Privacyverklaring – The Managed Cloud Company
Laatst bijgewerkt: 9 oktober 2025
Deze privacyverklaring is van toepassing op alle diensten en activiteiten van The Managed Cloud Company, handelsnaam van Hively Nederland B.V., en haar gelieerde labels:
- Brightly (handelsnaam van Brightly 365 B.V.)
- Hively (handelsnaam van Hively 365 B.V.)
- Vivaly (handelsnaam van Hively 365 B.V.)
- SimplyVoice (handelsnaam van Brightly 365 B.V.)
In deze verklaring leggen wij uit hoe wij omgaan met persoonsgegevens van klanten, gebruikers, leveranciers, sollicitanten en bezoekers van onze websites en portals.
1. Verantwoordelijkheid voor verwerking
The Managed Cloud Company is verantwoordelijk voor de verwerking van persoonsgegevens zoals beschreven in deze verklaring.
Wij erkennen deze verantwoordelijkheid en zorgen dat uw gegevens worden verwerkt in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) en andere toepasselijke wetgeving.
2. Contactgegevens
The Managed Cloud Company
(Hively Nederland B.V.)
Rijnzathe 6
3454 PV Utrecht
Nederland
E-mail:
KvK-nummer: 93640943
3. Persoonsgegevens die wij verwerken
Wij verwerken persoonsgegevens die u actief aan ons verstrekt of die noodzakelijk zijn voor het uitvoeren van onze diensten. Dit omvat onder meer:
- Voor- en achternaam
- Functie en bedrijfsnaam
- BRIN nummer van de onderwijs instelling
- Leerlingnummer
- Zakelijk e-mailadres en telefoonnummer
- Inloggegevens en gebruikers-ID’s voor portals of beheerde diensten
- IP-adres en loggegevens bij gebruik van onze online diensten
- Communicatiegeschiedenis (supporttickets, e-mails, chats, telefoongesprekken)
- Facturatie- en betalingsinformatie
- Technische systeeminformatie (zoals device-ID’s, netwerklogs en monitoringdata bij beheerde IT-omgevingen)
Wij verwerken geen gevoelige persoonsgegevens, tenzij dit strikt noodzakelijk is voor de uitvoering van onze overeenkomst of een wettelijke verplichting.
4. Doelen en rechtsgrond van verwerking
Wij verwerken persoonsgegevens uitsluitend voor gerechtvaardigde, duidelijke doeleinden, op basis van één of meerdere rechtsgronden:
Doel van de verwerking | Rechtsgrond volgens AVG |
Uitvoering van overeenkomsten met klanten (beheer, support, levering van licenties, cloudbeheer, telefonie) | Noodzakelijk voor de uitvoering van de overeenkomst |
Automatiseren van gebruikersbeheer en toegangsrechten, zoals het aanmaken, koppelen en beheren van leerling-, docent- en medewerkeraccounts in onderwijs- en werkplekomgevingen (bijv. KidsLogin, OnlineKlas, Workspace365) | Noodzakelijk voor de uitvoering van de overeenkomst / gerechtvaardigd belang* |
Ontsluiten van gebruikers binnen de juiste groepen, klassen of afdelingen en faciliteren van Single Sign-On en werkplekportalen | Noodzakelijk voor de uitvoering van de overeenkomst |
Communicatie, ondersteuning, incidentafhandeling en wijzigingsverzoeken | Noodzakelijk voor de uitvoering van de overeenkomst |
Facturatie, contractbeheer, administratie en licentiebeheer | Wettelijke verplichting |
Beveiliging, monitoring, logging en kwaliteitsverbetering van onze diensten | Gerechtvaardigd belang* |
Automatisering en optimalisatie van interne processen en dienstverlening | Gerechtvaardigd belang* |
Marketing en relatiebeheer richting bestaande klanten | Gerechtvaardigd belang* |
Verzenden van nieuwsbrieven, updates of promotionele informatie | Toestemming |
Sollicitatieprocedures, werving en HR-doeleinden | Toestemming of uitvoering van precontractuele handelingen |
Naleving van wettelijke verplichtingen, zoals belasting- of veiligheidswetgeving | Wettelijke verplichting |
| |
* Wij baseren ons gerechtvaardigd belang op het belang om onze diensten veilig en efficiënt te beheren, zonder onevenredige impact op de privacy van betrokkenen
5. Verwerking namens klanten (verwerkersrol)
Als Managed Service Provider (MSP) beheren en integreren wij IT-omgevingen, cloudplatforms en werkplekoplossingen namens onze klanten in sectoren zoals onderwijs, zorg en zakelijke dienstverlening.
