Privacybeleid Zoef

1. Wie zijn wij?

Zoef is een AI-platform voor teams, aangeboden door Clara Intelligence B.V. Voor gegevens die wij verzamelen via onze website, contact en facturatie treden wij op als verwerkingsverantwoordelijke. Voor gegevens die Organisaties en Gebruikers via Zoef verwerken (zoals documenten, prompts en AI-output) treden wij in de meeste gevallen op als verwerker; de betreffende Organisatie is dan verwerkingsverantwoordelijke en de afspraken hierover liggen vast in de verwerkersovereenkomst.

2. Welke gegevens verzamelen wij?

Wij verzamelen en verwerken de volgende categorieen persoonsgegevens:

• Accountgegevens: naam, e-mailadres, organisatienaam en functie.
• Gebruiksgegevens: informatie over hoe je Zoef gebruikt, zoals inlogmomenten, gebruikte functies en interacties binnen de applicatie.
• Content en documenten: bestanden, bijlagen, teksten, prompts, foto's, audio-opnames en andere informatie die je uploadt of invoert in Zoef.
• Authenticatiegegevens: als je inlogt via Google Workspace of Microsoft Entra ID (single sign-on), ontvangen wij van die partij een beperkte set authenticatiegegevens, zoals je naam, e-mailadres, organisatie-identificatie en een unieke account-identifier. Wachtwoorden ontvangen of zien wij niet.
• Technische gegevens: IP-adres, browsertype, apparaatinformatie en loggegevens voor beveiliging en probleemoplossing.
• Betalingsgegevens: facturatie vindt plaats op factuurbasis. Zoef slaat geen creditcard- of betaalgegevens op. Factuurgegevens en betalingshistorie worden bijgehouden voor administratieve doeleinden.
• Communicatie: berichten die je naar ons stuurt via e-mail of supportkanalen.

3. Waarvoor gebruiken wij je gegevens?

Wij verwerken persoonsgegevens voor de volgende doeleinden:

• Leveren van de dienst: het aanmaken en beheren van accounts, het verwerken van prompts en het genereren van AI-antwoorden.
• Authenticatie en toegangsbeheer: het verifiëren van je identiteit en het beheren van toegang tot Zoef, onder meer via single sign-on met Google Workspace en Microsoft Entra ID.
• Klantenservice: het beantwoorden van vragen en het oplossen van problemen.
• Facturatie en administratie: het versturen van facturen en het bijhouden van betalingen.
• Beveiliging: het beschermen van onze systemen en het detecteren van misbruik of fraude.
• Verbetering van de dienst: het analyseren van gebruikspatronen om Zoef te verbeteren (op geaggregeerde, geanonimiseerde basis).
• Wettelijke verplichtingen: het voldoen aan wet- en regelgeving, zoals fiscale bewaarplichten.

4. Rechtsgronden

Wij verwerken persoonsgegevens op basis van de volgende rechtsgronden uit de AVG:

• Uitvoering van de overeenkomst: de verwerking is noodzakelijk om de dienst te kunnen leveren die je bij ons afneemt.
• Gerechtvaardigd belang: voor beveiliging, fraudepreventie en verbetering van onze diensten.
• Wettelijke verplichting: wanneer wij wettelijk verplicht zijn gegevens te bewaren of te verstrekken.
• Toestemming: in specifieke gevallen waarin je expliciet toestemming hebt gegeven.

5. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld:

• Accountgegevens: worden bewaard zolang je account actief is. Na verwijdering van je account worden je accountgegevens binnen 24 uur uit de live-omgeving verwijderd.
• Content en documenten: worden bewaard zolang jij of je Organisatie deze in de applicatie beschikbaar houdt. Wanneer je content verwijdert, wordt deze binnen 24 uur uit de live-omgeving verwijderd. Content kan maximaal 7 dagen in beveiligde back-ups aanwezig blijven voordat deze definitief wordt overschreven.
• Na beëindiging van de overeenkomst: persoonsgegevens die wij in opdracht van een Organisatie verwerken, worden binnen 3 maanden na beëindiging verwijderd of geanonimiseerd, in lijn met onze Algemene Voorwaarden en de verwerkersovereenkomst.
• Audit- en securitylogs: worden bewaard voor maximaal 12 maanden ten behoeve van beveiliging, incident response en foutanalyse. Voor zorgklanten hanteren wij op grond van NEN 7513 een bewaartermijn van 5 jaar voor logging van toegang tot patiëntgegevens.
• Gebruiksdata: gegevens over het gebruik van de applicatie (zoals inlogmomenten en gebruikte functies) worden maximaal 12 maanden bewaard en daarna verwijderd of geaggregeerd en geanonimiseerd opgeslagen voor productverbetering.
• Factuur- en administratieve gegevens: worden op grond van de fiscale bewaarplicht (artikel 52 AWR) 7 jaar bewaard.
• Supportcommunicatie: e-mails en berichten via supportkanalen worden maximaal 2 jaar bewaard, zodat wij eerdere vragen kunnen terugvinden en terugkerende problemen kunnen herkennen.

6. AI-modellen en gegevensverwerking

Zoef maakt gebruik van AI-modellen van derde partijen zoals (onder meer) Microsoft (Azure AI Foundry), Google (Vertex AI), Mistral en Nebius om antwoorden te genereren op basis van jouw input en documenten.

