Privacybeleid
Versie 1.0 — laatst bijgewerkt op 18 mei 2026
1. Wie zijn wij
Chat37 is een marketing-automation-dienst van Atthis Holding B.V. (handelend onder de naam Atthis AI), gevestigd aan Kennedyplein 246, 5611 ZT Eindhoven, ingeschreven bij de Kamer van Koophandel onder nummer 64145646. Atthis Holding B.V. is de verwerkingsverantwoordelijke voor de in dit beleid beschreven verwerkingen.
Vragen, verzoeken of klachten over privacy stuur je naar info@chat37.com. Wij hebben geen Functionaris voor Gegevensbescherming aangesteld; dat is voor ons als organisatie niet wettelijk verplicht.
2. Wanneer geldt dit beleid
Dit beleid is van toepassing op alle verwerkingen via chat37.com, de webapplicatie en alle subdomeinen (onder andere *.sites.chat37.com). Door een account aan te maken of de dienst te gebruiken aanvaard je dit beleid.
3. Welke gegevens verwerken wij
- Accountgegevens: e-mailadres, naam (indien opgegeven), wachtwoord-hash, OAuth-identifiers van Google/LinkedIn/GitHub indien je daarmee inlogt.
- Profiel- en merkgegevens: bedrijfsnaam, merkbeschrijving, toon, kleuren, logo, doelgroep, en alle inhoud die je actief invoert in brand-profielen.
- Content-input: prompts, briefings, geüploade documenten of beelden, en alle door jou aangeleverde context.
- Door AI gegenereerde output: teksten, beelden, video en audio die wij namens jou genereren.
- Kanaal-koppelingen: OAuth-tokens en metadata voor LinkedIn, WordPress, Google Analytics en e-mailproviders die je zelf koppelt.
- Betaalgegevens: abonnementstype, factuurgegevens, betaalstatus. De volledige kaart- of bankgegevens worden uitsluitend door Stripe verwerkt; wij ontvangen die niet.
- Technische gegevens: IP-adres, user-agent, taalvoorkeur, sessiecookies, datum/tijd van requests, ratelimit-tellers.
4. Doeleinden en grondslagen
| Doel | Gegevens | Grondslag |
|---|---|---|
| Account aanmaken en onderhouden | E-mailadres, naam, wachtwoord-hash, OAuth-profielgegevens | Uitvoering overeenkomst (art. 6.1.b AVG) |
| Dienstverlening: content genereren, kalenders plannen, publiceren | Prompts, brand-profielen, gegenereerde content, kanaalcredentials | Uitvoering overeenkomst (art. 6.1.b AVG) |
| Facturatie en betaalverwerking | Naam, e-mail, factuuradres, betaalstatus (Stripe verwerkt zelf de kaartgegevens) | Uitvoering overeenkomst + wettelijke plicht (art. 6.1.b + 6.1.c AVG, art. 52 AWR) |
| Beveiliging, fraudepreventie, misbruikmonitoring | IP-adres, user-agent, sessietokens, ratelimit-tellers | Gerechtvaardigd belang (art. 6.1.f AVG) |
| Productverbetering en troubleshooting (logs) | Foutmeldingen, request-paden, geanonimiseerde statistieken | Gerechtvaardigd belang (art. 6.1.f AVG) |
| Productupdates en commerciële communicatie | E-mailadres | Toestemming (art. 6.1.a AVG) — opt-in, in elke e-mail uitschrijfbaar |
5. AI-verwerking
Chat37 is een AI-platform. Prompts, context en deels brand-profielgegevens worden voor het genereren van content doorgestuurd naar één of meer AI-providers (zie sectie 6). Welke provider per taak wordt gekozen, hangt af van het modeltype (tekst, beeld, audio) en jouw instellingen.
Geen training op jouw data. Wij gebruiken uitsluitend zakelijke API-tiers van onze AI-providers, waarbij jouw inhoud niet wordt ingezet om hun modellen te trainen. AI-providers bewaren API-verzoeken gemiddeld 7 tot 55 dagen voor misbruikmonitoring (per provider verschillend); daarna worden ze verwijderd.
DeepSeek alleen op verzoek. De DeepSeek-integratie staat standaard uit en wordt alleen ingezet als jij expliciet kiest voor dat model. DeepSeek is gevestigd in China; voor die doorgifte bestaat geen adequacy-besluit van de Europese Commissie. Gebruik hiervan is dus een bewuste keuze met aanvullend risico.
6. Sub-verwerkers en derden
Voor het leveren van Chat37 schakelen wij de onderstaande sub-verwerkers in. Met elke partij is een verwerkersovereenkomst gesloten (artikel 28 AVG) of hanteren wij hun standaard data processing agreement.
| Partij | Doel | Locatie | Doorgiftegrond |
|---|---|---|---|
| Supabase Inc. | Authenticatie, database (Postgres) | EU (Frankfurt) | Binnen EER — geen aanvullende waarborgen nodig |
| Vercel Inc. | Hosting, edge functies, blob-opslag | VS | EU-VS Data Privacy Framework |
| Stripe Payments Europe Ltd. | Betalingsverwerking, facturatie | Ierland (EER) + VS | EU-VS Data Privacy Framework (Stripe Inc.) |
| OpenAI Ireland Ltd. | Tekst- en chatmodel (GPT-serie) | Ierland (EER) + VS | EU-VS Data Privacy Framework (OpenAI L.L.C.) |
| Anthropic PBC | Tekst- en chatmodel (Claude) | VS | EU-VS Data Privacy Framework |
| Google Ireland Ltd. | Tekstmodel (Gemini) | Ierland (EER) + VS | EU-VS Data Privacy Framework (Google LLC) |
| Mistral AI SAS | Tekstmodel | Frankrijk (EER) | Binnen EER — geen aanvullende waarborgen nodig |
| DeepSeek AI | Tekstmodel (optioneel, alleen op verzoek gebruiker) | China | Modelovereenkomsten + opt-in: geen adequacy-besluit, alleen na expliciete keuze |
| Perplexity AI Inc. | Tekstmodel + zoek | VS | Standaardcontractbepalingen (SCC) |
| Ideogram AI Inc. | Beeldgeneratie | VS | Standaardcontractbepalingen (SCC) |
| Recraft AI Inc. | Beeldgeneratie | VS | Standaardcontractbepalingen (SCC) |
| fal.ai (Features and Labels Inc.) | Beeld- en videogeneratie (Flux, Nano Banana e.a.) | VS | Standaardcontractbepalingen (SCC) |
| ElevenLabs Inc. | Stem- en audiogeneratie | VS | EU-VS Data Privacy Framework |
| Brave Software Inc. | Zoek-API (privacy-vriendelijk alternatief) | VS | Standaardcontractbepalingen (SCC) |
Wij kunnen sub-verwerkers wijzigen, toevoegen of verwijderen. Materiële wijzigingen kondigen we minimaal veertien dagen vooraf aan. Wil je een actueel volledig overzicht? Stuur een verzoek naar info@chat37.com.
7. Doorgifte buiten de EER
Een deel van onze sub-verwerkers is gevestigd buiten de Europese Economische Ruimte, voornamelijk in de Verenigde Staten. Voor die doorgiften baseren wij ons op:
- het EU-VS Data Privacy Framework voor partijen die daaronder gecertificeerd zijn (onder andere OpenAI, Anthropic, Google, Stripe, Vercel, ElevenLabs);
- Standaardcontractbepalingen (SCC) van de Europese Commissie voor overige doorgiften, ondersteund door een Transfer Impact Assessment;
- jouw expliciete keuze bij het gebruik van DeepSeek (China), waarvoor geen adequacy-besluit geldt.
Wil je inzage in een specifieke doorgifte of de bijbehorende waarborgen? Vraag deze op via info@chat37.com.
8. Bewaartermijnen
- Accountgegevens: voor de duur van het abonnement plus 90 dagen na opzegging, daarna verwijderd.
- Facturen en administratie: 7 jaar (fiscale bewaarplicht, art. 52 AWR).
- Gegenereerde content en brand-profielen: tot je deze zelf verwijdert of je account beëindigt. Back-ups worden binnen 30 dagen overschreven.
- Logs en sessiegegevens: 90 dagen, daarna geanonimiseerd of verwijderd.
- Tijdelijke buffers bij AI-providers: 7 tot 55 dagen, afhankelijk van de provider, daarna automatisch verwijderd.
9. Beveiliging
Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen, waaronder:
- versleuteling van data tijdens transport (TLS 1.2 of hoger) en bij opslag (Supabase Postgres at-rest);
- wachtwoord-hashing volgens industrie-standaard, ondersteuning voor sociale login (OAuth);
- rolgebaseerde toegangsbeperkingen (Row-Level Security in de database);
- geheime sleutels in een afgescheiden secrets-vault, niet in code;
- rate limiting en automatische blokkade bij verdacht gedrag.
10. Cookies en vergelijkbare technieken
Chat37 gebruikt uitsluitend functionele cookies: sessiecookies voor inloggen (Supabase), een cookie voor taalvoorkeur en, op de marketingsite, een cookie voor de wachtwoordbeveiligde toegang. Voor deze cookies is geen toestemming vereist (artikel 11.7a Telecommunicatiewet, derde lid). Wij plaatsen geen analyse-, advertentie- of trackingcookies.
11. Jouw rechten
Op grond van de AVG heb je het recht op:
- Inzage in de persoonsgegevens die wij verwerken;
- Rectificatie van onjuiste of onvolledige gegevens;
- Verwijdering ("recht om vergeten te worden");
- Beperking van een verwerking;
- Dataportabiliteit — een export van jouw gegevens in machine-leesbaar formaat;
- Bezwaar tegen verwerkingen op basis van gerechtvaardigd belang;
- Intrekken van toestemming wanneer een verwerking daarop is gebaseerd, zonder dat verwerkingen vóór de intrekking onrechtmatig worden;
- Klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).
Verzoeken handelen wij binnen één maand af. Stuur ze naar info@chat37.com. Wij kunnen vragen om aanvullende verificatie van je identiteit.
12. Geautomatiseerde besluitvorming
Chat37 genereert content met AI, maar neemt geen geautomatiseerde besluiten met rechtsgevolg of vergelijkbare significante impact in de zin van artikel 22 AVG. Jij beoordeelt en publiceert content zelf — Autopilot stelt klaar, jij keurt goed.
13. Kinderen
Chat37 is niet bedoeld voor gebruikers onder de 16 jaar en wij verzamelen niet bewust gegevens van minderjarigen. Word je geattendeerd op een account van een minderjarige, neem dan contact op via info@chat37.com en wij verwijderen dit binnen 30 dagen.
14. Wijzigingen
Wij kunnen dit beleid aanpassen wanneer wetgeving, sub-verwerkers of de dienst zelf wijzigen. Materiële wijzigingen kondigen wij minimaal 14 dagen vooraf aan via e-mail of een melding in de app. De geldende versie en de datum van de laatste wijziging staan bovenaan deze pagina.
Lees ook onze Algemene voorwaarden.