Privacybeleid

1. Wie is verantwoordelijk

ProjectMaat is een dienst van SEO Lokaal, een eenmanszaak van Jonne van Bodegraven.

• Handelsnaam: SEO Lokaal / ProjectMaat
• KvK-nummer: [in te vullen vóór live-gang]
• Vestigingsadres: [in te vullen vóór live-gang]
• Contact: privacy@projectmaat.ai

2. Definities

• Klant: de ondernemer die een account bij ProjectMaat gebruikt.
• Beheerder: een door de klant of door SEO Lokaal aangewezen partij die bij de managed dienst content beoordeelt namens de klant.
• Betrokkene: de natuurlijke persoon op wie persoonsgegevens betrekking hebben.
• Input: foto's, video's, voicememo's en teksten die de klant aanlevert.

3. Onze twee rollen onder de AVG

Afhankelijk van wélke gegevens worden verwerkt, hebben we twee rollen:

• Verwerkingsverantwoordelijke voor de accountgegevens van onze directe klanten. Voor die gegevens bepalen wij doel en middelen.
• Verwerker voor alle inhoud die een klant aanlevert, inclusief persoonsgegevens van derden die daarin voorkomen. De klant is daarvoor de verwerkingsverantwoordelijke; wij verwerken uitsluitend in zijn opdracht. Hiervoor sluiten we bij accountaanmaak een verwerkersovereenkomst (DPA).

4. Welke persoonsgegevens we verwerken

We verwerken de volgende categorieën. Gegevens gemarkeerd als verplicht zijn nodig om de dienst te kunnen leveren; zonder die gegevens kunnen we (een deel van) de dienst niet uitvoeren.

• Accountgegevens (verplicht): naam, bedrijfsnaam, e-mailadres, telefoonnummer. Bron: de klant zelf.
• Kennisbank (optioneel maar aanbevolen): merken, locaties, namen van personen binnen het bedrijf, stijlvoorkeuren. Bron: de klant zelf.
• Input(verplicht voor contentgeneratie): audio, foto's, video's, tekst en transcripties. Bron: de klant, mogelijk met gegevens van derden erin.
• Gegenereerde content: de teksten die op basis van input en kennisbank worden gemaakt.
• Gebruiks- en technische gegevens: tijdstip, IP-adres, ingest-bron, handelingen in het systeem. Bron: automatisch gegenereerd bij gebruik.

5. Persoonsgegevens van derden in jouw input

Een voicememo of foto kan persoonsgegevens van derden bevatten, bijvoorbeeld de naam van een klant van jou. In dat geval:

• ben jij (de klant) de verwerkingsverantwoordelijke voor die gegevens;
• ben jij verantwoordelijk voor een geldige grondslag, zoals de toestemming van de betrokkene;
• verwerken wij die gegevens uitsluitend in jouw opdracht en conform de verwerkersovereenkomst.

ProjectMaat toont je tijdens het aanleveren een herinnering om geen namen van klanten te gebruiken zonder dat zij daarvoor toestemming hebben gegeven.

6. Bijzondere en strafrechtelijke gegevens

ProjectMaat is niet bedoeld voor het verwerken van bijzondere persoonsgegevens (zoals gegevens over gezondheid, religie of politieke voorkeur) of strafrechtelijke gegevens. Lever geen content aan die dit soort gegevens bevat. Komen ze onbedoeld toch in een voicememo of foto voor, dan verwerken we ze niet langer dan nodig en verwijderen we het bronmateriaal volgens de bewaartermijnen in artikel 11.

7. Doeleinden en grondslagen

• Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG): accountbeheer, verwerken van input, genereren van content, versturen van herinneringen.
• Gerechtvaardigd belang (art. 6 lid 1 sub f AVG): beveiliging, fraudepreventie en verbetering van het product. We maken hierbij steeds een afweging tegen jouw belangen.
• Wettelijke verplichting (art. 6 lid 1 sub c AVG): bijvoorbeeld fiscale bewaarplichten.
• Toestemming (art. 6 lid 1 sub a AVG): waar we daar expliciet om vragen. Je kunt toestemming op elk moment intrekken (zie artikel 13); dat heeft geen terugwerkende kracht.

8. AI, profilering en menselijke controle

ProjectMaat gebruikt AI om voicememo's te transcriberen en content te genereren. Hierbij geldt:

• Er is geen uitsluitend geautomatiseerde besluitvorming met rechtsgevolgen in de zin van artikel 22 AVG. Elke gegenereerde tekst wordt vóór publicatie door een mens beoordeeld.
• Er vindt geen profilering plaats van betrokkenen.
• Onze AI-leverancier gebruikt jouw gegevens niet om modellen te trainen.
• Alle gegenereerde content is herleidbaar tot jouw eigen input.

