Privacy (NL)

Taal:

Laatst bijgewerkt: 2 juli 2025

‍

Welkom

Welkom bij Thrive Global Holdings, Inc. ('Thrive Global', 'Thrive', 'wij', 'we', 'ons' of 'onze'). Thrive biedt wetenschappelijk onderbouwde oplossingen voor gedragsverandering, gericht op het verbeteren van mentaal, emotioneel en fysiek welzijn. Onze website ('Site'), mobiele applicatie ('App') en integraties met platformen van derden (zoals Slack of Microsoft Teams) stellen gebruikers ('u', 'uw' of 'Gebruikers') in staat om toegang te krijgen tot gepersonaliseerde tools, bronnen en inhoud, zoals Micro-acties, assessments, educatieve ervaringen en gedragsondersteunende functies, die helpen bij het opbouwen van duurzame gewoonten en het verbeteren van het algehele welzijn. De Diensten die wij via de Site, App en aanverwante digitale ervaringen aanbieden, worden gezamenlijk aangeduid als de 'Dienst(en)'.

Om deze Diensten te leveren en te verbeteren, kunnen we verschillende soorten informatie verzamelen en verwerken, waaronder persoonlijk identificeerbare informatie (PII), gegevens over uw interactie met content en functies, gedragsinzichten, gezondheidsgerelateerde informatie en andere categorieën gevoelige gegevens zoals gedefinieerd in de toepasselijke wetgeving. We doen dit op basis van de toepasselijke wettelijke grondslagen en verkrijgen uw toestemming waar vereist.

Thrive zet zich in voor de bescherming van uw privacy en de verantwoorde omgang met uw gegevens. Wij hanteren de principes van privacy en beveiliging door ontwerp en door standaardinstellingen, en wij implementeren passende technische en organisatorische maatregelen. Onze gegevensverwerkingspraktijken zijn ontworpen om te voldoen aan de toepasselijke privacyregelgeving, waaronder HIPAA, GDPR, CCPA/CPRA en andere regionale kaders die van toepassing kunnen zijn, afhankelijk van uw locatie en de aard van uw interactie met onze Diensten.

Snelle toegang: Ga voor de uitoefening van uw privacyrechten naar https://preferences.thriveglobal.com/privacy of zie Contactgegevens hieronder.

Doel van dit privacybeleid

In dit privacybeleid wordt uitgelegd uit welke persoonsgegevens we via de Diensten verzamelen, hoe we die gegevens gebruiken en delen, en welke keuzes u hebt met betrekking tot ons gegevensbeleid. Dit privacybeleid maakt deel uit van onze Algemene voorwaarden, die beschikbaar zijn op https://www.thriveglobal.com/terms.

Gebruikers in verschillende regio's kunnen onderworpen zijn aan verschillende normen voor gegevensbescherming, afhankelijk van de gegevensbeschermingsovereenkomst (DPA) die hun werkgever met Thrive Global heeft gesloten. Dit document bevat secties die specifiek zijn gewijd aan consumenten in de Europese Economische Ruimte (EER), het Verenigd Koninkrijk (VK), Zwitserland en Californië, en hun privacyrechten.

Wijzigingen in het privacybeleid

We kunnen dit privacybeleid bijwerken naarmate onze Diensten zich ontwikkelen. Bij materiële wijzigingen ontvangt u 30 dagen voordat deze van kracht worden een melding per e-mail. Kleine updates worden geplaatst met een nieuwe datum bij 'Laatst bijgewerkt'. Indien u het gebruik voortzet, stemt u in met de voorwaarden.

Wettelijk nalevingskader

Wij voldoen aan alle toepasselijke privacywetgeving, waaronder de AVG, CCPA/CPRA, lokale privacywetten en andere vereisten per rechtsgebied. Ons nalevingsprogramma omvat regelmatige juridische beoordelingen, controles en updates van privacypraktijken naarmate wetten veranderen. We werken samen met juridische adviseurs om ervoor te zorgen dat onze werkwijzen voldoen aan de huidige wettelijke normen.

Privacybeheer

Ons privacyprogramma omvat aangewezen privacyfunctionarissen die verantwoordelijk zijn voor de naleving van de privacywetgeving, training en de afhandeling van incidenten. We geven regelmatig privacytrainingen aan ons personeel en handhaven verantwoordingsmaatregelen om voortdurende naleving en bescherming van uw persoonlijke informatie te waarborgen.

Principes voor gegevensbescherming

Wij verzamelen, gebruiken en verwerken persoonsgegevens uitsluitend voor legitieme doeleinden die aansluiten bij onze bedrijfsactiviteiten en wettelijke verplichtingen. We specificeren duidelijk het doel van de gegevensverzameling op of vóór het moment van verzameling, beperken de verzameling tot de noodzakelijke gegevens en passen principes van gegevensminimalisatie toe. We evalueren onze gegevensverwerkingspraktijken regelmatig om onnodige verwerking te elimineren en implementeren technische en organisatorische maatregelen om uw privacy te beschermen.

Toegangsrechten

Wij zetten ons ervoor in dat individuen passende toegang hebben tot hun persoonlijke gegevens. Op verzoek verstrekken wij u tijdig toegang tot uw persoonsgegevens, onder voorbehoud van identiteitsverificatie en naleving van de toepasselijke wettelijke vereisten. In beperkte omstandigheden kunnen we de toegang weigeren, bijvoorbeeld wanneer dit wettelijk verplicht is of wanneer toegang de privacy van anderen in gevaar zou brengen.

