Privacyverklaring
Hoe Conveya jouw persoonsgegevens verzamelt, gebruikt en beschermt.
1. Wie we zijn
Conveya wordt geëxploiteerd door Conveya, een in Nederland ingeschreven onderneming onder KvK-nummer 58435697, BTW-nummer NL002403314B83 ("Conveya", "wij", "ons").
Voor persoonsgegevens die wij verzamelen over onze klanten (de personen die zich aanmelden voor en een Conveya-werkruimte beheren) treden wij op als verwerkingsverantwoordelijke in de zin van de AVG. Voor persoonsgegevens die onze klanten via Conveya verwerken (de eindgebruikers die met de AI-agents van onze klanten communiceren) treden wij op als verwerker. Deze privacyverklaring beschrijft beide rollen.
Vragen? Mail naar [email protected].
2. Welke gegevens we verzamelen
2.1 Gegevens die je verstrekt bij aanmelding
Wanneer je een Conveya-account aanmaakt verzamelen wij:
- Je naam en e-mailadres.
- Een versleutelde (gehashte) versie van je wachtwoord. We slaan nooit wachtwoorden in leesbare vorm op.
- Organisatienaam, de teamleden die je uitnodigt en je abonnementsvorm.
- Factuurgegevens, rechtstreeks verwerkt door Stripe; wij bewaren het Stripe-klantnummer, geen volledige kaartgegevens.
- Aanmeldattributie (verwijzende URL, UTM-parameters, landingspagina) om onze marketing te verbeteren.
2.2 Gegevens die ontstaan tijdens je gebruik van Conveya
- Je activiteit binnen het platform: de agents die je configureert, de databronnen die je uploadt, de gesprekken die je bekijkt.
- Technische logs (IP-adres, browser user-agent, tijdstempels) die nodig zijn voor beveiliging en foutopsporing.
- Audit-logs van gevoelige acties (zoals beheerder-impersonatie, facturatiewijzigingen).
2.3 Gegevens die door jouw AI-agents stromen
Wanneer een eindgebruiker communiceert met een AI-agent die jij hebt ingericht (via website-widget, WhatsApp, e-mail of API), verwerken en bewaren wij:
- De uitgewisselde berichten (tekstinhoud en bijlagen).
- Contactgegevens die de eindgebruiker deelt (naam, e-mailadres, telefoonnummer).
- Metadata van het gesprek (kanaal, tijdstempels, taal, sentiment).
- Technische context (IP-adres, anonieme browser-fingerprint, verwijzende URL), voor zover jij dat in de widget hebt ingeschakeld.
Jij, onze klant, bent voor deze eindgebruikersgegevens de verwerkingsverantwoordelijke. Wij verwerken ze uitsluitend om de dienst te leveren die jij hebt geconfigureerd.
3. Waarvoor we de gegevens gebruiken (doelen en grondslagen)
- Leveren van de dienst (uitvoering overeenkomst, art. 6 lid 1 sub b AVG): beheer van je account, genereren van AI-reacties, routeren van berichten, facturatie.
- Verbeteren en beveiligen van de dienst (gerechtvaardigd belang, art. 6 lid 1 sub f AVG): detectie van misbruik, fraudepreventie, bugfixes, geaggregeerde gebruiksanalyse.
- Wettelijke verplichtingen (art. 6 lid 1 sub c AVG): bewaren van facturen gedurende de wettelijke 7-jaarstermijn, beantwoorden van rechtmatige verzoeken van autoriteiten.
- Directe marketing aan bestaande klanten (gerechtvaardigd belang, met opt-out in elke mail): productupdates, wijzigingen aan de dienst. Je kunt je op elk moment afmelden.
- Optionele marketingcommunicatie (toestemming, art. 6 lid 1 sub a AVG): nieuwsbrieven en vergelijkbare uitingen. Alleen na actieve opt-in.
We gebruiken de inhoud van eindgebruikersgesprekken niet om externe AI-modellen te trainen. OpenAI's API, die wij gebruiken voor AI-reacties, werkt standaard onder een no-training-overeenkomst.
4. Cookies en vergelijkbare technologieën
We zetten alleen een beperkt aantal first-party cookies. Geen third-party trackers of advertentiepixels:
next-auth.session-token: houdt je ingelogd. Verloopt na 30 dagen.NEXT_LOCALE: onthoudt je taalkeuze (NL / EN / DE).oauth_state: kortlevende CSRF-token, alleen tijdens OAuth-redirects.
Deze cookies zijn strikt noodzakelijk voor de werking van de dienst en vallen onder de uitzondering van artikel 11.7a lid 3 Telecommunicatiewet. Er is dus geen toestemming vereist. We laden geen Google Analytics, advertentiepixels of vergelijkbare tracking.
5. Sub-verwerkers
We maken gebruik van de volgende sub-verwerkers om Conveya te leveren. Met elk van hen hebben we een verwerkersovereenkomst (DPA) afgesloten met AVG-equivalente vertrouwelijkheids- en beveiligingsverplichtingen.
| Leverancier | Doel | Regio | Doorgiftegrondslag |
|---|---|---|---|
| OpenAI, LLC | Uitvoeren van taalmodellen (reacties van AI-agents, kennisopzoeken). | United States | SCC + DPF |
| Resend, Inc. | Verzending van transactionele e-mail (registratie, meldingen, facturatie). | United States | SCC |
| Cloudflare, Inc. | DNS, CDN, DDoS-bescherming, TLS-terminatie. | Global (EU DC preferred) | SCC |
| TransIP B.V. | VPS-hosting voor de applicatieservers en de primaire database. | Netherlands (EU) | n/a |
| Amazon Web Services EMEA SARL (S3) | Object-opslag voor bestandsuploads (databronnen, avatars, bijlagen). | EU (eu-central-1) | n/a |
| Functional Software, Inc. (Sentry) | Applicatie-foutregistratie en performance-monitoring. | United States | SCC |
| Stripe Payments Europe, Ltd. | Facturatie, abonnementsbeheer, betalingsverwerking. We bewaren een API-sleutel voor ons eigen account. | Ireland (EU) | n/a |
| Google Ireland Ltd. | OAuth-tokens en e-mail/agenda-metadata voor Gmail- en Google Agenda-integraties. | Ireland (EU) | n/a |
| Microsoft Ireland Operations Ltd. | OAuth-tokens en e-mail/agenda-metadata voor Outlook-integraties. | Ireland (EU) | n/a |
| Meta Platforms Ireland Ltd. | WhatsApp Business Cloud API: bericht-metadata en tokens voor gekoppelde WhatsApp-kanalen. | Ireland (EU) | n/a |
| Slack Technologies Ireland Ltd. | Werkruimte-informatie en OAuth-tokens voor gekoppelde Slack-werkruimtes. | Ireland (EU) | n/a |
| HubSpot Ireland Ltd. | CRM OAuth-tokens voor gekoppelde HubSpot-portals. | Ireland (EU) | n/a |
| Automattic Inc. (WooCommerce) | API-tokens voor gekoppelde WooCommerce-shops. | United States | SCC |
| Shopify International Ltd. | Shop-tokens voor gekoppelde Shopify-shops. | Ireland (EU) + Canada | SCC (Canada) |
| Pipedrive OÜ | CRM OAuth-tokens voor gekoppelde Pipedrive-accounts. | Estonia (EU) | n/a |
| Intercom R&D Unlimited Company | OAuth-tokens van werkruimtes voor gekoppelde Intercom-werkruimtes. | Ireland (EU) | n/a |
| Formagrid, Inc. (Airtable) | Base OAuth-tokens voor gekoppelde Airtable-bases. | United States | SCC |
| Notion Labs, Inc. | Werkruimte OAuth-tokens voor gekoppelde Notion-werkruimtes. | United States | SCC |
| Twilio Ireland Ltd. | API-sleutel en metadata van SMS-berichten voor gekoppelde Twilio-accounts. | Ireland (EU) | n/a |
| Picqer B.V. | API-sleutel voor gekoppelde Picqer-fulfillment-accounts. | Netherlands (EU) | n/a |
| Lightspeed Commerce NL B.V. | API-sleutel voor gekoppelde Lightspeed-retail-accounts. | Netherlands (EU) | n/a |
| Sendcloud B.V. | API-sleutel voor gekoppelde Sendcloud-verzendaccounts. | Netherlands (EU) | n/a |
| Calendly, LLC | API-sleutel voor gekoppelde Calendly-planning-accounts. | United States | SCC |
| Zendesk International Ltd. | API-sleutel voor gekoppelde Zendesk-supportaccounts. | Ireland (EU) | n/a |
We kondigen nieuwe of vervangende sub-verwerkers met materiële toegang tot persoonsgegevens minimaal 30 dagen vooraf aan. Klanten met een betaald abonnement kunnen zich aanmelden voor wijzigingsmeldingen via [email protected].
6. Google Workspace-gegevens, Limited Use-verklaring
Het gebruik en de overdracht door Conveya van informatie die wij ontvangen via Google API's aan elke andere applicatie voldoet aan het Google API Services User Data Policy, inclusief de Limited Use-vereisten.
