Privacyverklaring

1. Inleiding

EU GPT (hierna: “wij”, “ons” of “onze”) is een Europees soeverein AI-platform. Privacy en datasoevereiniteit vormen het fundament van onze dienst. Wij zijn gebouwd op het uitgangspunt dat uw gegevens u toebehoren en dat AI-gebruik niet gepaard hoeft te gaan met het opgeven van controle over uw data.

In tegenstelling tot niet-Europese AI-platforms gebruikt EU GPT uw inhoudelijke gegevens niet voor commerciële doeleinden zoals het trainen van AI-modellen, profilering of doorverkoop. Uw data wordt opgeslagen binnen uw eigen account-omgeving zodat u er toegang toe houdt. Inhoudelijke analyse van uw data door EU GPT vindt uitsluitend plaats binnen de in deze privacyverklaring beschreven grenzen (bijvoorbeeld geautoriseerde probleemanalyse op uw verzoek of beveiligingsincidenten, zie hoofdstuk 6). U behoudt te allen tijde de volledige controle en het eigenaarschap over uw data.

Deze privacyverklaring beschrijft welke gegevens worden verwerkt, waarom dit noodzakelijk is, en welke rechten u heeft op grond van de Algemene Verordening Gegevensbescherming (AVG/GDPR).

2. Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is:

EU GPT heeft op dit moment geen Functionaris Gegevensbescherming (FG/DPO) aangesteld, aangezien de kernactiviteit van EU GPT niet bestaat uit het op grote schaal verwerken van bijzondere categorieën persoonsgegevens of het stelselmatig en grootschalig monitoren van betrokkenen. EU GPT houdt de noodzaak tot het aanstellen van een FG doorlopend in de gaten naarmate de dienst groeit.

3. Hoe wij met uw gegevens omgaan

Om volledig transparant te zijn over onze werkwijze, beschrijven wij hieronder wat EU GPT wel en niet doet met uw gegevens:

• Uw inhoudelijke data (prompts, invoer, documenten en gegenereerde antwoorden) wordt opgeslagen binnen uw eigen account-omgeving op Europese servers, zodat u uw chatgeschiedenis kunt terugzien. U behoudt te allen tijde de volledige controle en het eigenaarschap over deze data.
• EU GPT gebruikt uw inhoudelijke data niet voor commerciële doeleinden buiten de levering van de dienst aan u. Uw data wordt niet doorverkocht, niet hergebruikt voor andere klanten en niet gebruikt voor profilering of marketingdoeleinden.
• Wij gebruiken uw data niet voor modeltraining. De AI-modellen binnen EU GPT leren niet van uw interacties.
• EU GPT kan geaggregeerde statistieken gebruiken voor het verbeteren en versterken van de dienst (zie Art. 4.3 voor een nadere toelichting).
• Indien voor het analyseren of oplossen van een door u gemeld probleem toegang tot uw specifieke data noodzakelijk is, zal EU GPT hiervoor vooraf uw expliciete toestemming vragen. Deze toestemming geldt uitsluitend voor het doel van de betreffende probleemanalyse.
• Wij delen geen gegevens met derden, anders dan de subverwerkers die noodzakelijk zijn voor het leveren van de dienst (zie Art. 8). Uw data wordt niet doorgestuurd naar overheden.
• Wij verkopen of verhandelen geen persoonsgegevens.
• Wij profileren u niet op basis van uw gebruik van de dienst.
• Wat u verwijdert wordt direct uit de actieve dienst verwijderd en uiterlijk binnen de geldende backup-cyclus (maximaal 30 dagen) ook uit reservekopieën gewist, tenzij bewaring wettelijk verplicht is.

4. Gegevens die automatisch worden verwerkt

Bij het gebruik van EU GPT worden uitsluitend de volgende technische en functionele gegevens automatisch verwerkt. Dit zijn gegevens die noodzakelijk zijn om de dienst te laten functioneren en veilig te houden:

4.1 Accountgegevens

Indien u een account aanmaakt, worden de gegevens verwerkt die u bij registratie verstrekt (zoals e-mailadres en eventuele organisatienaam). Deze gegevens zijn noodzakelijk voor het aanmaken en beheren van uw account.

4.2 Technische verbindingsgegevens

Bij elk bezoek aan de dienst worden automatisch technische gegevens verwerkt die inherent zijn aan internetverkeer:

• IP-adres
• Browsertype en versie
• Besturingssysteem
• Datum en tijdstip van toegang

Deze gegevens worden uitsluitend gebruikt voor het functioneren van de dienst en het waarborgen van de beveiliging.