Gegevensbeschermingseffectbeoordeling

We voeren gegevensbeschermingseffectbeoordelingen uit om risico's voor persoonlijke informatie te identificeren en te beperken. Deze beoordelingen omvatten de evaluatie van gegevensverwerkingsactiviteiten, inclusief nieuwe projecten, systemen of technologieën, om te zorgen dat we voldoen aan de privacywetgeving en de beveiligingsvereisten. Wanneer risico's worden vastgesteld, implementeren we passende waarborgen om uw gegevens en privacy te beschermen.

Details over beperking van gegevensverzameling

We beperken het verzamelen van persoonlijke gegevens tot wat noodzakelijk is voor de vastgestelde doeleinden. Wij verzamelen uitsluitend gegevens die relevant en toereikend zijn, en die direct verband houden met de legitieme doeleinden zoals beschreven in dit beleid. Verzameling vindt plaats op een rechtmatige en transparante manier, met de nodige kennisgeving en toestemming waar vereist door de toepasselijke wetgeving.

Juridische grondslag voor verwerking

Wij verwerken persoonlijke gegevens op basis van de volgende wettelijke grondslagen, zoals van toepassing onder de privacywetgeving:

Toestemming: wanneer u vrijwillig, specifiek en weloverwogen toestemming hebt gegeven voor verwerkingsactiviteiten, zoals marketingcommunicatie of optionele gegevensverzameling.
Contractuitvoering: verwerking die nodig is om onze overeenkomst met u uit te voeren of om op uw verzoek stappen te ondernemen voordat een overeenkomst wordt gesloten.
Wettelijke verplichting: verwerking noodzakelijk om te voldoen aan toepasselijke wet- en regelgeving of juridische procedures.
Legitieme belangen: verwerking die noodzakelijk is voor onze legitieme bedrijfsbelangen, zoals beveiliging, fraudepreventie en serviceverbetering, voor zover deze belangen niet zwaarder wegen dan uw privacyrechten.

Informatie die we verzamelen

App-gebruikers

Accountgegevens: naam, e-mailadres en andere contactgegevens
Profielinformatie: profielafbeelding, biografie, landinformatie en demografische gegevens
Informatie over app-gebruik: uw reacties op en interactie met welzijnsenquêtes, webinars en leeractiviteiten
Informatie over gezondheid en activiteit: slaap-, bewegings-, hartslag- en andere welzijnsgegevens, inclusief fysieke, gedragsmatige of emotionele indicatoren, worden alleen verzameld als u ervoor kiest deze rechtstreeks of via een gekoppeld draagbaar apparaat te verstrekken
Communicatie: berichten met ons of binnen de App, inclusief ondersteuningsverzoeken en sociale functies
Opmerking voor minderjarige gebruikers (13-15 jaar): Indien de Diensten beschikbaar worden gesteld aan gezinsleden of personen ten laste van 13 tot 15 jaar via een door de werkgever gesponsord of geautoriseerd programma, verwerkt Thrive hun persoonsgegevens alleen met geverifieerde toestemming van de ouder of voogd, of met toestemming van de sponsorende organisatie, in overeenstemming met de toepasselijke wetgeving inzake de bescherming van de privacy van kinderen. Dergelijke toegang blijft onderworpen aan het gedeelte over de privacy van kinderen in dit privacybeleid.

Sitegebruikers

Persoonsgegevens die u verstrekt: informatie die tijdens de site-registratie wordt ingevoerd (e-mailadres/wachtwoord) of die elektronisch wordt verzonden via formulieren, contactverzoeken, evenementregistraties of e-mailabonnementen, zoals naam, contactgegevens, bedrijfsgegevens en telefoonnummer

Automatisch verzamelde gegevens

Loggegevens: IP-adres, browsertype en -instellingen, datum/tijd van verzoeken en interactiepatronen
Cookies: informatie uit cookies en andere technologieën (zie het gedeelte Cookies)
Apparaatinformatie: apparaattype, besturingssysteem, instellingen, unieke identificatiecodes en netwerkinformatie
Gebruiksinformatie: bekeken content, gebruikte functies, uitgevoerde acties, gebruikersinteracties en gebruiksduur

Kennisgeving van wettelijke classificatie

Het platform van Thrive is ontworpen als een algemene welzijnsoplossing die mensen helpt gezonde gewoonten aan te leren en hun algehele levenskwaliteit te verbeteren. Hoewel we gezondheidsgerelateerde informatie kunnen verwerken wanneer u ervoor kiest deze te verstrekken, geldt voor onze Diensten het volgende:

Onze Diensten zijn niet bedoeld voor het diagnosticeren, behandelen, genezen of voorkomen van enige ziekte of medische aandoening, en zijn niet bedoeld ter vervanging van het advies van een bevoegde medische professional. Raadpleeg een gekwalificeerde zorgverlener als u zich zorgen maakt over uw geestelijke of lichamelijke gezondheid.
Deze vormen geen medische hulpmiddelen conform de FDA-regelgeving.
Deze geven algemene inzichten in welzijn in plaats van klinische gezondheidsadviezen.
Deze kunnen worden aangeboden via welzijnsprogramma's van werkgevers, onderworpen aan de EEOC-regelgeving.
Wanneer onze Diensten worden aangeboden via het welzijnsprogramma van uw werkgever, voldoen we aan alle toepasselijke regelgeving, waaronder HIPAA (wanneer we optreden als zakelijke partner), ADA, GINA en de eisen van het EEOC-welzijnsprogramma.

