring

In deze privacyverklaring leggen wij uit welke persoonsgegevens wij van je verzamelen en met welk doel. Je deelt persoonsgegevens met ons als je klant bij ons bent, als je contact met ons hebt of als je onze website(s) bezoekt. We raden je daarom aan onderstaande informatie zorgvuldig te lezen.
Op 26 juni 2025 hebben wij wijzigingen doorgevoerd in onze privacyverklaring.

1. Algemene informatie

Bedrijfsfitness Nederland B.V. (ook wel aangeduid als ”BFNL”, “wij” of “ons”) is een bedrijf dat behoort tot de Epassi Group. Wij respecteren jouw privacy en zetten ons in om de privacy te beschermen van de personen die onze diensten gebruiken. Wij streven ernaar om te voldoen aan de toepasselijke wetten inzake gegevensbescherming, waaronder de AVG. In dit privacybeleid beschrijven we hoe we persoonsgegevens verwerken, bijvoorbeeld welke persoonsgegevens we verzamelen, voor welke doeleinden we jouw persoonsgegevens gebruiken en aan welke partijen we jouw persoonsgegevens kunnen verstrekken.

Dit privacybeleid is van toepassing op gebruikers van de diensten van BFNL, met inbegrip van gebruikers van de eindgebruikersdiensten van BFNL en bezoekers van onze websites. We vinden het belangrijk om je te informeren over hoe we jouw persoonsgegevens gebruiken en welke invloed je kunt uitoefenen op de verzameling en het gebruik van jouw persoonsgegevens. In dit privacybeleid leggen we uit waarvoor we jouw persoonsgegevens verzamelen en gebruiken en hoe we ervoor zorgen dat je voldoende controle hebt over jouw eigen persoonsgegevens.

Mocht je vragen hebben over het gebruik van jouw persoonsgegevens, dan kun je altijd contact met ons opnemen via klantenservice@bfnl.nl of de Functionaris voor gegevensbescherming van de Epassi Group via dataprivacy@epassi.com

Houd er rekening mee dat onze diensten ook links kunnen bevatten naar externe websites en diensten die worden beheerd door andere organisaties waarover wij geen controle hebben. Dit privacybeleid is niet van toepassing op het gebruik van deze externe sites en diensten. We raden je daarom aan het privacybeleid te raadplegen dat op hen van toepassing is.

2. Verwerkingsverantwoordelijken en contactgegevens

Verwerkingsverantwoordelijke: Bedrijfsfitness Nederland B.V.
Adres: Abe Lenstra Boulevard 10, 8448 JB Heerenveen, Postbus 842
Telefoonnummer:
+31 (0)513 – 633 111
KvK-nummer: 01121539
Website: www.bedrijfsfitnessnederland.nl  
E-mail: klantenservice@bfnl.nl 
Functionaris voor gegevensbescherming van Epassi Group: Mevr. Taika Pöntinen, dataprivacy@epassi.com

3. Doelen, soort gegevens, wettelijke grondslagen en bewaartijden voor verwerking

We verzamelen uitsluitend persoonlijke gegevens die relevant en noodzakelijk zijn voor de doeleinden die in dit privacybeleid worden beschreven.

Doel van de verwerking

Categorieën van verwerkte gegevens

Wettelijke grondslag voor het verwerken van de gegevens

Bewaartijd

BFNL-diensten: De persoonsgegevens worden verwerkt voor de distributie, het gebruik, het onderhoud en de ontwikkeling van BFNL-diensten en -producten.

Naam, Bedrijf, Transactiegegevens, Aankoopgeschiedenis, Toegangslogboeken, Gebruikersapparaat, E-mailadres, Persoonlijke identificatiecode, Telefoonnummer, Postcode, Gebruikerssaldi, alle andere persoonlijke gegevens die door de betrokkene zijn verstrekt

Contract, Gerechtvaardigd belang, Toestemming

Zolang de eindgebruiker de diensten gebruikt +2 jaar, 10 jaar voor transactie- en financiële informatie

Enquêtes en winacties: Het uitvoeren van enquêtes en het organiseren van winacties

Naam, identificerende informatie, andere gegevens verstrekt in de enquête of winactie

Toestemming

Zolang de toestemming geldig is

Opslag van transactiegeschiedenis: De persoonsgegevens worden verwerkt om de transactiegeschiedenis en de betalingsverwerking van de eindgebruiker op te slaan

