Privacy statement

*English below*

Privacy statement van HeadFirst Group, moederorganisatie van Sterksen – VERSIE 23-07-2025

Over ons
HFBG Holding B.V. (HeadFirst Group, wij, onze, ons) verbindt zelfstandigen, leveranciers van professionals en opdrachtgevers. Zelfstandigen en leveranciers bieden hun expertise via het platform (hierna: het “Platform”), van HeadFirst Group aan, met als uitgangspunt: de juiste persoon op het juiste moment op de juiste plek voor de juiste periode. Alles van verzekeringen, contracten tot administratieve afhandeling wordt verzorgd via het Platform. Het Platform is een online marktplaats voor tijdelijke capaciteit. Daarmee kunnen derden (hierna: “Opdrachtgevers”) en leveranciers/zelfstandigen elkaar vinden, waarbij de contractering verloopt via HeadFirst Group. Vervolgens kunnen de administratieve handelingen snel en overzichtelijk binnen het Platform worden afgerond.

Onze relatie met jou
Jouw privacy is belangrijk voor ons. In deze verklaring wordt uitgelegd welke persoonsgegevens HeadFirst Group verwerkt, hoe HeadFirst Group deze verwerkt en voor welke doeleinden. Lees dit Privacy Statement en onze Gebruiksvoorwaarden voor het Platform (te vinden op het Platform) zorgvuldig door, omdat ze beide een integraal onderdeel zijn van onze relatie met jou.

Wij verwerken jouw persoonsgegevens wanneer jij gebruik maakt van onze diensten (intermediaire dienstverlening en/of aanvullende dienstverlening), wanneer jij een van onze websites bezoekt en wanneer je contact met ons opneemt. Bijvoorbeeld, via onze websites kun je contact opnemen via e-mail, informatie aanvragen of met ons chatten. In aanloop op gebruik van de intermediaire dienstverlening is het mogelijk dat wij persoonsgegevens verwerken wanneer je deze zelf of wanneer jouw werkgever deze invoert in onze systemen. Met die gegevens kunnen biedingen worden gedaan op opdrachten.

1.    Wie zijn de verwerkingsverantwoordelijken

De verwerkingsverantwoordelijke bepaalt het doel en de middelen voor de gegevensverwerking. Op grond van de Algemene Verordening Gegevensbescherming (AVG) liggen de meeste verplichtingen op de verwerkingsverantwoordelijke en is deze ook het eerste aanspreekpunt voor jou als betrokkene. Hieronder is een verdeling gemaakt. In vrijwel elk geval kwalificeert HeadFirst Group als zelfstandig verwerkingsverantwoordelijke, met uitzondering van (i) de situatie dat jouw werkgever jouw gegevens heeft ingevoerd in ons systeem en jij daarna nooit op een opdracht via HeadFirst Group bent geplaatst of (ii) wanneer het contract tussen leverancier of zelfstandige rechtstreeks wordt aangegaan met de Opdrachtgever en HeadFirst Group daar alleen een bemiddelende rol in heeft gespeeld. In het laatste geval is HeadFirst Group de verwerker die handelt op basis van de instructies van de Opdrachtgever die vervolgens als verwerkingsverantwoordelijke wordt aangemerkt.

Er zijn vijf varianten denkbaar:

  • Ben je zelfstandige? Dan heb je te maken met twee verwerkingsverantwoordelijken van jouw gegevens (de Opdrachtgever en HeadFirst Group).
  • Ben je in dienst van een leverancier van een Opdrachtgever? Dan heb je te maken met drie verwerkingsverantwoordelijken (jouw werkgever, HeadFirst Group en de Opdrachtgever).
  • Wordt je door HeadFirst Group bemiddeld om bij een Opdrachtgever in dienst te treden of rechtstreeks een opdracht aan te gaan? Dan zijn HeadFirst Group (enkel voor de fase van bemiddeling) en de Opdrachtgever (voor de indiensttreding/directe contractering) verwerkingsverantwoordelijke.
  • Treedt HeadFirst Group op als verwerker voor de Opdrachtgever, bijvoorbeeld in het kader van “recruitment process outsourcing”(“RPO”)? Dan is de Opdrachtgever de verwerkingsverantwoordelijke.
  • Maak jij gebruik van de aanvullende dienstverlening? Dan is bijvoorbeeld de verzekeraar waarvan je het certificaat ontvangt zelfstandig verwerkingsverantwoordelijke voor wat betreft haar dienstverlening.

v  de Opdrachtgever als verwerkingsverantwoordelijke

Heb je een privacy gerelateerde vraag en/of verzoek aan de Opdrachtgever? Dan kun je de Opdrachtgever daarvoor direct benaderen. Dat kunt u doen door contact op te nemen met de contactgegevens die je kunt vinden in het privacy statement van de Opdrachtgever.

v  De werkgever als verwerkingsverantwoordelijke

Heb je een verzoek aan jouw werkgever? Dan kun je jouw werkgever daarvoor direct benaderen. Dat kun je doen door contact op te nemen met de contactgegevens die je kunt vinden in het privacy statement van jouw werkgever. Heb je nog geen opdracht vervuld via HeadFirst Group, is er nog geen bieding gedaan en is daar ook geen aanvang mee gemaakt? Dan kan jouw werkgever uw gegevens verwijderen in het Platform via zijn of haar account.

v  De verzekeraar als verwerkingsverantwoordelijke

Heeft u een vraag en/of verzoek aan de verzekeraar? Bij het contracteren ben jij of is jouw werkgever op de hoogte gebracht waar u het privacy statement van de verzekeraar terug te vinden is. Heeft u een vraag en/of verzoek aan de verzekeraar? Dan kunt u de verzekeraar daarvoor direct benaderen. Dat kun je doen door contact op te nemen met de contactgegevens uit het privacy statement van jouw verzekeraar.

v  HeadFirst group als (GEzamenlijk) verwerkingsverantwoordelijke

In het kader van de dienstverlening van HeadFirst Group
Wij verwerken persoonsgegevens wanneer gebruik wordt gemaakt van de dienstverlening (zowel de intermediaire dienstverlening als eventuele aanvullende dienstverlening). HeadFirst Group verleent diensten vanuit meerdere entiteiten, elk 100% onderdeel van hetzelfde concern (HFBG Holding B.V.). Bij HeadFirst Group is sprake van gezamenlijke verwerkingsverantwoordelijkheid. Om ervoor te zorgen dat duidelijk is bij wie je terecht kunt met vragen en klachten, hebben wij een primaire verwerkingsverantwoordelijke aangewezen. Dat is HeadFirst B.V., gevestigd aan de Taurusavenue 18, 2132 LS in Hoofddorp. Je kunt ons telefonisch bereiken op 023 – 568 56 30, per e-mail via support@headfirst.nl. Andere entiteiten die onderdeel uitmaken van HeadFirst Group en die als verwerkingsverantwoordelijke jouw persoonsgegevens kunnen verwerken – via het Platform – zijn onder meer maar niet beperkt tot (dochter- en zustervennootschappen van): Associates B.V., Between Staffing B.V., Designated Professionals B.V., Fast Flex B.V., Fast Flex Sourcing B.V., HeadFirst Germany GmbH, HeadFirst IT B.V., HeadFirst Poland sp. z o.o., Myler B.V., Oyster Coast B.V., Open Technologies B.V., Source Automation B.V., Source Automation BV. (België), Source Automation Luxemburg SA, Source Payroll Services B.V., Staffing Management Services B.V., Staffing MS Broker B.V., StarApple B.V., Sterksen B.V. en Yellow Friday B.V. Elk van deze entiteiten is naast onderdeel van deze groep ook contractueel gebonden aan verantwoord omgaan met de gegevens, geheel in lijn met dit Privacy Statement. Door registratie op het Platform kan jouw profiel door elk van deze entiteiten worden gevonden voor potentiële opdrachten.

In het kader van andere activiteiten, waaronder klantcontact, direct marketing en websitebezoek
Wij verzamelen naast de persoonsgegevens ten behoeve van de intermediaire dienstverlening ook persoonsgegevens voor eigen doeleinden (o.a. klantcontact, direct marketing, websitebezoek, die onder doeleinden worden toegelicht). Omdat wij het doel en de middelen bepalen, kwalificeren wij als zelfstandig verwerkingsverantwoordelijke.

Werknemers van de Opdrachtgever
Wij verwerken ook gegevens van de contactpersonen van de Opdrachtgever. Ten aanzien van deze gegevens kwalificeert HeadFirst Group als verwerkingsverantwoordelijke.

2.    Contactcentrum

Als je vragen of verzoeken hebt met betrekking tot wat er met jouw persoonsgegevens gebeurt op het Platform, kun je contact opnemen met HeadFirst Group. Twijfel je over welke partij als verwerkingsverantwoordelijke kwalificeert of waar je heen moet met jouw vraag over een gegevensverwerking door of middels HeadFirst Group? Voor jouw privacy vragen kun je ons telefonisch bereiken op 023-5685630 of per e-mail via privacy@headfirst.nl. Wij staan u graag te woord en helpen u graag met het vinden van een oplossing. Zou dat toch niet lukken, dan kun je je wenden tot de Autoriteit Persoonsgegevens (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap).

3.    Welk type persoonsgegevens worden verwerkt? Met welk doel en welke grondslag?

Wij verwerken verschillende types persoonsgegevens over u, bijvoorbeeld omdat u een profiel heeft aangemaakt op het Platform en een CV heeft geüpload. Wanneer u het Platform gebruikt, worden daarbij verschillende categorieën persoonsgegevens verzameld. Welke gegevens worden verzameld wordt in de eerste plaats bepaald door de wet en is daarnaast afhankelijk van de gekozen extra dienstverlening en de vereisten van de Opdrachtgever aan flexibel personeel.

Wij verwerken alleen persoonsgegevens wanneer daarvoor één (of meerdere) grondslag(en) aanwezig is (/zijn):

(1) Uitvoeren van de overeenkomst.
Als intermediair vormen wij de contractuele tussenschakel bij de inhuur van flexibel personeel. Wij sluiten en beheren overeenkomsten met professionals, leveranciers en opdrachtgevers op basis waarvan wij persoonsgegevens verwerken. Naast de persoonsgegevens uit de overeenkomsten zelf, ziet dit ook op de persoonsgegevens die de contracten vereisen. Het is dus ook denkbaar dat wij persoonsgegevens van jou vragen voorafgaand aan het sluiten van een overeenkomst, zodat wij deze tot stand kunnen brengen. Vervolgens is het ook mogelijk dat er enquêtes worden uitgestuurd om onze dienstenverlening te kunnen verbeteren en/of inzichten te (ver)krijgen in (de omstandigheden van het uitvoeren van) de opdrachten bij Opdrachtgevers.

(2) Toestemming.
Wij kunnen jou in bepaalde gevallen vragen om toestemming te geven voorafgaand aan de gegevensverwerking. Wij vragen jou bijvoorbeeld toestemming voordat wij bepaalde nieuwsberichten aan jou verzenden. Wanneer jij jouw toestemming hebt gegeven, kun jij jouw toestemming te allen tijde weer intrekken, waarna wij jouw persoonsgegevens niet verder zullen verwerken voor de doeleinden waarop de toestemming ziet. De toestemming is in te trekken door op de knop ‘unsubscribe’ te klikken onder aan het betreffende nieuwsbericht.

