PRIVACYVERKLARING AITVAART
Laatst bijgewerkt: 21 augustus 20251.
INLEIDING EN REIKWIJDTE
Aitvaart (“Aitvaart”, “wij” of “ons”) respecteert uw privacy en verwerkt persoonsgegevens zorgvuldig en transparant. Deze privacyverklaring is van toepassing op:
- het gebruik van onze website www.aitvaart.nl en andere (sub)domains;
- het gebruik van onze digitale assistenten Barbara en Babet via o.a. WhatsApp en webinterfaces;
- onze commerciële, administratieve en supportprocessen.
Deze verklaring beschrijft welke gegevens wij verwerken, met welk doel, op welke grondslag, hoe lang, met wie wij delen en welke rechten u heeft.
2. WIE WIJ ZIJN
Ruben der Kinderen h.o.d.n. Aitvaart
Adres: Amazonenlaan 41, 5631 KX Eindhoven
KvK-nummer: 83981071
E-mail (privacy): aitvaart@gmail.com
Telefoon: 06-49782530
Website: www.aitvaart.nl
3. ROLVERDELING ONDER DE AVG
Aitvaart treedt op als:
- Verwerkingsverantwoordelijke: voor websitebezoek, marketing/relatiebeheer, klantenadministratie, facturatie en eigen operationele beveiligingslogs.
- Verwerker: voor alle door klanten aangeleverde content die via de assistenten wordt verwerkt (audio, transcripties, gegevens over nabestaanden/ceremonies, documenten). Op die verwerkingen is onze Verwerkersovereenkomst (Annex 1) van toepassing. Verzoeken van betrokkenen die deze klantcontent betreffen behandelen wij via de betreffende klant (de verantwoordelijke).
Let op: Gegevens over overledenen vallen niet onder de AVG. Aitvaart hanteert hiervoor wel een strikte vertrouwelijkheidsnorm.
4. WELKE GEGEVENS WIJ VERWERKEN
4.1 Klant- en zakelijk contact (verantwoordelijke)
- Bedrijfsnaam, KvK, factuuradres, btw-nummer, betaalstatus
- Naam, functie en contactgegevens van contactpersonen
- Communicatie en supportcorrespondentie
- Voorkeuren t.b.v. serviceberichten/updates
4.2 Gegevens via assistenten (verwerker)
- Audio-opnames van gesprekken en notities (incl. metadata zoals tijdstempel en kanaal)
- Transcripties/uitwerkingen en gegenereerde documenten (o.a. welkomstwoorden, draaiboeken)
- Informatie over overledenen (naam, relevante biografische gegevens die u verstrekt)
- Informatie over nabestaanden (namen, relatie tot overledene) en uitvaartwensen/-arrangementen
Bijzondere categorieën (art. 9 AVG): in de context van uitvaarten kunnen gegevens voorkomen waaruit religie/levensovertuiging, gezondheid of etniciteit blijken. Deze worden uitsluitend verwerkt in opdracht van de klant en op basis van een passende grondslag (meestal uitdrukkelijke toestemming van betrokkenen) zoals vastgelegd in Annex 1.
4.3 Website en techniek (verantwoordelijke)
- IP-adres, device-/browsergegevens, tijdstempels, fout- en beveiligingslogs
- Cookies/vergelijkbare technologieën (zie onze Cookieverklaring)
5. DOELEINDEN EN RECHTSGRONDSLAGEN
5.1 Wanneer wij verantwoordelijke zijn
- Dienstverlening en support (uitvoering overeenkomst)
- Administratie en facturatie (wettelijke verplichting)
- Beveiliging en continuïteit (gerechtvaardigd belang)
- Relatiebeheer en updates (gerechtvaardigd belang; opt-out mogelijk)
5.2 Wanneer wij verwerker zijn (in opdracht klant)
- Verwerking van audio naar tekst, genereren van documenten en personalisatie van assistenten conform instructies van de klant (grondslag bij klant; veelal overeenkomst + uitdrukkelijke toestemming voor bijzondere gegevens).
6. BEVEILIGING
Wij treffen passende technische en organisatorische maatregelen, waaronder ten minste:
- Encryptie in transit (TLS 1.2+) en in rust (bijv. AES-256 where applicable)
- Toegangsbeperking (least privilege), 2FA/SSO voor beheer, geheimhouding medewerkers
- Logging en auditing; periodieke kwetsbaarhedenscans/pentest
- Data-segregatie per klanttenant; secure software development practices
- Verwerkersovereenkomsten met subverwerkers en due-diligence
7. SUBVERWERKERS EN DELEN MET DERDEN
Wij schakelen technische dienstverleners in (hosting, AI-API’s, communicatiekanalen zoals WhatsApp Business Platform). Deze partijen verwerken persoonsgegevens uitsluitend in onze opdracht. Wij verkopen geen persoonsgegevens.
Wij publiceren en onderhouden een Subverwerkerslijst (Annex 2 / website). Wijzigingen worden vooraf aangekondigd; klanten hebben een bezwaarperiode (zie Annex 1).
8. INTERNATIONALE DOORGIFTEN
Bij verwerking buiten de EER borgen wij een passend beschermingsniveau via Standaardcontractbepalingen (SCC’s) en/of het EU-US Data Privacy Framework, plus aanvullende technische/organisatorische maatregelen en een Transfer Impact Assessment. Informatie hierover is op verzoek beschikbaar.
9. BEWAARTERMIJNEN
Wij hanteren dataminimalisatie. Kerntermijnen:
- Audio en transcripties (operationeel): 7 dagen; automatische verwijdering na verwerking
- Gegenereerde documenten: 7 dagen; klant downloadt/archieveert zelf
- Beveiligings- en auditlogs (metadata): 90 dagen; voor beveiliging en foutanalyse
- Back-ups: rolling 30 dagen; versleuteld, overschrijving volgens schema
- Klant- en factuurgegevens: 7 jaar; fiscale bewaarplicht
Uitzonderingen kunnen gelden bij (juridische) geschillen of wettelijke verplichtingen.1
0. RECHTEN VAN BETROKKENEN
Rechten: inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar.
- Verzoeken m.b.t. klantcontent (waar wij verwerker zijn) behandelen wij via de betreffende klant.
- Op andere verzoeken reageren wij binnen 1 maand. Wij kunnen om identificatie vragen.
Klachten kunnen worden ingediend bij de Autoriteit Persoonsgegevens.
11. GEAUTOMATISEERDE BESLUITVORMING
De output van onze AI-assistenten is bedoeld als concept en wordt door professionals beoordeeld alvorens te gebruiken. Er vinden geen uitsluitend geautomatiseerde besluiten plaats met rechtsgevolg of vergelijkbare aanmerkelijke gevolgen.
12. MINDERJARIGEN EN OPNAME-TOESTEMMING
Indien minderjarigen betrokken zijn, is toestemming/voorlichting via wettelijke vertegenwoordigers vereist. De klant is verantwoordelijk voor het rechtmatig informeren van betrokkenen over audio-opnames en het vastleggen van uitdrukkelijke toestemming waar nodig.
13. DATALEKKEN EN INCIDENTEN
Bij een beveiligingsincident dat (waarschijnlijk) leidt tot risico’s voor persoonsgegevens:
- als verwerker melden wij dit onverwijld en uiterlijk binnen 48 uur aan de klant;
- als verantwoordelijke melden wij meldplichtige datalekken binnen 72 uur bij de Autoriteit Persoonsgegevens en, indien vereist, aan betrokkenen.
14. WIJZIGINGEN
Wij kunnen deze privacyverklaring wijzigen. De meest recente versie staat op onze website. Bij ingrijpende wijzigingen informeren wij klanten proactief.
15. CONTACT
Vragen of verzoeken? Mail naar: aitvaart@gmail.com (onderwerp: “Privacy”).
ANNEX 1 — VERWERKERSOVEREENKOMST (DPA)
A. Onderwerp en duur
- Deze DPA is van toepassing op de verwerking van persoonsgegevens door Aitvaart als verwerker ten behoeve van de Klant (verwerkingsverantwoordelijke) in het kader van de Diensten.
- De DPA loopt zolang Aitvaart persoonsgegevens verwerkt in opdracht van de Klant.
B. Aard en doeleinden van de verwerking
- Verwerkingen omvatten o.a. ontvangen, opnemen, transcriberen, analyseren, genereren, tijdelijk opslaan, doorgeven aan subverwerkers en verwijderen van Content om de Diensten te leveren, te beveiligen en te ondersteunen.
C. Soorten persoonsgegevens en betrokkenen
- Soorten: identificatie- en contactgegevens, audio- en tekstinhoud, metadata; mogelijk bijzondere categorieën (art. 9 AVG) zoals gezondheid of religie/levensovertuiging.
- Betrokkenen: medewerkers/contactpersonen van Klant, nabestaanden, sprekers, andere door Klant aangeleverde partijen.
D. Verplichtingen verwerker
- Verwerken uitsluitend op schriftelijke instructie van Klant.
- Geheimhouding door medewerkers en ingeschakelde partijen.