Wanneer een klant Gmail of Google Agenda koppelt aan zijn Conveya-werkruimte, beperken wij de verwerking van de daaruit voortvloeiende Google-gebruikersdata als volgt:
- Gebruik: Google Workspace-gegevens worden uitsluitend gebruikt om de voor de gebruiker zichtbare functies van de gekoppelde integratie te leveren, e-mail versturen namens de gebruiker (
gmail.send), beschikbaarheid controleren en agenda-afspraken aanmaken (calendar.readonly+calendar.events). - Doorgifte aan derden: wij geven ruwe of afgeleide Google-gebruikersgegevens niet door aan derden, behalve aan (a) de in §5 genoemde sub-verwerkers die strikt noodzakelijk zijn om de functie te leveren , concreet ontvangt OpenAI mogelijk de inhoud van een uitgaande e-mail wanneer de AI-agent die namens de gebruiker opstelt, en zien onze hosting- en object-opslag-providers OAuth-tokens en request-payloads in versleutelde opslag; (b) wanneer dit wettelijk verplicht is; of (c) als onderdeel van een fusie of overname met voorafgaande melding aan de gebruiker.
- Geen advertenties: Google Workspace-gegevens worden nooit gebruikt voor advertenties, inclusief retargeting, gepersonaliseerde of op interesses gebaseerde reclame.
- Geen menselijke inzage: wij staan geen menselijke inzage van Google-gebruikersgegevens toe, behalve: met expliciete toestemming van de gebruiker, voor beveiligingsonderzoek, om te voldoen aan toepasselijke wetgeving, of voor geaggregeerde en geanonimiseerde interne operaties.
- Geen AI/ML-modeltraining: wij gebruiken Google Workspace-data niet om generieke AI/ML-modellen te ontwikkelen, verbeteren of trainen. Onze LLM-sub-verwerker (OpenAI) verwerkt individuele verzoeken via hun API; volgens onze verwerkersovereenkomst worden die inputs niet bewaard voor modeltraining.
7. Doorgifte buiten de EER
Diverse sub-verwerkers zijn gevestigd buiten de EER, vooral in de Verenigde Staten (OpenAI, Resend, Cloudflare, Sentry, Automattic / WooCommerce, Airtable, Notion, Calendly) en Canada (Shopify, voor sommige regio's). Voor deze doorgiften baseren wij ons op de modelcontractbepalingen (Standard Contractual Clauses 2021/914) van de Europese Commissie, aangevuld met technische maatregelen (versleuteling tijdens transport en opslag, toegangscontroles). Voor OpenAI doen we tevens beroep op hun deelname aan het EU-US Data Privacy Framework. De doorgiftegrondslag per sub-verwerker staat in de kolom "Doorgiftegrondslag" van de tabel in §5.
8. Hoe lang we gegevens bewaren
- Accountgegevens: zolang je account actief is, plus 30 dagen na verwijdering voor back-uprotatie.
- Gespreksgeschiedenis: standaard 2 jaar, of korter als je in je werkruimte een retentiebeleid instelt. Op verzoek eerder verwijderbaar.
- Facturen en betaalgegevens: 7 jaar (art. 52 AWR, fiscale bewaarplicht).
- Audit-logs van beheeracties: 2 jaar.
- Applicatielogs (IP, user-agent): 90 dagen.
9. Jouw rechten
Onder de AVG heb je recht op:
- Inzage: een kopie van de persoonsgegevens die wij over je verwerken.
- Rectificatie: correctie van onjuiste gegevens.
- Verwijdering: het wissen van je gegevens (onder voorbehoud van wettelijke bewaartermijnen).
- Beperking: beperking van de verwerking zolang een geschil loopt.
- Dataportabiliteit: je gegevens in een gestructureerd, machine-leesbaar formaat ontvangen.
- Bezwaar: bezwaar tegen verwerkingen gebaseerd op gerechtvaardigd belang, waaronder directe marketing.
- Intrekken van toestemming: wanneer verwerking op toestemming berust, op elk moment.
Om een recht uit te oefenen, mail naar [email protected]. We reageren binnen 30 dagen. Ben je niet tevreden, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).
Als je een eindgebruiker bent van een AI-agent van één van onze klanten en een recht wilt uitoefenen, neem dan contact op met die klant. Zij zijn voor die relatie de verwerkingsverantwoordelijke. Wij helpen hen bij de afhandeling van je verzoek.
10. Beveiliging
We beschermen je gegevens met gangbare industriële maatregelen: TLS 1.2+ voor al het verkeer, versleuteling in rust voor databases en back-ups, bcrypt-hashing van wachtwoorden, toegang op basis van least privilege, periodieke dependency-audits, en een gedocumenteerd incident-response proces. Bij een datalek dat je raakt, informeren we je binnen 72 uur zoals vereist onder art. 34 AVG.
11. Wijzigingen van deze verklaring
We kunnen deze privacyverklaring aanpassen wanneer onze dienst zich doorontwikkelt. Bij materiële wijzigingen informeren we je per e-mail en met een duidelijke melding in het product, minimaal 14 dagen voordat de wijzigingen van kracht worden. De actuele versie is altijd beschikbaar op https://conveya.app/nl/privacy.
12. Contact
Privacyvragen, rechtsuitoefening of zorgen over hoe wij met je gegevens omgaan:
- E-mail: [email protected]
Deze verklaring is voor het laatst bijgewerkt op 28 mei 2026.