(3) Wettelijke verplichting.
Als intermediair zijn wij verplicht om bepaalde persoonsgegevens te verwerken. Denk hierbij aan verplichtingen uit hoofde van de Wet allocatie arbeidskrachten door een intermediair (Waadi), de Wet arbeid vreemdelingen (Wav) of fiscale verplichtingen. Een wettelijke verplichting kan ook meebrengen dat wij verplicht zijn bepaalde persoonsgegevens te delen met Opdrachtgevers, toezichthouders of andere derden voor verwerking. Wanneer wij daartoe zijn gehouden, delen wij deze gegevens met de betreffende partij.

(4) Gerechtvaardigd belang.
Wij kunnen persoonsgegevens verwerken omdat wij daarbij een gerechtvaardigd belang hebben, of omdat de organisatie aan wie wij jouw persoonsgegevens verstrekken een gerechtvaardigd belang heeft. Dit is bijvoorbeeld het geval wanneer wij fiscale aansprakelijkheden willen voorkomen of het risico hierop willen beperken en/of minimaliseren, of wanneer wij fraude willen opsporen en voorkomen, maar ook wanneer wij nieuwe producten/diensten willen promoten die verband hebben met de huidige diensten die HeadFirst Group levert. Wij hebben er daarnaast een gerechtvaardigd belang bij om persoonsgegevens van professionals die zijn opgenomen in het Platform verder te kunnen verwerken om onze dienstverlening uit te kunnen voeren en om de professional te kunnen inzetten op een opdracht. Wij hebben er ook een gerechtvaardigd belang bij om persoonsgegevens te aggregeren en te anonimiseren om marktanalyses te maken zodat wij onze diensten kunnen verbeteren. Het uitsturen van berichten waarin nieuwe dienstverlening en/of producten van ons wordt uitgelicht valt ook onder het gerechtvaardigd belang. Een ander denkbaar gerechtvaardigd belang is het verwerken van persoonsgegevens (binnen de omgeving van HeadFirst Group) middels kunstmatige intelligentie (verder “AI”) door bijvoorbeeld maar niet beperkt tot het transcriberen van gesprekken, het uitvoeren van cross-checks op bepaalde informatie en het geven van adviezen op basis van de beschikbare informatie. Eindbeslissingen worden allemaal genomen door menselijke interventie. Zie hoofdstuk 9 voor een verdere toelichting op het gebruik van AI. Dit heeft allemaal tot doel een verbetering van onze dienstverlening te bewerkstelligen naar de professional en Leveranciers toe. Wij maken altijd een afweging tussen onze belangen en die van de betrokkenen. Wanneer jij hierover meer informatie wil ontvangen, dan kun je contact met ons opnemen via de contactgegevens onder ‘Contactcentrum’ in dit Privacy Statement.

A.    Bezoekers van onze websites en/of lezers van onze mailings

Wij maken gebruik van verschillende websites (hierna gezamenlijk de Websites). Wanneer je onze Websites bezoekt, kun jij ons persoonsgegevens verstrekken, bijvoorbeeld omdat jij ons een e-mail stuurt met een vraag of verzoek, of omdat jij gebruikmaakt van een chatfunctie of een contactformulier op onze Websites. Wij kunnen in dat verband jouw naam, jouw e-mailadres of andere contactgegevens verwerken. Daarnaast verwerken wij overige persoonsgegevens voor zover jij die verstrekt bij jouw vraag of verzoek of in het chatgesprek. Deze persoonsgegevens verzamelen wij, omdat wij, wanneer toepasselijk, de overeenkomst moeten uitvoeren die wij met jou hebben. Als er nog geen overeenkomst tot stand is gekomen (en de vraag bijvoorbeeld ziet op hoe inschrijving bij het Platform werkt), worden deze gegevens verwerkt op grond van het gerechtvaardigde belang dat de vraag adequaat kan worden beantwoord.

Wij bieden jou de mogelijkheid om je aan te melden voor onze nieuwsbrieven en andere berichten die afkomstig zijn van ons en/of andere entiteiten binnen onze groep. Ook kunnen wij, wanneer jij daarvoor toestemming hebt gegeven, berichten sturen over initiatieven van partners met wie wij samenwerken. Jij kunt je te allen tijde eenvoudig afmelden voor de berichten die wij jou sturen, door gebruik te maken van de afmeldlink in de e-mails of door in de omgeving van jouw profiel jouw voorkeuren aan te passen. Wij maken gebruik van gangbare tracking technieken die inzicht geven in het bereik en de effectiviteit van onze direct marketing berichten. Als je een nieuwsbrief of commerciële e-mail van ons opent kunnen wij bijhouden wanneer je deze hebt geopend en op welke onderdelen je geklikt hebt. Wij verwerken daarvoor je e-mail adres, IP-adres, tijdstip van ontvangst, tijdstip van openen en klikgedrag. Het eerste doel daarvan is het jou informeren over dienstverlening van HeadFirst Group en haar partners en over relevante ontwikkelingen in de markt. Het tweede doel daarvan is het verrichten van marketing- en promotieactiviteiten van onze dienstverlening en het meten van effectiviteit daarvan. Op deze manier kunnen wij onze dienstverlening verbeteren en onze informatie en communicatie toespitsen op de relevante doelgroepen. Nieuwsbrieven en daaraan verwante berichten worden verzonden op grond van ‘toestemming’, die op elk moment in te trekken is (door naar het profiel op het Platform te gaan en daar de toestemming ‘uit te vinken’ of door op de knop ‘unsubscribe’ onderaan de e-mail te klikken). Daarnaast worden de gegevens die worden verzameld, geanalyseerd en verwerkt op basis van gerechtvaardigd belang, zodat de effectiviteit van de marketing- en promotieactiviteiten kan worden gemeten.

B.    Persoonsgegevens gegenereerd door onze Websites

Wij maken gebruik van cookies en soortgelijke technieken op onze Websites en binnen de omgeving van onze apps. Wanneer je de Websites bezoekt worden bepaalde gegevens verwerkt en gegenereerd, zoals je IP-adres, gegevens over je browser, gegevens over surfgedrag, datum en tijd van je bezoek en de manier waarop je door onze websites navigeert. Voor de voorkeurencookies, analytische cookies en marketingcookies wordt toestemming gevraagd. Omdat wij jouw privacy willen waarborgen én de gebruiksvriendelijkheid van het Platform verbeteren, vinden wij het belangrijk dat jij weet hoe en waarom wij cookies gebruiken. Wij raden je aan om de cookie statements op onze Websites te raadplegen. De gegevens worden deels gebaseerd op ‘toestemming’, deels op ‘gerechtvaardigd belang’ om de website en het Platform te laten functioneren.

C.    Gebruikers van het platform

Wanneer u zich inschrijft of ingeschreven wordt op het Platform, worden, opgedeeld in fases ten behoeve van dataminimalisatie, persoonsgegevens van u verzameld. Hierbij wordt onderscheid gemaakt tussen zelfstandig professionals en werknemers van leveranciers.

v  Zelfstandige professionals en (professionals van) leveranciers die gebruik maken van het platform

Fase 1: Aanmelden als zelfstandige
Wanneer jij je inschrijft als zelfstandig professional op het Platform vragen wij jou de volgende persoonsgegevens in te vullen: voor- en achternaam, geslacht, adres en postcode, e-mailadres, land van herkomst en nationaliteit, (mobiel)telefoonnummer, geboortedatum, de naam van jouw bedrijf, KvK-nummer en wachtwoord. Wij bieden jou tevens de mogelijkheid om een foto te uploaden naar jouw account. Daarnaast kan je aangeven of je gebruik wilt maken van onze aanvullende dienstverlening.

Het doel van deze registratie is het uitvoeren van de Gebruiksvoorwaarden van het Platform. De grondslag is het uitvoeren van de overeenkomst en het gerechtvaardigd belang van beide partijen (nl. zicht op de online marktplaats voor u en een actueel bestand voor HeadFirst Group). Daarnaast kan HeadFirst Group controleren of het account op juiste wijze is opgezet.

Fase 1: Aanmelden als leverancier.
Als jij een contactpersoon bent van een leverancier kunnen wij de volgende persoonsgegevens van jou verwerken: jouw voor- en achternaam, geslacht (tekenbevoegde), naam tekenbevoegde, functie tekenbevoegde, e-mailadres, (mobiel)telefoonnummer, wachtwoord, profielnummer, gegevens over het aanmaken van je leveranciersaccount en de status daarvan en gegevens over contact dat je met ons hebt gehad. Het doel van de registratie hiervan is vastleggen met wie welk contact wordt onderhouden (gerechtvaardigd belang) en het snel en correct kunnen contracteren wanneer een opdracht wordt gegund aan een professional die in dienst is van de leverancier (uitvoering van de overeenkomst).

Fase 2: Completeren profiel als zelfstandige.
Wanneer jij je hebt aangemeld, vragen wij je jouw profiel verder aan te vullen en gegevens te verstrekken die het mogelijk maken om je aan Opdrachtgevers voor te stellen of om te kunnen reageren op opdrachten. Naast de persoonsgegevens die jij hebt verstrekt bij je inschrijving verwerken wij gegevens over jouw account zoals jouw profielnummer. Verder kun jij jouw profiel aanvullen met gegevens over jouw professionele achtergrond, CV (inclusief alle informatie die daarin is opgenomen zoals social media kanalen, opleidingsniveau en of jij eerder bij deze Opdrachtgever opdrachten hebt verricht of hebt gewerkt) en assessment resultaten. Wij verwerken daarnaast gegevens over jouw bedrijf, zoals de naam en het vestigingsadres. Je kunt ook een accountantsverklaring/verklaring nakoming fiscale verplichtingen uploaden en gegevens over jouw belasting toevoegen. Voor de facturatie vragen wij om jouw bankgegevens en jouw btw-nummer. Voor zover dit wettelijk toegestaan of verplicht is, kunnen wij jou om jouw BSN vragen (afhankelijk van de gekozen dienstverlening, bijvoorbeeld wanneer je ook een arbeidsongeschiktheidsverzekering afneemt via HeadFirst Group). Wanneer jij gebruikmaakt van onze aanvullende dienstverlening vragen wij de gegevens die de verzekeraar ons zal verzoeken te leveren ten behoeve van het afsluiten van een beroeps- en bedrijfsaansprakelijkheidsverzekering. Pas wanneer wij daartoe wettelijk verplicht zijn (d.w.z. in aanloop naar een opdracht), controleren wij jouw identiteit aan de hand van een geldig identiteitsbewijs. Wij kunnen voor de identiteitscontrole ook een externe dienstverlener inschakelen die namens ons jouw identiteitsbewijs controleert. Dit gaat op digitale wijze. De dienstverlener verwerkt de persoonsgegevens die op jouw identiteitsbewijs staan, een foto van jou en jouw e-mail adres. Wij verkrijgen de uitkomst van de controle en de datum waarop de controle is uitgevoerd. Wanneer je niet wil dat jouw identiteitsbewijs digitaal wordt gecontroleerd, kun je ervoor kiezen om bij ons op kantoor langs te komen voor de identiteitscontrole. Wij noteren wanneer de controle heeft plaatsgevonden en informatie over het gecontroleerde identiteitsbewijs zoals het type document, land van uitgifte, nummer en geldigheidsduur. Wanneer jij een nationaliteit van een land buiten de Europese Economische Ruimte (EER) of Zwitserland hebt of wanneer je de Kroatische nationaliteit hebt, kunnen wij jou vragen om een tewerkstellingsvergunning. Wij moeten in dat geval een kopie van jouw paspoort en een kopie van de betreffende vergunning opslaan.

