Ga naar de inhoud

Privacybeleid

Laatst bijgewerkt: 24 februari 2026

1. Inleiding

Veluvanto s.r.o. ("wij", "ons" of "onze") zet zich in voor de bescherming van uw privacy. Dit Privacybeleid legt uit hoe wij uw persoonsgegevens verzamelen, gebruiken, openbaar maken en beschermen wanneer u de diensten van Veluvanto gebruikt, in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR, Verordening (EU) 2016/679) en de Tsjechische Wet nr. 110/2019 Coll. betreffende de verwerking van persoonsgegevens.

2. Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke voor uw persoonsgegevens is:

Veluvanto s.r.o.
Statutaire zetel: Korunní 2569/108, Vinohrady, 101 00 Praag 10
IČO: 249 15 122
E-mail: privacy@veluvanto.com

Functionaris voor Gegevensbescherming (FG/DPO): Wij hebben vastgesteld dat de aanstelling van een Functionaris voor Gegevensbescherming niet verplicht is onder Artikel 37 GDPR, gezien de aard en omvang van onze verwerkingsactiviteiten (wij verwerken geen bijzondere categorieën gegevens op grote schaal, zijn geen overheidsinstantie en voeren geen grootschalige systematische monitoring uit). Voor alle privacyzaken kunt u contact met ons opnemen via privacy@veluvanto.com.

3. Persoonsgegevens die wij verzamelen

Wij verzamelen de volgende categorieën persoonsgegevens:

3.1 Accountgegevens

  • E-mailadres, naam en profielfoto (van uw Google-account wanneer u inlogt via Google OAuth of uw Microsoft-account wanneer u inlogt via Microsoft OAuth)
  • Accountinstellingen en voorkeuren

3.2 Documentgegevens

  • Bestanden die u naar de dienst uploadt (documenten, facturen, contracten, enz.)
  • Metadata geëxtraheerd uit documenten (datums, entiteiten, bedragen, tags)
  • Door AI gegenereerde samenvattingen, vertalingen en categorisaties van uw documenten

3.3 Gebruiksgegevens

  • Gebruikte functies, ondernomen acties en interacties met de dienst
  • Verbruikte AI-credits en abonnementstatus

3.4 Technische gegevens

  • IP-adres, browsertype en -versie, apparaattype en besturingssysteem
  • Sessie-identificatoren en toegangslogs
  • Tijdstempels van acties voor beveiligings- en auditdoeleinden

3.5 Betalingsgegevens

  • Factuuradres en transactiegegevens (betaalkaartgegevens worden rechtstreeks verwerkt door Paddle.com Market Limited, onze Merchant of Record, en worden niet door ons opgeslagen)

Verplichting tot het verstrekken van gegevens (Art. 13(2)(e) GDPR): Het verstrekken van uw e-mailadres en accountgegevens is een contractuele vereiste — zonder deze gegevens kunt u geen account aanmaken of de dienst gebruiken. Het verstrekken van betalingsgegevens is vereist voor toegang tot betaalde abonnementen. Het verstrekken van documentinhoud is vrijwillig; u kiest zelf wat u uploadt. U bent niet wettelijk verplicht om een van de bovenstaande gegevens te verstrekken, maar het niet verstrekken van de vereiste gegevens betekent dat wij de dienst niet aan u kunnen leveren.

4. Rechtsgronden voor verwerking

Wij verwerken uw persoonsgegevens op basis van de volgende rechtsgronden onder Artikel 6 GDPR:

Doel Rechtsgrond GDPR Artikel
Het leveren en exploiteren van de dienst Uitvoering van een overeenkomst Art. 6(1)(b)
Gebruikersauthenticatie (Google OAuth) Uitvoering van een overeenkomst Art. 6(1)(b)
Gebruikersauthenticatie (Microsoft OAuth) Uitvoering van een overeenkomst Art. 6(1)(b)
Betalingsverwerking en facturering Uitvoering van een overeenkomst Art. 6(1)(b)
Verzenden van servicegerelateerde communicatie Uitvoering van een overeenkomst Art. 6(1)(b)
Beveiliging, fraudepreventie, toegangsregistratie Gerechtvaardigde belangen Art. 6(1)(f)
Dienstverbetering en analyse Gerechtvaardigde belangen Art. 6(1)(f)
Wettelijke verplichtingen (fiscale administratie, enz.) Wettelijke verplichting Art. 6(1)(c)
Marketingcommunicatie (indien u zich aanmeldt) Toestemming Art. 6(1)(a)

5. AI-verwerking van uw documenten

Uw documenten worden verwerkt met behulp van AI-technologie om functies te bieden zoals automatische categorisering, full-text zoeken, extractie van metadata, samenvatting, vertaling en de AI-chatassistent.

Uw documenten worden nooit gebruikt om AI-modellen te trainen. AI-verwerking wordt uitsluitend uitgevoerd om de dienst aan u te leveren. Onze AI-provider (Google LLC via Vertex AI) treedt op als onze gegevensverwerker onder een Google Cloud Data Processing Addendum en het is hen contractueel verboden om uw gegevens te gebruiken voor het trainen of verbeteren van hun AI-modellen.

EU-dataresidency voor AI-verwerking: AI-inferentie voor documentanalyse, semantisch zoeken, vertaling, samenvatting en AI-chat wordt uitgevoerd via Google Cloud Vertex AI, geconfigureerd om EU-datacenterregio's (europe-west) te gebruiken. Documentinhoud die voor AI-verwerking wordt verzonden, verlaat de Europese Economische Ruimte niet.

AI-verwerking vormt een geautomatiseerde verwerking van persoonsgegevens. Voor consumenten die Veluvanto gebruiken voor hun documenten voor persoonlijk gebruik, treedt Veluvanto s.r.o. op als de verwerkingsverantwoordelijke voor uw documenten. Voor zakelijke klanten die documenten uploaden die persoonsgegevens van derden bevatten (bijv. werknemersgegevens, facturen van klanten), treedt Veluvanto s.r.o. op als een verwerker namens de Verwerkingsverantwoordelijke. Zie onze Verwerkersovereenkomst (DPA) voor details over B2B-verwerkingsregelingen.

Voor meer informatie over onze AI-systemen, zie onze AI-transparantieverklaring.

6. Gegevensopslag en beveiliging

Wij nemen de beveiliging van uw gegevens serieus:

  • Alle documenten en gegevens worden opgeslagen op Backblaze B2 object storage in EU-datacenters (Amsterdam, Nederland); Backblaze beschikt over een SOC 2 Type II-certificering
  • Applicatieservers draaien op de infrastructuur van Hetzner Online GmbH in EU-datacenters (Duitsland/Finland); Hetzner beschikt over een ISO/IEC 27001:2022-certificering (geldig 2025–2028)
  • Gegevens worden versleuteld tijdens verzending (TLS 1.2+) en in rust (AES-256)
  • Wij implementeren strikte toegangscontroles en auditlogging
  • Regelmatige beveiligingsbeoordelingen en updates
  • Toegang tot persoonsgegevens is beperkt tot geautoriseerd personeel op basis van het 'need-to-know'-principe

Melding van inbreuken in verband met persoonsgegevens (Art. 33 en 34 GDPR)

a) Melding aan de toezichthoudende autoriteit (Art. 33 GDPR)
In het geval van een datalek zullen wij de bevoegde toezichthoudende autoriteit zonder onnodige vertraging en, indien mogelijk, uiterlijk 72 uur nadat wij er kennis van hebben genomen, op de hoogte stellen, tenzij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

b) Mededeling aan betrokkenen (Art. 34 GDPR)
Wanneer een inbreuk op de beveiliging van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zullen wij de betrokken personen onverwijld op de hoogte stellen. De kennisgeving zal in duidelijke en eenvoudige taal worden opgesteld en zal ten minste informatie bevatten over de aard van de inbreuk, de waarschijnlijke gevolgen ervan en de maatregelen die zijn genomen of worden voorgesteld om de gevolgen ervan te beperken. Wanneer individuele kennisgeving een onevenredige inspanning zou vergen, zullen wij zorgen voor een even effectieve communicatie door middel van een openbare bekendmaking of een soortgelijke maatregel.

7. Delen van gegevens en subverwerkers

Wij verkopen uw persoonsgegevens niet. Wij kunnen uw informatie uitsluitend delen in de volgende gevallen:

7.1 Subverwerkers

Wij maken gebruik van de volgende externe dienstverleners die uw persoonsgegevens kunnen verwerken:

  • Google LLC — Identiteitsprovider (Google OAuth-login); gegevensoverdrachten naar de VS vallen onder de Standaardcontractbepalingen (SCC's)
  • Microsoft Corporation — Identiteitsprovider (Microsoft OAuth-login); gegevensverwerking valt onder het Data Protection Addendum van Microsoft
  • Paddle.com Market Limited — Betalingsverwerking en facturatie (Merchant of Record); gegevensoverdrachten naar het VK vallen onder het Adequaatheidsbesluit voor het VK
  • Google LLC (Vertex AI) — AI-model-inferentie (Gemini-modellen) voor documentverwerking, semantisch zoeken, AI-chat, vertaling en samenvatting; verwerking geconfigureerd om binnen EU Google Cloud-regio's (europe-west) te blijven; onderworpen aan het Google Cloud Data Processing Addendum; API-gegevens worden standaard niet gebruikt voor modeltraining
  • Backblaze, Inc. (B2 Cloud Storage) — Primaire objectopslag voor documenten en back-ups; gegevens uitsluitend opgeslagen in de EU (Amsterdam, Nederland); SOC 2 Type II gecertificeerd; Backblaze Privacybeleid
  • IDrive, Inc. (e2 Cloud Storage) — Objectopslag voor noodherstel (disaster recovery) van documenten en back-ups; gegevens uitsluitend opgeslagen in de EU (Frankfurt, Duitsland); SOC 2 gecertificeerd; geen minimale opslagduur
  • Hetzner Online GmbH — Cloudinfrastructuur en applicatieservers; gegevens uitsluitend opgeslagen in de EU (Duitsland/Finland); ISO/IEC 27001:2022 gecertificeerd
  • Cloudflare, Inc. — Content Delivery Network (CDN) en beveiligingsdiensten (DDoS-bescherming, prestatieoptimalisatie); verwerkt metadata van HTTP-verzoeken (IP-adres, user-agent, tijdstempels); gegevensoverdrachten naar de VS vallen onder de Standaardcontractbepalingen (SCC's)

7.2 Wettelijke vereisten

Wij kunnen uw gegevens openbaar maken indien dit wettelijk vereist is, door een gerechtelijk bevel of door een overheidsinstantie, of wanneer wij van mening zijn dat openbaarmaking noodzakelijk is om onze rechten of de veiligheid van anderen te beschermen.

7.3 Bedrijfsoverdrachten

In het geval van een fusie, overname of verkoop van activa kunnen uw persoonsgegevens worden overgedragen. Wij zullen u hiervan op de hoogte stellen voordat uw persoonsgegevens worden overgedragen en onderworpen worden aan een ander privacybeleid.

8. Internationale gegevensoverdracht

Wij slaan uw gegevens hoofdzakelijk op en verwerken deze binnen de Europese Unie. De onderstaande tabel beschrijft de gegevenslocatie voor elke subverwerker:

  • Backblaze, Inc. (B2 Cloud Storage — primaire opslag): Alle documenten, gebruikersgegevens en back-ups worden opgeslagen op Backblaze B2 in de EU (Amsterdam, Nederland). Geen internationale overdracht.
  • IDrive, Inc. (e2 Cloud Storage — opslag voor noodherstel): Back-upkopieën van documenten en gegevens worden opgeslagen op IDrive e2 in de EU (Frankfurt, Duitsland). IDrive, Inc. is een Amerikaans bedrijf; gegevensoverdrachten vallen onder de Standaardcontractbepalingen (SCC's).
  • Hetzner Online GmbH (infrastructuur): Applicatieservers en rekeninfrastructuur worden uitsluitend gehost in Duitsland/Finland. Geen internationale overdracht.
  • Google LLC (Vertex AI — AI-verwerking): Documentinhoud wordt verwerkt via Google Cloud Vertex AI, geconfigureerd voor EU-regio's (europe-west). Er vindt geen overdracht plaats buiten de EER voor AI-inferentie.
  • Google LLC (OAuth-authenticatie): Uw e-mailadres en Google-profiel worden tijdens het inloggen gedeeld met Google. Overdracht naar de VS valt onder de Standaardcontractbepalingen (SCC's, Uitvoeringsbesluit (EU) 2021/914 van de Commissie).
  • Paddle.com Market Limited (betalingen): Factuuradres en transactiegegevens worden gedeeld met Paddle voor betalingsverwerking. Overdracht naar het VK valt onder het Adequaatheidsbesluit voor het VK.
  • Cloudflare, Inc. (CDN / beveiliging): Metadata van HTTP-verzoeken (IP-adres, user-agent, tijdstempels) wordt verwerkt door Cloudflare. Overdracht naar de VS valt onder de SCC's.

U kunt een kopie van de relevante waarborgen voor overdracht opvragen door contact met ons op te nemen via privacy@veluvanto.com.

9. Uw rechten onder de GDPR

Onder de GDPR (Hoofdstuk III) heeft u de volgende rechten:

  • Recht op inzage (Art. 15): Een kopie opvragen van de persoonsgegevens die wij van u bewaren
  • Recht op rectificatie (Art. 16): Correctie aanvragen van onjuiste of onvolledige gegevens
  • Recht op gegevenswissing / Recht om vergeten te worden (Art. 17): Verwijdering van uw gegevens aanvragen
  • Recht op gegevensoverdraagbaarheid (Art. 20): Uw gegevens ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat (JSON- of ZIP-archief met uw documenten en metadata). Neem contact met ons op om een export aan te vragen.
  • Recht van bezwaar tegen verwerking op basis van gerechtvaardigd belang (Art. 21(1)): Bezwaar maken tegen verwerking op basis van onze gerechtvaardigde belangen (bijv. beveiliging, analyse). Wij zullen de verwerking staken tenzij wij dwingende gerechtvaardigde gronden aantonen.
  • Recht van bezwaar tegen direct marketing (Art. 21(2)): U heeft een absoluut recht om op elk moment en zonder uitzondering bezwaar te maken tegen de verwerking van uw persoonsgegevens voor direct marketingdoeleinden. Wij zullen hier onmiddellijk mee stoppen na uw bezwaar.
  • Recht op beperking van de verwerking (Art. 18): Beperking van de verwerking aanvragen in bepaalde omstandigheden
  • Recht om toestemming in te trekken (Art. 7(3)): Uw toestemming op elk moment intrekken zonder dat dit invloed heeft op de eerdere rechtmatige verwerking
  • Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (Art. 22): Zie Sectie 10 hieronder

Om een van deze rechten uit te oefenen, kunt u contact met ons opnemen via privacy@veluvanto.com. Wij zullen binnen 1 maand reageren. Het kan zijn dat wij uw identiteit moeten verifiëren voordat wij aan uw verzoek kunnen voldoen.

Uw recht om bezwaar te maken tegen verwerking op basis van gerechtvaardigd belang (Art. 21(4) GDPR): Wanneer wij uw gegevens verwerken op basis van onze gerechtvaardigde belangen (Art. 6(1)(f) GDPR — inclusief beveiliging, fraudepreventie en service-analyse), heeft u het recht om op elk moment bezwaar te maken. Na bezwaar zullen wij dergelijke verwerking staken, tenzij wij dwingende gerechtvaardigde gronden aantonen die zwaarder wegen dan uw belangen, rechten en vrijheden, of de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Om dit recht uit te oefenen, neemt u contact op met privacy@veluvanto.com.

Recht om een klacht in te dienen: U heeft het recht om een klacht in te dienen bij een toezichthoudende autoriteit. In Tsjechië is dit:

Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
Website: www.uoou.cz
E-mail: posta@uoou.cz

10. Geautomatiseerde verwerking en profilering

Veluvanto gebruikt geautomatiseerde AI-verwerking om metadata (datums, entiteiten, categorieën, bedragen) te identificeren en te extraheren. Deze geautomatiseerde verwerking:

  • Wordt uitsluitend uitgevoerd om de dienst aan u te kunnen leveren
  • Heeft geen rechtsgevolgen en raakt u niet op vergelijkbare wijze in aanzienlijke mate
  • Vormt geen profilering voor marketing- of besluitvormingsdoeleinden

U kunt onjuiste door AI gegenereerde metadata op elk moment corrigeren in de detailweergave van het document. Voor meer informatie over onze AI-systemen en hun beperkingen, zie onze AI-transparantieverklaring.

11. Bewaren van gegevens

Wij bewaren uw persoonsgegevens zolang uw account actief is of zolang als nodig is om diensten te verlenen. Specifieke bewaartermijnen:

  • Accountgegevens en documenten: Bewaard tot de verwijdering van het account. Na verwijdering van het account worden de gegevens binnen 30 dagen definitief verwijderd.
  • Facturatiegegevens: Bewaard gedurende 10 jaar zoals vereist door de Tsjechische boekhoudwet (Wet nr. 563/1991 Coll.).
  • Beveiligings- en toegangslogs: Bewaard gedurende 12 maanden.
  • Gebruiksgegevens (gebruikte functies, verbruikte AI-credits, interacties): Bewaard gedurende 24 maanden, daarna geaggregeerd of verwijderd.
  • AI-gegenereerde metadata (samenvattingen, tags, geëxtraheerde entiteiten): Bewaard gedurende de levensduur van het bijbehorende document. Wordt samen met het document verwijderd.
  • Marketingtoestemming: Totdat u uw toestemming intrekt.
  • Accounts beëindigd wegens overschrijding opslaglimiet: Accounts die zijn beëindigd wegens langdurige overschrijding van de opslaglimiet (zoals beschreven in Sectie 19 van de Servicevoorwaarden) — alle persoonsgegevens en documenten worden binnen 30 dagen na beëindiging definitief verwijderd, in overeenstemming met GDPR Artikel 17.

Documenten die naar de prullenbak zijn verplaatst, worden 30 dagen bewaard voordat ze definitief worden verwijderd.

12. Cookies

Wij maken gebruik van cookies en soortgelijke technologieën. Wij gebruiken alleen strikt noodzakelijke cookies die vereist zijn voor de werking van de dienst (sessiebeheer en authenticatie). Wij gebruiken geen trackingcookies of advertentiecookies van derden. Voor gedetailleerde informatie, zie ons Cookiebeleid.

13. Privacy van kinderen

Onze dienst is niet gericht op kinderen onder de 18 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen. Als u denkt dat wij onbedoeld gegevens van een kind hebben verzameld, neem dan contact met ons op en wij zullen deze onmiddellijk verwijderen.

14. Wijzigingen in dit beleid

Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken. Wij zullen u op de hoogte stellen van materiële wijzigingen via e-mail en door het nieuwe beleid op deze pagina te plaatsen met een bijgewerkte "Laatst bijgewerkt"-datum, ten minste 30 dagen voordat de wijzigingen van kracht worden. Voor significante wijzigingen in de manier waarop wij uw gegevens verwerken, zullen wij indien nodig opnieuw om toestemming vragen.

15. Contact met ons opnemen

Voor vragen over dit Privacybeleid, om uw rechten uit te oefenen of voor zorgen over gegevensbescherming:

Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-mail: privacy@veluvanto.com