Privacybeleid

**3.1 Gegevens die u direct aan ons verstrekt:**

• •**Identiteitsgegevens: ** Voor- en achternaam, geboortedatum, geslacht
• •**Contactgegevens: ** E-mailadres, telefoonnummer, postadres, bedrijfsnaam
• •**Accountgegevens: ** Gebruikersnaam, wachtwoord (versleuteld), accountvoorkeuren
• •**Financiële gegevens: ** Facturatiegegevens, betalingsinformatie (verwerkt via beveiligde payment processors)
• •**Communicatiegegevens: ** Inhoud van e-mails, chatberichten, supporttickets
• •**Professionele gegevens: ** Functietitel, werkervaring, vaardigheden (voor zakelijke klanten)

**3.2 Gegevens die automatisch worden verzameld:**

• •**Technische gegevens: ** IP-adres, browsertype en -versie, tijdzone-instelling, browser plug-in types en versies, besturingssysteem en platform
• •**Gebruiksgegevens: ** Informatie over uw bezoek aan onze website, inclusief volledige URL-clickstream, paginaweergaven, paginareactietijden, downloadfouten, duur van bezoeken
• •**Locatiegegevens: ** Geschatte locatie op basis van IP-adres (land/regio niveau)
• •**Cookie-gegevens: ** Zie onze [Cookie Policy](/cookies) voor gedetailleerde informatie

**3.3 AI-interactiegegevens:**

• •**Prompts en queries: ** Vragen en opdrachten die u aan onze AI-systemen stelt
• •**AI-gegenereerde content: ** Antwoorden en content gegenereerd door onze AI
• •**Feedback en correcties: ** Uw feedback op AI-output voor verbetering van onze diensten
• •**Gebruikspatronen: ** Hoe u onze AI-tools gebruikt, frequentie, voorkeuren

**3.4 Gegevens van derden:**

• •**Sociale media gegevens: ** Als u zich aanmeldt via sociale media accounts
• •**Partner gegevens: ** Informatie van onze zakelijke partners voor gezamenlijke projecten
• •**Openbare bronnen: ** Publiek beschikbare bedrijfsinformatie voor B2B-diensten

**4.1 Uitvoering van een overeenkomst (Art. 6(1)(b) AVG):**

• •Levering van onze AI-diensten en producten
• •Account aanmaken en beheren
• •Klantenservice en ondersteuning bieden
• •Facturatie en betalingsverwerking

**4.2 Gerechtvaardigd belang (Art. 6(1)(f) AVG):**

• •Verbetering van onze AI-modellen en diensten
• •Beveiliging en fraudepreventie
• •Interne administratie en bedrijfsanalyse
• •Direct marketing aan bestaande klanten (met opt-out mogelijkheid)

**4.3 Toestemming (Art. 6(1)(a) AVG):**

• •Marketing communicatie naar prospects
• •Plaatsing van niet-essentiële cookies
• •Deelname aan onderzoeken of beta-tests
• •Gebruik van AI-trainingsdata buiten contractuele noodzaak

**4.4 Wettelijke verplichting (Art. 6(1)(c) AVG):**

• •Belastingadministratie en fiscale verplichtingen
• •Naleving van gerechtelijke bevelen
• •Anti-witwas controles (waar van toepassing)

**4.5 Vitaal belang (Art. 6(1)(d) AVG):**

• •In noodsituaties waar bescherming van leven of gezondheid noodzakelijk is

**5.1 Dienstverlening:**

• •Uitvoeren van AI-consulting en implementatieprojecten
• •Leveren van SaaS AI-oplossingen
• •Personalisatie van AI-output op basis van uw voorkeuren
• •Technische ondersteuning en probleemoplossing

**5.2 AI en Machine Learning:**

• •Training en verbetering van onze AI-modellen (alleen met expliciete toestemming of geanonimiseerd)
• •Kwaliteitscontrole van AI-gegenereerde content
• •Onderzoek naar nieuwe AI-toepassingen
• •A/B testing en prestatie-optimalisatie