Binnen de omgeving van jouw profiel verwerken wij gegevens over jouw opdrachten en afspraken die wij in dit verband met jou hebben gemaakt. Wij kunnen hiervoor gebruik maken van unieke identifiers, zoals een opdrachtnummer. De grondslag is het uitvoeren van de overeenkomst (indien een opdracht aan u wordt gegund) en het gerechtvaardigd belang van beide partijen (nl. de mogelijkheid voor u om zich snel aan te kunnen bieden op een deel van de opdrachten en een actueel bestand voor HeadFirst Group. HeadFirst Group zal immers gegevens als identiteit maar eenmaal hoeven te controleren in geval van opvolgende opdrachten).

De doelen hiervan zijn:

  1. Het snel kunnen vergelijken van de beschikbare professionals, zodat de juiste persoon op de juiste plek komt (gerechtvaardigd belang);
  2. De juiste match te kunnen verzorgen tussen de opdracht van de Opdrachtgever en de professional die daar het beste bij past (gerechtvaardigd belang);
  3. Het snel kunnen presenteren en beschikbaar stellen van professionals aan Opdrachtgevers (gerechtvaardigd belang);
  4. Het sluiten van een overeenkomst met de correcte gegevens (datakwaliteit) wanneer een opdracht zich voordoet, zowel richting jou als richting de uiteindelijke opdrachtgever.

Wanneer nog geen opdracht is toegekend en niet is vervuld in het verleden, zijn deze gegevens aan te passen op het Platform. Na toekenning zijn deze gegevens aan te passen en te hergebruiken (voor zover nog actueel) voor toekomstige opdrachten (m.u.v. de gecontroleerde identificerende gegevens).

Fase 2: Aanleveren profiel als leverancier.
Als leverancier kun je een werknemer als professional inschrijven (en als werknemer van een leverancier kun jij worden ingeschreven) op het Platform en via het Platform op (een gedeelte van) de opdrachten aanbieden (of worden aangeboden) aan Opdrachtgevers. De persoonsgegevens van de ingevulde profielen van professionals (of van jou) zullen ook worden verwerkt conform dit Privacy Statement. De professional (of jij) krijgt een aparte e-mail waarin op dit Privacy Statement wordt gewezen. Met betrekking tot de professional geldt het volgende. Wanneer de leverancier jou inschrijft als professional op het Platform vragen wij de leverancier de volgende persoonsgegevens in te vullen (vereist): voor- en achternaam, geslacht, adres en postcode, e-mailadres, land van herkomst en nationaliteit, (mobiel)telefoonnummer, geboortedatum. Met betrekking tot het profiel kan worden gekozen voor de volgende drie bewaaropties: Profiel voor bemiddeling door HeadFirst Group; Verwijderen/anonimiseren na 60 dagen; Verwijderen/anonimiseren na 1 jaar. Wij bieden de leverancier tevens de mogelijkheid om een CV (inclusief opleidingsniveau,  of jij eerder bij deze Opdrachtgever opdrachten hebt verricht of hebt gewerkt en andere gegevens) te uploaden en een foto te uploaden. Wij zullen jouw persoonsgegevens verwerken om jouw aanmelding door de leverancier te kunnen faciliteren en jou op te nemen in de database van het Platform. In de eerste plaats hebben wij een wettelijke verplichting (art. 7c lid 2 van de Wet allocatie Arbeidskrachten door Intermediairs) om jou te identificeren. Ook kunnen wij jouw BSN verwerken. Dit dient volgens de wet voorafgaand aan de voordracht tot bemiddeling te gebeuren. Het kan natuurlijk dat je door jouw werkgever bent ingeschreven in het Platform zonder succesvol aangeboden te zijn op opdrachten. Het is aan jouw werkgever het profiel in dat geval te verwijderen bij bijvoorbeeld uitdiensttreding of een langdurige opdracht elders. Daarvoor kun je contact opnemen met jouw werkgever. Ben je inmiddels uit dienst getreden of heb je te maken met een afwijkende situatie, neemt u dan gerust contact op met de onder het kopje Contactcentrum opgenomen contactgegevens. Wij hebben er ook een gerechtvaardigd belang bij om ervoor te zorgen dat de leverancier die met ons samenwerkt zijn afspraken richting jou kan naleven en ervoor te zorgen dat jij kan worden ingezet op de gewenste opdracht. Wij wegen onze belangen altijd af tegen de privacy belangen van jou als betrokkene. Wanneer jij meer informatie wil over deze belangenafweging, kun je contact met ons opnemen via de contactgegevens onder ‘Contactcentrum’ in dit Privacy Statement. Daarnaast hebben wij een gerechtvaardigd belang voor de verwerking van jouw persoonsgegevens, dat is gelegen in het kunnen uitvoeren van onze gebruikelijke dienstverlening, het voldoen aan de afspraken en opdrachten van leveranciers en opdrachtgevers en het kunnen voldoen aan in de markt geldende (kwaliteits) standaarden.

De doelen hiervan zijn:

  1. Het snel kunnen vergelijken van de beschikbare professionals, zodat de juiste persoon op de juiste plek komt (gerechtvaardigd belang);
  2. De juiste match te kunnen verzorgen tussen de opdracht van de Opdrachtgever en de professional die daar het beste bij past (gerechtvaardigd belang);
  3. Het snel kunnen presenteren en beschikbaar stellen van professionals aan Opdrachtgevers (gerechtvaardigd belang);
  4. Het sluiten van een overeenkomst met de correcte gegevens (datakwaliteit) wanneer een opdracht zich voordoet, zowel richting de leverancier als richting de uiteindelijke opdrachtgever.

Fase 3: Bij gunning van een opdracht.

Bij de gunning van een opdracht worden de gegevens nogmaals gecontroleerd door onze afdeling contractmanagement. Het Platform kan een digitale kluis bevatten. In de digitale kluis worden gegevens bewaard die dienen te worden aangeleverd wanneer een opdracht is toegekend. De digitale kluis heeft als voordeel dat deze gegevens in de kluis blijven, zodat deze niet opnieuw hoeven te worden upgeload bij een nieuwe opdracht. Wij kunnen hierin persoonsgegevens verwerken die staan vermeld in de documenten die jij hebt geüpload, zoals jouw accountantsverklaring, VOG-aanvraag en verklaring, pre-employment screening, gedragscodes, geheimhoudings- en betrouwbaarheidsverklaringen, accreditaties en diploma’s. Ook kan worden opgeslagen welke talen jij beheerst. In je digitale kluis wordt ook de uitkomst van de identiteitscontrole bewaard en de kopie van jouw paspoort of identiteitskaart en jouw tewerkstellingsvergunning, wanneer wij verplicht zijn om die vast te leggen. Ook kunnen wij het documentnummer van jouw paspoort of identiteitskaart opslaan. De wettelijke regeling waarop beroep wordt gedaan is de Uitvoeringsregeling verplicht gebruik BSN, artikel 1 sub b.

De doelen hiervan zijn:

  1. Het sluiten van een duidelijke overeenkomst met de correcte gegevens (datakwaliteit) wanneer een opdracht is gegund, zowel richting de leverancier en/of zelfstandige als richting de uiteindelijke Opdrachtgever.
  2. Het verrichten van contractbeheer, de financiële afhandeling en het berekenen van kosten en uitgaven door HeadFirst Group.
  3. Het vastleggen van en het verlenen van dienstverlening door HeadFirst Group aan professionals, Opdrachtgevers en leveranciers (bijvoorbeeld de aanvullende dienstverlening).
  4. Het ondersteunen van professionals, Opdrachtgevers en leveranciers bij voldoen aan administratieve verplichtingen, zoals het aanleveren van overeengekomen stukken (bijvoorbeeld een vereiste Verklaring betalingsgedrag nakoming fiscale verplichtingen of een accountantsverklaring) en het sluiten van de overeenkomsten.
  5. Het onderhouden van contact, beantwoorden van vragen en verzoeken.
  6. Het aanbieden van aanvullende diensten en het verbeteren van de dienstverlening. Wij kunnen persoonsgegevens die betrekking hebben op opdrachten waarop jij bent ingezet verwerken om analyses te maken en inzicht te krijgen in de markt voor zelfstandig professionals om onze diensten beter te kunnen afstemmen op vraag (Opdrachtgevers) en aanbod (zelfstandig professionals).
  7. Het naleven van wet- en regelgeving, opsporen, voorkomen en bestrijden van fraude en illegale activiteiten.
  8. Het afhandelen van claims en klachten.
  9. Het naleven van juridische uitspraken en bevelen en beantwoorden aan verzoeken van overheden.
  10. Het naleven van fiscale verplichtingen die op ons of onze leveranciers/opdrachtgevers rusten en het beperken van (keten)aansprakelijkheid.
  11. Nakoming van onze gebruiksvoorwaarden en afspraken uit overeenkomsten verzekeren.
  12. Het beschermen van onze activiteiten, onze rechten, veiligheid en eigendommen.

v  Verwerking van persoonsgegevens in het kader van bemiddeling

Wanneer professionals via HeadFirst Group worden voorgesteld aan Opdrachtgevers met het doel om arbeidsovereenkomst aan te gaan met de Opdrachtgever of daar rechtstreeks een opdracht in te vullen, is HeadFirst Group in het kader van de bemiddeling verwerkingsverantwoordelijke. Hierbij zullen enkel de voor de bemiddeling noodzakelijk te verwerken persoonsgegevens worden verwerkt. Denk hierbij aan: voor- en achternaam, geslacht, e-mailadres, (indien noodzakelijk) land van herkomst en nationaliteit, (mobiel)telefoonnummer en het CV. De Opdrachtgever kan aanvullende informatie verzoeken voor de bemiddeling. HeadFirst Group zal altijd trachten de verwerking van persoonsgegevens tot een minimum te beperken.

Bij een succesvolle bemiddeling zal de Opdrachtgever als werkgever de verwerkingsverantwoordelijke worden. Indien de bemiddeling niet succesvol was, zal HeadFirst Group, mits daarvoor toestemming is gegeven door de professional, de persoonsgegevens gedurende twee (2) jaar bewaren na afloop van het initiële bemiddelingsproces met het doel om een succesvolle bemiddeling te realiseren (gerechtvaardigd belang).

v  Opdrachtgevers die gebruik maken van het platform


Wanneer Opdrachtgevers, die opdrachten willen (laten) plaatsen op het Platform, zich (laten) registreren op het Platform, worden daarbij ook persoonsgegevens verwerkt van de werknemers van Opdrachtgevers (in geval van goedkeuringen/additionele afspraken. Als jij een contactpersoon bent van een Opdrachtgever, kunnen wij de volgende persoonsgegevens van jou verwerken: je e-mailadres, jouw (mobiele) telefoonnummer, wachtwoord (in geval van een account op het Platform), profielnummer en gegevens over het contact dat je met ons hebt gehad. Daarbij heeft HeadFirst Group een gerechtvaardigd belang (het zorgvuldig kunnen vastleggen van benodigde informatie). Daarnaast dienen deze gegevens ter uitvoering van de overeenkomst. Ook heeft HeadFirst Group richting de eigen accountant en belastingdienst een verantwoordingsplicht in de zin van de administratieverplichting uit art. 2:10 BW.