4.3 Gebruiksgegevens (geaggregeerde statistieken)

EU GPT kan geaggregeerde statistieken over het gebruik van de dienst genereren voor het verbeteren en versterken van de dienst. Dit betreft uitsluitend gegevens die niet herleidbaar zijn tot individuele gebruikers, zoals het totale aantal sessies, piekmomenten in gebruik en algemene gebruikspatronen.

Het aggregatieproces bestaat uit het samenvoegen van gebruiksdata op groepsniveau, waarbij individuele identificatoren worden verwijderd voordat de gegevens worden geanalyseerd. Na aggregatie is heridentificatie van individuele gebruikers redelijkerwijs niet meer mogelijk.

4.4 Betalingsgegevens

Indien u een betaald abonnement afneemt, worden de hiervoor benodigde betalingsgegevens verwerkt door onze betalingsdienstverlener. EU GPT slaat zelf geen volledige betaalgegevens op. De actuele betalingsdienstverlener is vermeld in het subverwerkersoverzicht op eugpt.nl.

5. Rechtsgronden

De gegevensverwerking die plaatsvindt, is gebaseerd op de volgende rechtsgronden:

• Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG): voor het leveren van de dienst, het beheren van uw account, en het opslaan van chatgeschiedenis als kernonderdeel van de dienst.
• Gerechtvaardigd belang (art. 6 lid 1 sub f AVG): voor beveiliging, beschikbaarheid en het genereren van geaggregeerde statistieken ter verbetering van de dienst. Het belang van EU GPT bij het verbeteren van de dienst weegt in dit geval op tegen de (minimale) impact op de privacy van de gebruiker, nu de statistieken niet herleidbaar zijn tot individuele gebruikers.
• Wettelijke verplichting (art. 6 lid 1 sub c AVG): voor fiscale en boekhoudkundige verplichtingen met betrekking tot facturatiegegevens.
• Toestemming (art. 6 lid 1 sub a AVG): voor eventuele marketingcommunicatie, uitsluitend indien u hier uitdrukkelijk toestemming voor geeft. U kunt deze toestemming op elk moment intrekken.

6. Hoe uw inhoudelijke data wordt behandeld

De inhoud die u invoert in EU GPT — uw prompts, teksten, documenten en de door de AI gegenereerde antwoorden — wordt in real-time verwerkt om uw verzoek uit te voeren. Daarnaast wordt deze data opgeslagen binnen uw account-omgeving als onderdeel van de dienst, zodat u uw chatgeschiedenis kunt terugzien en voortzetten. Hierbij geldt:

• Inhoudelijke data wordt opgeslagen op Europese servers met encryptie in transit en at rest.
• U bent en blijft te allen tijde volledig eigenaar van al uw data. EU GPT claimt geen enkel recht op uw invoer of op de gegenereerde output.
• U heeft te allen tijde volledige controle over uw eigen data binnen de dienst. Wat u verwijdert wordt direct uit de actieve dienst gewist; eventuele resten in reservekopieën worden uiterlijk binnen de standaard backup-cyclus (maximaal 30 dagen) ook verwijderd.
• Indien voor het oplossen van een door u gemeld probleem toegang tot uw specifieke data noodzakelijk is, vraagt EU GPT hiervoor vooraf uw expliciete toestemming.
• In uitzonderlijke gevallen (technische storing, beveiligingsincident) kan geautoriseerd personeel beperkte inzage krijgen, uitsluitend conform interne procedures en geheimhoudingsafspraken.
• Er vindt geen commercieel hergebruik, doorverkoop of inhoudelijke analyse van uw data plaats voor doeleinden buiten de levering van de dienst aan u. Beperkte technische verwerking ten behoeve van beveiliging, foutdetectie en geautoriseerde probleemanalyse blijft mogelijk binnen de in dit hoofdstuk beschreven kaders.