In deze gevallen treden wij op als verwerker en verwerken wij persoonsgegevens uitsluitend volgens de instructies van onze klanten (de verwerkingsverantwoordelijken).
Dit omvat onder meer:
- Het beheren en synchroniseren van gebruikersaccounts en toegangsrechten;
- Het faciliteren van veilige authenticatie (zoals KidsLogin of Microsoft Entra ID);
- Het automatiseren van autorisaties binnen groepen, klassen of werkplekken;
- Het leveren van gepersonaliseerde portaalomgevingen (zoals OnlineKlas, Workspace365 en vergelijkbare platformen);
- Het monitoren en ondersteunen van gebruikers en systemen.
Voor deze dienstverlening sluiten wij met onze klanten een verwerkersovereenkomst, waarin onder andere beveiligingsmaatregelen, subverwerkers, bewaartermijnen en verantwoordelijkheden zijn vastgelegd.
6. Delen met derden en subverwerkers
Wij delen persoonsgegevens uitsluitend indien dat noodzakelijk is voor de uitvoering van onze diensten of om aan wettelijke verplichtingen te voldoen.
Wij werken uitsluitend met zorgvuldig geselecteerde partners (subverwerkers) die voldoen aan hoge beveiligings- en privacy-eisen.
Onze vaste verwerkers en leveranciers zijn onder andere:
Naam subverwerker | Land / Jurisdictie | Binnen / Buiten EER | Grondslag voor doorgifte | Hoofddoel van verwerking | Categorie persoonsgegevens | Aanvullende beveiligingsmaatregelen |
Microsoft Ireland Operations Ltd. | Ierland (EU) | Binnen EER | n.v.t. (EER) | Cloudplatform, licenties, Microsoft 365-diensten | Gebruikers- en accountgegevens, communicatie- en loggegevens | Encryptie, MFA, EU-datacenters |
Crayon B.V. | Nederland | Binnen EER | n.v.t. | Licentie- en softwaredistributiepartner | Klant- en contractgegevens | ISO 27001-beveiliging |
Ubiquiti Inc. | Verenigde Staten | Buiten EER | EU–VS Data Privacy Framework (DPF) + SCC’s | Netwerk- en securityapparatuurbeheer | Netwerk-ID’s, loggegevens, configuratie-informatie | Versleutelde communicatie, beperkte toegang |
Atera Networks Ltd. | Israël | Buiten EER (adequaat) | EU-adequacy besluit voor Israël | Ticketing- en RMM-tooling voor IT-beheer | Gebruikers-, systeem- en supportdata | TLS, RBAC, datacenters in EU/IL |
Gripp B.V. | Nederland | Binnen EER | n.v.t. | CRM, contract- en facturatiebeheer | Klant- en factuurdata | ISO 27001-hosting, TLS |
Odoo S.A. | België | Binnen EER | n.v.t. | Boekhoud- en ERP-systeem | Financiële en administratieve data | Encryptie, EU-hosting |
OnlineKlas B.V. | Nederland | Binnen EER | n.v.t. | Werkplekportaal voor onderwijs | Leerling-, docent-, en accountgegevens | Beveiligd inloggen (MFA), ISO 27001 |
A&M Impact B.V. | Nederland | Binnen EER | n.v.t. | Werkplekportaal voor zorginstellingen | Medewerker- en portaalgegevens | Beveiligd via ISO 27001 en NEN 7510 |
Workspace 365 B.V. | Nederland | Binnen EER | n.v.t. | Werkplekportaal voor Brightly-klanten | Gebruikers- en authenticatiegegevens | TLS, RBAC, EU-cloud |
Impero Software Ltd. | Verenigd Koninkrijk | Buiten EER (adequaat) | EU-adequacy besluit voor VK (tot minstens dec 2025) | Monitoring- en meekijkoplossing onderwijs | Leerling- en apparaatgegevens | Lokale opslag + EU-sync |
Inforcer Ltd. | Verenigd Koninkrijk | Buiten EER (adequaat) | EU-adequacy VK | AI-automatisering en workflowoptimalisatie | Gebruikers- en systeemlogs | ISO 27001, dataminimalisatie |
Barracuda Networks Inc. | Verenigde Staten | Buiten EER | SCC’s + EU–VS DPF | E-mailbeveiliging, back-ups, XDR-diensten | E-mail-, log- en beveiligingsdata | Encryptie at rest/in transit, Zero Trust toegang |
Exclaimer Ltd. | Verenigd Koninkrijk | Buiten EER (adequaat) | EU-adequacy VK | E-mailhandtekeningenbeheer | Gebruikersnaam, functie, contactgegevens | EU-gebaseerde servers, TLS |
Mailchimp (Intuit Inc.) | Verenigde Staten | Buiten EER | SCC’s + EU–VS DPF | Nieuwsbrieven en marketingcommunicatie | Naam, e-mailadres | Encryptie, opt-in beheer |
Wanneer gegevens buiten de Europese Economische Ruimte (EER) worden verwerkt, zorgen wij voor een passend beschermingsniveau via EU-standaardcontractbepalingen (SCC’s) of adequaatheidsbesluiten van de Europese Commissie.