Hoe we gegevens gebruiken

Principes voor beperking van gebruik

We beperken het gebruik van persoonlijke gegevens strikt tot de geautoriseerde doeleinden zoals gedefinieerd op het moment van verzameling. Het gebruik van de gegevens blijft in overeenstemming met de oorspronkelijke rechtvaardigingen voor de verzameling en de wettelijke grondslagen. Wij verwerken persoonlijke gegevens niet voor doeleinden die onverenigbaar zijn met de doeleinden waarvoor ze oorspronkelijk zijn verzameld, zonder hiervoor passende toestemming te verkrijgen of een nieuwe rechtsgrondslag vast te stellen.

Legitieme zakelijke belangen

Serviceverbetering:

Vragen beantwoorden en serviceverzoeken uitvoeren
Diensten aanpassen op basis van gebruikspatronen en voorkeuren
Administratieve informatie over Diensten, voorwaarden en beleidswijzigingen verzenden
Inhoud en functionaliteit leveren, onderhouden en verbeteren

Onderzoek en gegevensbeheer:

Onderzoek uitvoeren en geaggregeerde, geanonimiseerde gebruiksinzichten leveren
Basisgegevens bewaren om ongewenste verwerking na een verwijderingsverzoek te voorkomen

Beveiliging en wettelijke naleving:

Fraude, criminele activiteiten en misbruik van Diensten voorkomen
Zorgen voor de beveiliging van IT-systemen en voldoen aan wettelijke verplichtingen
Reageren op wettelijke verzoeken en onze Algemene voorwaarden handhaven
Onze activiteiten, rechten en de veiligheid van onze gebruikers beschermen

AI-systemen die we inzetten

We maken gebruik van kunstmatige intelligentie (AI), waaronder machine learning-technologieën, om onze Diensten te verbeteren. Deze Diensten worden als volgt geclassificeerd:

AI-systemen met beperkt risico (transparantieverplichtingen zijn van toepassing):

Systemen voor het genereren van content: AI creëert gepersonaliseerde content en aanbevelingen op het gebied van welzijn
Aanbevelingssystemen: ML-algoritmen die micro-acties en kenmerken suggereren
Chatbots en virtuele assistenten: AI-gestuurde ondersteuningstools

AI-systemen met minimaal risico:

Fraudedetectie: AI identificeert verdachte activiteiten en veiligheidsdreigingen
Systeemoptimalisatie: ML verbetert de app-prestaties en de gebruikerservaring
Analytische verwerking: AI genereert geanonimiseerde gebruiksinzichten

Naleving van de EU AI-wetgeving

Transparantiemaatregelen: duidelijke informatie via passende meldingen wanneer AI bij uw ervaring betrokken is.
Menselijk toezicht: alle AI-systemen werken onder betekenisvol menselijk toezicht, waarbij gekwalificeerd personeel de prestaties monitort en gebruikers menselijke tussenkomst kunnen aanvragen.
Nauwkeurigheid en robuustheid: passende maatregelen garanderen de betrouwbaarheid van AI, waaronder validatie van prestaties, monitoring van fouten en vooroordelen (bias) en continue verbetering.
Risicobeheer: risicobeoordelings- en -beperkingsprocedures, inclusief systeemevaluaties, capaciteitsdocumentatie en incidentrespons.

Gegevensbeheer voor AI-training

Trainingsgegevens: we gebruiken geanonimiseerde en geaggregeerde gebruikersgegevens met inachtneming van de privacy- en beveiligingsvoorschriften.
Modellen van derden: we gebruiken uw persoonsgegevens niet om externe AI-modellen te trainen zonder uw uitdrukkelijke toestemming.
Gegevenskwaliteit: we implementeren maatregelen die de nauwkeurigheid, representativiteit en beperking van vooroordelen (bias) van trainingsdata waarborgen.

Uw AI-rechten en beheermogelijkheden

Informatierechten: details aanvragen over AI-systemen die een aanzienlijke impact op u hebben, inzicht krijgen in de logica achter geautomatiseerde besluitvorming en toegang krijgen tot informatie over trainingsgegevens.
Beheerrechten: afmelden voor AI-personalisatie, verzoeken om een menselijke beoordeling, en door AI gegenereerde inhoud betwisten.

Marketing

We kunnen contact met u opnemen over content, Diensten of producten waarvan wij denken dat ze u zullen interesseren. Indien wettelijk vereist (bijvoorbeeld voor gebruikers in de EU), sturen wij alleen marketinginformatie met uw toestemming.

Opties om u af te melden: volg de instructies voor het afmelden in de e-mails, pas uw gebruikersinstellingen aan of neem contact met ons op.

Servicegerelateerde communicatie die noodzakelijk is voor de levering wordt niet beïnvloed door voorkeuren voor het afmelden voor marketingcommunicatie.