Wilt u een verzoek indienen ten aanzien van uw gegevens? Neem dan gerust contact op met de contactgegevens onder punt 2. Contactcentrum.

v  In het kader van een Pre-employment-screening

Voor sommige opdrachten voeren wij een pre-employment-screening uit. Dit doen wij omdat de Opdrachtgever ons dit vraagt, bijvoorbeeld wanneer dit op grond van wetgeving noodzakelijk is (denk aan de Wet financieel toezicht, Wft) of omdat dit voortvloeit uit de aard van de opdracht. Waar nodig informeren wij jou dat voor de opdracht waarvoor jij (of de werknemer van een leverancier) in aanmerking komt een screening onderdeel uitmaakt van de selectieprocedure en lichten wij toe hoe wij of een door ons ingeschakelde derde de screening zullen uitvoeren.

Als een Opdrachtgever aangeeft dat een screening gewenst of vereist is, controleren wij altijd wat de aard is van de opdracht, op welke wijze de screening moet worden uitgevoerd en wat de gerechtvaardigde belangen zijn van de Opdrachtgever. Wij maken een afweging tussen de belangen van de Opdrachtgever en jouw privacy belangen. Alleen wanneer jouw privacy belangen daaraan niet in de weg staan, gaan wij over tot het uitvoeren van een screening.

Wanneer wij een screening uitvoeren, verwerken wij gegevens over jouw geschiktheid, betrouwbaarheid en integriteit die van belang zijn voor de uitvoering van de opdracht. De zwaarte van de screening hangt af van de opdracht, de eisen van de Opdrachtgever en de eisen en verplichtingen van de wet, ook als die eisen en verplichtingen rusten op de Opdrachtgever. Wij kunnen in ieder geval de door jou of door de leverancier ingevulde gegevens controleren in het kader van de screening. Daarnaast kunnen wij, afhankelijk van de aard van de screening, informatie verwerken van referenties, ex-werkgevers/opdrachtgevers, antecedenten, gegevens over eerder functioneren, schorsing of ontslag, een verklaring omtrent het gedrag (VOG) of een verklaring van geen bezwaar (VGB) en een overzicht van nevenfuncties verwerken.

Afhankelijk van de aard van de screening verstrekken wij persoonsgegevens van jou aan de Opdrachtgever. Wij kunnen jou vragen om een screeningsformulier van de Opdrachtgever in te vullen. De op het formulier ingevulde informatie wordt alleen verwerkt ten behoeve van de inzet bij de opdrachtgever die op het formulier staat vermeld en wordt met deze Opdrachtgever gedeeld, tenzij anders afgesproken. Het is ook denkbaar dat wij een screening uitvoeren waarbij we alleen doorgeven of jij met een positief resultaat de screening hebt afgerond. In dat geval delen wij geen verdere gegevens met de Opdrachtgever. Het is afhankelijk van de opdracht wat wij delen. Als je daar vragen over hebt kun je contact opnemen met de contactpersoon die hoort bij de opdracht.

4.    Waarom worden jouw persoonsgegevens verwerkt (Doeleinden)?

Naast de bovenstaande doeleinden kunnen de persoonsgegevens verwerkt voor de volgende doeleinden, voor zover van toepassing:

Administratie

  • HeadFirst Group heeft richting de eigen accountant en de belastingdienst een verantwoordingsplicht en administratieverplichting in de zin van art. 2:10 BW. Daaronder valt ook het verrichten en administreren van te sluiten en gesloten overeenkomsten, alle afspraken en alle betalingshandelingen in navolging van gesloten overeenkomsten (wettelijke verplichting). Ook alle stukken horende bij een overeenkomst vormen onderdeel van de verplichte administratie.
  • HeadFirst Group dient op grond van art. 7c Waadi een (beoogd) arbeidskracht te identificeren (wettelijke verplichting).

Dienstverlening

  • De (kern van de) dienstverlening van HeadFirst Group (het vinden, presenteren en contracteren van de juiste matches voor Opdrachtgevers en vice versa) begint bij het faciliteren van het Platform en het toegankelijk maken van de online marktplaats die daaraan is verbonden. Daarbij faciliteert HeadFirst Group dat de zelfstandige of de leverancier een profiel kan aanmaken. De zelfstandige kan met dat profiel onmiddellijk de marktplaats (deels) op. De leverancier kan met dat profiel ook onmiddellijk de marktplaats (deels) op en kan op grond van wat hij daar kan vinden een profiel uploaden. Het doel van het verwerken van deze persoonsgegevens is dat HeadFirst Group diens diensten kan aanbieden en dat de zelfstandige/leverancier/Opdrachtgever daar gebruik van kan maken (gerechtvaardigd belang).
  • De juiste matches snel te kunnen vergelijken, presenteren en beschikbaar stellen op een opdracht van de Opdrachtgever (gerechtvaardigd belang).
  • Het kunnen bieden van accountmanagement en afhandeling van vragen, verzoeken, claims en klachten van de professionals, Opdrachtgevers en leveranciers (gerechtvaardigd belang en, voor zover van toepassing, uitvoering van de overeenkomst).
  • Voor HeadFirst Group is datakwaliteit van belang (zowel voor diens Opdrachtgevers, als correcte contractering), waardoor onderdeel van de dienstverlening controle van het account is. Zeker bij een concrete aanbieding verricht HeadFirst Group een check op volledigheid. Het doel daarvan is het sluiten van een overeenkomst met de correcte gegevens (datakwaliteit) wanneer een opdracht zich voordoet. Het verrichten en administreren van alle handelingen, afspraken en overeenkomsten samenhangend met de contractering is daar onderdeel van (gerechtvaardigd belang).
  • Het verrichten van contractbeheer, de financiële afhandeling en het berekenen van kosten en uitgaven door HeadFirst Group (uitvoering van de overeenkomst).
  • Het vastleggen van en het verlenen van dienstverlening door HeadFirst Group aan professionals, Opdrachtgevers en leveranciers (bijvoorbeeld de aanvullende dienstverlening) (uitvoering van de overeenkomst).
  • Het ondersteunen van professionals, Opdrachtgevers en leveranciers bij voldoen aan administratieve verplichtingen, zoals het aanleveren van overeengekomen stukken (bijvoorbeeld een vereiste Verklaring betalingsgedrag nakoming fiscale verplichtingen of een accountantsverklaring) en het sluiten van de overeenkomsten (uitvoering van een overeenkomst)
  • Het aanbieden van aanvullende diensten en het verbeteren van de dienstverlening. Wij kunnen persoonsgegevens die betrekking hebben op opdrachten waarop jij bent ingezet verwerken om analyses te maken en inzicht te krijgen in de markt voor zelfstandig professionals om onze diensten beter te kunnen afstemmen op vraag (Opdrachtgevers) en aanbod (zelfstandig professionals) (gerechtvaardigd belang en uitvoering van een overeenkomst, indien die wordt gesloten).
  • Nakoming van onze Gebruiksvoorwaarden en afspraken uit overeenkomsten verzekeren (uitvoering van een overeenkomst en gerechtvaardigd belang).
  • Het beschermen van onze activiteiten, onze rechten, veiligheid en eigendommen (gerechtvaardigd belang).
  • De verplichtingen jegens de Opdrachtgever na te komen, bijvoorbeeld door het verrichten van een pre-employment-screening (uitvoering van de overeenkomst).
  • Het tijdens een opdracht of na een succesvolle bemiddeling kunnen onderhouden van contact met het doel de dienstverlening te optimaliseren en, wanneer nodig, het kunnen ondersteunen van professionals en Opdrachtgevers indien er onregelmatigheden ontstaan (gerechtvaardigd belang).

Marketing

  • Informeren over dienstverlening van HeadFirst Group en haar partners en relevante ontwikkelingen in de markt (toestemming).
  • Marketing en promotie van onze dienstverlening en het meten van effectiviteit daarvan (nieuwsbrieven) (toestemming en gerechtvaardigd belang).
  • Verzamelen van beoordelingen via Ratecard.io (privacy statement beschikbaar via ratecard.io).

Compliance en veiligheid

  • Het naleven van wet- en regelgeving, opsporen, voorkomen, registreren en bestrijden van fraude en illegale activiteiten (wettelijke verplichting en gerechtvaardigd belang)
  • Het naleven van juridische uitspraken en bevelen en beantwoorden aan verzoeken van overheden (gerechtvaardigd belang).
  • Het naleven van fiscale verplichtingen die op ons of onze leveranciers/opdrachtgevers rusten en het beperken van (keten)aansprakelijkheid (gerechtvaardigd belang en een wettelijke verplichting, te vinden in de Uitvoeringsregeling verplicht gebruik BSN, artikel 1 sub b).
  • Interne controle en beveiliging. Om mogelijke inbreuken op onze beveiliging te voorkomen, op te sporen en te onderzoeken (gerechtvaardigd belang).

5.    Wat maakt verwerkingen op grond van de wet rechtmatig?

Enkele van onze verwerkingen zijn gebaseerd op de grondslag dat wij verplicht zijn jouw gegevens te verwerken op grond van de wet. Daarbij komt dat wij actief (door bijvoorbeeld de gegevensverzameling op het Platform te minimaliseren tot hetgeen in fases noodzakelijk is) de hoeveelheid gegevens beperken. Wij hebben passende technische en organisatorische beveiligingsmaatregelen genomen om de persoonsgegevens die wij verwerken te beschermen tegen ongewenste wijziging, verlies of onrechtmatig gebruik. Zo beveiligen wij onze systemen en applicaties volgens de geldende standaarden voor informatiebeveiliging (ISO27001). Onderdeel hiervan is dat er wordt gewerkt met multi-factor authenticatie, rechtenprofielen, logging en diverse vormen van beleid. Daarnaast worden er back-ups gemaakt en onze servers staan in Frankfurt. Wij hebben ook met onze dienstverleners afspraken gemaakt en hen verplicht om adequate beveiligingsmaatregelen te nemen.

6.    Wie hebben er toegang tot jouw persoonsgegevens?

Onze medewerkers hebben toegang tot jouw persoonsgegevens op een need-to-know basis. Dit betekent ook dat medewerkers van de entiteiten die aan ons gelieerd zijn toegang kunnen hebben tot jouw persoonsgegevens voor zover dit noodzakelijk is om onze diensten aan te kunnen bieden.

Wij kunnen persoonsgegevens in bepaalde gevallen delen met derden. Dit doen wij alleen wanneer dit noodzakelijk is voor onze dienstverlening en de doeleinden zoals beschreven in dit Privacy Statement.

