Privacybeleid

1. In het kort

Reflect AI verwerkt persoonsgegevens uitsluitend om contact te kunnen leggen, scan-aanvragen en projecten uit te voeren, de website te laten werken, en gebruik van de site te meten. We delen geen persoonsgegevens met derden voor advertentiedoeleinden, we verkopen geen data, en we gebruiken klantdata niet om AI-modellen te trainen.

Verantwoordelijke in de zin van de AVG is Reflect Media (handelend onder de naam Reflect AI). Voor alle privacyvragen, verzoeken om inzage, correctie of verwijdering bereik je Robin Aerts via robin@reflectai.nl. We reageren binnen vijf werkdagen.

• Adres: Beellaan 12, 5251 Vlijmen
• KvK: 81053908
• BTW: NL003523247B53

2. Welke gegevens we verwerken

2.1 Bezoek aan deze website

• Technische gegevens:IP-adres (geanonimiseerd waar mogelijk), browser- en device-info, schermgrootte, taal, verwijzingsbron (referrer), bezochte pagina's, timestamps.
• Gedragsgegevens: hoe je de site gebruikt (pagina-views, klik-events, scrolldiepte), verzameld via Google Tag Manager (zie sectie 5).
• Cookies: functioneel-noodzakelijk plus de tracking/analytics-cookies geladen via Google Tag Manager. Volledig overzicht in sectie 6.

2.2 Contact- en chatformulier

• Naam (optioneel) en e-mailadres
• Telefoonnummer (optioneel)
• Bericht-inhoud die jij invult

2.3 Scan-aanvraag (intake-formulier)

• Naam, bedrijfsnaam, e-mailadres, telefoonnummer
• Sector, teamgrootte, rol, pijnpunten, huidig AI-gebruik, urgentie en indicatieve toelichting
• Eventueel een gekozen tijdslot voor een kennismakingsgesprek (datum, tijd, tijdzone)

2.4 In klanttrajecten

• Procesinformatie, tools en bedrijfsdata die binnen de scope van het project nodig zijn
• Factuur- en bedrijfsgegevens voor administratie en wettelijke bewaarplicht
• Inhoud van afgesproken samples, testdata of pseudonieme datasets voor het bouwen, valideren en demonstreren van de oplossing

2.5 Wat we niet verwerken

• We tracken je niet over websites heen voor advertentiedoeleinden.
• We koppelen geen scan-formulierdata aan ad-platformen zonder je expliciete toestemming.
• We voeren geen klantdata in publieke AI-modellen tenzij dit expliciet en schriftelijk in de opdracht is afgesproken (zie sectie 4).

3. Doelen en grondslagen

Voor elke verwerking hebben we een doel en een AVG-grondslag (artikel 6 AVG):

• Contact en offertes (uitvoering van de overeenkomst, of jouw verzoek voorafgaand daaraan, art. 6 lid 1 b)
• Project-uitvoering en support (uitvoering van de overeenkomst, art. 6 lid 1 b)
• Facturatie en administratie (wettelijke verplichting, art. 6 lid 1 c — fiscale bewaarplicht 7 jaar)
• Site-werking en beveiliging (gerechtvaardigd belang, art. 6 lid 1 f)
• Analytics en optimalisatie via Google Tag Manager (toestemming, art. 6 lid 1 a — zie cookies, sectie 6)
• Direct contact n.a.v. een aanvraag (uitvoering van de overeenkomst, art. 6 lid 1 b)

4. AI-verwerking en klantdata

We bouwen oplossingen die AI-modellen gebruiken (onder andere Anthropic Claude en OpenAI). Daarvoor gelden de volgende uitgangspunten:

• Niet zonder afspraak. Klantdata gaat alleen naar externe AI-leveranciers als dat schriftelijk is overeengekomen in de opdracht of een aparte verwerkersovereenkomst.
• Geen training. We gebruiken zakelijke API-accounts waarbij doorgifte voor model-training contractueel is uitgesloten. Voor Anthropic en OpenAI geldt onder hun zakelijke voorwaarden dat input en output niet voor training worden gebruikt.
• Minimalisatie. Waar mogelijk pseudonimiseren of redacteren we persoonsgegevens voordat een prompt naar een AI-leverancier gaat.
• Transparantie. In elk traject beschrijven we welke modellen, prompts en datastromen we inzetten en welke data het systeem verlaat.

5. Externe partijen (sub-verwerkers)

We schakelen de volgende partijen in voor de werking van de site en dienstverlening. Met partijen die persoonsgegevens namens ons verwerken hebben we een verwerkersovereenkomst gesloten of vallen we terug op hun standaard data processing addendum.

Doorgifte buiten de EER. Een deel van bovenstaande partijen is gevestigd in de Verenigde Staten. Voor doorgifte van persoonsgegevens leunen we op het EU-US Data Privacy Framework (waar de partij gecertificeerd is) en de Standard Contractual Clauses van de Europese Commissie als aanvullende waarborg. Een actuele lijst per partij is op verzoek beschikbaar.

6. Cookies en tracking

De site laadt drie typen cookies en vergelijkbare technieken:

• Functioneel-noodzakelijk (geen toestemming vereist): cookies voor sessie, formulier-state en beveiliging.
• Analytisch (toestemming vereist): Google Tag Manager (containerscript) plus de daarin geactiveerde tags. Dat betreft op dit moment Google Analytics 4. Deze meten geanonimiseerd hoe de site wordt gebruikt zodat we hem kunnen verbeteren.
• Marketing (toestemming vereist): wanneer we campagnes draaien, kunnen via dezelfde GTM-container Meta Pixel of LinkedIn Insight Tag worden geladen voor het meten van advertentie-effectiviteit.

Een actueel cookie-overzicht met namen, doel, leverancier en bewaartermijn is opvraagbaar via robin@reflectai.nl. Je kunt toestemming op elk moment intrekken via de cookie-instellingen onderin de site of door cookies in je browser te verwijderen. Het intrekken van toestemming heeft geen terugwerkende kracht op verwerkingen die op basis van een eerdere toestemming hebben plaatsgevonden.

7. Bewaartermijnen

• Contact- en chatberichten: 24 maanden na laatste contact, daarna verwijderd.
• Scan-aanvragen die niet tot een opdracht leiden: 12 maanden, daarna verwijderd of geanonimiseerd.
• Klant- en projectdata: conform projectafspraken, uiterlijk 24 maanden na einde traject, behoudens fiscale bewaarplicht.
• Facturen en administratie: 7 jaar (fiscale bewaarplicht artikel 52 AWR).
• Server- en applicatielogs: 30 dagen.
• Cookies: de termijn per cookie staat in het cookie-overzicht. De meeste analytische cookies vervallen binnen 13 maanden.

8. Beveiliging

We nemen passende technische en organisatorische maatregelen: TLS op alle verbindingen, toegang via twee-factor-authenticatie waar mogelijk, principe van minimale rechten, beperkt aantal personen met toegang, versleutelde back-ups en periodieke review van de dependency-stack. Volledige beschrijving op verzoek.

9. Datalekken

Een datalek met risico voor betrokkenen melden we binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens en, voor zover wettelijk vereist, aan de betrokkenen zelf. Voor klanten die als verwerkingsverantwoordelijke optreden, melden we relevante incidenten onverwijld zodat zij hun eigen meldplicht kunnen invullen.

10. Jouw rechten

Onder de AVG heb je recht op:

• Inzage in welke persoonsgegevens we van je verwerken (art. 15 AVG)
• Correctie van onjuiste gegevens (art. 16)
• Verwijdering wanneer er geen geldige grondslag meer is (art. 17)
• Beperking van de verwerking (art. 18)
• Dataportabiliteit (art. 20)
• Bezwaar tegen verwerking op basis van gerechtvaardigd belang (art. 21)
• Intrekken van eerder gegeven toestemming, zonder dat dit afbreuk doet aan eerdere verwerkingen op basis van die toestemming

Stuur een verzoek naar robin@reflectai.nl. We reageren binnen één maand. Bij twijfel over je identiteit kunnen we om aanvullende informatie vragen voordat we het verzoek uitvoeren. Je hebt altijd het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

11. Geautomatiseerde besluitvorming

We nemen geen besluiten met juridische of vergelijkbaar wezenlijke gevolgen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, inclusief profilering. AI-output in onze projecten wordt altijd ingebouwd in een proces met menselijke validatie of expliciet opgezet en uitgelegd in samenspraak met de klant.

12. Wijzigingen

We passen dit beleid aan als wetgeving, partners of de werking van de site dat vereist. Versie en datum staan bovenaan. Bij ingrijpende wijzigingen informeren we klanten actief en plaatsen we een aankondiging op de site. Eerdere versies zijn op verzoek opvraagbaar.