**5.3 Communicatie:**

• •Beantwoorden van vragen en verzoeken
• •Sturen van service-gerelateerde mededelingen
• •Nieuwsbrieven en productaankondigingen (met toestemming)
• •Belangrijke updates over privacy of voorwaarden

**5.4 Bedrijfsvoering:**

• •Facturatie en financiële administratie
• •Risicobeheer en compliance
• •Interne audits en kwaliteitscontrole
• •Statistische analyse en rapportage

**5.5 Marketing en verkoop:**

• •Gepersonaliseerde aanbiedingen (met toestemming)
• •Marktonderzoek en klanttevredenheid
• •Lead generatie en conversie-optimalisatie
• •Retargeting (alleen met cookie-toestemming)

**5.6 Beveiliging:**

• •Detectie en preventie van fraude
• •Monitoring van systeembeveiliging
• •Incident response en forensisch onderzoek
• •Toegangscontrole en authenticatie

**6.1 AI Training en Model Development:**

• •Wij gebruiken uw persoonlijke data NIET voor het trainen van onze algemene AI-modellen zonder expliciete toestemming
• •Waar mogelijk gebruiken wij synthetic data of volledig geanonimiseerde datasets
• •Voor klant-specifieke modellen worden strikte data governance protocollen toegepast
• •U heeft het recht om te verzoeken dat uw data niet voor training wordt gebruikt

**6.2 AI Output en Intellectueel Eigendom:**

• •AI-gegenereerde content op basis van uw input blijft uw eigendom
• •Wij claimen geen rechten op content gegenereerd voor uw specifieke use case
• •Metadata over AI-interacties wordt geanonimiseerd opgeslagen voor prestatieverbetering

**6.3 Bias en Fairness:**

• •Wij monitoren actief op bias in onze AI-systemen
• •Regelmatige audits worden uitgevoerd om discriminatie te voorkomen
• •Transparantie over AI-besluitvorming waar mogelijk en relevant

**6.4 Explainable AI:**

• •U heeft het recht op uitleg over significante AI-beslissingen
• •Wij documenteren de logica achter onze AI-systemen
• •Menselijke review is beschikbaar voor kritieke beslissingen

**6.5 Data Minimalisatie in AI:**

• •Wij verzamelen alleen data die noodzakelijk is voor de AI-functionaliteit
• •Automatische data-expiratie voor niet-essentiële AI-trainingsdata
• •Opt-in voor uitgebreide data collection voor verbeterde personalisatie

**Dienstverleners (verwerkers):**

• •Cloud hosting providers (Google Cloud Platform, met adequaatheidsbesluit)
• •Payment processors (Stripe, Mollie - PCI-DSS compliant)
• •E-mail service providers (SendGrid - met verwerkersovereenkomst)
• •Analytics diensten (Google Analytics met IP-anonimisatie)
• •Customer support tools (Intercom - Privacy Shield gecertificeerd)

**Professionele adviseurs:**

• •Accountants (alleen voor financiële audits)
• •Juridisch adviseurs (onder geheimhoudingsplicht)
• •Compliance consultants (voor privacy audits)

**Overheidsinstanties:**

• •Belastingdienst (wettelijke verplichting)
• •Toezichthouders (Autoriteit Persoonsgegevens)
• •Rechtshandhaving (alleen met gerechtelijk bevel)

**7.2 Waarborgen bij delen:**

• •Verwerkersovereenkomsten conform Art. 28 AVG
• •Geheimhoudingsverklaringen waar toepasselijk
• •Data minimalisatie - alleen noodzakelijke gegevens
• •Regelmatige audits van derde partijen

**8.1 Overdracht mechanismen:**

• •**Adequaatheidsbesluiten: ** Waar mogelijk werken wij met landen met een adequaatheidsbesluit (bijv. UK, Zwitserland, Japan)
• •**Standard Contractual Clauses (SCCs): ** Voor overdrachten naar landen zonder adequaatheidsbesluit gebruiken wij de door de EU goedgekeurde modelcontracten
• •**Aanvullende maatregelen: ** Encryptie, pseudonimisering, toegangscontroles

