Terug naar de homepagina

Privacybeleid

Laatst bijgewerkt: 30 april 2026 (Versie 2026-04-30)

1. Inleiding

Dit Privacybeleid legt uit hoe Optimas Organisasjonspsykologi AS ("Optimas", "wij") persoonsgegevens verzamelt en gebruikt via het OnlineJTI-platform. Het is van toepassing op Practitioners, Respondenten en bezoekers van onlinejti.com.

Wij verwerken persoonsgegevens in overeenstemming met Verordening (EU) 2016/679 (de AVG/GDPR), de Noorse Personopplysningsloven en toepasselijke nationale regels in de EER. Ons interne Beleid Gegevensbescherming (DPP-001) bevat de technische en organisatorische maatregelen achter dit beleid en is op verzoek beschikbaar.

Wil je alleen een korte samenvatting: we verzamelen wat nodig is om het Assessment en de Rapporten te leveren; we hosten gegevens in Duitsland; we delen gegevens uitsluitend met de sub-verwerkers in sectie 8; je kunt je persoonsgegevens op elk moment exporteren en verwijderen.

2. Onze rol: verwerkingsverantwoordelijke en verwerker

OnlineJTI bedient twee verschillende soorten gebruikers en onze rol onder de AVG hangt af van het type gegevens:

  • Assessment-gegevens van Respondenten: De organisatie van de Practitioner is verwerkingsverantwoordelijke. Optimas verwerkt de gegevens namens de Practitioner als verwerker onder een verwerkersovereenkomst.
  • Practitioner-accounts, facturering, platformtelemetrie: Optimas is verwerkingsverantwoordelijke.
  • Publieke website en marketingcommunicatie: Optimas is verwerkingsverantwoordelijke.

Ben je Respondent en wil je rechten uitoefenen ten aanzien van je Assessment-gegevens (bijvoorbeeld inzage of verwijdering), neem dan eerst contact op met je Practitioner; je kunt ons ook rechtstreeks bereiken via de contactgegevens in sectie 18, dan zorgen wij dat het verzoek bij de juiste partij terechtkomt.

3. Persoonsgegevens die wij verzamelen

Wat we verzamelen hangt af van hoe je de Dienst gebruikt.

Van Practitioners

  • naam, e-mailadres, telefoonnummer (optioneel), voorkeurstaal, profielfoto (optioneel);
  • de organisatie, Distributeur en het team waartoe je behoort en je rol daarin;
  • JTI-certificeringsstatus;
  • inloggegevens (wachtwoord opgeslagen als gesalt bcrypt-hash) en authenticatietokens;
  • creditsaldo, aankoopgeschiedenis en facturen;
  • vrije-tekstnotities, teamcontextinformatie en chatberichten die je naar AI-functies stuurt;
  • logs van activiteit op het platform, IP-adres en browsermetadata voor beveiliging en misbruikpreventie;
  • communicatie die je met ons voert via e-mail, in-app-berichten en supportverzoeken.

Van Respondenten

  • naam, e-mailadres en (optioneel) leeftijd, geslacht, beroep, opleidingsniveau, taal;
  • je 56 antwoorden op de JTI-vragenlijst (elk opgeslagen als A of B), de berekende persoonlijkheidstype en de acht dimensiescores (E/I, S/N, T/F, J/P);
  • het tijdstip waarop je het Assessment hebt afgerond en de laatste keer dat je gegevens zijn ingezien;
  • eventuele reflectieantwoorden, dagboeknotities of chatberichten die je naar AI-functies in cursus- of coachingmodules stuurt;
  • eventuele teamtoewijzing gemaakt door je Practitioner;
  • afleverbevestigingen van e-mail of sms die we naar je sturen (zonder berichtinhoud na aflevering).

Van bezoekers van onlinejti.com

  • noodzakelijke cookies voor sessie, beveiliging en taalvoorkeur (zie ons Cookiebeleid);
  • serverlogs (IP, browser, verwijzer) gedurende de periode die nodig is voor veilige werking.

