Privacy & Cookiebeleid

1. INLEIDING

Welkom bij het Privacy- en Cookiebeleid van LEXI AI. Uw privacy is belangrijk voor ons. Dit beleid legt uit hoe Lexi AI ("wij", "ons", "LEXI"), omgaat met uw persoonsgegevens wanneer u gebruik maakt van onze diensten.

Verantwoordelijke voor gegevensverwerking:

Lexi AI
Gouverneurlaan 445
2523 CB Den Haag
Nederland

KVK-nummer: 96417609
BTW-nummer: NL867602144B01
E-mail: [email protected]
Website: www.lexiai.nl

Dit privacybeleid is van toepassing op alle personen die gebruik maken van het LEXI platform, waaronder bezoekers van de website en gebruikers met een account (hierna: "u" of "gebruiker").

2. WELKE PERSOONSGEGEVENS VERZAMELEN WIJ?

2.1 Gegevens die u ons verstrekt

Bij registratie voor een gratis proef (3 vragen):

  • E-mailadres

Bij het aanmaken van een betaald account:

  • Volledige naam
  • E-mailadres
  • Bedrijfsnaam (indien van toepassing)
  • Telefoonnummer (optioneel)
  • Factuuradres
  • BTW-nummer (indien van toepassing)

Bij gebruik van de dienst:

  • De vragen die u stelt aan LEXI (input)
  • De antwoorden die LEXI genereert (output)
  • Feedbackgegevens (indien u deze verstrekt)
  • Communicatie met onze klantenservice

2.2 Gegevens die automatisch worden verzameld

Technische gegevens:

  • IP-adres
  • Browsertype en -versie
  • Apparaattype (desktop, mobiel, tablet)
  • Besturingssysteem
  • Tijdzone en locatie (op basis van IP-adres)
  • Toegangstijden en -data

Gebruiksgegevens:

  • Aantal gestelde vragen
  • Gebruiksfrequentie
  • Functionaliteiten die u gebruikt
  • Klikgedrag op het platform
  • Sessieduur

Cookies en vergelijkbare technologieën:
Zie sectie 9 van dit beleid voor gedetailleerde informatie over ons cookiegebruik.

2.3 Gegevens van derden

Betalingsgegevens via Stripe:
Wij ontvangen bevestigingen van succesvolle betalingen, maar verwerken zelf geen creditcardgegevens of bankrekeninginformatie. Deze worden rechtstreeks door Stripe verwerkt.

3. WAAROM VERWERKEN WIJ UW GEGEVENS? (DOELEINDEN)

Wij verwerken uw persoonsgegevens voor de volgende doeleinden:

3.1 Uitvoering van de overeenkomst

Rechtsgrond: Overeenkomst (Art. 6 lid 1 sub b AVG)

  • Het aanmaken en beheren van uw account
  • Het verlenen van toegang tot LEXI
  • Het beantwoorden van uw vragen via de AI-dienst
  • Klantenservice en ondersteuning
  • Telefonisch contact opnemen voor urgente account-gerelateerde zaken of support, indien u uw telefoonnummer heeft verstrekt
  • Facturering en betalingsverwerking
  • Opzeggingen en abonnementsbeheer

3.2 Wettelijke verplichtingen

Rechtsgrond: Wettelijke verplichting (Art. 6 lid 1 sub c AVG)

  • Administratie en boekhoudkundige verplichtingen
  • Belastingverplichtingen (BTW-administratie)
  • Bewaring van facturen conform wettelijke bewaartermijnen (7 jaar)

3.3 Gerechtvaardigd belang

Rechtsgrond: Gerechtvaardigd belang (Art. 6 lid 1 sub f AVG)

  • Verbetering van de dienstverlening: Analyseren van gebruikspatronen om LEXI te verbeteren
  • Training van AI-modellen: Gebruik van geanonimiseerde en geaggregeerde input/output om de nauwkeurigheid van LEXI te verbeteren
  • Fraudepreventie: Detectie van misbruik en ongeautoriseerde toegang
  • Beveiliging: Bescherming van onze systemen tegen cyberaanvallen
  • Analyse en statistieken: Inzicht in gebruik om onze diensten te optimaliseren
  • Directe marketing: Informeren van bestaande klanten over updates, nieuwe functies of gelijksoortige diensten (met in elke communicatie een eenvoudige opt-out mogelijkheid)

3.4 Toestemming

Rechtsgrond: Toestemming (Art. 6 lid 1 sub a AVG)

  • Plaatsing van niet-essentiële cookies (zie sectie 9)
  • Nieuwsbrieven en marketingcommunicatie (indien u zich hiervoor heeft aangemeld)
  • Andere verwerkingen waarvoor wij expliciet uw toestemming vragen

U kunt uw toestemming te allen tijde intrekken via uw accountinstellingen of door contact met ons op te nemen.

4. HOE LANG BEWAREN WIJ UW GEGEVENS?

Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld:

Type gegevens Bewaartermijn Reden
Accountgegevens (naam, e-mail) Zolang account actief is + 1 maand na beëindiging Uitvoering overeenkomst
Betalings- en factuurgegevens 7 jaar na laatste transactie Wettelijke verplichting (fiscaal)
Communicatie met klantenservice 2 jaar na laatste contact Kwaliteitsbewaking en geschilbeslechting
Vragen en antwoorden (input/output) 6 maanden in originele vorm, daarna geanonimiseerd voor onbepaalde tijd Serviceverbetering en AI-training
Technische logs (IP-adres, toegangstijd) 90 dagen Beveiliging en fraudepreventie
Cookies Zie cookietabel in sectie 9 Afhankelijk van type cookie

Na beëindiging van uw account:

  • Uw persoonlijke gegevens worden binnen 1 maand verwijderd
  • Factuurgegevens worden 7 jaar bewaard (wettelijk verplicht)
  • Geanonimiseerde gebruiksdata kunnen langer worden bewaard voor statistieken

Vroegtijdige verwijdering:
U kunt te allen tijde verzoeken om uw gegevens eerder te laten verwijderen, tenzij wij wettelijk verplicht zijn deze langer te bewaren.

5. MET WIE DELEN WIJ UW GEGEVENS?

Wij verkopen uw persoonsgegevens nooit aan derden. Wij delen alleen gegevens met de volgende partijen, en alleen voor zover noodzakelijk:

5.1 Subverwerkers (derden die namens ons gegevens verwerken)

Google Cloud Platform & Vertex AI

Doel: Hosting van het platform en AI-functionaliteit
Locatie: Datacenters binnen de Europese Economische Ruimte (EER)
Gegevens: Alle accountgegevens, vragen/antwoorden, technische logs
Waarborgen: Google Cloud is AVG-gecertificeerd. Wij hebben een Data Processing Addendum (DPA) afgesloten met Google. Meer informatie: https://cloud.google.com/terms/data-processing-addendum

Stripe

Doel: Betalingsverwerking en facturering
Locatie: Verenigde Staten (VS), met doorgifte op basis van EU-VS Data Privacy Framework
Gegevens: Naam, e-mail, factuuradres, betalingsgegevens
Waarborgen: Stripe is PCI-DSS Level 1 gecertificeerd (hoogste beveiligingsniveau voor betalingen). Stripe verwerkt uw creditcard- of bankgegevens rechtstreeks; wij hebben hier geen toegang toe.

Google Workspace / Gmail API (indien van toepassing)

Doel: Versturen van transactionele e-mails (accountbevestiging, wachtwoord reset, facturen)
Locatie: Datacenters binnen de Europese Economische Ruimte (EER)
Gegevens: E-mailadres, naam
Waarborgen: Valt onder Google Cloud DPA (reeds vermeld), AVG-gecertificeerd

5.2 Wettelijke verplichtingen

Wij kunnen uw gegevens delen met:

  • Belastingdienst: Voor BTW-administratie en fiscale verplichtingen
  • Opsporingsautoriteiten: Indien wij wettelijk verplicht zijn informatie te verstrekken op basis van een rechterlijk bevel of gerechtelijk verzoek
  • Toezichthouders: Zoals de Autoriteit Persoonsgegevens bij onderzoeken

5.3 Bedrijfsoverdracht

Bij een fusie, overname, verkoop van activa of faillissement kunnen uw gegevens worden overgedragen aan de opvolgende partij. U wordt hiervan vooraf op de hoogte gesteld.

6. INTERNATIONALE GEGEVENSOVERDRACHT

6.1 Binnen de EER

De meeste gegevensverwerking vindt plaats binnen de Europese Economische Ruimte (EER). Google Cloud datacenters bevinden zich in de EU (Nederland/België).

6.2 Buiten de EER

Stripe (Verenigde Staten):
Stripe is gevestigd in de VS. Voor gegevensoverdracht naar de VS gebruiken wij de volgende waarborgen:

  • EU-VS Data Privacy Framework: Stripe is hiervoor gecertificeerd
  • Standaard Contractbepalingen (SCC's): Goedgekeurd door de Europese Commissie

Voor meer informatie: https://stripe.com/privacy

Google Vertex AI:
Hoewel onze Google Cloud datacenters in de EU staan, kan Google in beperkte gevallen toegang hebben tot gegevens vanuit de VS voor technisch onderhoud of support. Hiervoor gelden:

  • Standaard Contractbepalingen (SCC's)
  • Google Cloud Data Processing Addendum
  • ISO 27001 en SOC 2 certificeringen

7. BEVEILIGING VAN UW GEGEVENS

Wij nemen de beveiliging van uw gegevens serieus en hebben passende technische en organisatorische maatregelen getroffen:

7.1 Technische maatregelen

  • Versleuteling: Alle data wordt versleuteld tijdens transport (TLS 1.3) en in rust (AES-256)
  • Firewalls: Bescherming tegen ongeautoriseerde toegang
  • Toegangscontrole: Alleen geautoriseerd personeel heeft toegang tot persoonsgegevens op "need-to-know" basis
  • Twee-factor authenticatie: Voor medewerkers met toegang tot het systeem
  • Regelmatige updates: Beveiligingspatches worden direct toegepast
  • Logging en monitoring: Detectie van verdachte activiteiten

7.2 Organisatorische maatregelen

  • Privacy by Design: Privacy is ingebouwd in onze systemen
  • Geheimhoudingsverklaringen: Al onze medewerkers hebben een geheimhoudingsverklaring getekend
  • Bewustwordingstraining: Regelmatige training over gegevensbescherming
  • Incidentresponsplan: Voor snelle reactie bij datalekken

7.3 Datalekmeldingen

Ondanks alle voorzorgsmaatregelen kan een datalek nooit volledig worden uitgesloten. Bij een datalek:

  • Melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens
  • Informeren wij u direct indien er een hoog risico is voor uw rechten en vrijheden
  • Nemen wij onmiddellijk maatregelen om verdere schade te beperken

8. UW RECHTEN ONDER DE AVG

Op grond van de Algemene Verordening Gegevensbescherming (AVG) heeft u de volgende rechten:

8.1 Recht op inzage (Art. 15 AVG)

U heeft het recht om te weten welke persoonsgegevens wij van u verwerken. U kunt een kopie van uw gegevens opvragen.

8.2 Recht op correctie (Art. 16 AVG)

U kunt verzoeken om onjuiste of onvolledige gegevens te corrigeren. Veel gegevens kunt u zelf aanpassen via uw accountinstellingen.

8.3 Recht op verwijdering / "recht op vergetelheid" (Art. 17 AVG)

U kunt verzoeken om uw gegevens te laten verwijderen, tenzij:

  • Wij wettelijk verplicht zijn deze te bewaren (bijv. factuurgegevens)
  • De gegevens noodzakelijk zijn voor de uitvoering van de overeenkomst
  • Er andere wettelijke gronden zijn om de gegevens te bewaren

8.4 Recht op beperking van de verwerking (Art. 18 AVG)

U kunt verzoeken om de verwerking van uw gegevens (tijdelijk) te beperken, bijvoorbeeld tijdens een onderzoek naar de juistheid van de gegevens.

8.5 Recht op dataportabiliteit (Art. 20 AVG)

U heeft het recht om de gegevens die u aan ons heeft verstrekt in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen. U kunt deze gegevens overdragen aan een andere dienstverlener.

8.6 Recht van bezwaar (Art. 21 AVG)

U kunt bezwaar maken tegen:

  • Verwerking op basis van gerechtvaardigd belang
  • Verwerking voor direct marketing doeleinden (altijd toegestaan, zonder reden)

8.7 Recht op intrekking toestemming (Art. 7 lid 3 AVG)

Als wij uw gegevens verwerken op basis van toestemming, kunt u deze toestemming te allen tijde intrekken. Dit heeft geen gevolgen voor de rechtmatigheid van de verwerking vóór de intrekking.

8.8 Geautomatiseerde besluitvorming en profiling (Art. 22 AVG)

Wij nemen geen geautomatiseerde beslissingen met rechtsgevolgen voor u op basis van profiling. LEXI is een informatietool; alle beslissingen worden door u zelf genomen.

8.9 Uitoefenen van uw rechten

Hoe kunt u uw rechten uitoefenen?

  • Stuur een e-mail naar: [email protected]
  • Vermeld duidelijk welk recht u wilt uitoefenen
  • Om uw identiteit te verifiëren, kunnen wij u vragen om uw verzoek te bevestigen via de e-mail die gekoppeld is aan uw account, of door in te loggen op uw account

Reactietermijn:
Wij reageren binnen 1 maand op uw verzoek. In complexe gevallen kunnen wij deze termijn met 2 maanden verlengen, waarvan wij u op de hoogte stellen.

Kosten:
Het uitoefenen van uw rechten is in principe gratis. Bij kennelijk ongegronde of buitensporige verzoeken kunnen wij een redelijke vergoeding vragen.

8.10 Klacht bij de toezichthouder

Bent u niet tevreden over hoe wij met uw gegevens omgaan? U heeft altijd het recht een klacht in te dienen bij de:

Autoriteit Persoonsgegevens

Postbus 93374
2509 AJ Den Haag
Telefoon: 0900 - 200 12 01 (lokaal tarief)
Website: www.autoriteitpersoonsgegevens.nl

9. COOKIES EN VERGELIJKBARE TECHNOLOGIEËN

9.1 Wat zijn cookies?

Cookies zijn kleine tekstbestanden die op uw apparaat worden geplaatst wanneer u een website bezoekt. Cookies helpen ons om:

  • Het platform goed te laten functioneren
  • Uw voorkeuren te onthouden
  • Inzicht te krijgen in hoe u onze dienst gebruikt

9.2 Welke cookies gebruiken wij?

Wij maken onderscheid tussen drie categorieën cookies:

A) Functionele cookies (altijd actief, geen toestemming vereist)

Deze cookies zijn strikt noodzakelijk voor de werking van het platform. Zonder deze cookies zou LEXI niet goed functioneren.

Cookie naam Doel Bewaartermijn
session_id Ingelogd blijven tijdens uw sessie Tot einde sessie
csrf_token Bescherming tegen cross-site request forgery aanvallen Tot einde sessie
cookie_consent Onthoudt uw cookievoorkeuren 12 maanden

B) Analytische cookies (toestemming vereist)

Deze cookies helpen ons begrijpen hoe bezoekers het platform gebruiken, zodat wij de gebruikerservaring kunnen verbeteren.

Cookie naam Aanbieder Doel Bewaartermijn
_ga Google Analytics Onderscheidt gebruikers 2 jaar
_gid Google Analytics Onderscheidt gebruikers 24 uur
_gat Google Analytics Beperkt aantal verzoeken 1 minuut

Gegevensdeling Google Analytics:
Wij hebben Google Analytics zodanig geconfigureerd dat:

  • IP-adressen worden geanonimiseerd (laatste octetten worden verwijderd)
  • Data-sharing met Google is uitgeschakeld
  • Geen persoonlijk identificeerbare informatie wordt verzonden

C) Marketing/tracking cookies (toestemming vereist)

Op dit moment gebruiken wij geen marketing of tracking cookies van derden. Mocht dit in de toekomst veranderen, dan vragen wij vooraf uw toestemming via de cookiebanner.