Naam, Bedrijf, Transactiegegevens, Bankrekeningnummer, Voorwaarden automatische incasso, Aankoopgeschiedenis, Toegangslogboeken

Gerechtvaardigd belang

Noodzakelijke periode voor het vaststellen, uitoefenen of verdedigen van juridische claims, minimaal 10 jaar voor transactie- en financiële informatie

Abonnementsgegevens: We verzamelen gegevens over jouw abonnement om jouw abonnement te beheren

 

Abonnementstype, tarief,

geschiedenis, begin- en einddatum van het contract, lidmaatschapsnummer op de sportlocatie, gekozen

sportlocatie, annulering of opschortingsduur

Contract, Gerechtvaardigd belang

Contractduur (maximaal 12 maanden) en daarna 2 jaar

Gebruikerscommunicatie en marketing: Persoonsgegevens worden gebruikt om communicatie te verstrekken over de service, gebruiksvoorwaarden en marketing

Naam, e-mailadres, telefoonnummer, gebruikersvoorkeuren, gebruikerssaldo, bedrijf, geografische locatie, gebruikersinteracties via cookies

Gerechtvaardigd belang, Toestemming

Zolang de eindgebruiker klant blijft en/of marketing opt-ins heeft geaccepteerd

Website, webanalyses en cookies: De persoonsgegevens worden verwerkt om onze dienstverlening te ontwikkelen en marketingactiviteiten te verbeteren met behulp van webanalyses en cookies, maar ook om onze website te beheren en om aan gebruikersverzoeken te voldoen.

IP-adres, gebruikersvoorkeuren, apparaat van de gebruiker, andere informatie verzameld via cookies

Toestemming

Maximaal 2 jaar

Productleveringen: De persoonsgegevens worden verwerkt om producten te leveren aan onze eindgebruikers

Naam, E-mailadres, Telefoonnummer, Afleveradres, Naam werkgever

Contract, Gerechtvaardigd belang

Zolang de eindgebruiker in dienst is bij dezelfde werkgever of zoals wettelijk vereist

Ondersteuningskwesties: De persoonsgegevens worden verwerkt om de ondersteuningskwesties voor eindgebruikers te beheren, telefonische ondersteuning te bieden en onze diensten te verbeteren.

Contactgegevens van de partij die de ondersteuningskwestie initieert en beheert, Informatie in tekstvelden, informatie in logbestanden, telefoonnummer, opname van het gesprek

Gerechtvaardigd belang

Zo lang als nodig is voor het doel + 2 jaar

Opnames van telefoongesprekken worden maximaal 3 maanden (bij alle toepassingen) of 1 jaar (uitsluitend voor lopende ondersteuningskwesties) bewaard.

Voldoen aan wettelijke verplichtingen (boekhouding, enz.) of reageren op juridische claims: De persoonsgegevens worden verwerkt om te voldoen aan onze wettelijke verplichtingen, zoals bijvoorbeeld verplichtingen die verband houden met de boekhoud- of belastingwetgeving, of om te reageren op juridische claims.

Alle categorieën persoonsgegevens die nodig zijn om te voldoen aan wettelijke verplichtingen

Wettelijke verplichting, Gerechtvaardigd belang

Zolang de toepasselijke wetgeving dit vereist (totdat de claimperiode afloopt), financiële overzichten tot 7 jaar

4. Gegevensbronnen

We kunnen persoonsgegevens verzamelen uit de volgende bronnen: 

  • Rechtstreeks van jou: bijvoorbeeld bij de registratie of het gebruik van onze diensten of tijdens een klantrelatie, het bestellen van een nieuwsbrief of het deelnemen aan een enquête, het contact opnemen met onze klantenservice of het kopen van diensten of producten
  • Jouw werkgever in relatie tot de diensten die wij aan jouw werkgever verlenen
  • Automatisch via onze websites, bijvoorbeeld wanneer je gebruikmaakt van onze websites of interactieve producten of diensten
  • Informatie die uit andere bronnen is verzameld en die kan worden gecombineerd met de accountgegevens van de gebruiker, zoals bijgewerkte bezorginformatie van bezorgers en openbare bronnen.

5. Bekendmaking, overdrachten en ontvangers van persoonsgegevens

Wij overwegen alle openbaarmakingen van persoonsgegevens zorgvuldig en zien erop toe dat de partners en verwerkers die persoonsgegevens ontvangen zich ertoe hebben verbonden de toepasselijke wetten inzake gegevensbescherming na te leven.
 
We verstrekken gegevens aan de sportlocaties waarbij je een sportabonnement wilt afsluiten.

Indien noodzakelijk kunnen wij in bepaalde gevallen jouw persoonsgegevens bekendmaken aan autoriteiten, aan andere bedrijven binnen dezelfde groep van BFNL en aan geselecteerde derden, zoals externe dienstverleners (zoals onze IT-leveranciers en marketingbureaus die namens ons marketingactiviteiten uitvoeren). In dat geval worden jouw persoonsgegevens uitsluitend verstrekt voor de hierboven omschreven doelen en blijft de verstrekking steeds beperkt tot de persoonsgegevens die voor die doelen strikt noodzakelijk zijn. Wij verkopen jouw persoonsgegevens niet aan derden.

Lijst van verwerkers en andere ontvangers:
  • Transportmaster BV (Accountview)
  • Bright Digital BV (Hubspot-tooling)
  • TRES Internet BV (Webontwikkeling)
  • Axians BV (Vinci energies BV) (Cloudhosting en netwerkbeheer)
  • Digitalocean BV (Cloudhosting)
  • Aircall (Klantenservicetool)
  • Microsoft (M365-producten)
  • Lucanet (Financiële instrumenten)
  • Google
  • Netsuite

Daarnaast kunnen we de persoonsgegevens delen in het kader van een fusie, verkoop van onze activa of een financiering of overname van (een deel van) ons bedrijf en in het kader van andere soortgelijke regelingen.

6. Gegevensoverdrachten buiten de EU/EER

Sommige van de diensten die BFNL gebruikt voor de verwerking van persoonsgegevens kunnen buiten het grondgebied van de Europese Unie (EU) of de Europese Economische Ruimte (EER) plaatsvinden. Jouw gegevens kunnen daardoor buiten de Europese Unie en de Europese Economische Ruimte worden overgedragen. 

Wanneer persoonsgegevens buiten de EU/EER worden overgedragen, gebeurt dit ofwel naar een land dat door de Europese Commissie wordt beschouwd als een land dat een voldoende niveau van privacybescherming biedt, ofwel door gebruik te maken van passende waarborgen, zoals aangenomen standaardcontractbepalingen (SCC), inclusief eventuele aanvullende maatregelen, indien nodig geacht, of zoals anderszins goedgekeurd door de Europese Commissie of de bevoegde gegevensbeschermingsautoriteit in overeenstemming met de AVG. 

7. Bescherming van persoonsgegevens

Het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens is belangrijk voor BFNL. Ons beveiligingsmanagementsysteem is gebaseerd op de eisen van wetten, regelgeving, contracten en bepaalde normen (zoals ISO 27001). Het beveiligingsmanagementsysteem bestaat uit passende technische, administratieve en organisatorische beveiligingsmaatregelen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, openbaarmaking, vernietiging of andere ongeautoriseerde verwerking.

Administratieve en organisatorische maatregelen:
  • Dedicated servers op twee verschillende geografische locaties in de EU. Faciliteiten zijn gecertificeerd volgens internationaal erkende normen voor informatiebeveiliging.
  • Rolgebaseerd toegangsrechtenbeheer

Technische maatregelen:

  • Firewalls
  • Back-ups
  • Toegangscontroles
  • Verwerking bewaken
  • Veilige encryptietechnologieën
  • Versleutelde netwerkverbindingen (HTTPS)

Gezien de cyberbedreigingen in de hedendaagse onlineomgeving kunnen wij echter niet volledig garanderen dat onze beveiligingsmaatregelen zullen voorkomen dat onrechtmatig handelende en kwaadwillende derden toegang krijgen tot persoonsgegevens en dat de veiligheid van persoonsgegevens tijdens de overdracht of opslag ervan in onze systemen absoluut is.

Iedereen die persoonsgegevens verwerkt, is verplicht tot geheimhouding van zaken die verband houden met de verwerking van persoonsgegevens. Alleen die werknemers en partijen die de toegang tot persoonsgegevens nodig hebben om hun taken uit te voeren, hebben toegang tot deze gegevens. We eisen ook van onze dienstverleners dat ze over passende maatregelen beschikken om persoonsgegevens te beschermen.

8. Rechten van de betrokkene

Je hebt bepaalde rechten met betrekking tot de verwerking van persoonsgegevens krachtens de toepasselijke wetgeving inzake gegevensbescherming.

Recht op toegang en inzagerecht
Je hebt het recht om een bevestiging te krijgen over het al dan niet verwerken van jouw persoonsgegevens.