Wij verzamelen geen bijzondere categorieën persoonsgegevens (zoals gezondheid, religie of politieke overtuiging) in de zin van artikel 9 AVG. JTI-resultaten zijn geen artikel 9-gegevens, maar wij behandelen ze als gevoelig en beperken de toegang dienovereenkomstig.

4. Hoe wij persoonsgegevens gebruiken

Wij gebruiken persoonsgegevens om:

  • de Dienst te leveren: Respondenten uitnodigen, het Assessment scoren, Rapporten genereren, cursus- en coachinginhoud leveren;
  • Practitioner-accounts, saldo's en facturen te beheren;
  • met je te communiceren over Assessments, Rapporten, accountwijzigingen en beveiligingsmeldingen;
  • AI-functies (type-inzichten, teamanalyse, course coach) te draaien door de noodzakelijke invoer naar onze AI-sub-verwerkers te sturen, zoals beschreven in sectie 7;
  • de Dienst te beveiligen tegen fraude, misbruik, accountovernames en buitensporige belasting;
  • de Dienst te verbeteren via geaggregeerde en geanonimiseerde statistieken;
  • te voldoen aan wettelijke verplichtingen, waaronder belasting, boekhouding en incidentmelding;
  • marketing-e-mails te versturen aan Practitioners die zich daarvoor hebben aangemeld (Respondenten ontvangen geen marketing).

6. Gevoelige gegevens

JTI-resultaten beschrijven psychologische voorkeuren en zijn geen gezondheidsgegevens of andere bijzondere categorieën in de zin van artikel 9 AVG. Toch behandelen wij ze als gevoelig: toegang is beperkt tot je Practitioner en het beperkte aantal Optimas-medewerkers dat toegang nodig heeft voor support- en beveiligingsdoeleinden, en wij passen de in dit beleid beschreven beginselen van dataminimalisatie, opslagbeperking en beveiliging toe.

7. AI-functies en gegevens die naar AI-leveranciers worden gestuurd

OnlineJTI gebruikt Anthropic (Claude), OpenAI en Groq om de tekst voor type-inzichten, teamanalyse en course coach te genereren. We gebruiken deze leveranciers onder ondertekende verwerkersovereenkomsten met de standaardcontractbepalingen van de EU voor doorgiften buiten de EER, en wij instrueren elke leverancier om invoer niet te bewaren en niet te gebruiken voor het trainen van hun modellen.

Voordat gegevens onze backend verlaten, worden echte namen vervangen door sessiestabiele codenamen zoals “Member42”. De codenaam heeft alleen betekenis binnen je huidige sessie en wordt aan onze kant teruggezet naar de echte naam voordat er iets aan jou wordt getoond. De AI-leverancier ontvangt daardoor alleen het minimum aan informatie dat voor de analyse nodig is — meestal een typecode en een codenaam — en ziet nooit de echte persoon erachter. Directe identificatoren zoals e-mailadressen, en demografische gegevens zoals geslacht, leeftijd en beroep, worden volledig uit de naar AI verzonden gegevens verwijderd.

Wat wij naar AI-leveranciers sturen (afhankelijk van de gebruikte functie):

  • je persoonlijkheidstype en dimensiescores;
  • sessiestabiele codenamen zoals “Member42” voor de teamleden of respondenten die worden besproken (nooit hun echte namen);
  • vrije-tekstinhoud die je invoert, zoals notities, teamcontext, reflectieantwoorden en chatberichten;
  • cursus- en modulecontext die nodig is om je vraag te beantwoorden.

Wat wij niet sturen:

  • echte namen van Practitioners, respondenten of teamleden — deze worden vóór verzending vervangen door sessiestabiele codenamen;
  • demografische gegevens over respondenten, zoals geslacht, leeftijd of beroep;
  • e-mailadressen, telefoonnummers of postadressen;
  • wachtwoorden, authenticatietokens of betaalgegevens;
  • je volledige set van 56 onbewerkte Assessment-antwoorden;
  • BSN of andere nationale identificatienummers.

Alle AI-aanroepen vinden server-naar-server plaats vanuit onze backend; AI-sleutels zijn niet zichtbaar voor de browser. Conversatie- en analysegeschiedenis wordt in onze eigen database bewaard zolang je account actief is of tot je een sessie verwijdert, wat zich het eerst voordoet.

AI-functies nemen geen geautomatiseerde besluiten met rechtsgevolgen of vergelijkbaar aanzienlijke gevolgen voor jou, in de zin van artikel 22 AVG. Een gekwalificeerde Practitioner blijft betrokken bij elk besluit dat op AI-output is gebaseerd.

8. Sub-verwerkers

Wij schakelen de volgende sub-verwerkers in om de Dienst te exploiteren. Elke sub-verwerker is gebonden door een schriftelijke overeenkomst met AVG-conforme bepalingen.

Sub-verwerkerDoelLocatieDoorgiftegrondslag
Hetzner Online GmbHPrimaire infrastructuurhosting (servers, database)Duitsland (EU)Verwerkersovereenkomst; geen doorgifte buiten de EER
GitHub (Microsoft)Broncode, container registry, CI/CD-logsVerenigde StatenVerwerkersovereenkomst met EU-standaardcontractbepalingen
ResendTransactionele e-mail (uitnodigingen, resultaatmeldingen, beveiligingsmeldingen)Verenigde StatenVerwerkersovereenkomst met EU-standaardcontractbepalingen
Vonage (Ericsson)Sms-bezorging (tweefactor, meldingen)EU-verwerkingVerwerkersovereenkomst
AnthropicAI-tekstgeneratie (Claude)Verenigde StatenVerwerkersovereenkomst met standaardcontractbepalingen; nul-bewaring geconfigureerd
OpenAIAI-tekstgeneratieVerenigde StatenVerwerkersovereenkomst met standaardcontractbepalingen; nul-bewaring geconfigureerd
GroqAI-inferentie (back-up)Verenigde StatenVerwerkersovereenkomst met standaardcontractbepalingen; nul-bewaring geconfigureerd

Wij voeren due diligence uit op elke sub-verwerker voorafgaand aan inschakeling. De huidige lijst is ook gepubliceerd in ons interne Beleid Gegevensbescherming. Wij geven Practitioners redelijk vooraf bericht bij wezenlijke wijzigingen op deze lijst.

9. Internationale gegevensoverdrachten

De primaire verwerking vindt plaats binnen de EER (Hetzner, Duitsland). Sommige sub-verwerkers zijn gevestigd in de Verenigde Staten. Voor zulke doorgiften steunen wij op de standaardcontractbepalingen van de Europese Commissie (SCCs) opgenomen in de relevante verwerkersovereenkomst, waar nodig aangevuld met aanvullende technische maatregelen zoals encryptie tijdens transport en in rust.

Je kunt een kopie van de geldende SCCs voor een specifieke sub-verwerker opvragen via privacy@onlinejti.com.

10. Bewaring en anonimisering

Wij bewaren persoonsgegevens niet langer dan nodig is voor de in dit beleid genoemde doeleinden.

GegevenscategorieBewaartermijnBehandeling bij verloop
Assessment-antwoorden, berekend type, scoresTot anonimisering wordt geactiveerd (verzoek, inactiviteit of einde overeenkomst)Anonimisering: naam en e-mail verwijderd; type en scores blijven uitsluitend voor geaggregeerde statistiek
Gegenereerde PDF-rapportenTot anonimisering wordt geactiveerdVerwijderd uit alle opslaglocaties
Gegevens van Practitioner-accountDuur van de overeenkomst plus 12 maandenAccount-deactivering en gegevensminimalisatie
Systeem- en beveiligingslogs90 dagenAutomatische rotatie en verwijdering
Anonimisatie-audit-trail7 jaarBewaard voor compliance; bevat geen persoonsgegevens
Facturen en boekhoudgegevens5 jaarBewaard zoals vereist door de Noorse boekhoudwet

Wij hanteren geautomatiseerde, op inactiviteit gebaseerde anonimisering van Assessment-gegevens van Respondenten. Er geldt een minimale veiligheidsperiode van 90 dagen voordat een record automatisch kan worden geanonimiseerd. Respondenten en Practitioners ontvangen vóór een geplande anonimisering een waarschuwingsmail en kunnen deze via een ondertekende link uitstellen.

Je kunt ook op elk moment om onmiddellijke verwijdering van je Assessment-gegevens vragen, zie sectie 14.

11. Delen en bekendmaking

Wij delen persoonsgegevens uitsluitend:

  • met de organisatie van de Practitioner die een Respondent heeft uitgenodigd en met teamleden die op instructie van de Practitioner in een teamrapport zijn opgenomen;
  • met de in sectie 8 genoemde sub-verwerkers, uitsluitend voor zover nodig om de Dienst te exploiteren;
  • met professionele adviseurs (accountants, advocaten, verzekeraars) onder geheimhoudingsplicht, alleen waar strikt noodzakelijk;
  • wanneer dat wettelijk vereist is, op grond van een gerechtelijk bevel of een aanwijzing van een bevoegde autoriteit, na verificatie van het verzoek;
  • in het kader van een bedrijfstransactie (zoals een fusie of overname); betrokken gebruikers worden van tevoren geïnformeerd.

Wij verkopen geen persoonsgegevens en delen ze niet voor advertenties van derden.

12. Cookies en lokale opslag

Wij gebruiken alleen cookies en browseropslag die nodig zijn om de Dienst te laten werken: sessie, beveiliging (CSRF), taal- en thema-voorkeur en een winkelwagen-id voor Practitioners.

Wij gebruiken op dit moment geen cookies van derden voor advertenties of gedragsanalyse. Als wij analytics toevoegen waarvoor toestemming nodig is, plaatsen we eerst een toestemmingsbanner.

Volledige details, inclusief hoe je cookies in je browser beheert, vind je in ons Cookiebeleid op /about/cookies.

13. Marketingcommunicatie

Wij sturen marketing-e-mails uitsluitend naar Practitioners die zich hebben aangemeld. Elke marketing-e-mail bevat een afmeldlink en je kunt je toestemming ook intrekken via privacy@onlinejti.com.

Respondenten ontvangen geen marketing. Service-e-mails (zoals uitnodigingen en resultaatmeldingen) worden verzonden op grond van de uitvoering van de overeenkomst en kunnen niet worden afgemeld zolang je een actief Assessment hebt.

14. Je rechten

Onder de AVG heb je de volgende rechten met betrekking tot je persoonsgegevens. Wij beantwoorden geverifieerde verzoeken binnen 30 dagen.

  • Recht op inzage (artikel 15) — bevestiging van verwerking en een kopie van je persoonsgegevens.
  • Recht op rectificatie (artikel 16) — onjuiste of onvolledige gegevens corrigeren. De Assessment-antwoorden zelf kunnen na voltooiing niet worden gewijzigd (een gegevensintegriteitsvereiste van de JTI-methodiek), maar omringende identiteitsgegevens kunnen door je Practitioner worden gecorrigeerd.
  • Recht op verwijdering (artikel 17) — verzoek om verwijdering van je persoonsgegevens. Dit voeren wij uit door anonimisering, waarbij identificerende velden worden verwijderd terwijl type en scores in niet-identificeerbare vorm worden bewaard voor geaggregeerde statistiek.
  • Recht op beperking (artikel 18) — verwerking pauzeren in nader bepaalde gevallen.
  • Recht op gegevensoverdraagbaarheid (artikel 20) — je gegevens ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat. Respondenten kunnen vanaf de accountpagina zelf een JSON-export maken.
  • Recht van bezwaar (artikel 21) — bezwaar maken tegen verwerking gebaseerd op gerechtvaardigd belang, inclusief profilering.
  • Recht om toestemming in te trekken — op elk moment, zonder afbreuk te doen aan de rechtmatigheid van eerdere verwerking.
  • Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare aanzienlijke gevolgen (artikel 22) — wij voeren zulke besluitvorming niet uit.