7. Beveiliging van gegevens
Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen verlies, misbruik, onbevoegde toegang, openbaarmaking of wijziging.
Onze beveiligingsmaatregelen zijn afgestemd op de aard van de gegevens en het risico van verwerking en omvatten onder andere:
- Beveiligingsbeleid gebaseerd op ISO 27001 en NIS2
- Versleuteling (encryptie) van data in rust en tijdens transport
- Multifactor-authenticatie en toegangsbeheer volgens het least privilege-principe
- Logging, monitoring en regelmatige security-audits
- Incident- en datalekprocedures conform AVG
In geval van een datalek handelen wij conform de meldplicht datalekken en informeren wij betrokkenen en toezichthouders indien vereist.
8. Bewaartermijnen
Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld, tenzij wettelijke bewaartermijnen anders vereisen.
Type gegevens | Bewaartermijn |
Administratieve en factuurgegevens | 7 jaar (fiscale bewaarplicht) |
Support- en ticketdata | 2 jaar na afsluiting dienstverlening |
Portalaccounts | Zolang de klantrelatie loopt |
Sollicitatiegegevens | 4 weken na afronding procedure |
Log- en monitoringgegevens | 90 dagen, tenzij wettelijk langer vereist |
9. Uw rechten
U heeft het recht om:
- Inzage te krijgen in uw persoonsgegevens
- Correctie of verwijdering van uw gegevens te verzoeken
- Beperking van verwerking aan te vragen
- Bezwaar te maken tegen verwerking
- Uw gegevens te laten overdragen (dataportabiliteit)
- Toestemming in te trekken (indien verwerking daarop gebaseerd is)
Verzoeken kunt u richten aan
privacy@hively.nl of aan het privacyadres van het betreffende label.
Wij hebben een Functionaris Gegevensbescherming (FG) aangesteld die toezicht houdt op de naleving van de AVG binnen The Managed Cloud Company.
De FG binnen the Managed Cloud Company is de heer C. (Carlo) Talboom. U kunt onze FG rechtstreeks bereiken via
privacy@hively.nl. Uw bericht wordt vertrouwelijk behandeld en uitsluitend gedeeld met het interne privacy- en securityteam. Wij reageren uiterlijk binnen één maand na ontvangst van uw verzoek.
10. Minderjarigen
Voor onze diensten binnen het onderwijs verwerken wij persoonsgegevens van leerlingen jonger dan 16 jaar. Dit doen wij uitsluitend in opdracht van scholen, die bepalen welke gegevens worden verwerkt en voor welke doeleinden.
The Managed Cloud Company verwerkt leerlinggegevens alleen om digitale leer- en werkomgevingen mogelijk te maken, zoals inlogportalen, accounts, klassenindelingen en toegangsrechten.
Wij gebruiken deze gegevens niet voor marketing of andere commerciële doeleinden en zorgen ervoor dat ze goed beveiligd zijn. Scholen blijven te allen tijde verantwoordelijk voor de toestemming en rechtmatigheid van de verwerking.
11. Cookies
Op onze websites gebruiken wij alleen noodzakelijke (functionele) cookies. Deze zorgen ervoor dat de website goed werkt en dat u veilig kunt inloggen of instellingen kunt bewaren.
Wij gebruiken geen trackingcookies om bezoekers te volgen, en geen analytische of marketingcookies van derden. Uw surfgedrag wordt niet gevolgd of gedeeld met andere partijen. Omdat deze cookies essentieel zijn voor het functioneren van de site, hoeft u hier geen toestemming voor te geven.
12. Wijzigingen in deze privacyverklaring
Wij behouden ons het recht voor deze privacyverklaring te wijzigen.
De meest actuele versie is altijd beschikbaar op onze website.
13. Klachten