9.3 Uw cookievoorkeuren beheren

Bij uw eerste bezoek:
U krijgt een cookiebanner te zien waarin u kunt kiezen:

  • Alleen functionele cookies accepteren
  • Alle cookies accepteren
  • Uw voorkeuren aanpassen

Uw keuze wijzigen:

  • Via de link "Cookievoorkeuren" in de footer van onze website
  • Via uw browserinstellingen (zie hieronder)

Cookies verwijderen via uw browser:

  • Chrome: Instellingen > Privacy en beveiliging > Cookies en andere sitegegevens
  • Firefox: Instellingen > Privacy en beveiliging > Cookies en sitegegevens
  • Safari: Voorkeuren > Privacy > Websitegegevens beheren
  • Edge: Instellingen > Privacy, zoeken en services > Cookies en sitegegevens

Let op: Als u alle cookies weigert of verwijdert, kunnen sommige functionaliteiten van LEXI mogelijk niet goed werken.

9.4 Do Not Track

Sommige browsers hebben een "Do Not Track" (DNT) functie. Op dit moment is er geen uniforme standaard voor DNT-signalen. Wij respecteren uw cookievoorkeuren zoals aangegeven via onze cookiebanner.

10. KINDEREN EN PRIVACY

LEXI is een zakelijke dienst en niet bedoeld voor personen onder de 16 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen. Mocht u ontdekken dat wij per ongeluk gegevens van een minderjarige hebben verzameld, neem dan contact met ons op via [email protected], dan verwijderen wij deze onmiddellijk.

11. LINKS NAAR EXTERNE WEBSITES

Ons platform kan links bevatten naar externe websites, zoals de website van Stripe voor betalingen. Wij zijn niet verantwoordelijk voor de privacy practices van deze externe websites. Wij adviseren u om het privacybeleid van deze websites te lezen wanneer u deze bezoekt.

12. WIJZIGINGEN IN DIT PRIVACYBELEID

Wij behouden ons het recht voor om dit privacybeleid te wijzigen. Wijzigingen kunnen noodzakelijk zijn door:

  • Wijzigingen in de wet- of regelgeving
  • Aanpassingen in onze dienstverlening
  • Nieuwe technologische ontwikkelingen

Bij belangrijke wijzigingen:

  • Plaatsen wij de nieuwe versie op onze website
  • Informeren wij u minimaal 30 dagen van tevoren per e-mail
  • Vermeldt wij duidelijk wat er is gewijzigd

Datum huidige versie: Oktober 2026
Versie: 1.0

Wij adviseren u regelmatig dit privacybeleid te raadplegen om op de hoogte te blijven van wijzigingen.

13. CONTACT EN VRAGEN

Heeft u vragen over dit privacybeleid of over hoe wij met uw persoonsgegevens omgaan? Neem gerust contact met ons op:

Lexi AI

t.a.v. Privacy Officer
Gouverneurlaan 445
2523 CB Den Haag
Nederland

E-mail: [email protected]
Website: www.lexiai.nl

Wij streven ernaar om binnen 5 werkdagen te reageren op uw vragen.

14. SAMENVATTING BELANGRIJKSTE PUNTEN

Let op: Deze samenvatting is niet juridisch bindend. Het volledige privacybeleid hierboven is leidend.

  • 📧 Wat verzamelen we? Naam, e-mail, bedrijfsgegevens, vragen/antwoorden, gebruiksgegevens
  • 🎯 Waarvoor? Dienstverlening, facturering, verbetering van LEXI, wettelijke verplichtingen
  • 🔐 Beveiliging: Versleuteling, firewalls, toegangscontrole, regelmatige audits
  • ☁️ Waar worden gegevens opgeslagen? Primair in EU (Google Cloud), betalingen via Stripe (VS met waarborgen)
  • 🤖 AI-training: Geanonimiseerde vragen/antwoorden worden gebruikt om LEXI te verbeteren
  • ⏱️ Hoe lang bewaren? Zolang account actief is + 1 maand; facturen 7 jaar (wettelijk); logs 90 dagen
  • 👤 Uw rechten: Inzage, correctie, verwijdering, beperking, dataportabiliteit, bezwaar
  • 🍪 Cookies: Functionele (altijd), analytische (met toestemming), geen marketing cookies
  • ✉️ Vragen? [email protected]
  • ⚖️ Klacht? Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl)

Einde Privacy- en Cookiebeleid LEXI AI