Juridisch

Privacybeleid

Versie 1.0 — Laatste update: 25 mei 2026

Dit privacybeleid beschrijft hoe VendicAI B.V. (“VendicAI”, “wij”) persoonsgegevens verwerkt wanneer je gebruikmaakt van ons AI-customer-service-platform of onze website. Voor de contract-juridische relatie tussen jou als webshopeigenaar en VendicAI als verwerker, zie onze Verwerkersovereenkomst (DPA).

1. Wie wij zijn

VendicAI B.V. is een Nederlandse onderneming die een AI-gedreven klantenserviceplatform aanbiedt voor e-commerce-merchants. Wij koppelen aan Shopify, Zendesk, Gmail en andere kanalen om AI-conceptantwoorden en automatische antwoorden te genereren in de tone-of-voice van de merchant.

Verantwoordelijke: VendicAI B.V., Nederland. privacy@govendic.com

2. Welke persoonsgegevens we verwerken

Wij verwerken twee categorieën persoonsgegevens:

A. Merchant-accountgegevens (de webshopeigenaar die VendicAI gebruikt):

  • Naam, e-mailadres, organisatie-naam
  • Inloggegevens (versleutelde wachtwoorden, two-factor secrets)
  • Facturatiegegevens (worden uitsluitend door Stripe verwerkt; wij slaan geen kaartnummers op)
  • Gebruiksgegevens van het dashboard (laatste login, sessies)

B. End-customer-gegevens (de eindklanten van de merchant, verwerkt namens de merchant):

  • Berichteninhoud (e-mail, chat, helpdesk-tickets) tussen klant en merchant
  • Bestelgegevens uit Shopify (ordernummer, statussen, levertijden, productnamen) — gekoppeld aan klant-e-mailadres
  • Klantnaam en e-mailadres voor zover in berichten opgenomen
  • AI-metadata: intentclassificaties, betrouwbaarheidsscores, toolgebruik (bevat geen PII)

Wat we niet verwerken: wij gebruiken nooit klantgegevens om AI-modellen mee te trainen. Wij verkopen geen persoonsgegevens.

3. Waarom we deze gegevens verwerken

  • Leveren van AI-conceptantwoorden en automatische antwoorden namens de merchant
  • Aanbevelen van acties (retour, refund, exchange) aan de agent op basis van merchant-policies
  • Synchronisatie van order- en klantcontext uit Shopify zodat de AI correcte antwoorden kan geven
  • Statistische rapportage aan de merchant (conversatie-volume, AI-resolutie-percentage)
  • Beveiligingsmonitoring, fraudedetectie en naleving van wettelijke verplichtingen

Rechtsgrond (AVG art. 6): uitvoering van de overeenkomst met de merchant (art. 6(1)(b)), gerechtvaardigd belang van de merchant voor klantenservice (art. 6(1)(f)) en naleving van wettelijke verplichtingen (art. 6(1)(c)).

4. Waar de gegevens worden opgeslagen

Alle persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Unie:

  • Database: Supabase PostgreSQL, eu-west-1 (Dublin, Ierland)
  • API-compute: Google Cloud Run, europe-west4 (Eemshaven, Nederland)
  • Dashboard-hosting: Vercel, EU-regio (Frankfurt)
  • AI-inferentie: Azure OpenAI Sweden Central en Vertex AI europe-west4
  • Observability: Langfuse self-hosted, Hetzner Falkenstein (DE)

Doorgifte buiten de EU vindt niet plaats zonder passende waarborgen (Standard Contractual Clauses of adequaatheidsbesluit).

5. Wie nog meer toegang heeft (subverwerkers)

VendicAI maakt gebruik van een beperkt aantal subverwerkers voor hosting, AI-inferentie, transactionele e-mail en betalingen. De actuele lijst, inclusief vestigingsland en doel, staat op /legal/subprocessors. Merchants ontvangen 30 dagen vooraf bericht bij toevoeging van nieuwe subverwerkers.

6. Hoe wij gegevens beveiligen

  • Versleuteling in transit (TLS 1.2+) en at rest (AES-256)
  • Tenant-isolatie op de database-laag (Row Level Security + applicatie-laag tenantId-guards)
  • JWT-authenticatie met 15 minuten geldigheidsduur en refresh-rotatie
  • Verplichte two-factor authenticatie voor admin-accounts
  • Volledige audittrail van AI-acties en agentbeslissingen
  • Cloudflare WAF en DDoS-bescherming op alle API-endpoints
  • Continue afhankelijkheids-scans (Dependabot) en security-monitoring (Sentry)

7. Hoe lang we gegevens bewaren

Conversaties en klantgegevens: standaard 2 jaar na laatste klantinteractie, tenzij anders overeengekomen met de merchant. Merchants kunnen retentie aanpassen of vervroegd verwijderen via het dashboard.

Merchant-accountgegevens: zolang het account actief is, plus 90 dagen na opzegging voor administratieve doeleinden.

Logbestanden en metrics: 30 dagen, daarna geanonimiseerd of verwijderd.

Facturatie: 7 jaar conform Nederlandse belastingwetgeving (uitsluitend bij Stripe en in onze boekhoud-administratie).

8. Jouw rechten onder de AVG

Als betrokkene heb je het recht op:

  • Inzage in welke persoonsgegevens wij over je verwerken
  • Rectificatie van onjuiste of onvolledige gegevens
  • Verwijdering (“recht om vergeten te worden”) onder bepaalde voorwaarden
  • Beperking van de verwerking
  • Overdraagbaarheid van je gegevens
  • Bezwaar tegen verwerking op basis van gerechtvaardigd belang
  • Klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl)

Voor end-customers van een merchant: richt je verzoek primair aan de merchant (de verwerkingsverantwoordelijke). VendicAI ondersteunt de merchant met technische tools (export en anonimisering via API) om aan jouw verzoek te voldoen.

Voor merchants en directe contacten: stuur een verzoek naar privacy@govendic.com. Wij reageren binnen 30 dagen.

9. Cookies en tracking

Onze marketing-website en dashboard gebruiken alleen functioneel-noodzakelijke cookies (sessie, taalvoorkeur, CSRF). Wij gebruiken geen advertentie-tracking en plaatsen geen third-party-trackers. Voor analytics gebruiken wij privacy-vriendelijke aggregatie zonder persoonsidentificatie.

10. Geautomatiseerde besluitvorming

VendicAI gebruikt AI om antwoorden voor te bereiden, maar voert geen geautomatiseerde besluiten met juridische of vergelijkbare gevolgen uit. Schrijfacties (refunds, annuleringen, retouren) gaan altijd via menselijke agent-goedkeuring binnen het helpdesk-systeem van de merchant.

11. Datalekken

VendicAI meldt beveiligingsincidenten die persoonsgegevens raken binnen 72 uur na ontdekking aan betrokken merchants en, waar van toepassing, aan de Autoriteit Persoonsgegevens. Klanten kunnen incidenten melden via privacy@govendic.com.

12. Wijzigingen

Bij materiële wijzigingen van dit privacybeleid informeren wij merchants per e-mail en plaatsen wij de nieuwe versie hier met een bijgewerkte “Laatste update”-datum. De geschiedenis van eerdere versies is op verzoek beschikbaar via privacy@govendic.com.

13. Contact

Vragen of opmerkingen over dit privacybeleid? Neem contact op via privacy@govendic.com.

An English-language version of this privacy policy is available upon request via privacy@govendic.com.