Privacybeleid
Laatst bijgewerkt: 2026-04-23
Dit Privacybeleid legt uit hoe AL-IT Services (“wij”, “ons”, “Clariflow”) je persoonsgegevens verwerkt wanneer je https://clariflow.ai (de “Dienst”) gebruikt. Het is opgesteld in overeenstemming met Verordening (EU) 2016/679 (de Algemene Verordening Gegevensbescherming, “AVG”) en de Belgische wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
1. Verwerkingsverantwoordelijke
AL-IT ServicesTBD
TBD TBD, Belgium
KBO/BCE: TBD · VAT: TBD
privacy@clariflow.app
Wij hebben geen functionaris voor gegevensbescherming aangesteld omdat dat op basis van AVG art. 37 niet vereist is. Voor privacyvragen kun je terecht bij privacy@clariflow.app.
2. Wat we verzamelen en waarom
2.1 Account & authenticatie
Bij het aanmaken van een account bewaren wij je e-mailadres, een gehasht wachtwoord (of OAuth-identifier bij gebruik van Google/Microsoft-login), je taal en je rol. Rechtsgrond: uitvoering van de overeenkomst (AVG art. 6, lid 1, b).
2.2 Intake-antwoorden en gegenereerde rapporten
Je antwoorden op de intakevragen (sector, teamomvang, huidige tools, budget, regio's, taalvoorkeuren en vrije tekst) en de daaruit voortvloeiende AI-rapporten worden onder je account opgeslagen. Rechtsgrond: uitvoering van de overeenkomst.
2.3 Operationele logs en beveiligingsgegevens
Wij loggen IP-adres, user-agent en verzoekgegevens zo lang als nodig is om de Dienst te leveren en te beveiligen. Rechtsgrond: gerechtvaardigd belang in fraudepreventie en platformintegriteit (art. 6, lid 1, f).
2.4 Analytics (met jouw toestemming)
Als je analyticscookies aanvaardt, laden wij Google Analytics 4 met IP-anonimisering. Zonder toestemming worden er geen analyticsscripts geladen. Rechtsgrond: toestemming (art. 6, lid 1, a).
2.5 Vercel Analytics (geen persoonsgegevens)
Vercel Analytics verzamelt geaggregeerde, cookieloze paginabezoeken en Core Web Vitals. Er worden geen cookies gezet, geen cross-site identifiers gebruikt en IP-adressen worden in transit gehasht door Vercel; wij beschouwen dit als geen verwerking van persoonsgegevens en baseren ons op gerechtvaardigd belang (art. 6, lid 1, f).
3. AI-verwerking
De Dienst gebruikt grote taalmodellen (“LLM's”) om gestructureerde gegevens uit je intake-antwoorden te halen en aanbevelingen te genereren. Afhankelijk van het gekozen model kunnen deze providers je prompts verwerken:
- Anthropic (Claude) — VS, EU-dataregio beschikbaar.
- OpenAI — VS.
- Google (Gemini) — VS/Wereldwijd.
- Mistral — EU.
- Moonshot AI (Kimi) — China.
- DeepSeek — China.
Je kan elke provider uitsluiten in je accountinstellingen via de voorkeur “uitgesloten providers”; we sturen je prompts dan niet naar die provider. Wij staan onze LLM-providers niet toe je prompts te gebruiken voor training van hun modellen. Bij doorgifte naar derde landen (met name VS en China) baseren wij ons op adequaatheidsbesluiten van de Europese Commissie waar van toepassing, op modelcontractbepalingen (SCC's) en op aanvullende technische maatregelen. Het gebruik van Chinese providers brengt verhoogd doorgifterisico met zich mee; je kan ze in je instellingen uitschakelen.
4. Subverwerkers
| Sub-processor | Purpose | Region | DPA |
|---|---|---|---|
| Supabase, Inc. | database | EU | link |
| Supabase Auth | auth | EU | link |
| Anthropic, PBC | llm | US | link |
| OpenAI, LLC | llm | US | link |
| Google LLC (Gemini) | llm | US | link |
| Mistral AI | llm | EU | link |
| Moonshot AI (Kimi) | llm | CN | link |
| DeepSeek | llm | CN | link |
| Resend | US | link | |
| Vercel, Inc. | hosting | Global | link |
| Google Analytics 4 (Google Ireland Ltd.) | analytics | EU | link |
| Vercel Analytics | analytics | Global | link |
5. Internationale doorgiften
Persoonsgegevens kunnen worden doorgegeven buiten de Europese Economische Ruimte aan bovengenoemde providers. Wij baseren ons op (i) adequaatheidsbesluiten van de Europese Commissie waar beschikbaar (bv. EU-VS Data Privacy Framework voor deelnemende VS-providers) en (ii) modelcontractbepalingen, aangevuld met technische maatregelen zoals transportencryptie.
6. Bewaartermijnen
- Accountgegevens: tot je je account verwijdert, plus 30 dagen back-up.
- Intake-antwoorden en rapporten: tot je ze of je account verwijdert.
- Beveiligings- en operationele logs: maximaal 12 maanden.
- Analytics-events: maximaal 14 maanden.
- Boekhoudkundige stukken: 7 jaar (Belgische boekhoudplicht).
7. Jouw rechten
Op grond van AVG art. 15 t.e.m. 22 heb je het recht op inzage, rectificatie, wissing, beperking en overdraagbaarheid van je gegevens, en op bezwaar tegen verwerking op basis van gerechtvaardigd belang. Je kan toestemming op elk moment intrekken zonder dat de rechtmatigheid van eerdere verwerking wordt aangetast. Mail privacy@clariflow.app om een recht uit te oefenen; we antwoorden binnen 30 dagen.
Je hebt ook het recht een klacht in te dienen bij de toezichthoudende autoriteit van je lidstaat. In België is dat de Gegevensbeschermingsautoriteit (Belgian Data Protection Authority) .
8. Beveiliging
Gegevens worden opgeslagen bij Supabase in de EU-regio, met encryptie at rest en in transit. Wachtwoorden worden gehasht met bcrypt. Toegang tot productiegegevens is beperkt tot de oprichter en wordt gelogd.
9. Kinderen
De Dienst richt zich niet op kinderen onder de 16 jaar en wij verzamelen niet bewust hun persoonsgegevens.
10. Wijzigingen
Substantiële wijzigingen melden wij minstens 30 dagen vooraf via e-mail of in-app. De huidige versie draagt de bovenstaande datum.