**Google Cloud Platform (VS):**

• •Basis: Standard Contractual Clauses + aanvullende technische maatregelen
• •Data locatie: Primair EU datacenters (Frankfurt, België)
• •Encryptie: At-rest en in-transit encryptie

**Firebase/Google Services:**

• •Basis: Google's EU Data Protection Terms
• •Compliance: ISO 27001, SOC 2/3 certificeringen
• •Data residency opties waar beschikbaar

**8.3 Uw rechten bij internationale overdrachten:**

• •U kunt een kopie opvragen van de gebruikte waarborgen
• •U heeft het recht bezwaar te maken tegen specifieke overdrachten
• •Wij informeren u over significante nieuwe internationale overdrachten

**9.1 Technische maatregelen:**

• •**Encryptie: ** AES-256 voor data at-rest, TLS 1.3 voor data in-transit
• •**Access controls: ** Multi-factor authenticatie, role-based access control (RBAC)
• •**Network security: ** Firewalls, intrusion detection systems, DDoS bescherming
• •**Application security: ** OWASP Top 10 compliance, regelmatige penetratietests
• •**Backup en recovery: ** Dagelijkse encrypted backups, disaster recovery plan

**9.2 Organisatorische maatregelen:**

• •**Personeel: ** Achtergrondcontroles, geheimhoudingsverklaringen, privacy training
• •**Policies: ** Information Security Management System (ISMS)
• •**Incident response: ** 24/7 security monitoring, incident response team
• •**Vendor management: ** Security assessments van alle leveranciers
• •**Physical security: ** Toegangscontrole tot kantoren en serverruimtes

**9.3 AI-specifieke beveiliging:**

• •**Model security: ** Bescherming tegen adversarial attacks
• •**Prompt injection preventie: ** Input validatie en sanitization
• •**Output filtering: ** Preventie van gevoelige data lekkage
• •**Audit trails: ** Logging van alle AI-interacties

**9.4 Compliance certificeringen:**

• •ISO 27001 (gepland voor Q3 2024)
• •SOC 2 Type II (in progress)
• •NEN 7510 voor healthcare klanten

**10.1 Detectie en response:**

• •24/7 monitoring van beveiligingsincidenten
• •Automatische alerts bij verdachte activiteiten
• •Incident response team met duidelijke escalatieprocedures

**10.2 Meldingsplicht (Art. 33-34 AVG):**

• •**Melding aan AP: ** Binnen 72 uur na ontdekking (tenzij geen risico)
• •**Melding aan betrokkenen: ** Zonder onredelijke vertraging bij hoog risico
• •**Inhoud melding: ** Aard inbreuk, categorieën betrokkenen/gegevens, gevolgen, genomen maatregelen

**10.3 Documentatie:**

• •Alle incidenten worden gedocumenteerd in ons datalekregister
• •Oorzaakanalyse en lessons learned voor elk significant incident
• •Jaarlijkse review van security incidents

**10.4 Mitigatie maatregelen:**

• •Onmiddellijke isolatie van getroffen systemen
• •Wachtwoord resets waar nodig
• •Versterkte monitoring van getroffen accounts
• •Gratis credit monitoring bij significante lekken (waar toepasselijk)

**10.5 Communicatie:**

• •Dedicated pagina op website voor incident updates
• •Direct contact via e-mail/telefoon voor hoog-risico betrokkenen
• •Transparante communicatie over genomen stappen

**Klantgegevens:**

• •Actieve klanten: Gedurende de looptijd van de overeenkomst
• •Na beëindiging: 7 jaar (fiscale bewaarplicht)
• •Uitgezonderd: Basis contactgegevens voor legitieme belangen

**AI-interactiedata:**

• •Prompts en outputs: 90 dagen (tenzij anders overeengekomen)
• •Geanonimiseerde trainingsdata: Onbeperkt
• •Performance metrics: 2 jaar

**Marketing gegevens:**

• •Nieuwsbrief abonnees: Tot uitschrijving + 1 jaar
• •Website analytics: 26 maanden
• •Marketing automation: Tot intrekking toestemming

**Sollicitatiegegevens:**

• •Afgewezen kandidaten: 4 weken na afronding procedure
• •Met toestemming: 1 jaar voor toekomstige vacatures

**Support en communicatie:**

• •Support tickets: 2 jaar na sluiting
• •E-mail correspondentie: 2 jaar
• •Chat logs: 90 dagen

**11.2 Uitzonderingen:**

• •Langere bewaring bij wettelijke verplichting
• •Lopende juridische procedures
• •Vitaal belang van betrokkene

**11.3 Data verwijdering:**

• •Veilige verwijdering via crypto-shredding
• •Cascade delete in alle backup systemen
• •Verificatie van complete verwijdering

**12.1 Recht van inzage (Art. 15 AVG):**

• •Bevestiging of wij uw gegevens verwerken
• •Kopie van uw persoonsgegevens
• •Informatie over verwerkingsdoeleinden, categorieën, ontvangers
• •**Uitoefenen: ** Via privacy@groeimetai.io met kopie ID

**12.2 Recht op rectificatie (Art. 16 AVG):**

• •Correctie van onjuiste gegevens
• •Aanvulling van onvolledige gegevens
• •**Direct mogelijk: ** Via uw account dashboard of support

**12.3 Recht op gegevenswissing/"vergetelheid" (Art. 17 AVG):**

• •Verwijdering wanneer gegevens niet langer nodig zijn
• •Bij intrekking toestemming (en geen andere rechtsgrond)
• •Bij onrechtmatige verwerking
• •**Let op: ** Niet mogelijk bij wettelijke bewaarplichten

**12.4 Recht op beperking verwerking (Art. 18 AVG):**

• •Tijdelijke stop op verwerking bij:

**12.5 Recht op overdraagbaarheid (Art. 20 AVG):**

• •Ontvang uw gegevens in gestructureerd, gangbaar format
• •Directe overdracht naar andere dienstverlener waar mogelijk
• •**Beschikbaar voor: ** Gegevens verstrekt op basis van toestemming/overeenkomst

**12.6 Recht van bezwaar (Art. 21 AVG):**

• •Bezwaar tegen verwerking op basis van gerechtvaardigd belang
• •Bezwaar tegen direct marketing (altijd gehonoreerd)
• •**Gevolg: ** Wij stoppen tenzij dwingende gerechtvaardigde gronden

**12.7 Rechten m.b.t. geautomatiseerde besluitvorming (Art. 22 AVG):**

• •Recht om niet onderworpen te worden aan volledig geautomatiseerde beslissingen
• •Recht op menselijke tussenkomst
• •**Bij GroeimetAI: ** Altijd menselijke review mogelijk bij AI-beslissingen

**12.8 Intrekken toestemming:**

• •U kunt toestemming altijd intrekken
• •Geen gevolgen voor rechtmatigheid eerdere verwerking
• •**Hoe: ** Via account settings of privacy@groeimetai.io

**12.9 Klachtrecht:**

• •Bij Autoriteit Persoonsgegevens: www.autoriteitpersoonsgegevens.nl
• •Bij uw lokale toezichthouder (EU-breed)
• •Wij prefereren eerst zelf uw klacht op te lossen

**12.10 Responstijd:**

• •Wij reageren binnen 1 maand op uw verzoek
• •Verlenging met 2 maanden mogelijk bij complexe verzoeken
• •Kosteloos, tenzij verzoeken kennelijk ongegrond/buitensporig zijn

**13.1 Leeftijdsgrens:**

• •Onze diensten zijn niet gericht op personen onder de 16 jaar
• •Wij verzamelen niet bewust gegevens van kinderen onder 16 jaar
• •Voor B2B educational AI tools: alleen via scholen/instellingen

**13.2 Ouderlijke toestemming:**

• •Voor gebruikers 13-16 jaar is ouderlijke toestemming vereist
• •Verificatie via e-mail naar ouder/voogd
• •Ouders hebben volledige controle over kindergegevens

**13.3 Als wij per ongeluk kindergegevens verzamelen:**

• •Onmiddellijke verwijdering na kennisname
• •Notificatie aan ouders indien bekend
• •Review van onze age-gating mechanismen

**13.4 Educational AI gebruik:**

• •Alleen via overeenkomsten met onderwijsinstellingen
• •Strikte data minimalisatie
• •Geen marketing naar kinderen
• •Extra beveiligingsmaatregelen

**Essentiële cookies:**

• •Sessie management
• •Security tokens
• •Load balancing
• •**Rechtsgrond: ** Noodzakelijk voor dienstverlening

**Functionele cookies:**

• •Taalvoorkeuren
• •UI personalisatie
• •Login remember me
• •**Rechtsgrond: ** Gerechtvaardigd belang

**Analytische cookies:**

• •Google Analytics (geanonimiseerd)
• •Hotjar (session recordings met consent)
• •Custom analytics
• •**Rechtsgrond: ** Toestemming

**Marketing cookies:**

• •Google Ads remarketing
• •LinkedIn Insight Tag
• •Facebook Pixel
• •**Rechtsgrond: ** Toestemming

**14.2 Cookie beheer:**

• •Cookie banner bij eerste bezoek
• •Granulaire cookie voorkeuren
• •Withdraw consent anytime
• •Cookie-vrije versie website beschikbaar

**14.3 Alternatieve tracking:**

• •Server-side analytics waar mogelijk
• •Privacy-vriendelijke alternatieven (Plausible)
• •Geen fingerprinting technieken

**Google Cloud Platform:**

• •Services: Compute, Storage, AI/ML APIs
• •Data locatie: EU (primair), global failover
• •Compliance: GDPR processor terms, ISO 27001
• •DPA: cloud.google.com/terms/data-processing-addendum

**Firebase (Google):**

• •Services: Authentication, Realtime Database, Hosting
• •Privacy: Covered onder Google Cloud DPA
• •Data residency: EU-regio geconfigureerd

**OpenAI API:**

• •Services: GPT model access
• •Data retention: 30 dagen, geen training op klantdata
• •Compliance: SOC 2, business associate agreement beschikbaar
• •API data processing addendum aanwezig

**Anthropic Claude API:**

• •Services: Claude model access
• •Zero data retention optie beschikbaar
• •Enterprise privacy controls

**Stripe:**

• •Services: Payment processing
• •PCI-DSS Level 1 compliant
• •Geen opslag creditcard data bij GroeimetAI
• •EU data processing

**SendGrid:**

• •Services: Transactional email
• •Data locatie: EU servers
• •GDPR compliant met DPA

**15.4 Due diligence:**

• •Jaarlijkse privacy review alle vendors
• •Data Processing Agreements met alle verwerkers
• •Exit strategieën voor vendor lock-in
• •Incident notification procedures

**Kleine wijzigingen:**

• •Verduidelijkingen of typefouten
• •Contact informatie updates
• •Nieuwe examples of uitleg
• •**Notificatie: ** Update datum op pagina

**Materiële wijzigingen:**

• •Nieuwe verwerkingsdoeleinden
• •Wijzigingen in gegevensretentie
• •Nieuwe derde partij ontvangers
• •Wijzigingen in uw rechten
• •**Notificatie: ** E-mail + website banner + 30 dagen notice

**16.2 Versie controle:**

• •Alle versies gearchiveerd en beschikbaar
• •Changelog met key wijzigingen
• •GitHub repository voor transparantie

**16.3 Uw opties bij wijzigingen:**

• •Review periode van 30 dagen
• •Mogelijkheid tot bezwaar/vragen
• •Opt-out voor specifieke nieuwe verwerkingen
• •Account beëindiging zonder boete

**16.4 Communicatie:**

• •E-mail naar alle actieve gebruikers
• •In-app notificaties
• •Blog post bij significante updates
• •Social media aankondigingen

**17.7 Brancheorganisaties:**

• •NLdigital (branchevereniging digitale economie)
• •Dutch AI Coalition