7. Europese infrastructuur en soevereiniteit

EU GPT is architecturaal ontworpen om te waarborgen dat uw data uitsluitend onder Europees recht valt. De dienst draait op Europese cloudinfrastructuur die eigendom is van en beheerd wordt door Europese partijen, en maakt gebruik van open source software. Dit biedt de volgende waarborgen:

• Alle dataverwerking vindt plaats binnen de Europese Unie, op infrastructuur die onder Europees recht valt.
• De infrastructuur voldoet aan de hoogste Europese beveiligingsstandaarden.
• EU GPT spant zich doorlopend in om te voorkomen dat gebruikersdata onderworpen raakt aan buitenlandse wetgeving, zoals de US CLOUD Act of FISA Section 702. De architecturale keuze voor uitsluitend Europese partijen en infrastructuur is hierop gericht.
• EU GPT past aanvullende technische en organisatorische beveiligingsmaatregelen toe, waaronder encryptie in transit en at rest, strikte toegangscontroles, gescheiden klantomgevingen en beveiligde ontwikkelpraktijken.

8. Delen met derden

EU GPT deelt uw gegevens niet met derden, behoudens de volgende uitzonderingen:

• Infrastructuurprovider (verwerker): voor het technisch laten draaien van de dienst, onder een verwerkersovereenkomst conform artikel 28 AVG. Deze partij is Europees en verwerkt gegevens uitsluitend binnen de EU.
• Betalingsdienstverlener: uitsluitend voor het verwerken van betalingen bij betaalde abonnementen.

Er vindt geen doorgifte plaats aan niet-Europese partijen. Met alle verwerkers zijn verwerkersovereenkomsten gesloten die voldoen aan de AVG. Een actueel overzicht van subverwerkers, inclusief hun naam, de aard van de verwerking en de locatie, is beschikbaar op eugpt.nl.

9. Doorgifte buiten de EER

EU GPT is ontworpen om doorgifte van gegevens buiten de Europese Economische Ruimte (EER) volledig te voorkomen. Alle verwerking vindt plaats op Europese infrastructuur. Mocht doorgifte in uitzonderlijke omstandigheden onvermijdelijk zijn, dan passen wij de waarborgen toe die hoofdstuk V van de AVG vereist, waaronder standaard contractbepalingen (SCC’s), en informeren wij u vooraf.

10. Cookies

EU GPT maakt uitsluitend gebruik van functionele cookies die strikt noodzakelijk zijn voor het laten werken van de dienst. Een gedetailleerd overzicht van de gebruikte cookies, hun doel en levensduur is beschikbaar in de cookieverklaring op eugpt.nl.

EU GPT maakt geen gebruik van tracking-, marketing- of analytische cookies van derden. Voor eventuele niet-essentiële cookies wordt vooraf uw toestemming gevraagd.

11. Bewaartermijnen

Wij hanteren de volgende bewaartermijnen:

• Accountgegevens: gedurende de looptijd van uw account en tot maximaal 12 maanden na beëindiging, ten behoeve van administratieve afwikkeling en de mogelijkheid tot het afhandelen van eventuele juridische claims.
• Technische logbestanden: maximaal 6 maanden.
• Facturatiegegevens: 7 jaar conform de wettelijke fiscale bewaarplicht.
• Inhoudelijke data (chats, documenten): u bepaalt zelf wanneer deze worden verwijderd gedurende de looptijd van uw account. Bij verwijdering door u worden de gegevens definitief gewist. Na beëindiging van uw account wordt inhoudelijke data uiterlijk 90 dagen automatisch en definitief gewist.

12. Beveiliging

EU GPT neemt passende technische en organisatorische maatregelen om de gegevens die wij verwerken te beschermen. Deze maatregelen omvatten onder meer encryptie van data in transit en at rest, toegangscontroles, gescheiden klantomgevingen, beveiligde ontwikkelpraktijken, logging en monitoring van toegang, en regelmatige beveiligingstests. Onze Europese infrastructuurprovider opereert op het hoogste Europese beveiligingsniveau.

13. Datalekken

Ondanks alle getroffen beveiligingsmaatregelen kan een beveiligingsincident nooit volledig worden uitgesloten. In het geval van een datalek handelt EU GPT als volgt:

• EU GPT meldt datalekken die een risico inhouden voor betrokkenen binnen 72 uur aan de Autoriteit Persoonsgegevens, conform artikel 33 AVG.
• Indien een datalek waarschijnlijk een hoog risico inhoudt voor uw rechten en vrijheden, informeren wij u zonder onredelijke vertraging en in duidelijke taal over de aard, omvang en mogelijke gevolgen van het incident.
• Wij treffen onmiddellijk maatregelen om de gevolgen van het incident te beperken en herhaling te voorkomen.
• Wij documenteren elk beveiligingsincident, inclusief de feiten, de gevolgen en de genomen corrigerende maatregelen.