  • Wij kunnen persoonsgegevens doorgeven aan entiteiten met wie jij een overeenkomst aangaat die verband houdt met jouw inzet op een opdracht en die voortvloeit uit jouw gebruik van het Platform.
  • Wij kunnen persoonsgegevens van professionals delen met onze Opdrachtgevers en eventueel met de leverancier door wie de professional in het Platform is aangemeld. Deze partijen zijn aan te merken als zelfstandig verwerkingsverantwoordelijken.
  • Wij maken gebruik van dienstverleners voor bijvoorbeeld het beheer van een inhuurdesk (naast het Platform dat we onder eigen beheer hebben) en voor de hosting. Wij maken onder andere gebruik van het Vendor Management Systeem van Netive VSM’s BV en Salesforce.com Inc. Wij maken ook gebruik van dienstverleners die namens ons uw identiteitsbewijs controleren en wij maken gebruik van software oplossingen die het mogelijk maken om cv’s geautomatiseerd te verwerken en om cv’s en opdrachten te matchen. Voor zover deze dienstverleners als verwerkers namens ons persoonsgegevens verwerken, leggen wij afspraken vast in een verwerkersovereenkomst.

7.    Verwerken wij gegevens buiten de EER?

Nee, wij verwerken jouw persoonsgegevens in beginsel binnen de Europese Economische Ruimte (EER). Wij maken gebruik van servers die in Europa (Frankfurt) staan en onze groepsmaatschappijen zijn gevestigd binnen de EER. Omdat wij gebruik kunnen maken van verwerkers die hun hoofdvestiging buiten de EER hebben, valt niet uit te sluiten dat wij direct of indirect persoonsgegevens delen met organisaties buiten de EER. Voor zover dit het geval is, nemen wij passende maatregelen om deze verwerking te legitimeren, waaronder het sluiten van een doorgifteovereenkomst op basis van door de Europese Commissie goed gekeurde standaard contractsbepalingen (SCC’s). Indien vereist, nemen wij daarbij aanvullende maatregelen om er zeker van te zijn dat er een passend beschermingsniveau wordt gewaarborgd. Wanneer je meer wil weten over het doorgeven van persoonsgegevens en de wijze waarop dit is gelegitimeerd, kun je contact met ons opnemen via de contactgegevens in dit Privacy Statement.

8.    Hoe lang bewaren we uw persoonlijke data?

De gegevens op het Platform
Zolang de zelfstandige of leverancier een contractuele relatie met HeadFirst Group heeft, inclusief gebruik maakt van het Platform zal HeadFirst Group de persoonsgegevens bewaren. Nadat deze relatie is beëindigd (d.w.z. dat de leverancier of zelfstandige zich heeft uitgeschreven en het profiel heeft verwijderd), kan HeadFirst Group de persoonsgegevens maximaal 7 jaar bewaren tenzij langer bewaren vereist is bijvoorbeeld ten behoeve van fiscale verplichtingen of civielrechtelijke vorderingen. De zelfstandige en/of leverancier kan zelf zijn profiel en een profiel van een werknemer van de leverancier ten allen tijde verwijderen via het Platform. Het profiel kan niet (geheel) worden verwijderd indien er alleen overeenkomsten zijn met een leeftijd van tussen de nul en zeven jaar en/of er nog lopende en/of toekomstige overeenkomsten of biedingen zijn.

HeadFirst Group hanteert verder de volgende vuistregels:

  • Wij bewaren zakelijke overeenkomsten en de correspondentie daarover voor de duur van zeven jaar na het einde van de contractuele relatie, tenzij hierover nog geschillen of procedures lopen.
  • Wij bewaren persoonsgegevens ten aanzien van de verificatie van jouw identiteit gedurende vijf jaar na het einde van onze zakelijke relatie.
  • Wij bewaren inschrijfgegevens voor de nieuwsbrieven tot dat je je hiervoor hebt uitgeschreven, met een maximum van twee jaar na het einde van onze zakelijke relatie.
  • Altijd zal er worden afgewogen of het (langer) verwerken van de persoonsgegevens noodzakelijk is. Indien dat niet het geval is, zullen de desbetreffende persoonsgegevens worden verwijderd.
  • In het geval van een bemiddeling bewaart HeadFirst Group de gegevens gedurende de eerste twee jaar van de opdracht/het dienstverband bij de Opdrachtgever voor het verrichten van nazorg.
  • Wij bewaren klachten, correspondentie over geschillen en rapportages over incidenten gedurende zeven jaar nadat ze volledig zijn afgehandeld. Wij bewaren documenten ten aanzien van payrolling en salarisadministratie voor zeven jaar na einde boekjaar.
  • VOG en Opdrachtgever specifieke documenten zoals integriteits- en geheimhoudingsverklaringen worden een jaar na einde opdracht verwijderd.
  • Overige gegevens die niet worden verwijderd, worden zeven jaar na einde boekjaar geanonimiseerd.

Voor de bewaartermijnen van cookies verwijzen wij jou naar onze Cookie Statements op de Websites.

9.   Gebruik van kunstmatige intelligentie (ai)

Bij onze dienstverlening maken wij gebruik van AI. Voornamelijk wordt AI gebruikt voor het optimaliseren van bepaalde processen. AI wordt gebruikt om te ondersteunen, niet om menselijke beslissingen te vervangen. Hieronder volgt een overzicht over het gebruik van AI in lijn met de AI verordening.

Doelen

  • AI wordt gebruikt voor het uitlezen van een CV om zo een profiel van een professional verder aan te vullen. Daarnaast kan er op basis van de door de professional aangeleverde informatie een introductietekst worden gegenereerd die aan opdrachtgevers worden voorgelegd. Eveneens kan AI suggesties doen op basis van eerdere correspondentie/contact;
  • AI assisteert bij het rangschikken van kandidaten voor relevante opdrachten;
  • AI wordt gebruikt bij het transcriberen van telefoongesprekken en het maken van samenvattingen daarvan.

Verantwoordelijkheid

  • HeadFirst Group is verantwoordelijk voor het gebruik juiste van AI. De AI-tools die HeadFirst Group gebruikt, zijn allemaal ontwikkeld en beschikbaar gesteld door derden;
  • HeadFirst Group zal nooit persoonsgegevens verwerken wanneer dit niet verenigbaar is met de doelen;
  • Hoewel AI gebruikt wordt voor het genereren van aanbevelingen en rangschikkingen, nemen medewerkers van HeadFirst Group altijd de uiteindelijke beslissing, met menselijke beoordeling als verplichte stap.

Transparantie

  • Voor zover technisch mogelijk en redelijkerwijs uitlegbaar, zal HeadFirst Group toelichting kunnen geven over de werking van de gebruikte AI-systemen;
  • Op verzoek kan er inzicht worden verschaft in de werkwijze van de AI processen;
  • AI maakt nooit de uiteindelijke beslissing, dit zal altijd liggen bij een medewerker van HeadFirst Group.

Beveiliging en evaluatie

  • De beveiliging zoals toegelicht in hoofdstuk 5 van dit privacy statement is ook van toepassing op het gebruik van AI;
  • AI wordt (vrijwel) uitsluitend binnen onze beheerde cloud omgeving gebruikt. Wanneer persoonsgegevens hierbuiten worden gedeeld met derden zijn er adequate maatregelen genomen in lijn met de vereisten van de AVG en wordt er een verwerkersovereenkomst afgesloten;
  • Doorlopend worden de AI systemen geëvalueerd om te kunnen garanderen dat dit aan de wettelijke eisen blijft voldoen. Op deze manier worden de AI systemen continue bijgewerkt en gemonitord dat er geen bias plaatsvindt en dat een eerlijk, niet discriminerend proces kan worden gewaarborgd.

Risiconiveau

  • Onder de AI verordening worden AI systemen op het gebied van werkgelegenheid geclassificeerd als “high-risk”;
  • HeadFirst Group heeft hiervoor risicobeoordelingen uitgevoerd waarbij de maatregelen om eventuele risico’s te mitigeren zijn opgenomen.

Wanneer jij hierover meer informatie wil ontvangen, klachten, vragen en/of verzoeken hebt dan kun je contact met ons opnemen via de contactgegevens onder ‘Contactcentrum’ in dit Privacy Statement.

10.  Welke rechten heeft u?

Onder de privacywetgeving beschik je over een aantal rechten met betrekking tot jouw persoonsgegevens en de verwerking ervan. Je kunt je rechten inroepen door contact op te nemen met ons via de contactgegevens in dit Privacy Statement onder ‘Wie zijn de verwerkingsverantwoordelijken’. Wij zullen jouw verzoek beoordelen en hieraan binnen een maand voldoen. Wanneer wij meer tijd nodig hebben om aan jouw verzoek tegemoet te komen, zullen wij jou binnen een maand laten weten dat wij nog eens twee maanden nodig zullen hebben. Wij kunnen jou naar aanleiding van jouw verzoek aanvullende vragen stellen om jouw identiteit vast te stellen of om je te vragen je verzoek te specificeren.

Recht van inzage
Je hebt het recht om van ons te horen of wij jouw persoonsgegevens verwerken. Wanneer dat het geval is, heb je het recht om inzage te verkrijgen in die persoonsgegevens en aanvullende informatie over de verwerking van jouw persoonsgegevens te ontvangen. Als jij een leverancier of zelfstandig professional bent, kun je jouw persoonsgegevens op eenvoudige en overzichtelijke wijze raadplegen door in te loggen in het Platform. Wil je een vollediger overzicht, of meer informatie over de gegevensverwerking, dan kun je een inzageverzoek aan ons richten.

Recht op rectificatie
Je hebt het recht op rectificatie van onjuiste of onvolledige persoonsgegevens. Je kunt ook je persoonsgegevens aanvullen. Als je als zelfstandig professional toegang hebt tot het Platform, kun je hier je persoonsgegevens aanvullen of wijzigen. Heb je geen toegang tot het Platform? Richt je dan tot de partij die jouw gegevens heeft ingevoerd. Biedt dat geen oplossing? Neem dan contact op met de gegevens onder nr. 2 van deze Privacy Statement.

Recht om vergeten te worden
Je hebt onder omstandigheden het recht op gegevenswissing. Op jouw verzoek verwijderen wij jouw persoonsgegevens wanneer de verwerking daarvan niet langer noodzakelijk is. Als je als (zelfstandig) professional toegang hebt tot het Platform kun je hierin persoonsgegevens wissen.

Recht op beperking
In sommige gevallen heb je het recht om de verwerking van je persoonsgegevens te laten beperken, bijvoorbeeld wanneer je meent dat jouw persoonsgegevens niet juist zijn. Als wij jouw verzoek om beperking honoreren, mogen wij gedurende de termijn van de beperking jouw persoonsgegevens niet langer verwerken.

Recht op dataportabiliteit
Je hebt het recht om de persoonsgegevens te ontvangen die je aan ons hebt verstrekt in een gestructureerde, gangbare en machineleesbare vorm en je hebt het recht deze gegevens door te sturen aan een andere verwerkingsverantwoordelijke, waar de verwerking is gebaseerd op jouw toestemming of op een overeenkomst.

Recht van bezwaar
Je hebt het recht bezwaar te maken tegen de verwerking van persoonsgegevens die gebaseerd is op de gerechtvaardigde belangen van HeadFirst Group. HeadFirst Group zal dan de persoonsgegevens niet meer verwerken, tenzij wij kunnen aantonen dat er gronden zijn voor de verwerking die zwaarder wegen dan jouw belangen, rechten en vrijheden of die verband houden met de instelling, de uitoefening of onderbouwing van een rechtsvordering.

Privacy statement of HeadFirst Group, mother organization of Sterksen – Version 23-07-2025

About us
HFBG Holding B.V.(HeadFirst Group, we, our, us) connects self-employed professionals, suppliers of professionals and clients. Self-employed professionals and suppliers offer their expertise through the platform (hereafter: the “Platform“), of HeadFirst Group, with the starting point: the right person at the right time in the right place for the right period. Everything from insurance, contracts to administrative handling is provided through the Platform. The Platform is an online marketplace for temporary capacity. It allows third parties (hereafter: “Clients“) and suppliers/self-employed people to find each other, with the contracting going through HeadFirst Group. Subsequently, administrative actions can be completed quickly and conveniently within the Platform.

Our relationship with you
Your privacy is important to us. This statement explains what personal data HeadFirst Group processes, how HeadFirst Group processes it and for what purposes. Please read this privacy statement and our Platform Terms of Use (found on the Platform) carefully, as they are both integral to our relationship with you.

We process your personal data when you use our services (intermediary services and/or additional services), when you visit one of our websites and when you contact us. For example, through our websites you can contact us by e-mail, request information or chat with us. Prior to using intermediary services, we may process personal data when you or your employer enters it into our systems. This data can be used to bid for jobs.

1. Who are the data controllers

The controller determines the purpose and means of data processing. Pursuant to the General Data Protection Regulation (AVG), most of the obligations lie with the controller and they are also the first point of contact for you as a data subject. Below is a breakdown. In almost every case, HeadFirst Group qualifies as an independent data controller, with the exception of (i) the situation where your employer has entered your data into our system and you were never subsequently placed on an assignment through HeadFirst Group or (ii) when the contract with the supplier or self-employed person is entered into directly with the Client and HeadFirst Group has only played an administrative role in this. In the latter case, HeadFirst Group is the processor acting on the instructions of the Client, who is then designated as the controller.

Five variants are conceivable:

  • Are you self-employed? Then you have to deal with two controllers of your data (the Client and HeadFirst Group).
  • Are you employed by a supplier of a Client? Then you have to deal with three data controllers (your employer, HeadFirst Group and the Principal).
  • Are you mediated by HeadFirst Group to enter into employment with a Client or to enter into an assignment directly? In that case, HeadFirst Group (only for the mediation phase) and the Client (for the commencement of employment/direct contracting) are the controllers.
  • Does HeadFirst Group act as a processor for the Client, for example in the context of “recruitment process outsourcing” (“RPO”)? Then the Client is the controller.
  • Do you use additional services? Then (e.g.) the insurer from whom you receive the certificate is independently responsible for the processing of its services.

v the Principal as the data controller

Do you have a privacy-related question and/or request to the Principal? If so, you can contact the Principal directly for that purpose. You can do so by contacting them using the contact information found in the Principal’s privacy statement.

v The employer as data controller

Do you have a request to your employer? Then you can contact your employer directly. You can do this by using the contact information you can find in the privacy statement of your employer. Have you not yet completed an assignment through HeadFirst Group, no offer has been made and no start has been made with that? Then your employer can remove your data in the Platform through his or her account.

v THE INSURER as processing controller

Do you have a question and/or request to the insurer? Upon contracting, you or your employer have been informed where to find the insurer’s privacy statement. Do you have a question and/or request to the insurer? Then you can contact the insurer directly for that. You can do that by contacting them using the contact information in your insurer’s privacy statement.

v HeadFirst group as (Joint) controller

In the context of HeadFirst Group’s services.
We process personal data when services are used (both intermediary services and any additional services). HeadFirst Group provides services from multiple entities, each 100% part of the same concern (HFBG Holding B.V.). HeadFirst Group has joint processing responsibility. To ensure that it is clear to whom you can turn with questions and complaints, we have designated a primary controller. That is HeadFirst B.V., located at Taurusavenue 18, 2132 LS in Hoofddorp. You can reach us by phone at 023 – 568 56 30, by email at support@headfirst.nl. Other entities that are part of HeadFirst Group and which may process your personal data – via the Platform – as data controllers include but are not limited to (subsidiaries and sister companies of): Associates B.V., Between Staffing B.V., Designated Professionals B.V., Fast Flex B.V., Fast Flex Sourcing B.V., HeadFirst Germany GmbH, HeadFirst IT B.V., HeadFirst Poland sp. z o.o., Myler B.V., Oyster Coast B.V., Open Technologies B.V., Source Automation B.V., Source Automation BV. (Belgium), Source Automation Luxemburg SA, Source Payroll Services B.V., Sterksen B.V., StarApple B.V. and Yellow Friday B.V. Each of these entities, in addition to being part of this group, is also contractually bound to handle data responsibly, entirely in line with this privacy statement. By registering on the Platform, your profile can be found by each of these entities for potential assignments.

In connection with other activities, including customer contact, direct marketing and website visits
We also collect personal data for our own purposes (including customer contact, direct marketing, website visits, which are explained under purposes) in addition to personal data for intermediary services. Because we determine the purpose and means, we qualify as an independent data controller.

Employees of the Client
We also process data of the Client’s contact persons. With respect to this data, HeadFirst Group qualifies as a data controller.

2. Contact Center

If you have any questions or requests regarding what happens to your personal data on the Platform, please contact HeadFirst Group. Unsure about which party qualifies as a data controller or where to go with your question about data processing by or through HeadFirst Group? For your privacy questions you can reach us by phone at 023-5685630 or by email at privacy@headfirst.nl. We are happy to help you find a solution. Should that still not succeed, you can turn to the Personal Data Authority (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap).

3. What type of personal data are processed? For what purpose and on what basis?

We process different types of personal data about you, for example, because you have created a profile on the Platform and uploaded a CV. When you use the Platform, different categories of personal data are collected in the process. Which data is collected is primarily determined by law and also depends on the additional service chosen and the Client’s requirements for flexible staff.

We process personal data only when there is (or are) one (or more) basis(s) for doing so:

(1) Execution of the contract.
As an intermediary, we are the contractual intermediary in the hiring of flexible staff. We conclude and manage agreements with professionals, suppliers and clients on the basis of which we process personal data. In addition to the personal data from the agreements themselves, this also covers the personal data required by the contracts. Thus, it is also conceivable that we request personal data from you prior to the conclusion of an agreement so that we can establish it. Subsequently, it is also possible that surveys are sent out in order to be able to improve our services and/or (gain) insights into (the circumstances of the execution of) contracts with Clients.

(2) Consent.
We may ask you for your consent prior to data processing in certain cases. For example, we will ask you for your consent before we send you certain news items. Once you have given your consent, you may withdraw your consent at any time, after which we will not process your personal data for the purposes for which the consent was given. You can revoke your consent by clicking the unsubscribe button at the bottom of the relevant news item.

(3) Legal obligation.
As an intermediary we are obliged to process certain personal data. Examples are obligations under the Wet allocatie arbeidskrachten door een intermediair (Waadi), the Wet arbeid vreemdelingen (Wav) or tax obligations. A legal obligation may also mean that we are obliged to share certain personal data with Clients, supervisors or other third parties for processing. When we are obliged to do so, we share this data with the relevant party.

(4) Legitimate interest.
We may process personal data because we have a legitimate interest in doing so, or because the organization to which we provide your personal data has a legitimate interest. This is for example the case when we want to prevent tax liabilities or minimize the risk thereof, or when we want to detect and prevent fraud, but also when we want to promote new products/services related to the current services provided by HeadFirst Group. We also have a legitimate interest to further process personal data of professionals listed in the Platform in order to carry out our services and to deploy the professional on an assignment. We also have a legitimate interest in aggregating and anonymizing personal data to conduct market analysis so that we can improve our services. Sending messages highlighting new services and/or products from us also falls under legitimate interest. Another conceivable legitimate interest is the processing of personal data through artificial intelligence (further referred to as “AI”) by, for example but not limited to, transcribing interviews, performing cross-checks on certain information and giving advice based on the available information. Final decisions are all made through human intervention. See Chapter 9 for a further explanation of the use of AI. This is all for the purpose of improving our service to the professional and Suppliers. We always strike a balance between our interests and those of the parties involved. If you would like to receive more information about this, please contact us using the contact details under ‘Contact Center’ in this privacy statement.

A. Visitors to our websites and/or readers of our mailings.

We use several websites (collectively, the Websites). When you visit our Websites, you may provide us with personal data, for example, because you send us an e-mail with a question or request, or because you use a chat function or a contact form on our Websites. We may process your name, e-mail address or other contact information in this context. In addition, we process other personal data insofar as you provide these with your question or request or in the chat conversation. We collect this personal data because, when applicable, we need to perform the agreement we have with you. If an agreement has not yet been concluded (and the question concerns, for example, how registration with the Platform works), these data are processed on the basis of the legitimate interest that the question can be answered adequately.

We offer you the opportunity to sign up for our newsletters and other messages coming from us and/or other entities within our group. We may also, with your consent, send you communications about initiatives by partners with whom we work. You can easily unsubscribe from the messages we send you at any time by using the unsubscribe link in the emails or by adjusting your preferences in the area of your profile. We use common tracking techniques that provide insight into the reach and effectiveness of our direct marketing messages. If you open a newsletter or commercial e-mail from us, we can track when you opened it and which parts you clicked on. We process your e-mail address, IP address, time of receipt, time of opening and click behavior. The first purpose is to inform you about services of HeadFirst Group and its partners and relevant developments in the market. The second purpose is to conduct marketing and promotional activities of our services and measure their effectiveness. In this way we can improve our services and tailor our information and communication to relevant target groups. Newsletters and other related messages are sent pursuant to “consent,” which can be revoked at any time (by going to the profile on the Platform and “unchecking” consent there or by clicking the “unsubscribe” button at the bottom of the email). In addition, data collected is analyzed and processed on the basis of legitimate interest in order to measure the effectiveness of marketing and promotional activities.

B. Personal data generated by our Websites.

We use cookies and similar techniques on our Websites and within the environment of our apps. When you visit the Websites, certain data are processed and generated, such as your IP address, data about your browser, data about browsing behavior, date and time of your visit and the way you navigate through our websites. Consent is requested for preference cookies, analytical cookies and marketing cookies. Because we want to guarantee your privacy and improve the usability of the Platform, we think it is important that you know how and why we use cookies. We encourage you to consult the cookie statements on our Websites. The data are partly based on ‘consent’, partly on ‘legitimate interest’ to operate the Website and the Platform.

C. Users of the platform

When you register or are registered on the Platform, personal data is collected from you, divided into stages for the purpose of data minimization. Here a distinction is made between independent professionals and employees of suppliers.

v Independent professionals and (professionals from) suppliers using the platform

Phase 1: Register as a self-employed professional
When you register as an independent professional on the Platform, we ask you to provide the following personal data: first and last name, gender, address and postal code, e-mail address, country of origin and nationality, (mobile) phone number, date of birth, the name of your company, Chamber of Commerce number and password. We also offer you the opportunity to upload a photo to your account. In addition, you can indicate whether you want to use our additional services.

The purpose of this registration is to execute the Terms of Use of the Platform. The basis is the performance of the agreement and the legitimate interest of both parties (i.e. visibility into the online marketplace for you and an up-to-date database for HeadFirst Group). In addition, HeadFirst Group can verify that the account is set up correctly.

Phase 1: Register as a supplier.
If you are a supplier contact person, we may process the following personal data from you: your first and last name, gender (signatory), signatory name, signatory position, e-mail address, (mobile) phone number, password, profile number, data about the creation of your supplier account and its status and data about contact you have had with us. The purpose of recording this is to record with whom what contact is maintained (legitimate interest) and to be able to contract quickly and correctly when a contract is awarded to a professional employed by the supplier (performance of the contract).

Phase 2: Completing your self-employed profile.
Once you have registered, we ask you to complete your profile and to provide information that will enable us to introduce you to Clients or to respond to assignments. In addition to the personal data you provided when you registered, we process information about your account such as your profile number. Furthermore, you can supplement your profile with information about your professional background, CV (including all information contained therein such as social media channels, educational level and whether you have previously carried out assignments or worked for this Client) and assessment results. We additionally process data about your company, such as name and business address. You can also upload an accountant’s statement/statement of compliance and add information about your taxes. For invoicing purposes we ask for your bank details and your VAT number. To the extent permitted or required by law, we may ask you for your BSN (depending on the chosen service, for example when you also take out disability insurance through HeadFirst Group). When you use our additional services we ask the data that the insurer will request us to provide for the conclusion of a professional and corporate liability insurance. Only when we are legally obliged to do so (i.e. in the run-up to an assignment) will we verify your identity on the basis of a valid identity document. We may also engage an external service provider to verify your identity on our behalf. This is done digitally. The service provider processes the personal data on your proof of identity, a photo of you and your e-mail address. We obtain the result of the check and the date the check was performed. If you do not want your proof of identity to be checked digitally, you can choose to come to our office for the identity check. We will note when the check took place and information about the identity document checked such as the type of document, country of issue, number and period of validity. If you are a national of a country outside the European Economic Area (EEA) or Switzerland or if you are a Croatian national, we may ask you for a work permit. In this case, we must store a copy of your passport and a copy of the relevant permit.

Within the environment of your profile, we process information about your assignments and agreements we have made with you in this regard. We may use unique identifiers, such as an assignment number, for this purpose. The basis is the execution of the agreement (if an assignment is awarded to you) and the legitimate interest of both parties (i.e. the ability for you to quickly apply for a portion of the assignments and an up-to-date file for HeadFirst Group. After all, HeadFirst Group will need to check data such as identity only once in case of successive assignments).

Its goals are:

  1. Being able to quickly compare available professionals so that the right person gets to the right place (legitimate interest);
  2. To be able to provide the right match between the Client’s assignment and the professional best suited to it (legitimate interest);
  3. Being able to quickly present and make professionals available to Clients (legitimate interest);
  4. Closing an agreement with the correct data (data quality) when an assignment arises, both towards you and the ultimate client.

If an assignment has not yet been awarded and has not been fulfilled in the past, these data are editable on the Platform. Once awarded, this data can be modified and reused (to the extent still current) for future assignments (except for the verified identifying data).

Phase 2: Providing Profile as a Supplier.
As a supplier, you can register an employee as a professional (and as an employee of a supplier, you can be registered) on the Platform and offer (or be offered) assignments to Clients through the Platform. The personal data of the completed profiles of professionals (or you) will also be processed in accordance with this privacy statement. The professional (or you) will receive a separate email pointing out this privacy statement. With respect to the professional, the following applies. When the supplier registers you as a professional on the Platform, we ask the supplier to fill in the following personal data (required): first and last name, gender, address and postal code, e-mail address, country of origin and nationality, (mobile) phone number, date of birth. With regard to the profile, the following three retention options can be chosen: Profile for mediation by HeadFirst Group; Delete/anonymize after 60 days; Delete/anonymize after 1 year. We also offer the supplier the opportunity to upload a CV (including educational level, whether you have previously performed or worked for this Client and other data) and upload a photo. We will process your personal data to facilitate your application by the Supplier and to include you in the Platform’s database. In the first place, we have a legal obligation (art. 7c paragraph 2 of the Law on allocation of labor forces by intermediaries) to identify you. We may also process your BSN. By law, this must be done prior to the nomination for mediation. It is of course possible that you have been registered in the Platform by your employer without being successfully offered assignments. In that case, it is up to your employer to remove the profile, for example when you leave the company or a long-term assignment elsewhere. You can contact your employer for this. If you have since left your employment or are dealing with an unusual situation, please feel free to contact us using the contact details provided under the heading Contact Center. We also have a legitimate interest in ensuring that the supplier working with us can fulfill its agreements with you and that you can be deployed on the desired assignment. We always weigh our interests against the privacy interests of you as a data subject. If you would like more information about this balancing of interests, please contact us via the contact details provided under ‘Contact Center’ in this privacy statement. We also have a legitimate interest in processing your personal data, which lies in being able to perform our usual services, to fulfill the agreements and orders of suppliers and clients and to comply with (quality) standards applicable in the market.

Its goals are:

  1. Being able to quickly compare available professionals so that the right person gets to the right place (legitimate interest);
  2. To be able to provide the right match between the Client’s assignment and the professional best suited to it (legitimate interest);
  3. Being able to quickly present and make professionals available to Clients (legitimate interest);
  4. Closing an agreement with the correct data (data quality) when an assignment arises, both toward the supplier and toward the ultimate client.

Phase 3: When a contract is awarded.

When a contract is awarded, the data is checked again by our contract management department. The Platform can contain a digital vault. The digital safe stores data that must be supplied when a contract is awarded. The advantage of the digital safe is that this data remains in the safe, so it does not have to be up-loaded again for a new order. We can process personal data contained in the documents you have uploaded, such as your audit report, VOG application and statement, pre-employment screening, codes of conduct, confidentiality and reliability statements, accreditations and diplomas. The languages you speak can also be stored. Your digital safe also stores the outcome of the identity check and the copy of your passport or identity card and your work permit, if we are required to record them. We may also store the document number of your passport or identity card. The legal regulation invoked is the Uitvoeringsregeling verplicht gebruik BSN, article 1 sub b.

Its goals are:

  1. Establishing a clear agreement with the correct data (data quality) when a contract is awarded, both towards the supplier and/or independent contractor and towards the ultimate Client.
  2. Performing contract management, financial processing and cost and expense calculations by HeadFirst Group.
  3. Capturing and providing services by HeadFirst Group to professionals, Clients and suppliers (e.g. additional services).
  4. Supporting professionals, Clients and suppliers in meeting administrative obligations, such as the delivery of agreed documents (for example, a required Statement of Payment History compliance with tax obligations or an auditor’s report) and the conclusion of the agreements.
  5. Maintaining contact, answering questions and requests.
  6. Offering additional services and improving services. We may process personal data related to assignments on which you have been deployed in order to analyze and understand the market for independent professionals in order to better align our services with demand (Clients) and supply (independent professionals).
  7. Complying with laws and regulations, detecting, preventing and combating fraud and illegal activities.
  8. Handling claims and complaints.
  9. Complying with legal judgments and orders and responding to government requests.
  10. Complying with tax obligations imposed on us or our suppliers/clients and limiting (chain) liability.
  11. Ensure compliance with our terms of use and agreements.
  12. Protecting our operations, our rights, security and property.

v Processing personal data for mediation

When professionals are introduced to Clients via HeadFirst Group with the goal of entering into an employment contract with the Client or filling in an assignment directly with the Client, HeadFirst Group is the controller in the context of the mediation. Only the personal data necessary for the mediation will be processed. This may include: first and last name, gender, e-mail address, (if necessary) country of origin and nationality, (mobile) telephone number and CV. The Client may request additional information for the mediation. HeadFirst Group will always endeavour to keep the processing of personal data to a minimum.

In the event of a successful mediation, the Client will become the controller as the employer. If the mediation was unsuccessful, HeadFirst Group will retain the personal data for two (2) years after the end of the initial mediation process for the purpose of achieving a successful mediation (legitimate interest), subject to the consent of the professional.

v Clients using the platform

When Principals, who want to place (or have placed) assignments on the Platform, register (or have registered) on the Platform, personal data of the employees of Principals (in case of approvals/additional agreements. If you are a contact person of a Client, we may process the following personal data of you: your email address, your (mobile) phone number, password (in case of an account on the Platform), profile number and data about the contact you have had with us. In doing so, HeadFirst Group has a legitimate interest (being able to carefully record required information). In addition, these data serve the performance of the contract. HeadFirst Group also has an accountability towards its own accountant and tax authorities in the sense of the administration obligation in Article 2:10 of the Dutch Civil Code.

Would you like to make a request regarding your data? If so, please feel free to contact us using the contact information under item 2. Contact Center.

v As part of a pre-employment screening process

For some assignments we perform a pre-employment screening. We do this because the client asks us to, for example when this is required by law (think of the Financial Supervision Act, Wft) or because it arises from the nature of the assignment. Where necessary, we will inform you that the assignment for which you (or the employee of a supplier) are eligible will include screening as part of the selection procedure and explain how we or a third party engaged by us will conduct the screening.

If a Client indicates that screening is desired or required, we always verify the nature of the assignment, the manner in which the screening is to be conducted, and the legitimate interests of the Client. We balance the interests of the client against your privacy interests. Only when your privacy interests do not interfere with this will we proceed to conduct a screening.

When we conduct a screening, we process data about your suitability, reliability and integrity that are relevant to the performance of the assignment. The severity of the screening depends on the assignment, the requirements of the Principal and the requirements and obligations of the law, even if those requirements and obligations rest with the Principal. In any case, we may check the data entered by you or by the supplier as part of the screening. In addition, depending on the nature of the screening, we may process information from references, former employers/clients, antecedents, data on previous performance, suspension or dismissal, a certificate of good conduct (VOG) or a declaration of no objection (VGB) and a list of ancillary positions.

Depending on the nature of the screening, we will provide personal information about you to the Principal. We may ask you to complete a screening form provided by the Client. The information entered on the form will be processed only for the purpose of the deployment with the Client listed on the form and will be shared with that Client, unless otherwise agreed. It is also conceivable that we conduct a screening where we only pass on whether you have completed the screening with a positive result. In that case, we do not share any further data with the Principal. It depends on the assignment what we share. If you have any questions about this, please contact the contact person associated with the assignment.

4. Why are your personal data being processed (Purposes)?

In addition to the above purposes, personal data may be processed for the following purposes, as applicable:

Administration

  • HeadFirst Group has an accountability and administration obligation towards its own accountant and the tax authorities within the meaning of Article 2:10 of the Dutch Civil Code. This includes the performance and administration of agreements to be made and concluded, all agreements and all payment actions following agreements concluded (legal obligation). All documents relating to an agreement also form part of the mandatory administration.
  • HeadFirst Group is required under art. 7c Waadi to identify a (prospective) worker (legal obligation).

Services

  • The (core) service of HeadFirst Group (finding, presenting and contracting the right matches for Clients and vice versa) starts with facilitating the Platform and making the online marketplace connected to it accessible. In doing so, HeadFirst Group facilitates that the self-employed person or supplier can create a profile. With that profile, the self-employed person can immediately access (part of) the marketplace. The supplier can also immediately (partly) enter the marketplace with that profile and can upload a profile based on what he can find there. The purpose of processing this personal data is that HeadFirst Group can offer its services and that the self-employed person/supplier/client can use them (legitimate interest).
  • To quickly compare, present and make available the right matches on a Client assignment (legitimate interest).
  • Being able to provide account management and handling of questions, requests, claims and complaints from the professionals, Clients and suppliers (legitimate interest and, as applicable, performance of the agreement).
  • For HeadFirst Group, data quality is important (both for its Clients and correct contracting), so part of the service is checking the account. Especially when a concrete offer is made, HeadFirst Group performs a check on completeness. The purpose is to conclude a contract with the correct data (data quality) when an assignment occurs. The performance and administration of all actions, agreements and arrangements related to the contracting is part of this (legitimate interest).
  • Performance of contract management, financial processing and calculation of costs and expenses by HeadFirst Group (contract performance).
  • Capturing and providing services by HeadFirst Group to professionals, Clients and suppliers (e.g. additional services) (execution of the agreement).
  • Supporting professionals, Clients and suppliers in meeting administrative obligations, such as the delivery of agreed documents (for example, a required Statement of Payment History compliance with tax obligations or an auditor’s report) and the conclusion of agreements (execution of an agreement)
  • Offering additional services and improving services. We may process personal data related to assignments on which you have been deployed in order to analyze and gain insight into the market for independent professionals in order to better align our services with demand (Clients) and supply (independent professionals) (legitimate interest and performance of an agreement, if concluded).
  • Ensure compliance with our Terms of Use and agreements (performance of an agreement and legitimate interest).
  • Protecting our operations, our rights, security and property (legitimate interest).
  • To fulfill the obligations to the Client, for example, by conducting a pre-employment screening (performance of the contract).
  • Being able to maintain contact during an assignment or after a successful mediation with the aim of optimizing the service and, if necessary, being able to support professionals and Clients if irregularities arise (legitimate interest).

Marketing

  • Inform about services provided by HeadFirst Group and its partners and relevant developments in the market (consent).
  • Marketing and promotion of our services and measuring their effectiveness (newsletters) (consent and legitimate interest).
  • Collection of ratings through Ratecard.io (privacy statement available through ratecard.io).

Compliance and security

  • Complying with laws and regulations, detecting, preventing, recording and combating fraud and illegal activities (legal obligation and legitimate interest)
  • Complying with legal judgments and orders and responding to government requests (legitimate interest).
  • Compliance with tax obligations incumbent on us or our suppliers/clients and limiting (chain) liability (legitimate interest and a legal obligation, to be found in the Implementing Regulation Mandatory Use of BSN, article 1 sub b).
  • Internal monitoring and security. To prevent, detect and investigate possible breaches of our security (legitimate interest).

5. What makes processing operations lawful under the law?

Some of our processing operations are based on the basis that we are required to process your data by law. In addition, we actively (for example, by minimizing data collection on the Platform to what is necessary in stages) limit the amount of data. We have taken appropriate technical and organizational security measures to protect the personal data we process from unwanted alteration, loss or unauthorized use. For example, we secure our systems and applications in accordance with applicable information security standards (ISO27001). Part of this is that multi-factor authentication, rights based profiles, logging and various forms of policy are implemented. In addition, backups are made and our servers are located in Frankfurt. We have also made agreements with our service providers and required them to implement adequate security measures.

6. Who has access to your personal data?

Our employees have access to your personal data on a need-to-know basis. This also means that employees of the entities affiliated with us may have access to your personal data to the extent necessary to provide our services.

In certain cases, we may share personal data with third parties. We only do this when this is necessary for our services and the purposes as described in this Privacy Statement.

  • We may transfer personal data to entities with whom you enter into an agreement that is related to your commitment to an assignment and that arises from your use of the Platform.
  • We may share personal data of professionals with our Clients and possibly with the supplier by whom the professional is registered in the Platform. These parties can be regarded as independent controllers.
  • We use service providers for, for example, the management of a hiring desk (in addition to the Platform that we manage ourselves) and for hosting. We use, among other things, the Vendor Management System of Netive VSM’s BV and Salesforce.com Inc. We also use service providers who check your identity document on our behalf and we use software solutions that make it possible to process CVs automatically and to match CVs and assignments. Insofar as these service providers process personal data on our behalf as processors, we record agreements in a processing agreement.

7. Do we process data outside the EEA?

No, we process your personal data in principle within the European Economic Area (EEA). We use servers located in Europe (Frankfurt) and our group companies are located within the EEA. Because we may use processors that have their principal place of business outside the EEA, it cannot be excluded that we directly or indirectly share personal data with organizations outside the EEA. To the extent this is the case, we take appropriate measures to legitimize such processing, including entering into a transfer agreement based on standard contractual clauses (SCCs) approved by the European Commission. If required, we thereby take additional measures to ensure an adequate level of protection. If you would like to know more about the transfer of personal data and how this is legitimized, please contact us using the contact details in this privacy statement.

8. How long do we keep your personal data?

The data on the Platform.
As long as the self-employed person or supplier has a contractual relationship with HeadFirst Group, including using the Platform, HeadFirst Group will keep the personal data. After this relationship has ended (i.e. the supplier or self-employed person has unsubscribed and deleted the profile), HeadFirst Group may retain the personal data for up to 7 years unless longer retention is required, for example, for tax obligations or civil claims. The self-employed person and/or supplier themselves can delete their profile and a profile of an employee of the supplier at any time via the Platform. The profile cannot be removed (completely) if there are only agreements with an age of between zero and seven years and/or there are ongoing and/or future agreements or bids.

HeadFirst Group further applies the following rules of thumb:

  • We retain business agreements and correspondence about them for a period of seven years after the end of the contractual relationship, unless they are subject to ongoing disputes or litigation.
  • We retain personal data with respect to the verification of your identity for five years after the end of our business relationship.
  • We retain subscription data for newsletters until you have unsubscribed from them, with a maximum of two years after the end of our business relationship.
  • We will always consider whether the (longer) processing of the personal data is necessary. If it is not, the personal data in question will be deleted.
  • In the event of a mediation, HeadFirst Group will retain the data for the first two years of the assignment/employment with the Client for the purpose of providing aftercare.
  • We retain complaints, correspondence regarding disputes and incident reports for seven years after they have been fully resolved. We retain documents with respect to payroll and payroll records for seven years after the end of the financial year.
  • VOG and Client-specific documents such as integrity and confidentiality agreements will be deleted one year after the end of the assignment.
  • Other data that is not deleted will be anonymised seven years after the end of the financial year.

For cookie retention periods, please refer to our Cookie Statements on the Websites.

9. Use of artificial intelligence (AI)

We use AI in our services. Mainly, AI is used to optimize certain processes. AI is used to support, not replace human decisions. Below is an overview of the use of AI in line with the AI regulation.

Goals

  • AI is used to read a CV in order to further supplement a profile of a professional. In addition, an introduction text can be generated based on the information provided by the professional that is presented to clients. AI can also make suggestions based on previous correspondence/contact;
  • AI assists in ranking candidates for relevant assignments;
  • AI is used in transcribing phone calls and making summaries thereof.

Responsibility

  • HeadFirst Group is responsible for the correct use of AI. The AI tools that HeadFirst Group uses are all developed and provided by third parties;
  • HeadFirst Group will never process personal data if this is not compatible with the purposes;
  • Although AI is used to generate recommendations and rankings, employees of HeadFirst Group always make the final decision, with human review as a mandatory step.

Transparency

  • To the extent technically possible and reasonably explainable, HeadFirst Group will be able to provide an explanation of the operation of the AI systems used;
  • On request, insight can be provided into the working method of the AI processes;
  • AI never makes the final decision, this will always lie with an employee of HeadFirst Group.

Security and assessment

  • The security as explained in chapter 5 of this privacy statement also applies to the use of AI;
  • AI is (generally) used exclusively within our managed cloud environment. When personal data is shared with third parties outside of the HeadFirst Group environment, adequate measures have been taken all in line with the requirements of the GDPR and a processing agreement is concluded;
  • The AI systems are continuously evaluated to ensure that they continue to meet the legal requirements. In this way, the AI systems are continuously updated and monitored that no bias takes place and that a fair, non-discriminatory process can be guaranteed.

Risk

  • Under the AI regulation, AI systems in the field of employment are classified as “high-risk”;
  • HeadFirst Group has carried out risk assessments for this purpose, including the measures to mitigate any risks.

If you would like to receive more information about this, have complaints, questions and/or requests, you can contact us via the contact details under ‘Contact Centre’ in this Privacy Statement.

10. What rights do you have?

Under privacy laws, you have a number of rights regarding your personal data and its processing. You can exercise your rights by contacting us using the contact details provided in this privacy statement under ‘Who are the controllers’. We will assess your request and comply with it within one month. If we need more time to comply with your request, we will let you know within one month that we will need another two months. We may ask you additional questions in response to your request in order to establish your identity or to ask you to specify your request.

Right of access
You have the right to hear from us whether we are processing your personal data. If so, you have the right to access that personal data and to receive additional information about the processing of your personal data. If you are a supplier or independent professional, you can access your personal data in a simple and clear manner by logging into the Platform. If you would like a more complete overview, or more information on data processing, you can send us a request for inspection.

Right of rectification
You have the right to rectification of inaccurate or incomplete personal data. You can also supplement your personal data. If you have access to the Platform as an independent professional, you can supplement or change your personal data here. Do you not have access to the Platform? Please contact the party that entered your data. Does that not provide a solution? Then contact the details under no. 2 of this privacy statement.

Right to be forgotten
You have the right to data erasure under certain circumstances. At your request, we will delete your personal data when its processing is no longer necessary. If you have access to the Platform as an (independent) professional, you can delete personal data herein.

Right to restriction
In some cases, you have the right to restrict the processing of your personal data, for example, if you believe that your personal data is inaccurate. If we honor your request for restriction, we may no longer process your personal data for the duration of the restriction.

Right to data portability
You have the right to receive the personal data you have provided to us in a structured, common and machine-readable form, and you have the right to transfer that data to another data controller, where the processing is based on your consent or on an agreement.

Right of Objection
You have the right to object to the processing of personal data based on the legitimate interests of HeadFirst Group. HeadFirst Group will then no longer process the personal data unless we can demonstrate that there are grounds for the processing which outweigh your interests, rights and freedoms or which are related to the establishment, exercise or support of a legal claim.

Op zoek naar een passende oplossing voor jouw recruitment vraagstuk? Sterksen helpt je graag verder!

Hoofdkantoor Sterksen

Haagweg 389
4813 XC Breda

info@sterksen.com
088 04 42 000

Privacy

© 2025 Sterksen. All rights reserved

Privacy Preference Center

Privacy Preferences