Zelfbediening

Respondenten kunnen hun gegevens exporteren en om onmiddellijke verwijdering vragen vanuit de privacy-sectie op de accountpagina (/account). De verwijdering wordt uitgevoerd via de AnonymizationService en is onomkeerbaar.

Zo oefen je je rechten uit

Voor gegevens die aan een Assessment zijn gekoppeld neem je eerst contact op met je Practitioner; deze is verwerkingsverantwoordelijke. Je kunt ons ook rechtstreeks bereiken via privacy@onlinejti.com, en wij sturen het verzoek door naar de juiste partij.

Recht om een klacht in te dienen

Als je vindt dat wij je persoonsgegevens niet juist hebben behandeld, kun je een klacht indienen bij een toezichthoudende autoriteit. De toezichthouder voor Optimas is Datatilsynet (Noorwegen), Postboks 458 Sentrum, 0105 Oslo, post@datatilsynet.no, https://www.datatilsynet.no. Als ingezetene van Nederland kun je je ook richten tot de Autoriteit Persoonsgegevens, https://autoriteitpersoonsgegevens.nl.

15. Beveiliging

Wij hanteren technische en organisatorische maatregelen die passen bij het risico, waaronder:

  • TLS 1.2 of hoger voor alle gegevens tijdens transport;
  • encryptie in rust voor onze databases en back-ups;
  • gesalt bcrypt voor wachtwoordhashes en JWT-gebaseerde authenticatie;
  • tweefactorauthenticatie via sms voor gevoelige accounts;
  • rolgebaseerde toegangscontrole en multi-tenant-isolatie per Distributeur;
  • kwetsbaarheidsbeheer, monitoring van afhankelijkheden en routinematig patchen;
  • een Incident Response Plan met meldplichten aan toezichthouders binnen 72 uur en aan betrokkenen zonder onnodige vertraging waar de wet dit vereist;
  • pseudonimisering van persoonsidentificatoren in naar AI verzonden gegevens: echte namen van Practitioners, respondenten en teamleden worden vervangen door sessiestabiele codenamen voordat gegevens onze AI-grens passeren, en demografische gegevens worden volledig uit naar AI verzonden gegevens verwijderd.

Geen enkele beveiligingsmaatregel is perfect. Ontdek je een kwetsbaarheid, meld dit dan via security@onlinejti.com.

16. Kinderen

De Dienst is niet gericht op kinderen onder 16, en wij verzamelen niet bewust persoonsgegevens van kinderen onder 16. Word je je ervan bewust dat een kind persoonsgegevens aan de Dienst heeft verstrekt, neem dan contact op met privacy@onlinejti.com zodat we deze kunnen verwijderen.

17. Wijzigingen in dit Privacybeleid

Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken. De huidige versie staat boven aan deze pagina. Bij wezenlijke wijzigingen werken wij de versieaanduiding bij en vragen we je in de applicatie opnieuw te accepteren vóór je volgende gebruik van de Dienst.

18. Contact en toezichthoudende autoriteit

Optimas Organisasjonspsykologi AS is verwerkingsverantwoordelijke voor de in dit beleid beschreven persoonsgegevens, tenzij anders vermeld.

Optimas Organisasjonspsykologi AS
Myrdalskogen 435, 5117 Ulset, Noorwegen
Noors organisatienummer: 979 972 660

Privacy en betrokkenenrechten: privacy@onlinejti.com
Juridische zaken en verwerkersovereenkomsten: legal@onlinejti.com
Beveiligingsincidenten: security@onlinejti.com

Je kunt ook contact opnemen met Datatilsynet via post@datatilsynet.no.

Vragen over deze voorwaarden? Log in op je account of neem contact op met je beheerder.