Je hebt recht op inzage in de betreffende gegevens en, op verzoek, het recht om de gegevens schriftelijk of elektronisch te verkrijgen. Dit geldt voor gegevens die je zelf aan ons hebt verstrekt, voor zover de verwerking op een overeenkomst/toestemming berust.

Recht op rectificatie en recht op wissen
Je hebt het recht om te eisen dat onjuiste persoonsgegevens die op jou betrekking hebben, worden verbeterd en dat onvolledige persoonsgegevens worden aangevuld.

Je hebt het recht om van ons te eisen dat wij jouw persoonsgegevens verwijderen of de verwerking ervan staken, bijvoorbeeld wanneer de gegevens niet langer nodig zijn voor de verwerkingsdoelen. Houd er echter rekening mee dat bepaalde persoonlijke gegevens strikt noodzakelijk zijn om de in dit privacybeleid gedefinieerde doelen te bereiken en dat deze gegevens mogelijk ook moeten worden bewaard op grond van toepasselijke wetgeving.

Recht op gegevensportabiliteit
Voor zover van toepassing heb je het recht om de persoonsgegevens die je aan ons hebt verstrekt te ontvangen in een gestructureerde, gangbare en machineleesbare vorm en, indien gewenst, om die gegevens over te dragen aan een andere verwerkingsverantwoordelijke.

Recht op beperking van de verwerking
Je hebt het recht om te verzoeken dat de verwerking van jouw persoonsgegevens wordt beperkt onder de voorwaarden die zijn vastgelegd in de wetgeving inzake gegevensbescherming. In situaties waarin we vermoeden dat persoonsgegevens onjuist zijn en niet kunnen worden gecorrigeerd of verwijderd, of als het verzoek tot verwijdering onduidelijk is, beperken we de toegang tot die gegevens.

Recht om bezwaar te maken tegen verwerking
Je hebt het recht om bezwaar te maken tegen de verwerking van jouw persoonsgegevens wanneer wij jouw legitieme belangen als wettelijke grondslag voor de verwerking gebruiken. Je kunt bijvoorbeeld bezwaar maken tegen het gebruik van jouw persoonsgegevens voor bepaalde marketingdoeleinden.

Recht om toestemming in te trekken
In gevallen waarin de verwerking op jouw toestemming is gebaseerd, heb je het recht om jouw toestemming voor die verwerking op elk moment in te trekken.

Recht om een klacht in te dienen bij een toezichthoudende autoriteit
Je hebt het recht om een klacht in te dienen bij een bevoegde gegevensbeschermingsautoriteit als je van mening bent dat de verwerking van jouw persoonsgegevens door ons in strijd is met de toepasselijke wetgeving.

De bevoegde autoriteit is de Autoriteit Persoonsgegevens. (“AP”), https://www.autoriteitpersoonsgegevens.nl

Het uitoefenen van rechten
Verzoeken met betrekking tot de rechten van betrokkenen dienen schriftelijk of elektronisch te worden ingediend. Het verzoek dient te worden gericht aan de verwerkingsverantwoordelijke die wordt genoemd in artikel 2 van dit privacybeleid.

We behouden ons het recht voor om jouw gegevens te controleren voordat we deze aan jou verstrekken. Daarom kan het voorkomen dat we je om aanvullende informatie moeten vragen. Op het verzoek wordt binnen een redelijke termijn gereageerd en, indien mogelijk, binnen een maand na de indiening van het verzoek en de verificatie van de identiteit.

Indien aan het verzoek van de betrokkene geen gehoor kan worden gegeven, wordt de weigering schriftelijk aan de betrokkene meegedeeld. We kunnen het verzoek (bijvoorbeeld het wissen van gegevens) weigeren vanwege een wettelijke verplichting of een wettelijk recht van het bedrijf, zoals een verplichting of een vordering met betrekking tot onze diensten. Houd er rekening mee dat wij een redelijke vergoeding in rekening kunnen brengen wanneer verzoeken van een betrokkene duidelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter.

Wijzigingen in dit privacybeleid

We kunnen op ieder moment wijzigingen aanbrengen in dit privacybeleid door een kennisgeving op de website te plaatsen en/of op een andere toepasselijke wijze. Voor de datum van de laatste wijziging verwijzen wij je naar de ingangsdatum aan het begin van dit privacybeleid. We raden de betrokkenen ten zeerste aan om zo nu en dan het privacybeleid op onze website te raadplegen.