9. Ontvangers van je gegevens

Toegang tot je gegevens is beperkt tot wie het nodig heeft:

• SEO Lokaal, voor support, beheer en de managed dienst;
• bij de managed dienst: de door jou of door SEO Lokaal aangewezen beheerder, uitsluitend voor het beoordelen van jouw content;
• subverwerkers die we inschakelen om de dienst technisch te leveren (zie artikel 10).

We verkopen je gegevens nooit en delen ze niet met derden voor hun eigen doeleinden.

10. Subverwerkers en internationale doorgifte

We schakelen subverwerkers in om de dienst te leveren. Alle subverwerkers zijn binnen de EER gevestigd of verwerken binnen de EER. Er vindt geen doorgifte van persoonsgegevens plaats naar landen buiten de EER.

• Database en opslag: Supabase (Frankfurt, Duitsland)
• Hosting: Vercel (Frankfurt, Duitsland)
• AI-verwerking: Mistral AI (Parijs, Frankrijk)
• WhatsApp-ingest: Meta Platforms Ireland (WhatsApp Cloud API, EU Local Storage)
• E-mail: Resend (Dublin, Ierland)

De actuele lijst staat op /subprocessors. Bij een nieuwe of vervangen subverwerker informeren we je minimaal 30 dagen vooraf, zodat je bezwaar kunt maken.

11. Hoe lang we gegevens bewaren

• Audio, foto's en video's: verwijderd kort na publicatie. Standaard 1 dag bij de self-service dienst; bij de managed dienst langer (per klant instelbaar), omdat een reviewronde meer tijd vraagt.
• Transcripties: maximaal 30 dagen.
• Goedgekeurde tekstuele content: bewaard als voorbeeld voor toekomstige generatie — alleen tekst, geen beeld of audio. Verwijderd op verzoek of bij accountbeëindiging.
• Accountgegevens en kennisbank: zolang het account actief is, plus maximaal 12 maanden na beëindiging voor administratie. Daarna verwijderd of geanonimiseerd.
• Facturatiegegevens: 7 jaar, wegens fiscale bewaarplicht.
• Technische logs en audit log: maximaal 12 maanden.

12. Beveiliging

We nemen passende technische en organisatorische maatregelen, waaronder versleuteling onderweg (TLS) en in rust (AES-256), toegangsbeheer op databaseniveau (Row Level Security), inloggen zonder wachtwoord via eenmalige links, en logging van handelingen. Een uitgebreid overzicht staat op /security.

13. Jouw rechten

Onder de AVG heb je recht op:

• inzage in welke gegevens we van jou verwerken;
• correctie van onjuiste gegevens;
• verwijdering (recht op vergetelheid);
• beperking van de verwerking;
• bezwaar tegen verwerking op grond van gerechtvaardigd belang;
• dataportabiliteit (machine-leesbare export);
• intrekken van eerder gegeven toestemming, zonder dat dit de rechtmatigheid van eerdere verwerking aantast.

Je oefent deze rechten uit via je dashboard of via privacy@projectmaat.ai. We reageren binnen 30 dagen. Betreft het gegevens van een derde uit jouw input? Dan loopt het verzoek via jou als verwerkingsverantwoordelijke; wij ondersteunen je daarbij.

14. Cookies

We gebruiken uitsluitend strikt noodzakelijke cookies om je ingelogde sessie te onthouden. We gebruiken géén tracking-cookies, géén advertentie-pixels en géén externe analytics. Daarom is een cookiebanner niet nodig en is geen toestemming vereist.

15. Minderjarigen

ProjectMaat is een zakelijke dienst en niet gericht op minderjarigen. We verwerken niet bewust persoonsgegevens van personen onder de 16 jaar.

16. Datalekken

Bij een datalek met een hoog risico voor betrokkenen melden we dit binnen 72 uur aan de Autoriteit Persoonsgegevens en informeren we de getroffen personen onverwijld, conform artikel 33 en 34 AVG. Treedt een datalek op binnen de inhoud die jij als klant hebt aangeleverd, dan informeren wij jou zodat je je eigen meldplicht kunt nakomen.

17. Functionaris voor gegevensbescherming

Gezien de aard en omvang van de verwerking zijn wij niet wettelijk verplicht een functionaris voor gegevensbescherming (FG) aan te stellen, en hebben dit (nog) niet gedaan. Privacyvragen kun je richten aan privacy@projectmaat.ai.

18. Wijzigingen

We kunnen dit beleid aanpassen. Materiële wijzigingen melden we minimaal 30 dagen vooraf aan actieve klanten. De meest recente versie staat altijd op deze pagina, met de datum van laatste wijziging.

19. Klachten en contact

Heb je een vraag of klacht over hoe we met jouw gegevens omgaan? Mail dan naar privacy@projectmaat.ai. Kom je er met ons niet uit, dan heb je het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.