Privacyverklaring

Verantwoordelijke voor de verwerking is H.F.V. Work Shops (handelend onder Koa-AI), gevestigd Dr. Jan Schouterlaan 4a, 3145 SZ Maassluis, Nederland. KvK-nummer 93226837. Voor privacyvragen: info@koa-ai.nl.

Voor verwerking van persoonsgegevens van eindklanten via de WhatsApp-bot is de zakelijke klant verantwoordelijk; Koa-AI treedt op als verwerker (zie verwerkersovereenkomst).

Van de zakelijke klant (abonnementhouder) verwerken wij:

• Bedrijfsnaam, KvK-nummer, BTW-nummer
• Naam contactpersoon, e-mailadres, telefoonnummer
• Vestigingsadres en factuuradres
• Inloggegevens dashboard (klantnummer, e-mail, wachtwoord-hash)
• Onboarding-antwoorden (openingstijden, prijzen, FAQ, stem & toon)
• Betaalgegevens (verwerkt door Stripe, niet door Koa-AI zelf opgeslagen)
• WhatsApp Business credentials (versleuteld opgeslagen)

Van eindklanten (degenen die met de bot chatten) wordt verwerkt:

• Telefoonnummer (anonimiseerbaar op verzoek)
• Naam, indien zelf opgegeven
• Inhoud van gesprekken via WhatsApp
• Door bot opgeslagen afspraken (datum, tijd, dienst)
• Geanalyseerd sentiment (neutraal/gefrustreerd/boos)

Wij verwerken deze gegevens voor de volgende doelen, op basis van de vermelde AVG-grondslag:

• Uitvoering overeenkomst (AVG art. 6.1.b): leveren van de dienst, configureren van de bot, factureren, ondersteunen.
• Wettelijke verplichting (AVG art. 6.1.c): bewaren van facturen voor de Belastingdienst (7 jaar).
• Gerechtvaardigd belang (AVG art. 6.1.f): beveiliging, fraudepreventie, incidentele dienst-statistieken.
• Toestemming (AVG art. 6.1.a): nieuwsbrief, marketing-mails én geanonimiseerde productverbetering (zie sectie 3a) — alleen wanneer expliciet aangevinkt — opt-in.

Met expliciete toestemming van de zakelijke klant gebruikt Koa-AI uitsluitend geaggregeerde en geanonimiseerde gebruiksdata om de bot continu te verbeteren. Daaronder vallen:

• Categorieën van vragen (bv. “30% openings­tijden, 20% prijzen”)
• Kwaliteitsmaatstaven: response-lengte, hand-off frequentie, sentiment-trends
• Geaggregeerde performance-statistieken (latency, succes-ratio, error-rates)

Wat NIET hieronder valt: individuele berichten, telefoonnummers, namen of andere gegevens die direct of indirect een eindklant kunnen identificeren. Deze blijven uitsluitend onderworpen aan de verwerker-rol uit de verwerkersovereenkomst. Toestemming kan op elk moment worden ingetrokken via info@koa-ai.nl.

• Account- en bedrijfsgegevens: tot opzegging + 90 dagen daarna, daarna verwijderd of geanonimiseerd.
• Chatberichten van eindklanten: bewaard zolang het abonnement actief is; klanten kunnen via dashboard op elk moment gesprekken verwijderen of een AVG-export downloaden. Na opzegging worden chatberichten binnen 90 dagen verwijderd of geanonimiseerd.
• Facturen en boekhoudkundige gegevens: 7 jaar (wettelijke fiscale bewaarplicht).
• Backup-data: 14 dagen rotatie.
• Sentry error-logs: 30 dagen.

Voor het leveren van de dienst maken wij gebruik van de volgende sub-verwerkers. Met elk van hen is een verwerkersovereenkomst gesloten. Een actuele lijst staat ook op /verwerkersovereenkomst#subverwerkers.

Voor doorgifte buiten de EU/EER gebruiken wij Standard Contractual Clauses (SCC) en/of het EU-VS Data Privacy Framework. Wij delen gegevens niet met andere derden tenzij wettelijk verplicht.

• HTTPS/TLS overal afgedwongen
• Wachtwoorden hashed (PBKDF2-HMAC-SHA256, 200.000 iteraties + per-user salt — NIST SP 800-132 conform)
• Meta-tokens versleuteld in database (Fernet/AES-128)
• Postgres via Render, managed met dagelijkse backups (14d retentie)
• Rolgebaseerde toegang voor admin én klant-dashboard
• Audit-log van admin-acties
• Realtime error-monitoring via Sentry
• Server-locatie EU (Frankfurt) voor klant-data

Onder de AVG heb je deze rechten:

• Inzage — opvragen welke gegevens we van jou bewaren.
• Correctie — onjuiste gegevens laten corrigeren.
• Verwijdering — “recht op vergetelheid” — zelf via dashboard (Wachtwoord → Privacy → Verwijder account).
• Dataportabiliteit — JSON-export via dashboard (Wachtwoord → Privacy → Download data).
• Beperking — verwerking beperken in afwachting van een geschilbeslissing.
• Bezwaar — verzet tegen verwerking op basis van gerechtvaardigd belang.
• Toestemming intrekken — eerder gegeven toestemming op elk moment intrekken.

Verzoeken buiten het dashboard: info@koa-ai.nl. Reactie binnen 1 maand. Klacht? Indienen bij de Autoriteit Persoonsgegevens.

Op koa-ai.nl gebruiken we functionele cookies (login-sessie, voorkeuren) en minimale analytische cookies via Vercel Analytics (geanonimiseerd, geen cross-site tracking). Geen marketing- of third-party-tracking-cookies.

Bij een datalek met persoonsgegevens handelen wij conform AVG art. 33 en 34: melding aan de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking, en informatie aan betrokkenen indien sprake is van een hoog risico. Onze interne datalek-procedure is op verzoek beschikbaar voor klanten.

De WhatsApp-bot genereert antwoorden geautomatiseerd via een groot taalmodel (Anthropic Claude). Deze antwoorden hebben géén juridische gevolgen voor de eindklant in de zin van AVG art. 22. De zakelijke klant blijft verantwoordelijk voor afspraken en toezeggingen.

Deze verklaring kan worden bijgewerkt, bijvoorbeeld bij wijzigingen in wetgeving of dienstverlening. Materiële wijzigingen kondigen wij minimaal 14 dagen vooraf aan via e-mail of dashboard.

Conform AVG art. 30 voeren wij een register van verwerkingsactiviteiten. Dit register is op verzoek beschikbaar voor toezichthouders en in vereenvoudigde vorm voor klanten.