- Passende beveiligingsmaatregelen (Bijlage Beveiliging).
- Dataminimalisatie en privacy by design/default.
- Assistentie bij rechten van betrokkenen, beveiliging, datalekken, DPIA.
- Informatie voor audits beschikbaar stellen; melden als instructie strijdig lijkt met de AVG.
E. Bijzondere categorieën en toestemming
- Indien bijzondere categorieën worden verwerkt, staat Klant ervoor in dat een geldige uitzonderingsgrond (bijv. uitdrukkelijke toestemming) is verkregen en dat betrokkenen adequaat zijn geïnformeerd.
- Aitvaart verwerkt deze gegevens niet voor eigen doeleinden.
F. Subverwerkers
- Algemene voorafgaande toestemming voor inzet subverwerkers.
- Actuele lijst in Annex 2 / website; wijzigingen vooraf gemeld; Klant kan binnen de gemelde termijn bezwaar maken.
- Subverwerkers krijgen minimaal gelijkwaardige verplichtingen opgelegd.
G. Internationale doorgiften
- Toepassing van passende waarborgen (SCC’s/DPF + aanvullende maatregelen) en, waar nodig, Transfer Impact Assessment.
H. Datalekken
- Meldplicht: onverwijld en uiterlijk binnen 48 uur na ontdekking aan Klant, met relevante informatie voor beoordeling en melding.
- Ondersteuning bij meldingen aan de AP en betrokkenen.
I. Rechten van betrokkenen
- Verzoeken die klantcontent raken worden doorverwezen naar Klant; Aitvaart verleent kosteloze medewerking om aan wettelijke termijnen te voldoen.
J. Bewaartermijnen, verwijdering en retour
- Na afloop of op schriftelijk verzoek: verwijderen en/of export in gangbaar formaat, tenzij opslag wettelijk verplicht is.
- Back-ups worden verwijderd na afloop van de back-up cyclus.
- Verwijderingsverklaring op verzoek.
K. Audits en informatie
- Jaarlijks of bij gegronde aanleiding een audit door onafhankelijke, vertrouwelijke auditor, na redelijke aankondiging en zonder onevenredige verstoring.
- Partijen dragen eigen kosten; redelijke interne kosten van Aitvaart kunnen worden doorbelast.
L. Aansprakelijkheid
- Aansprakelijkheid volgt de hoofd-overeenkomst; geen beperking bij opzet/grove schuld of opzettelijke schending van privacy/geheimhouding door Aitvaart.
M. Volgorde en wijzigingen
- Bij strijdigheid prevaleert deze DPA voor zover het de verwerking van persoonsgegevens betreft.
- Wijzigingen alleen schriftelijk.Bijlage Beveiliging (overzicht maatregelen)
- Encryptie in transit en in rust
- Toegangsbeheer (least privilege), 2FA/SSO, periodieke access reviews
- Logging/auditing van beheerhandelingen
- Beveiliging software supply chain
- Segmentatie en tenant-isolatie
- Periodieke kwetsbaarhedenscans/pentest en opvolging
- Incidentresponsproces met 24/7 registratiemogelijkheid
- Subverwerker-due-diligence en contractuele waarborgen
----------------------------------------------------------------------
ANNEX 2 — SUBVERWERKERSLIJST (CATEGORIEËN EN VOORBEELDEN)
- Hosting / IaaS
Functie: compute, opslag, back-ups
Locatie (primair): EU (bijv. IE/DE/NL)
Voorbeeld(en): Hetzner
- AI-API’s
Functie: spraak-naar-tekst, LLM-generatie
Locatie: EU/US (met SCC/DPF)
Voorbeeld(en): bijv. OpenAI
- Messaging
Functie: WhatsApp Business Platform / BSP
Locatie: EU/US (met SCC/DPF)
Voorbeeld(en): Meta Platforms / gekozen BSP
- E-mail
Functie: transactionele e-mail
Locatie: EU/US (met SCC/DPF)
Voorbeeld(en): Google
- Monitoring en logs
Functie: uptime, fout- en beveiligingslogs
Locatie: EU/US (met SCC/DPF)
Voorbeeld(en): N8N
- Documentexport
Functie: bestandsconversie/hosting output
Locatie: EU
Voorbeeld(en): N8N
----------------------------------------------------------------------
KORTE VERWIJZING NAAR COOKIEVERKLARING
Wij gebruiken noodzakelijke cookies en, met toestemming, analytische cookies om onze website te verbeteren. Zie de Cookieverklaring op onze website voor details, bewaartermijnen en uw voorkeuren.