Uw gegevens bijwerken

Wij verstrekken op verzoek toegang tot persoonlijke gegevens, onder voorbehoud van identiteitsverificatie en wettelijke vereisten. Wij hanteren redelijke maatregelen om de nauwkeurigheid en kwaliteit van de gegevens te waarborgen. Als u van mening bent dat de informatie onjuist is, neem dan contact met ons op voor correcties.

Uw privacyrechten uitoefenen: ga naar https://preferences.thriveglobal.com/privacy of zie Contactgegevens.

Klachtenafhandeling

Klachten over ons privacybeleid nemen wij serieus. Als u zich zorgen maakt over hoe wij met uw persoonlijke gegevens omgaan, kunt u contact met ons opnemen via de contactgegevens in Contactgegevens. We zullen uw melding onmiddellijk onderzoeken, de ontvangst binnen zeven werkdagen bevestigen en ernaar streven de problemen binnen 30 dagen op te lossen. U hebt mogelijk ook het recht om een klacht in te dienen bij een toezichthoudende autoriteit.

Participatie- en herstelrechten

Wij respecteren uw recht om mee te beslissen over uw persoonlijke gegevens. U kunt inzage in, correctie van of verwijdering van uw gegevens verzoeken, onder voorbehoud van de toepasselijke wetgeving en identiteitsverificatie. We zullen binnen redelijke termijnen op verzoeken reageren en, indien wettelijk vereist, herstelmaatregelen of uitleg bieden. U hebt het recht om onze verwerkingsbeslissingen aan te vechten en via de juiste kanalen verhaal te halen.

Kader voor gegevensprivacy (DPF)

Wij nemen vrijwillig deel aan en voldoen aan het EU-VS-kader voor gegevensprivacy, de Britse uitbreiding daarvan en het Zwitsers-Amerikaanse kader voor gegevensprivacy. Wij staan onder toezicht van de FTC en blijven aansprakelijk voor verwerking door leveranciers en Dienstverleners die in strijd is met de DPF-principes.

Geschillenbeslechting: Neem bij klachten over het kader voor gegevensprivacy (DPF) eerst contact op met ons. Onopgeloste klachten worden kosteloos doorverwezen naar JAMS, een alternatieve geschillenbeslechtingsinstantie.

Gebruiksgegevens en Thrive Global-programma's

We verkrijgen inzichten uit uw gebruik van de Diensten en kunnen geaggregeerde/geanonimiseerde gegevens aanmaken voor operationele analyses, financiële rapportages, auditfuncties en andere zakelijke doeleinden. Bij het verwerken van gegevens uit welzijnsprogramma's van werkgevers zorgen we ervoor dat alle geaggregeerde rapporten voldoen aan de juiste anonimiseringsnormen om te voorkomen dat individuen geïdentificeerd kunnen worden.

Voor Thrive-programma's (webinars, evenementen, wedstrijden) geeft deelname ons het recht om ingediende content te gebruiken voor legitieme zakelijke doeleinden. Door deel te nemen, gaat u akkoord met deze voorwaarden.

Informatie delen en openbaar maken

Delen voor rechtmatige zakelijke doeleinden

Leveranciers en Dienstverleners: We delen gegevens met derden voor hosting, e-mailcommunicatie, klantenservice en analyses (bijv. Google Analytics, Google Cloud, Microsoft Azure). Alle leveranciers voldoen aan strikte privacynormen via schriftelijke overeenkomsten.

Bedrijfsoverdrachten: Persoonsgegevens kunnen worden overgedragen in het kader van fusies, overnames of de verkoop van activa.

Wettelijke vereisten: We kunnen gegevens openbaar maken om te voldoen aan wettelijke verplichtingen, om rechten/eigendom te beschermen of om de openbare veiligheid te waarborgen.

Delen van informatie op uw verzoek

We kunnen gegevens delen wanneer u toestemming geeft voor toegang door derden of wanneer u ervoor kiest om betrokkenheidsrapportages te delen met zakelijke klanten. U kunt vrijwillig informatie delen met andere gebruikers via de communityfuncties van de app.

Algemene Verordening Gegevensbescherming (AVG), Britse GDPR en de Zwitserse federale wet inzake gegevensbescherming

Toepassingsgebied en gegevensoverdracht

Dit gedeelte is van toepassing op gebruikers in de EER, het Verenigd Koninkrijk en Zwitserland. Wanneer u gebruikmaakt van onze Diensten, worden persoonsgegevens naar onze servers in de VS verzonden met passende waarborgen, waaronder modelcontractbepalingen (SCC's), certificeringen onder het Data Privacy Framework en technisch-organisatorische beveiligingsmaatregelen.

Rollen van verwerkingsverantwoordelijke en verwerker

Verwerkingsverantwoordelijke: Wanneer u persoonlijke gegevens via ons platform verstrekt, bepalen wij de verwerkingsdoeleinden en houden wij ons aan de toepasselijke wetgeving, inclusief het uitvoeren van gegevensbeschermingseffectbeoordelingen waar nodig.

Verwerker: Bij het verwerken van gegevens voor zakelijke klanten handelen we volgens hun instructies en binnen de geldende verplichtingen voor verwerkers.