• Bij het gebruik van Zoef kunnen delen van je prompts, documenten, foto's, audio-opnames en projectcontext worden doorgestuurd naar deze modelproviders om een antwoord te genereren.
• Wanneer we AI-diensten van derden gebruiken (zoals Microsoft, Google, Mistral of Nebius), selecteren we uitsluitend modelproviders en configuraties waarbij de verwerking van klantdata plaatsvindt binnen datacenters in de Europese Economische Ruimte (EU/EER) en waarbij klantdata niet wordt gebruikt voor training of (her)training van generieke, klant-specifieke of andere AI-modellen.
• Wij trainen geen eigen AI-modellen op basis van klantdata. Klantdata wordt alleen gebruikt voor het leveren van de dienst, het bieden van ondersteuning (zoals het onderzoeken en oplossen van bugs of incidenten), beveiligings- en logdoeleinden en, waar mogelijk op geaggregeerd en geanonimiseerd niveau, voor verbetering van Zoef als product.
• Modelproviders gebruiken de gegevens uitsluitend voor het genereren van het gevraagde antwoord en niet voor eigen marketingdoeleinden.

Er vindt geen opslag of verwerking van klantdata plaats buiten de EU/EER.

7. Subverwerkers en doorgifte

Voor het leveren van Zoef maken wij gebruik van zorgvuldig geselecteerde subverwerkers. Hieronder vind je een overzicht van onze subverwerkers:

Belangrijke uitgangspunten:

• Datacenters binnen de EER

  We slaan klantdata op in datacenters binnen de Europese Economische Ruimte (EER). Onze leveranciers zijn zorgvuldig geselecteerd en voldoen aan hoge beveiligingsstandaarden. Dit betekent dat klantdata binnen de EER blijft opgeslagen en dat er geen opslag of verwerking van klantdata plaatsvindt buiten de Europese Economische Ruimte (EER).

• Uitsluitend binnen de EU/EER

  Wij kiezen subverwerkers en diensten zo dat de verwerking van persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EU/EER) plaatsvindt. Er vindt geen doorgifte van persoonsgegevens plaats naar landen buiten de EU/EER.

We sluiten met alle subverwerkers verwerkersovereenkomsten.

8. Beveiliging

Wij nemen de bescherming van je gegevens serieus en treffen passende technische en organisatorische maatregelen:

• Versleuteling van gegevens tijdens transport (TLS/SSL) en in rust.
• Toegangscontrole en authenticatie voor medewerkers en systemen.
• Regelmatige back-ups en disaster recovery procedures.
• Monitoring en logging van beveiligingsgebeurtenissen.
• Periodieke beveiligingsaudits en updates.
• We hebben passende technische en organisatorische maatregelen genomen om je gegevens te beschermen tegen verlies, misbruik en onbevoegde toegang.

Als zich een inbreuk in verband met persoonsgegevens ("datalek") voordoet die gevolgen kan hebben voor jou of je organisatie, stellen wij de betreffende klant zonder onredelijke vertraging op de hoogte en verstrekken wij de informatie die nodig is om aan eventuele wettelijke meldplichten te voldoen. We nemen passende maatregelen om de gevolgen te beperken en herhaling te voorkomen.

9. Jouw rechten

Op grond van de AVG heb je de volgende rechten met betrekking tot je persoonsgegevens:

• Recht op inzage: je kunt opvragen welke gegevens wij van je verwerken.
• Recht op rectificatie: je kunt onjuiste gegevens laten corrigeren.
• Recht op verwijdering: je kunt verzoeken om verwijdering van je gegevens ("recht om vergeten te worden").
• Recht op beperking: je kunt vragen om beperking van de verwerking.
• Recht op dataportabiliteit: je kunt je gegevens in een gangbaar formaat ontvangen.
• Recht op bezwaar: je kunt bezwaar maken tegen bepaalde verwerkingen.

Om je rechten uit te oefenen kun je contact opnemen via support@zoef.ai. Wij reageren binnen 10 werkdagen op je verzoek.

Verwijdering van je account kun je ook zelf starten in de Zoef iOS-app via Account en privacy. Na bevestiging worden je accountgegevens conform de bewaartermijnen in sectie 5 verwijderd.

Je hebt ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens: www.autoriteitpersoonsgegevens.nl.

Verwerken wij jouw persoonsgegevens namens een Organisatie (bijvoorbeeld jouw werkgever of onderwijsinstelling), dan is die Organisatie verwerkingsverantwoordelijke. In dat geval zullen wij verzoeken over jouw privacyrechten in principe doorverwijzen naar de betreffende Organisatie.

10. Cookies

Zoef maakt gebruik van Simple Analytics voor geanonimiseerde statistieken. Er worden geen cookies geplaatst.

11. Wijzigingen

Wij kunnen dit privacybeleid van tijd tot tijd aanpassen. Belangrijke wijzigingen worden aangekondigd via de website of per e-mail. We raden je aan dit beleid regelmatig te raadplegen. De datum bovenaan geeft aan wanneer het beleid voor het laatst is bijgewerkt.

12. Contact

Heb je vragen over dit privacybeleid of over de verwerking van je persoonsgegevens? Neem dan contact met ons op: