NL
Privacybeleid
Inleiding
Y4 Works Oy ("Suunta.ai," "wij," "ons" of "onze") exploiteert het Suunta.ai-platform, een AI-gestuurde strategische planningsdienst voor bedrijven. Dit Privacybeleid legt uit hoe wij uw persoonsgegevens verzamelen, gebruiken, openbaar maken en beschermen wanneer u onze Diensten gebruikt.
Suunta.ai is een business-to-business (B2B) dienst. Dit Privacybeleid is van toepassing op vertegenwoordigers van onze zakelijke klanten en hun geautoriseerde gebruikers.
Verwerkingsverantwoordelijke: Y4 Works Oy, Bedrijfs-ID: 2978296-6, Finland, E-mail: privacy@suunta.ai
1. Informatie die Wij Verzamelen
1.1 Informatie die U Verstrekt
Accountinformatie
| Gegevens | Vereist | Doel |
|---|---|---|
| E-mailadres | Ja | Accountlogin, communicatie |
| Voornaam en achternaam | Nee | Personalisatie |
| Telefoonnummer | Nee | Optioneel contact |
| Wachtwoord | Ja* | Authenticatie |
| Profielfoto | Nee | Personalisatie |
| Taalvoorkeur | Ja (standaard: Fins) | Lokalisatie |
| Tijdzone | Ja (standaard: Europe/Helsinki) | Tijdweergave |
| Aanvullende profieldetails | Nee | Personalisatie |
SSO-gebruikers authenticeren via Google of Microsoft en hebben geen Suunta.ai-wachtwoord.
Organisatie-informatie
| Gegevens | Vereist | Doel |
|---|---|---|
| Organisatienaam | Ja | Accountidentificatie |
| Land | Ja (standaard: Finland) | Lokalisatie, naleving |
| Stad | Nee | Lokalisatie |
| Branche | Nee | Dienstaanpassing |
| Organisatiegrootte | Nee | Dienstaanpassing |
| Website | Nee | Organisatieprofiel |
| Logo | Nee | Branding |
| Organisatieprofielgegevens | Nee | Dienstaanpassing |
Bedrijfsgegevens
- Strategiedocumenten en -plannen
- OKR's (Objectives and Key Results)
- KPI's (Key Performance Indicators) en metrieken
- Projecten en taken
- Documenten voor AI-analyse (RAG-bronnen)
- Chatgesprekken met onze AI-assistent
- Andere bedrijfsgegevens die door u zijn ingediend
Deze bedrijfsgegevens worden verwerkt om u onze Diensten te leveren.
1.2 Automatisch Verzamelde Informatie
Technische Gegevens
| Gegevens | Doel | Bewaring |
|---|---|---|
| IP-adres | Beveiliging, fraude-preventie | Overschreven bij nieuwe login |
| User agent (browser/apparaat) | Beveiliging, sessiebeheer | Sessieduur |
| Login-tijdstempels | Beveiligingsaudit | Overschreven |
| Sessiegegevens | Authenticatiestatus | 14-30 dagen |
| Mislukte loginpogingen | Brute-force bescherming | Reset bij succesvolle login |
Gebruiksgegevens
| Gegevens | Doel | Bewaring |
|---|---|---|
| AI-functiegebruik (tokens, model, latentie) | Facturering, analyses | 365 dagen |
| Activiteitslogboeken (uitgevoerde acties) | Audittrail | 12-36 maanden |
Belangrijk: Wij slaan uw AI-prompts of door AI gegenereerde antwoorden NIET op. Alleen metadata over AI-gebruik (zoals tokenaantallen en responstijden) wordt gelogd.
1.3 Informatie van Derden
Single Sign-On (SSO) Als u zich aanmeldt via Google of Microsoft, ontvangen wij uw naam, e-mail en profielfoto van de SSO-aanbieder.
Betalingsinformatie Wij gebruiken Stripe voor betalingsverwerking. Stripe verzamelt en verwerkt uw betalingskaartinformatie rechtstreeks. Wij ontvangen alleen uw Stripe Klant-ID en abonnementsstatus—nooit uw kaartgegevens.
Integraties Als u diensten van derden aansluit (Slack, Google Workspace, enz.), ontvangen wij gegevens die nodig zijn voor de integratie zoals door u geconfigureerd.
2. Hoe Wij Uw Informatie Gebruiken
| Doel | Rechtsgrondslag (AVG) |
|---|---|
| Leveren van de Diensten (accountbeheer, AI-functies, gegevensopslag) | Uitvoering overeenkomst (Artikel 6(1)(b)) |
| Verwerken van betalingen en beheren van abonnementen | Uitvoering overeenkomst |
| Verzenden van transactie-e-mails (OTP-codes, meldingen) | Uitvoering overeenkomst |
| Waarborgen van beveiliging en voorkomen van fraude | Gerechtvaardigd belang (Artikel 6(1)(f)) |
| Bijhouden van auditlogboeken voor naleving | Gerechtvaardigd belang / Wettelijke verplichting |
| Verbeteren van de Diensten (geaggregeerde analyses) | Gerechtvaardigd belang |
| Reageren op ondersteuningsverzoeken | Uitvoering overeenkomst |
| Naleven van wettelijke verplichtingen | Wettelijke verplichting (Artikel 6(1)(c)) |
Wij doen NIET:
- Uw persoonsgegevens verkopen
- Uw gegevens gebruiken voor advertenties
- Uw gegevens delen met gegevensmakelaars
- Uw bedrijfsgegevens gebruiken om AI-modellen te trainen (zonder expliciete toestemming)
3. AI-gegevensverwerking
3.1 Hoe AI-functies Werken
- Uw prompts en context worden verzonden naar onze AI-aanbieders (Anthropic, OpenAI, Google, Mistral)
- De AI-aanbieder verwerkt uw verzoek en retourneert een antwoord
- Wij tonen het antwoord aan u
- Wij loggen alleen metadata (gebruikte tokens, verwerkingstijd, kosten)
3.2 Wat Wij Opslaan
| Opgeslagen | Niet Opgeslagen |
|---|---|
| Chatgespreksgeschiedenis (voor continuïteit) | Onbewerkte AI-prompts verzonden naar aanbieders |
| AI-gebruiksmetadata (tokens, latentie, kosten) | AI-aanbiederantwoorden |
| Documentembeddings (voor zoeken) | Originele documenttekst na indexering |
3.3 Gegevensbeheer AI-aanbieders
- OpenAI: store=False vlag om opslag uit te schakelen
- Anthropic: Standaard API zonder training op inputs
- Google Vertex AI: EU-regio waar beschikbaar
- Mistral: EU-gebaseerde aanbieder
Wij staan niet toe dat onze AI-aanbieders uw gegevens gebruiken voor modeltraining.
3.4 RAG (Documentanalyse)
- Tekst wordt uit uw document geëxtraheerd
- Tekst wordt geconverteerd naar vector-embeddings
- Originele tekst wordt binnen 24 uur gewist
- Embeddings en tekstfragmenten worden bewaard voor zoekfunctionaliteit
- Het verwijderen van een bron verwijdert alle bijbehorende gegevens
4. Informatiedeling
4.1 Dienstverleners (Onderaannemers)
| Aanbieder | Doel | Locatie |
|---|---|---|
| AWS | Infrastructuurhosting | EU (Stockholm) |
| Anthropic | AI-verwerking | VS |
| OpenAI | AI-verwerking | VS |
| AI-verwerking | EU/VS | |
| Mistral | AI-verwerking | EU (Frankrijk) |
| Stripe | Betalingsverwerking | VS/EU |
| Resend | E-maillevering | EU |
Voor de volledige lijst, zie onze Lijst van Onderaannemers op https://suunta.ai/legal/subprocessors.
4.2 Door Klant Geïnitieerde Integraties
- Slack: Berichten, meldingen zoals geconfigureerd
- Google Workspace: Agenda-evenementen, spreadsheetgegevens zoals geconfigureerd
- Zapier/Make: Webhook-payloads zoals geconfigureerd
U bepaalt welke integraties zijn ingeschakeld en welke gegevens worden gedeeld.
4.3 Wettelijke Vereisten
- Om te voldoen aan toepasselijke wetgeving of juridische procedures
- Om te reageren op rechtmatige verzoeken van overheidsinstanties
- Om onze rechten, privacy, veiligheid of eigendom te beschermen
- In verband met een fusie, overname of verkoop van activa
4.4 Met Uw Toestemming
Wij kunnen informatie delen met derden wanneer u expliciete toestemming heeft gegeven.
5. Internationale Overdrachten
5.1 Waar Wij Gegevens Verwerken. Primaire verwerking vindt plaats in de EU (AWS Stockholm, eu-north-1). AI-verwerking kan plaatsvinden in de VS via AI-aanbieders.
5.2 Overdrachtswaarborgen. Voor overdrachten buiten de EER vertrouwen wij op Standaard Contractbepalingen (SCC's) goedgekeurd door de Europese Commissie, aanvullende maatregelen inclusief versleuteling en toegangscontroles, en aanbieder-certificeringen (bijv. SOC 2, ISO 27001).
6. Gegevensbewaring
6.1 Bewaartermijnen
| Gegevenstype | Bewaartermijn |
|---|---|
| Actieve gebruikersaccounts | Duur van gebruik |
| Verwijderde gebruikersaccounts | Onmiddellijk geanonimiseerd |
| Organisatiegegevens | Tot organisatieverwijdering + 90 dagen (back-ups) |
| AI-gebruiksmetadata | 365 dagen |
| Auditlogboeken (standaard) | 24 maanden |
| Auditlogboeken (kritiek) | 36 maanden |
| Factureringsgegevens | 6 jaar (Finse wet) |
| Back-ups | 30 dagen |
6.2 Accountverwijdering
- Uw persoonsgegevens worden geanonimiseerd
- Uw e-mail wordt vervangen door een plaatshouder
- Uw organisatielidmaatschappen worden verwijderd
- Uw sessies worden ingetrokken
- Auditlogboeken worden bewaard voor naleving (met geanonimiseerde acteur-ID)
6.3 Organisatieverwijdering
- 30-dagen respijtperiode (annuleerbaar)
- Alle organisatiegegevens worden permanent verwijderd
- Gebruikersaccounts blijven bestaan maar verliezen organisatietoegang
- Onveranderlijk nalevingsauditlogboekvermelding wordt aangemaakt
7. Uw Rechten
Onder de AVG heeft u de volgende rechten en kunt u deze uitoefenen via Instellingen of door contact op te nemen met privacy@suunta.ai:
- Recht op toegang (Artikel 15): Instellingen → Gegevens Exporteren
- Recht op rectificatie (Artikel 16): Instellingen → Profiel
- Recht op verwijdering (Artikel 17): Instellingen → Account Verwijderen / Organisatie Verwijderen
- Recht op beperking (Artikel 18): E-mail privacy@suunta.ai
- Recht op gegevensoverdraagbaarheid (Artikel 20): Instellingen → Gegevens Exporteren
- Recht van bezwaar (Artikel 21): E-mail privacy@suunta.ai
- Recht om toestemming in te trekken: Instellingen → Marketingvoorkeuren
U heeft ook het recht om een klacht in te dienen bij een toezichthoudende autoriteit. In Nederland is dit:
Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
-
8. Cookies en Vergelijkbare Technologieën
8.1 Cookies die Wij Gebruiken
| Cookie | Type | Doel | Duur |
|---|---|---|---|
| session | Essentieel | Authenticatie | 14-30 dagen |
8.2 Wat Wij Niet Gebruiken
- Google Analytics
- Facebook Pixel
- Marketingcookies
- Trackingcookies van derden
8.3 Lokale Opslag
| Sleutel | Doel |
|---|---|
| sidebarCollapsed | UI-voorkeur |
| theme | Weergavethema |
| userTimezone | Tijdweergave |
8.4 Scripts van Derden
- Stripe (js.stripe.com): Betalingsverwerking
- Google Fonts: Typografie
- Font Awesome: Pictogrammen
Deze diensten kunnen hun eigen cookies instellen. Zie hun respectieve privacybeleid.
9. Beveiliging
9.1 Technische Maatregelen
- Versleuteling: TLS 1.2+ tijdens overdracht, AES-256 in rust
- Wachtwoordbeveiliging: PBKDF2-SHA256 hashing
- Sessiebeveiliging: HttpOnly, Secure, SameSite cookies
- Toegangscontrole: Op rollen gebaseerd, organisatie-geïsoleerd
9.2 Organisatorische Maatregelen
- Vertrouwelijkheidsverplichtingen voor personeel
- Beveiligingsbewustzijnstraining
- Incidentresponsprocedures
- Regelmatige beveiligingsbeoordelingen
9.3 Uw Verantwoordelijkheden
- Houd uw wachtwoord veilig
- Gebruik een sterk, uniek wachtwoord
- Meld verdachte activiteit onmiddellijk
- Log uit op gedeelde apparaten
10. Privacy van Kinderen
Suunta.ai is een B2B-dienst bedoeld voor zakelijke professionals. De Diensten zijn niet gericht op personen onder de 18 jaar. Wij verzamelen niet opzettelijk persoonsgegevens van kinderen.
11. Wijzigingen in Dit Beleid
Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken. Wij zullen u op de hoogte stellen van materiële wijzigingen via e-mailmelding ten minste 30 dagen voordat wijzigingen van kracht worden en prominente melding op onze website. Voortgezet gebruik van de Diensten na wijzigingen houdt acceptatie in.
12. Neem Contact met Ons Op
Voor privacygerelateerde vragen of om uw rechten uit te oefenen: Y4 Works Oy (Suunta.ai), E-mail: privacy@suunta.ai. Voor algemene vragen: team@suunta.ai.
13. Aanvullende Informatie voor EER-gebruikers
13.1 Samenvatting Rechtsgrondslag
| Verwerkingsactiviteit | Rechtsgrondslag |
|---|---|
| Accountbeheer | Overeenkomst |
| Dienstverlening | Overeenkomst |
| Betalingsverwerking | Overeenkomst |
| Transactie-e-mails | Overeenkomst |
| Beveiligingsmaatregelen | Gerechtvaardigd belang |
| Auditlogging | Gerechtvaardigd belang / Wettelijke verplichting |
| Marketing (indien aangemeld) | Toestemming |
13.2 Functionaris voor Gegevensbescherming
Als klein bedrijf hebben wij geen formele FG aangesteld. Voor vragen over gegevensbescherming, neem contact op: privacy@suunta.ai.
13.3 Geautomatiseerde Besluitvorming
Wij nemen geen geautomatiseerde beslissingen die juridische gevolgen hebben of u op vergelijkbare wijze aanzienlijk beïnvloeden. AI-functies bieden aanbevelingen en analyses, maar uiteindelijke beslissingen worden door u genomen.