Uw rechten onder de AVG

Recht op inzage: bevestiging van verwerking en een kopie van uw persoonsgegevens ontvangen
Recht op rectificatie: verzoeken om correctie van onjuiste of onvolledige persoonsgegevens
Recht op verwijdering: verzoeken om verwijdering van uw gegevens wanneer aan bepaalde voorwaarden is voldaan
Recht op beperking van de verwerking: verzoeken dat wij het gebruik van uw gegevens beperken
Recht op overdraagbaarheid van gegevens: gegevens ontvangen in een gestructureerd en machineleesbaar formaat
Recht van bezwaar: op elk gewenst moment bezwaar maken tegen onze verwerking van uw persoonsgegevens
Recht om toestemming in te trekken: uw eerder verleende toestemming op elk moment intrekken
Rechten met betrekking tot geautomatiseerde besluitvorming: niet onderworpen zijn aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking
Recht om een klacht in te dienen: een klacht indienen bij uw lokale gegevensbeschermingsautoriteit

Procedures voor inzageverzoeken

Wij verstrekken op verzoek toegang tot persoonlijke gegevens, onder voorbehoud van identiteitsverificatie en toepasselijke wettelijke vereisten. Neem contact met ons op via de gegevens in Contactgegevens om een verzoek tot inzage in te dienen. In beperkte omstandigheden kunnen we de toegang weigeren, bijvoorbeeld wanneer dit wettelijk verplicht is of wanneer toegang de privacy van anderen in gevaar zou brengen. We zullen binnen de toepasselijke termijnen reageren en eventuele afwijzingen toelichten.

Procedures voor rechten van betrokkenen

Verwerking van verzoeken: We hanteren gestandaardiseerde procedures voor de afhandeling van verzoeken met betrekking tot privacyrechten, waaronder identiteitsverificatie, validatie van verzoeken, beoordeling van uitzonderingen en coördinatie van reacties tussen de verschillende bedrijfsonderdelen.
Reactietermijnen: Standaardverzoeken worden binnen 30 dagen beantwoord, met een mogelijke verlenging van 60 dagen voor complexe verzoeken. We zullen u op de hoogte stellen van eventuele vertragingen en de redenen daarvoor toelichten.
Verificatievereisten: Identiteitsverificatie kan bestaan uit e-mailbevestiging, accountverificatie of aanvullende documentatie voor risicovolle verzoeken om frauduleuze toegang te voorkomen.

Internationale doorgifte van persoonsgegevens

We implementeren passende waarborgen, waaronder modelcontractbepalingen, adequaatheidsbesluiten en aanvullende maatregelen zoals vereist door Artikel 46 van de AVG. Voor doorgiften naar landen zonder adequaatheidsbesluit voeren wij beoordelingen van het doorgifterisico (TIA's) uit en implementeren wij aanvullende technische en organisatorische maatregelen, waaronder verbeterde versleuteling, toegangscontroles en contractuele bescherming, om een passend beschermingsniveau te waarborgen.

Gegevensbewaring

We bewaren persoonsgegevens alleen zo lang als nodig is voor de doeleinden waarvoor ze zijn verzameld, om te voldoen aan wettelijke verplichtingen of om geschillen op te lossen. Gegevens worden veilig verwijderd of geanonimiseerd volgens de industriestandaard. Bewaartermijnen worden gedocumenteerd en jaarlijks herzien.

Nauwkeurigheid en kwaliteit van gegevens

Wij streven ernaar de nauwkeurigheid, volledigheid en relevantie van de persoonsgegevens die wij bewaren te waarborgen. We nemen redelijke maatregelen om de gegevenskwaliteit te waarborgen, waaronder het bijwerken van gegevens wanneer onjuistheden worden geconstateerd. Als u van mening bent dat uw persoonlijke gegevens onjuist of onvolledig zijn, kunt u contact met ons opnemen om deze te laten corrigeren. U vindt onze contactgegevens in de sectie 'Contactgegevens'.

Gebruiksbeperkingen

We gebruiken persoonsgegevens alleen voor de doeleinden die bij de verzameling zijn aangegeven en voor daarmee verenigbare doeleinden. We gebruiken uw gegevens niet voor niet-gerelateerde doeleinden zonder hiervoor passende toestemming te verkrijgen of een nieuwe wettelijke grondslag vast te stellen.. Onze verwerkingsactiviteiten worden gedocumenteerd en regelmatig geëvalueerd om te garanderen dat ze in lijn blijven met de vastgestelde doeleinden.

Verwerking van beschermde gezondheidsinformatie (PHI) en HIPAA-naleving

Wij kunnen beschermde gezondheidsinformatie ('PHI') verwerken in overeenstemming met de HIPAA-wetgeving. PHI omvat gezondheidsinformatie zoals medische geschiedenis, biometrische gegevens en informatie over gezondheidsgerelateerde activiteiten die worden verzameld via door de werkgever gesponsorde welzijnsprogramma's of wanneer u er uitdrukkelijk voor kiest om dergelijke informatie te verstrekken. De verwerking is strikt beperkt tot het ondersteunen van onze Diensten onder passende waarborgen, en beschermde gezondheidsinformatie (PHI) wordt uitsluitend gedeeld met geautoriseerde partijen onder een bewerkersovereenkomst (Business Associate Agreement, BAA).

Bewaartermijnen van gegevens

PHI- en ePHI-gegevens: minimaal 6 jaar, zoals vereist door HIPAA § 164.316(b)(2)(i), waarbij staatsspecifieke vereisten bepalen waar langere perioden van toepassing zijn
Auditlogboeken van PHI: minimaal 6 jaar voor alle systemen die elektronische patiëntgegevens (ePHI) bevatten of verwerken, inclusief toegangslogboeken, wijzigingsregistraties en beveiligingsgebeurtenislogboeken
HIPAA-documentatie: 6 jaar voor alle HIPAA-nalevingsdocumentatie, inclusief beleid, procedures, risicobeoordelingen, trainingsverslagen en incidentrapporten

Bewaring van algemene gegevens:

Accountgegevens: actieve periode plus 90 dagen na verwijdering om veiligheidsredenen
Gegevens over tracking van welzijn: tot de beëindiging van het contract plus 90 dagen
Marketingvoorkeuren: totdat u zich afmeldt, plus een eventuele wettelijk verplichte periode
Supportcommunicatie: 1 jaar om onze Dienstverlening te helpen verbeteren
Beveiligingslogboeken (niet-PHI): 1 jaar voor systeembeveiliging en incidentrespons
Bedrijfsgegevens: 7 jaar, zoals vereist door de financiële en fiscale regelgeving

Procedures voor juridische bewaring: Het kan nodig zijn om gegevens langer te bewaren indien dit vereist is voor juridische procedures, onderzoeken of regelgevingskwesties. Deze procedures voor juridische bewaring (legal holds) hebben voorrang op de standaard bewaartermijnen totdat ons juridische team deze vrijgeeft.

Subverwerkers

Hieronder vindt u onze volledige lijst van subverwerkers en externe verwerkers, die elk gebonden zijn aan strikte privacy- en beveiligingsvereisten via schriftelijke overeenkomsten. Deze lijst wordt regelmatig bijgewerkt. U kunt zich aanmelden voor onze mailinglijst om op de hoogte te blijven van wijzigingen.

Alle Diensten:

Coda* - User Engagement and Project Management - 888 Villa St, Floor 4, Mountain View, CA 94041
Datagrail - Privacy Automation - 164 Townsend Street, Suite 12, San Francisco, CA 94107 VS
Fivetran - Data ETL Pipeline - 405 14th St, Floor 11, Oakland, CA 94612 VS
Google Cloud Platform - Data Warehouse - 1600 Amphitheatre Pkwy Mountain View, CA 94043 VS
Google Workspace* - Content Creation - 1600 Amphitheatre Pkwy Mountain View, CA 94043 VS
HubSpot - E-mail Marketing - 25 First Street, 2nd Floor, Cambridge, MA 02141
Looker - Data Analytics - 101 Church Street, 4th Floor, Santa Cruz, CA 95060 VS
Microsoft Azure - Cloud Hosting Provider - One Microsoft Way, Redmond, WA 980527 VS
Rethink Autism* - Neurodivergent Care Provider - 49 West 27th Street, New York, NY 10001
Salesforce - Customer Relationship Management - The Landmark @ One Market, Suite 300 San Francisco, CA 94105 VS
Segment - User Analytics - 100 California Street, Suite 700 San Francisco, CA 94111 VS
Typeform* - Survey Platform - Calle de Pallars 108 (Aticco), 08018 – Barcelona (Spanje)
Zapier* - Workflow Automation - 548 Market St. #62411, San Francisco, CA 94104
Zendesk - User Support Software - 450 Park Ave S, New York, NY 10016

Subverwerkers uitsluitend voor de Site:

Webflow - Marketing Website Host - 398 11th Street, 2nd Floor, San Francisco, CA 94103

Subverwerkers uitsluitend voor de App:

Amazon Web Services* - SFTP - 410 Terry Avenue North, Seattle, WA 98109 VS
Datadog - Infrastructure and Security Monitoring Platform - 620 8th Avenue, Floor 45, New York, NY 10018
HumanAPI* - Wearables Integration - 951 Mariners Island Blvd., Suite 300
Qualtrics - Survey Platform - 333 W River Park Dr, Provo, UT 84604, VS
Mailgun Transactional Email - 112 E Pecan Street, San Antonio, TX 78205 VS

*Mogelijk niet van toepassing op alle gebruikers

Privacyvereisten voor contractanten en verwerkers

Alle contractanten en verwerkers voldoen aan strikte normen via schriftelijke overeenkomsten waarin naleving van de AVG, CCPA en HIPAA, passende beveiligingsmaatregelen, meldingen van datalekken binnen 72 uur, regelmatige audits en het retourneren of vernietigen van gegevens bij beëindiging verplicht worden gesteld.

Melding van privacyincidenten

We hanteren transparante rapportagesystemen om privacygerelateerde incidenten, vragen en nalevingsactiviteiten te documenteren en af te handelen. We evalueren onze privacyprocedures regelmatig en rapporteren aan relevante belanghebbenden, waaronder toezichthouders, zoals wettelijk vereist. In geval van een datalek zullen wij de betrokken personen en autoriteiten onmiddellijk op de hoogte stellen, conform de geldende wettelijke verplichtingen.

Privacyverklaring Californië

Do Not Track (DNT) en de CCPA

Wij reageren niet op 'Do Not Track'-signalen. Wij verkopen geen persoonlijke gegevens voor geld, maar de ruime definitie van 'verkoop' onder de Californische wetgeving vereist openbaarmaking van het delen van cookiegegevens met externe providers.

Consumentenrechten in Californië

Informatierechten: categorieën en bronnen van verzamelde persoonlijke gegevens, verwerkingsdoeleinden, categorieën van het delen met derden en doeleinden van zakelijke openbaarmaking.

Beheerrechten: afmelden voor de 'verkoop' van gegevens, verzoeken om verwijdering (onder voorbehoud van uitzonderingen) en non-discriminatie bij het uitoefenen van rechten.

Hoe u uw rechten kunt uitoefenen: ga naar https://preferences.thriveglobal.com/privacy of zie Contactgegevens.

Privacy van kinderen

De Diensten van Thrive zijn bedoeld voor gebruik door personen van 16 jaar en ouder via door werkgevers gesponsorde programma's. Wij verzamelen niet bewust persoonlijke gegevens van kinderen jonger dan 16 jaar zonder de juiste toestemming van een ouder, voogd of bevoegde medewerker van de deelnemende organisatie. Als we erachter komen dat persoonlijke gegevens van een kind zijn verzameld zonder de vereiste toestemming, zullen we die gegevens onmiddellijk verwijderen en maatregelen nemen om toekomstige verzameling te voorkomen. Voor gebruikers jonger dan 18 jaar kan toegang tot de Diensten toestemming van een ouder of voogd vereisen, in overeenstemming met toepasselijke wetgeving zoals COPPA (Children's Online Privacy Protection Act), CCPA/CPRA en AVG/GDPR. Thrive richt zich met zijn Diensten niet rechtstreeks tot kinderen en staat zelfregistratie door minderjarigen niet toe. Als u van mening bent dat wij mogelijk gegevens van een kind hebben verzameld in strijd met dit artikel, neem dan onmiddellijk contact met ons op via privacy@thriveglobal.com.

HIPAA-nalevingsprogramma

Naleving van HIPAA-regelgeving

Naleving van de privacyregelgeving: Wij voldoen aan de vereisten van de HIPAA-privacyregelgeving, waaronder individuele rechten, minimale noodzakelijke normen, kennisgeving van privacypraktijken en administratieve, fysieke en technische beveiligingsmaatregelen.
Naleving van beveiligingsregels: We implementeren de verplichte en adresseerbare specificaties onder de HIPAA Security Rule, met gedocumenteerde besluiten over adresseerbare specificaties op basis van risicobeoordelingen en organisatorische mogelijkheden.
Handhaving en sancties: Wij erkennen de bevoegdheid van het Office for Civil Rights van het Department of Health and Human Services om de HIPAA-wetgeving te handhaven en hanteren nalevingsprogramma's om overtredingen te voorkomen die kunnen leiden tot civielrechtelijke geldboetes of strafrechtelijke vervolging.
Naleving van staatswetgeving: Wij voldoen aan de toepasselijke staatsverordeningen op het gebied van privacy en beveiliging die mogelijk aanvullende bescherming bieden voor gezondheidsinformatie bovenop de HIPAA-vereisten.

Privacy Officer en Security Officer

Privacy Officer: Verantwoordelijk voor het ontwikkelen, implementeren en onderhouden van privacybeleid en -procedures, het organiseren van privacytrainingen, het onderzoeken van klachten en het waarborgen van de naleving van de HIPAA Privacy Rule.

Security Officer: Verantwoordelijk voor het ontwikkelen, implementeren en onderhouden van beveiligingsbeleid en -procedures, het organiseren van beveiligingstrainingen, het beheren van toegangscontroles en het waarborgen van de naleving van de HIPAA-beveiligingsregelgeving.

Business Associate Management

Business Associate Agreements (BAA's): Alle leveranciers, aannemers en subverwerkers die namens ons PHI verwerken, moeten Business Associate Agreements afsluiten die het volgende bevatten:

Toegestaan gebruik en openbaarmaking van PHI
Waarborgen om ongeoorloofd gebruik of openbaarmaking te voorkomen
Vereisten voor melding van datalekken
Teruggave of vernietiging van PHI bij beëindiging van het contract
Rechten op nalevingscontrole en audits

Toezicht op subverwerkers: Business associates moeten onze goedkeuring verkrijgen voordat ze subverwerkers inschakelen en ervoor zorgen dat de Business Associate Agreement (BAA) op de juiste wijze wordt uitgevoerd met alle subverwerkers die PHI verwerken.

HIPAA-risicobeoordeling en nalevingstoezicht

Jaarlijkse risicobeoordelingen: We voeren jaarlijks risicobeoordelingen uit om kwetsbaarheden te identificeren, de huidige beveiligingsmaatregelen te beoordelen en te bepalen welke aanvullende beveiligingsmaatregelen nodig zijn voor de bescherming van ePHI.

Personeelstraining: Alle medewerkers ontvangen bij indiensttreding en vervolgens jaarlijks een HIPAA-privacy- en beveiligingstraining, met functiespecifieke trainingen voor personeel met verantwoordelijkheden op het gebied van toegang tot PHI.

Nalevingstoezicht: We houden de naleving continu in de gaten door middel van:

Regelmatige beoordeling van auditlogboeken en toegangscontrole
Driemaandelijkse beoordeling van toegangsbeheer en validatie van bevoegdheden
Jaarlijkse beoordelingen en updates van beleid en procedures
Incidentregistratie en beheer van corrigerende maatregelen

Minimum noodzakelijke norm: We beperken het gebruik, de openbaarmaking en het opvragen van PHI tot het minimum dat nodig is om het beoogde doel te bereiken, met uitzondering van openbaarmaking aan de betrokkene zelf of wanneer dit specifiek is geautoriseerd.

Individuele rechten onder HIPAA: U hebt recht op het volgende:

Uw PHI inzien en kopieën ervan verkrijgen
Verzoeken om correcties van onjuiste of onvolledige PHI
Verzoeken om beperkingen op het gebruik of de openbaarmaking van PHI
Verzoeken om vertrouwelijke communicatie
Verkrijgen van een overzicht van de openbaarmaking van uw PHI
Indienen van klachten over de verwerking van PHI

HIPAA-beveiligingsmaatregelen

Administratieve waarborgen:

Aangewezen HIPAA Security Officer verantwoordelijk voor de beveiliging van ePHI
Personeelstraining en procedures voor toegangsbeheer
Beheer van informatietoegang op basis van het principe van minimale noodzakelijkheid
Procedures en noodplannen voor beveiligingsincidenten
Regelmatige beveiligingsevaluaties en risicobeoordelingen

Fysieke waarborgen:

Toegangscontroles van faciliteiten die de fysieke toegang tot ePHI-systemen beperken
Beheer van apparaten en media voor de aanmaak, ontvangst en het onderhoud van ePHI
Procedures voor de veilige verwijdering van apparaten en media die ePHI bevatten

Technisch waarborgen:

Unieke gebruikersidentificatie en procedures voor automatisch uitloggen
Versleuteling van ePHI in rust (AES-256) en tijdens verzending (TLS 1.2+)
Auditcontroles voor het volgen van toegang tot en wijzigingen in ePHI
Integriteitscontroles om ongeoorloofde wijziging van ePHI te voorkomen
Transmissiebeveiliging voor ePHI-communicatie

Beveiliging

We evalueren en actualiseren onze beveiligingsprocedures regelmatig om de veranderende dreigingen voor te zijn en te voldoen aan de wettelijke eisen. Hoewel we strikte maatregelen nemen om uw informatie te beschermen, is geen enkele internet- of e-mailoverdracht volledig veilig. Wees voorzichtig bij het delen van gevoelige informatie via e-mail of via open communicatiekanalen. Thrive kan de acties van andere gebruikers met wie u informatie deelt niet garanderen, en wij zijn niet verantwoordelijk voor het omzeilen van privacyinstellingen of beveiligingsfuncties binnen de Diensten Meer informatie over de beveiligingsstatus en certificering van Thrive vindt u op: https://thriveglobal.com/security

Cookies

We gebruiken cookies en andere technologieën voor de werking van onze Diensten, en om de gebruikerservaring te verbeteren en gebruiksgegevens te verzamelen.

Soorten cookies

Noodzakelijke cookies (altijd actief):

HubSpot: privacyvoorkeuren (__hs_do_not_track, __hs_cookie_cat_pref)
Cloudflare: beveiligingsbescherming (_cfuvid)

Functionele cookies (optioneel):

Spotify: muziekvoorkeuren (sp_landing, sp_t)

Analytische cookies (optioneel):

HubSpot: gebruiksregistratie (hubspotutk, __hstc, __hssrc, __hssc)
Thrive Global: engagement tracking (ajs_anonymous_id)
Google Analytics: verkeersanalyse (_gat_gtag_UA_87667366_5, _ga_C4ZNYJBEB7, _ga_0S15647RW6, _ga, _gid)
Rippling: prestatiebewaking (__cf_bm)
YouTube: videoanalyse (YSC)
WordPress Engine: functionaliteitstesten (wordpress_test_cookie)

Advertentiecookies (optioneel):

YouTube: advertentiepersonalisatie (VISITOR_INFO1_LIVE)

Uw keuzes

De meeste browsers bieden de mogelijkheid om cookies te beheren via de instellingen. Het beperken van cookies kan de functionaliteit van de website beïnvloeden. Het beheer van tracking op mobiele apparaten kan beperkt zijn.

Links naar andere websites

De Diensten kunnen links bevatten naar websites van derden die niet onder ons beheer vallen. Het delen van informatie met websites van derden wordt geregeld door hun privacybeleid, niet door het onze. Wij impliceren geen goedkeuring van de gelinkte websites.

Contactgegevens

Postadres

Thrive Global Holdings, Inc.
599 Broadway, 6th Floor
New York, NY 10012, VS

Tel: 1-888-700-8474

Inwoners van de EU/het VK/Zwitserland (DataRep)

Online formulier: www.dpr.eu.com/thriveglobal
E-mail: thriveglobal@datarep.com
Ierland: DataRep, Phoenix House, Monahan Road, Cork, T12 H1XY, Republiek Ierland
IJsland: DataRep, Laugavegur 13, 101 Reykjavik, IJsland

Privacybeleid van Thrive Global