Niet elk beveiligingsincident leidt tot melding aan individuele gebruikers. EU GPT beoordeelt per incident of het risico zodanig is dat kennisgeving aan betrokkenen vereist is, conform de drempels van artikel 34 AVG.

14. Uw rechten

Op grond van de AVG heeft u de volgende rechten met betrekking tot de gegevens die wij van u verwerken:

• Inzage (art. 15 AVG): u kunt opvragen welke gegevens wij van u verwerken.
• Rectificatie (art. 16 AVG): u kunt onjuiste gegevens laten corrigeren.
• Gegevenswissing (art. 17 AVG): u kunt verzoeken om verwijdering. Inhoudelijke data kunt u ook zelf direct verwijderen via de dienst.
• Beperking (art. 18 AVG): u kunt verzoeken om beperking van de verwerking.
• Dataportabiliteit (art. 20 AVG): u kunt uw persoonsgegevens ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat (JSON/CSV).
• Bezwaar (art. 21 AVG): u kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
• Intrekking toestemming (art. 7 lid 3 AVG): eerder gegeven toestemming kunt u op elk moment intrekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking vóór de intrekking.

U kunt uw rechten uitoefenen door contact met ons op te nemen via info@eugpt.nl. Wij reageren binnen één maand na ontvangst van uw verzoek. Indien de complexiteit of het aantal verzoeken dit rechtvaardigt, kan deze termijn met maximaal twee maanden worden verlengd. Wij informeren u in dat geval binnen één maand over de verlenging en de reden daarvan.

15. Geautomatiseerde besluitvorming

Er vindt binnen EU GPT geen geautomatiseerde besluitvorming plaats in de zin van artikel 22 AVG die rechtsgevolgen heeft voor u of u op vergelijkbare wijze in aanmerkelijke mate treft. De AI binnen de dienst genereert antwoorden op uw verzoek; de uiteindelijke beoordeling en toepassing is altijd aan u.

Indien u als organisatie de dienst inzet voor besluitvorming die betrokkenen in aanmerkelijke mate treft, bent u als inzetter zelf verantwoordelijk voor het waarborgen van passende menselijke tussenkomst, conform de AVG en de EU AI Act.

16. Minderjarigen

De dienst is bedoeld voor personen van 16 jaar en ouder. In Nederland is op grond van artikel 8 AVG toestemming van een ouder of wettelijk vertegenwoordiger vereist voor de verwerking van persoonsgegevens van kinderen jonger dan 16 jaar.

EU GPT vraagt bij registratie niet gericht naar leeftijd, maar behoudt zich het recht voor om accounts te verwijderen waarvan blijkt dat zij toebehoren aan minderjarigen zonder geldige toestemming. Ouders of wettelijk vertegenwoordigers die vermoeden dat een kind zonder toestemming een account heeft aangemaakt, kunnen contact opnemen via privacy@eugpt.nl.

17. Bronnen van persoonsgegevens

EU GPT verwerkt in beginsel uitsluitend persoonsgegevens die rechtstreeks van u zijn verkregen (bij registratie, bij het gebruik van de dienst, of bij betaling). Indien een organisatie EU GPT inzet ten behoeve van haar medewerkers, kan EU GPT persoonsgegevens ontvangen van die organisatie in haar hoedanigheid van verwerkingsverantwoordelijke.

18. Internationale gebruikers

De dienst is primair gericht op gebruikers binnen de Europese Economische Ruimte (EER). Gebruikers buiten de EER kunnen de dienst gebruiken, maar dienen er rekening mee te houden dat EU GPT opereert onder Nederlands en Europees recht. EU GPT kan niet garanderen dat de dienst voldoet aan lokale wetgeving buiten de EER.

19. Klachten

Heeft u een klacht over de verwerking van uw gegevens? Neem dan eerst contact met ons op via info@eugpt.nl. Wij streven ernaar uw klacht binnen 30 dagen inhoudelijk te behandelen.

Daarnaast heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens:

20. Wijzigingen

Wij kunnen deze privacyverklaring wijzigen, bijvoorbeeld bij aanpassingen aan onze dienst of bij wijzigingen in wet- en regelgeving. De meest recente versie is altijd beschikbaar op eugpt.nl. Bij ingrijpende wijzigingen informeren wij u minimaal 30 dagen van tevoren via e-mail of via de dienst. Een overzicht van eerdere versies en doorgevoerde wijzigingen is beschikbaar op eugpt.nl.

21. Contact

Voor vragen over deze privacyverklaring kunt u contact opnemen met: