Privacybeleid
Laatst bijgewerkt: 18 mei 2026 Versie: 1.0
Dit Privacybeleid beschrijft hoe The eBrain Group B.V. (hierna "eBrain", "wij", "ons" of "onze") jouw persoonsgegevens verwerkt wanneer je gebruikmaakt van onze website (ebrain.ai), ons platform (app.ebrain.ai) of anderszins met ons in contact komt. Dit beleid is opgesteld in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG / GDPR) en de Uitvoeringswet AVG (UAVG).
De Nederlandse versie van dit Privacybeleid is leidend. Een Engelse vertaling is beschikbaar als gemak; bij strijdigheid tussen versies prevaleert de Nederlandse tekst.
1. Wie zijn wij?
eBrain is een Nederlands softwarebedrijf dat een veilig, AI-gestuurd productiviteitsplatform aanbiedt aan ondernemingen en hun medewerkers. Wij zijn ingeschreven in het Handelsregister van de Kamer van Koophandel.
| Gegeven | Informatie |
|---|---|
| Statutaire naam | The eBrain Group B.V. |
| Handelsnaam | eBrain |
| KvK-nummer | 96714239 |
| BTW-nummer | NL867728127B01 |
| Vestigingsadres | H.J.E. Wenckebachweg 230, 1096 AS Amsterdam, Nederland |
| Privacy-contact | [email protected] |
| Algemeen contact | [email protected] |
Dit Privacybeleid valt onder het overkoepelende Corporate Privacy Policy van The eBrain Group B.V. en is daarvan een afgeleide implementatie specifiek voor onze website en ons platform.
2. Voor wie geldt dit Privacybeleid?
Dit beleid is van toepassing op de verwerking van persoonsgegevens van:
- Bezoekers van onze website
ebrain.ai; - Geïnteresseerden die zich aanmelden voor onze nieuwsbrief of contact met ons opnemen;
- Sollicitanten die reageren op een vacature;
- Beheerders en gebruikers binnen klantorganisaties die toegang hebben tot ons platform
app.ebrain.ai; - Zakelijke contactpersonen bij prospects, klanten en partners.
Voor inhoud die klanten via ons platform verwerken — zoals zakelijke documenten, e-mails, agendagegevens en klantadministratie van hún eindgebruikers — geldt een aanvullende Verwerkersovereenkomst (DPA) tussen de klantorganisatie en eBrain. Zie paragraaf 4.
3. Welke persoonsgegevens verwerken wij?
Wij verwerken alleen die persoonsgegevens die nodig zijn voor het doel waarvoor wij ze verzamelen. De categorieën verschillen per situatie:
3.1 Websitebezoek
Wanneer je ebrain.ai bezoekt verwerken wij beperkte technische gegevens via onze infrastructuur (Cloudflare): IP-adres, browsertype, taalvoorkeur, bezochte pagina's en tijdstip van bezoek. Deze technische gegevens worden gebruikt voor beveiliging, misbruikpreventie en de stabiele werking van de site.
Daarnaast gebruiken wij — afhankelijk van jouw toestemming via de cookiebanner — analytische diensten (waaronder Google Analytics) om inzicht te krijgen in het gebruik van de website, en kunnen wij retargeting-pixels van advertentieplatforms inzetten om relevante advertenties te tonen op andere websites die je bezoekt. Deze diensten worden alleen geactiveerd na expliciete toestemming. Zie paragraaf 12 voor het volledige cookie-overzicht.
3.2 Nieuwsbrief
Wanneer je je inschrijft voor onze nieuwsbrief verwerken wij je e-mailadres.
3.3 Contactformulieren en e-mail
Wanneer je ons benadert via een contactformulier, per e-mail of telefonisch verwerken wij naam, contactgegevens en de inhoud van je bericht.
3.4 Sollicitaties
Wanneer je solliciteert verwerken wij je naam, contactgegevens, cv, motivatiebrief, opleidings- en arbeidsverleden en eventuele aanvullende informatie die je zelf verstrekt.
3.5 Platformaccounts (app.ebrain.ai)
Wanneer een gebruiker een account aanmaakt voor het eBrain-platform verwerken wij via onze identity-provider Auth0: naam, zakelijk e-mailadres, rol/functie en — indien beschikbaar via je identity provider — profielfoto. Wij verwerken daarnaast authenticatiegegevens (sessietokens, inlogmomenten, IP-adres van inlogpogingen) ten behoeve van beveiliging.
3.6 Facturatie
Voor betaalde abonnementen verwerken wij factuur- en betaalgegevens: bedrijfsnaam, KvK-nummer, BTW-nummer, factuuradres, contactpersoon, IBAN of kaartgegevens (laatste alleen via onze betaaldienstverlener, niet op onze eigen systemen). De boekhoudkundige verwerking gebeurt via onze billing-orchestratie en betaaldienstverlener (zie paragraaf 7).
Voor onze eigen boekhouding kunnen factuur- en debiteurengegevens door eBrain worden gedeeld met onze externe accountant via diens boekhoudsoftware (Exact). Dit gebeurt op grond van onze wettelijke verplichting tot het voeren van een deugdelijke administratie en valt onder onze fiscale bewaarplicht (zie paragraaf 10).
3.7 Platformgebruik en logbestanden
Tijdens het gebruik van het platform leggen wij vast: technische verzoeken aan onze API, foutmeldingen, sessieduur en functie-gebruiksstatistieken. Deze gegevens dienen voor stabiliteit, foutdiagnose, capaciteitsplanning en beveiliging.
3.8 Inhoud die je in het platform verwerkt
Als gebruiker van het platform kun je documenten, e-mails, agendagegevens, contactpersonen en andere zakelijke informatie verwerken via de verschillende modules en functies van het platform. Deze inhoud behoort tot de klantorganisatie. Voor deze verwerking treedt eBrain op als verwerker namens de klantorganisatie; zie paragraaf 4.
3.9 Bijzondere categorieën van persoonsgegevens
Wij verwerken in beginsel geen bijzondere persoonsgegevens (zoals gegevens over gezondheid, ras, religie of biometrische gegevens) in het kader van ons platform. Voor identiteitsverificatie en gekwalificeerde ondertekening werken wij samen met één of meer aanbieders van identiteitsverificatiediensten en gekwalificeerde dienstverleners (waaronder Cleverbase; zie paragraaf 7), waarbij beperkte identiteitsinformatie wordt verwerkt. De rechtsgrondslag hiervoor is artikel 9 lid 2 onder a AVG (uitdrukkelijke toestemming van de betrokkene), binnen het regelgevend kader van de eIDAS-Verordening (Verordening (EU) 910/2014).
3.10 Bronnen van gegevens
Wij verzamelen persoonsgegevens in beginsel rechtstreeks van jou. In een aantal specifieke gevallen ontvangen of verrijken wij gegevens vanuit andere bronnen:
- Overheid.io — voor het geautomatiseerd ophalen van bedrijfs- en KvK-gegevens (naam, adres en functie van bestuurders en contactpersonen) ten behoeve van klantregistratie, facturatie en compliance-checks;
- WhatsApp Cloud API (geleverd door Meta Platforms Ireland Limited) — wanneer je via WhatsApp contact met ons opneemt of het platform via WhatsApp gebruikt, ontvangen wij je telefoonnummer (versleuteld opgeslagen), je naam en de inhoud van je berichten;
- Cleverbase — bij gekwalificeerde identificatie en ondertekening ontvangen wij naast je naam en e-mailadres ook informatie over je ondertekencertificaat (uitgever en geldigheidsperiode);
- Openbare bronnen — publiek beschikbare bedrijfs- en contactinformatie (bijvoorbeeld bedrijfswebsites, professionele netwerken en het Handelsregister) wordt gebruikt om prospectgegevens te verifiëren en aan te vullen.
4. Onze rol: verwerkingsverantwoordelijke en verwerker
Onder de AVG kunnen wij twee rollen vervullen.
Verwerkingsverantwoordelijke ("controller"). Voor de gegevens die in paragraaf 3.1 tot en met 3.7 zijn beschreven — websitebezoek, nieuwsbrief, contact, sollicitaties, accountgegevens, facturatie en logbestanden — bepalen wij zelf het doel en de middelen van de verwerking. In die rol zijn wij verwerkingsverantwoordelijke en geldt dit Privacybeleid rechtstreeks.
Verwerker ("processor"). Voor de inhoud die klanten via ons platform verwerken (zie paragraaf 3.8) handelen wij in opdracht van en namens de klantorganisatie. De klantorganisatie is daarbij verwerkingsverantwoordelijke; eBrain is verwerker. De afspraken hierover zijn vastgelegd in een Verwerkersovereenkomst (DPA) die deel uitmaakt van de overeenkomst tussen de klantorganisatie en eBrain. Bij vragen over hoe een klantorganisatie jouw gegevens verwerkt, dien je je in eerste instantie tot die organisatie te wenden.
5. Doeleinden en rechtsgronden
Wij verwerken persoonsgegevens uitsluitend op basis van een geldige grondslag onder artikel 6 AVG:
| Doel | Categorieën gegevens | Rechtsgrond |
|---|---|---|
| Het aanbieden, onderhouden en beveiligen van onze website | Technische gegevens (3.1) | Gerechtvaardigd belang (art. 6.1.f AVG) |
| Versturen van de nieuwsbrief | E-mailadres (3.2) | Toestemming (art. 6.1.a AVG) |
| Beantwoorden van vragen en verzoeken | Contactgegevens en berichtinhoud (3.3) | Gerechtvaardigd belang of uitvoering overeenkomst (art. 6.1.b/f AVG) |
| Verwerken van sollicitaties | Sollicitatiegegevens (3.4) | Maatregelen op verzoek van betrokkene voorafgaand aan een overeenkomst (art. 6.1.b AVG) |
| Aanbieden en uitvoeren van het platform aan klanten | Accountgegevens, platformgebruik (3.5, 3.7) | Uitvoering overeenkomst (art. 6.1.b AVG) |
| Facturatie en boekhouding | Factuurgegevens (3.6) | Uitvoering overeenkomst en wettelijke verplichting (art. 6.1.b/c AVG; AWR art. 52) |
| Beveiliging, fraudepreventie en logbestanden | Inlog-, sessie- en foutgegevens (3.5, 3.7) | Gerechtvaardigd belang (art. 6.1.f AVG) |
| Voldoen aan wettelijke verplichtingen | Diverse | Wettelijke verplichting (art. 6.1.c AVG) |
Voor inhoud die klanten via het platform verwerken (paragraaf 3.8) geldt de grondslag die de klantorganisatie zelf heeft vastgesteld; eBrain verwerkt deze inhoud uitsluitend op basis van de instructies in de Verwerkersovereenkomst.
Verstrekking van persoonsgegevens. Voor sommige verwerkingen is het noodzakelijk dat je persoonsgegevens verstrekt. Bij accountregistratie, facturatie en sollicitaties is verstrekking een contractuele of precontractuele vereiste; zonder deze gegevens kunnen wij respectievelijk geen platformtoegang, geen factuur of geen sollicitatieprocedure leveren. Inschrijving voor de nieuwsbrief is volledig vrijwillig.
6. Geautomatiseerde besluitvorming en AI
Het eBrain-platform bevat AI-functionaliteit die teksten kan genereren, documenten kan samenvatten, voorstellen kan doen en taken kan ondersteunen. Belangrijke uitgangspunten:
- Geen volledig geautomatiseerde besluitvorming met rechtsgevolgen. Wij nemen geen besluiten over personen die rechtsgevolgen hebben of die personen op vergelijkbare wijze in aanmerkelijke mate treffen, uitsluitend op basis van geautomatiseerde verwerking in de zin van artikel 22 AVG. AI-uitkomsten in ons platform dienen als ondersteuning en vereisen menselijke beoordeling vóór actie wordt ondernomen.
- AI Act-conformiteit. Wij ontwerpen onze AI-functies in lijn met de eisen van de EU AI Act (Verordening (EU) 2024/1689) en bieden klanten op verzoek inzicht in de aard en het risiconiveau van toegepaste AI-systemen.
- Geen training op klantinhoud. Inhoud die je in het platform verwerkt — documenten, e-mails, agendagegevens, via OAuth opgehaalde gegevens en overige door jou aangeleverde klantinhoud — gebruiken wij niet voor het trainen, fine-tunen of anderszins verbeteren van AI-modellen, niet die van onszelf en niet die van onze AI-leveranciers. Onze contracten met AI-aanbieders sluiten gebruik van klantinhoud voor modeltraining expliciet uit. Geaggregeerde, gedeïdentificeerde gebruiksstatistieken (zoals verzoekenvolumes, latentie en functie-adoptie) kunnen worden ingezet om de eBrain-dienst zelf te verbeteren; deze statistieken bevatten geen herleidbare klantinhoud.
AI-infrastructuur
AI-inferentie (het uitvoeren van AI-verzoeken in het platform) verloopt momenteel via de API van OpenAI, op basis van een contract dat trainingsgebruik van klantgegevens uitsluit en dat zero-data-retention oplegt. Wij zijn op dit moment bezig met het migreren van AI-inferentie naar Nebius, een Europese provider met private compute in eigen datacenters. Dit Privacybeleid wordt bijgewerkt zodra de migratie is voltooid.
7. Met wie delen wij jouw gegevens? (sub-verwerkers)
Wij delen jouw gegevens uitsluitend met derde partijen die strikt noodzakelijk zijn om onze diensten te kunnen leveren, en alleen op basis van een verwerkersovereenkomst die voldoet aan artikel 28 AVG. Wij verkopen of verhuren persoonsgegevens nooit.
Hieronder vind je een overzicht van onze sub-verwerkers, hun rol en hun locatie.
7.1 Sub-verwerkers waar eBrain verwerkingsverantwoordelijke is
| Sub-verwerker | Rol | Locatie / gegevensoverdracht |
|---|---|---|
| Auth0 (Okta) | Authenticatie en accountbeheer voor het platform | EU-regio; controlerende entiteit in de VS — overdracht onder SCC's en EU-US Data Privacy Framework |
| Resend | Verzending van nieuwsbrief- en accountgerelateerde e-mails | VS — overdracht onder SCC's en EU-US Data Privacy Framework |
| Stripe | Betaalverwerking voor abonnementen | EU (Stripe Payments Europe Ltd., Ierland) |
| Alguna | Quote-to-cash en facturatie-orchestratie | Verenigd Koninkrijk — onder UK-adequaatheidsbesluit van de Europese Commissie |
| Exact | Boekhoudsoftware gebruikt door onze externe accountant voor de financiële administratie van eBrain | Nederland (EU) |
| HubSpot | Interne sales- en CRM-pijplijn (prospect- en klantcontactgegevens) | VS — overdracht onder SCC's en EU-US Data Privacy Framework |
| Sentry | Foutmonitoring voor het platform | EU-regio (Frankfurt); controlerende entiteit in de VS — overdracht onder EU-US Data Privacy Framework en SCC's |
| Google (Workspace) | Zakelijke e-mail en samenwerking; ontvangst van e-mails aan [email protected] | VS — overdracht onder EU-US Data Privacy Framework |
| Google Analytics | Webstatistieken voor ebrain.ai; alleen actief na toestemming via de cookiebanner | VS — overdracht onder EU-US Data Privacy Framework |
| Overheid.io | Geautomatiseerd ophalen van KvK- en bedrijfsgegevens voor accountregistratie en facturatie | Nederland (EU) |
| WhatsApp Cloud API (Meta Platforms Ireland Limited) | Inkomende communicatie via WhatsApp tussen gebruikers en eBrain | EU-contractuele entiteit (Ierland); controlerende entiteit Meta Platforms Inc. in de VS — overdracht onder EU-US Data Privacy Framework en SCC's |
| Cloudflare | CDN, edge-beveiliging en infrastructuurlogs voor ebrain.ai en app.ebrain.ai | EU-edge-locaties verzorgen doorgaans verkeer van EU-gebruikers; bepaalde operationele metadata kan tevens worden verwerkt in Cloudflare's kerndatacenters. Cloudflare is geverifieerd onder de EU Cloud Code of Conduct (verificatie-ID 2023LVL02SCOPE4316). Overdracht onder EU-US Data Privacy Framework en SCC's |
7.2 Sub-verwerkers waar eBrain verwerker is (in opdracht van de klantorganisatie)
| Sub-verwerker | Rol | Locatie / gegevensoverdracht |
|---|---|---|
| Neon | Primaire applicatiedatabase (PostgreSQL) | EU-regio; encryptie at rest (AES-256) |
| Cloudflare R2 | Objectopslag voor geüploade bestanden en documenten | Geconfigureerd met EU-rechtsgebiedsbeperking (jurisdiction=eu): bestanden worden gegarandeerd opgeslagen in EU-datacenters. Encryptie at rest (AES-256-GCM) |
| Hetzner | Serverhosting voor zelf-gehoste platformcomponenten | Duitsland (EU) |
| OpenAI | AI-inferentie (LLM); contractueel uitgesloten van training op klantgegevens en zero-data-retention | VS — overdracht onder Standard Contractual Clauses (SCC's); EU-contractuele entiteit: OpenAI Ireland Limited |
| Nebius | AI-inferentie (private compute) — in transitie | Nederland (EU) |
| Cleverbase | Gekwalificeerde identificatie en ondertekening onder eIDAS (QTSP) | Nederland (EU) |
| Google (OAuth-integraties) | Toegang tot door de gebruiker gemachtigde Gmail-, Agenda- en Drive-gegevens — alleen op verzoek van de gebruiker | VS — overdracht onder EU-US Data Privacy Framework; zie paragraaf 9 |
Onze sub-verwerkerslijst kan in de tijd wijzigen. Wij informeren klantorganisaties ten minste 30 dagen van tevoren over substantiële wijzigingen.
7.3 Overdracht in het kader van een fusie, overname of herstructurering
In het geval van een fusie, overname, herstructurering, faillissement of (gedeeltelijke) verkoop van onze onderneming kunnen persoonsgegevens worden overgedragen aan de overnemende partij als onderdeel van die transactie. In een dergelijk geval zullen wij redelijke maatregelen nemen om ervoor te zorgen dat de overnemende partij de gegevens behandelt op een wijze die in overeenstemming is met dit Privacybeleid, en zullen wij betrokkenen voor zover redelijk en mogelijk vooraf informeren.
8. Doorgifte van persoonsgegevens buiten de EER
Een aantal van onze sub-verwerkers is gevestigd buiten de Europese Economische Ruimte (EER), met name in de Verenigde Staten en het Verenigd Koninkrijk. Voor deze doorgiften hanteren wij een passend overdrachtsmechanisme:
- Verenigd Koninkrijk: doorgifte op basis van het adequaatheidsbesluit van de Europese Commissie (juni 2021, hernieuwd in 2025).
- Verenigde Staten: doorgifte op basis van het EU-US Data Privacy Framework (DPF) voor sub-verwerkers die DPF-gecertificeerd zijn, en aanvullend op basis van Standard Contractual Clauses (SCC's) zoals goedgekeurd door de Europese Commissie (Uitvoeringsbesluit (EU) 2021/914), waar van toepassing aangevuld met een transfer impact assessment.
Op verzoek verstrekken wij meer informatie over het specifieke overdrachtsmechanisme dat per sub-verwerker geldt. Stuur een e-mail naar [email protected].
9. Integraties met externe diensten
Ons platform kan op verzoek van de gebruiker worden gekoppeld aan externe diensten zoals Google Workspace, mailservers, agenda-applicaties of bedrijfssoftware. Deze koppelingen verlopen op basis van expliciete toestemming van de gebruiker via OAuth of via het Model Context Protocol (MCP).
9.1 Algemene principes
- Wij ontvangen alleen die gegevens waarvoor je via de specifieke OAuth-scopes of MCP-verbinding toestemming hebt gegeven.
- Wij gebruiken deze gegevens uitsluitend om de functie uit te voeren waartoe je opdracht hebt gegeven binnen het platform.
- Wij delen deze gegevens niet met derden buiten de sub-verwerkers genoemd in paragraaf 7.
- Wij gebruiken deze gegevens niet voor het trainen of verbeteren van AI-modellen.
9.2 Google-diensten (Gmail, Agenda, Drive)
Wanneer je je Google-account koppelt aan eBrain, vragen wij toegang tot specifieke OAuth-scopes voor de functies die je hebt gekozen:
| Scope | Functie binnen eBrain | Gebruik |
|---|---|---|
auth/calendar | Agendabeheer | Bekijken, aanmaken, wijzigen en verwijderen van Agenda-items, inclusief Google Meet-vergaderingen; bidirectionele synchronisatie via syncTokens |
auth/gmail.modify | E-mailbeheer | Lezen, markeren als gelezen, labels beheren, verwijderen van berichten |
auth/gmail.compose | E-mailcompositie | Aanmaken en versturen van concepten en (al dan niet door de AI-assistent op verzoek opgestelde) berichten |
auth/drive.readonly | AI-zoekfunctie over Drive-bestanden | Lezen van Drive-bestanden zodat de AI-assistent vragen over je documenten kan beantwoorden |
De integratie is stateloos: de inhoud die wij via de Google API ontvangen wordt uitsluitend in het geheugen verwerkt gedurende jouw verzoek en wordt niet persistent opgeslagen in onze databases, caches of back-ups. Wij bewaren alleen lichte synchronisatie-indicatoren (syncTokens en historyIds) die nodig zijn voor incrementele opvraging.
Limited Use (Google API Services User Data Policy). eBrain's gebruik en overdracht van informatie verkregen via Google API's voldoet aan het Google API Services User Data Policy, inclusief de Limited Use-vereisten. Wij gebruiken Google-gebruikersgegevens niet voor het ontwikkelen, verbeteren of trainen van gegeneraliseerde of niet-gepersonaliseerde AI/ML-modellen.
eBrain's use and transfer of information received from Google APIs to any other app adheres to the Google API Services User Data Policy, including the Limited Use requirements. eBrain does not use Google user data to develop, improve, or train generalized or non-personalized AI/ML models.
9.3 Andere connectoren
Wij kunnen daarnaast koppelingen aanbieden met andere diensten — zoals HubSpot — via het Model Context Protocol (MCP). Voor elke koppeling die je aanbrengt geldt het algemene principe van paragraaf 9.1: alleen wat je via de verbinding toestaat, alleen voor de functie die je gebruikt, geen training, geen onbedoelde verspreiding.
10. Hoe lang bewaren wij jouw gegevens?
Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor zij zijn verzameld, tenzij een wettelijke bewaartermijn anders bepaalt.
| Categorie | Bewaartermijn |
|---|---|
| Nieuwsbriefabonnement | Totdat je je uitschrijft; binnen 30 dagen na uitschrijving definitief verwijderd |
| Contact- en supportcorrespondentie | Maximaal 2 jaar na het laatste contact |
| Sollicitatiegegevens | Maximaal 4 weken na afronding van de procedure; met expliciete toestemming maximaal 1 jaar voor toekomstige vacatures |
| Accountgegevens (platform) | Voor de duur van de overeenkomst; primaire systemen binnen 30 dagen na beëindiging gewist; back-ups vervallen volgens een rollend schema, doorgaans binnen 90 dagen |
| Inhoud verwerkt via het platform | Onder controle van de klantorganisatie; bij beëindiging van de overeenkomst binnen 30 dagen gewist uit primaire systemen; back-ups vervallen volgens een rollend schema, doorgaans binnen 90 dagen |
| Factuur- en boekhoudgegevens | 7 jaar (wettelijke bewaartermijn ex art. 52 AWR) |
| Beveiligings- en auditlogs | 12 maanden, daarna geanonimiseerd of verwijderd |
Verwijdering na verzoek of contractbeëindiging. Wanneer je het recht op verwijdering inroept, of wanneer een klantorganisatie de overeenkomst beëindigt, verwijderen wij de betreffende persoonsgegevens binnen 30 dagen uit onze primaire systemen. Back-ups die de gegevens nog bevatten vervallen volgens een rollend schema en zijn doorgaans binnen 90 dagen verlopen; gedurende die periode worden de gegevens niet meer actief gebruikt of toegankelijk gemaakt. Uitzonderingen gelden uitsluitend voor zover wettelijke bewaarplichten (bijvoorbeeld de fiscale bewaarplicht voor factuurgegevens) dat vereisen.
11. Beveiliging van jouw gegevens
Wij hebben passende technische en organisatorische maatregelen getroffen om persoonsgegevens te beschermen tegen verlies, misbruik, onbevoegde toegang, ongeoorloofde wijziging of openbaarmaking. Onze maatregelen sluiten aan op de ISO 27001:2022-norm en worden vastgelegd in ons Information Security Management System (ISMS). Belangrijke maatregelen zijn:
- Versleuteling at rest: industriestandaard symmetrische encryptie voor primaire databases en objectopslag, met aanvullende encryptie voor hoog-gevoelige velden zoals integratie-credentials en ondertekeningstokens.
- Versleuteling in transit: TLS voor al het externe verkeer tussen gebruikers, het platform en sub-verwerkers.
- Toegangsbeheer: principe van least privilege en need-to-know; meerfactor-authenticatie voor eBrain-medewerkers; periodieke review van toegangsrechten.
- Veilige softwareontwikkeling: gescheiden ontwikkel-, test-, acceptatie- en productieomgevingen; verplichte peer review; geautomatiseerde code-analyse; periodieke penetratietests op publieke applicaties.
- Incidentmanagement: vastgelegde procedures voor het identificeren, melden en afhandelen van security incidents; melding aan de Autoriteit Persoonsgegevens binnen 72 uur waar de AVG dit voorschrijft.
Bovenstaande maatregelen geven onze huidige aanpak weer en kunnen evolueren in lijn met technische ontwikkelingen, risicobeoordelingen en best practices.
12. Cookies en vergelijkbare technologieën
Wij gebruiken op ebrain.ai en app.ebrain.ai cookies en vergelijkbare technologieën. Op grond van artikel 11.7a van de Telecommunicatiewet vragen wij voor niet-functionele cookies vooraf om jouw toestemming via een cookiebanner. De banner stelt je in staat om per categorie toestemming te geven of te weigeren, en je kunt jouw keuzes op elk moment wijzigen of intrekken via dezelfde banner.
Wij hanteren drie categorieën:
- Functionele en strikt noodzakelijke cookies (geen toestemming vereist). Sessiecookies (HttpOnly, Secure, SameSite) voor authenticatie, CSRF-cookies, cookies geplaatst door onze identity-provider Auth0 voor het inlogproces, en technische cookies en logs van onze infrastructuurprovider Cloudflare ten behoeve van beveiliging en de stabiele werking van de site.
- Analytische cookies (toestemming vereist). Voor
ebrain.aigebruiken wij Google Analytics om geanonimiseerd inzicht te krijgen in het gebruik van de website (zoals bezoekersaantallen, populaire pagina's en herkomst van verkeer). Deze cookies worden uitsluitend geplaatst nadat je daarvoor via de cookiebanner toestemming hebt gegeven. - Marketing- en retargeting-cookies (toestemming vereist). Voor
ebrain.aikunnen wij retargeting-pixels en advertentiecookies van advertentieplatforms inzetten om relevante advertenties van eBrain op andere websites te tonen. Deze cookies worden uitsluitend geplaatst na expliciete toestemming via de cookiebanner.
Een actueel overzicht van de specifieke cookies, hun duur en aanbieders is beschikbaar via de cookiebanner. Op app.ebrain.ai gebruiken wij uitsluitend functionele cookies; voor het platform is geen cookietoestemming vereist.
13. Jouw rechten onder de AVG
Je hebt de volgende rechten met betrekking tot jouw persoonsgegevens:
- Recht op inzage — opvragen welke gegevens wij van je verwerken.
- Recht op rectificatie — onjuiste gegevens laten corrigeren.
- Recht op verwijdering ("recht om vergeten te worden") — verwijdering van je gegevens, behoudens wettelijke bewaarplichten.
- Recht op beperking — beperking van de verwerking in bepaalde situaties.
- Recht op dataportabiliteit — ontvangen van jouw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat.
- Recht van bezwaar — bezwaar maken tegen verwerking op grond van gerechtvaardigd belang.
- Recht om toestemming in te trekken — voor verwerkingen op basis van toestemming (zoals de nieuwsbrief), op elk moment, zonder dat de rechtmatigheid van eerdere verwerking wordt aangetast.
- Recht om niet onderworpen te worden aan uitsluitend geautomatiseerde besluitvorming (artikel 22 AVG) — zie paragraaf 6.
Stuur een verzoek tot uitoefening van deze rechten naar [email protected]. Wij reageren binnen één maand, in bijzondere gevallen verlengd met twee maanden conform artikel 12 lid 3 AVG. Ter verificatie van je identiteit kunnen wij om aanvullende informatie vragen.
Verwerkt eBrain jouw gegevens in haar rol als verwerker namens een klantorganisatie? Dan dien je je verzoek in eerste instantie tot die klantorganisatie te richten; wij ondersteunen de klantorganisatie bij de afhandeling.
14. Klachten
Heb je een klacht over de manier waarop wij met jouw persoonsgegevens omgaan? Neem dan eerst contact met ons op via [email protected] — wij vinden het belangrijk om daar samen uit te komen.
Je hebt daarnaast altijd het recht een klacht in te dienen bij de Nederlandse toezichthouder:
Autoriteit Persoonsgegevens Postbus 93374 2509 AJ Den Haag Website: autoriteitpersoonsgegevens.nl Telefoon: (+31) (0)70 888 85 00
15. Kinderen
Ons platform en onze diensten zijn bestemd voor zakelijk gebruik en richten zich niet op personen jonger dan 16 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen. Word je je ervan bewust dat een kind ons persoonsgegevens heeft verstrekt, neem dan contact met ons op via [email protected], dan verwijderen wij die gegevens.
16. Wijzigingen in dit Privacybeleid
Wij kunnen dit Privacybeleid van tijd tot tijd aanpassen — bijvoorbeeld wanneer wij onze dienstverlening uitbreiden, een nieuwe sub-verwerker toevoegen of wanneer wet- en regelgeving daartoe aanleiding geeft. De meest actuele versie vind je altijd op ebrain.ai/privacy-policy. Bij wezenlijke wijzigingen informeren wij actieve gebruikers per e-mail.
De datum onder "Laatst bijgewerkt" bovenaan dit beleid geeft aan wanneer de huidige versie is gepubliceerd. Eerdere versies zijn op verzoek beschikbaar via [email protected].
17. Contact
Heb je vragen over dit Privacybeleid, over hoe wij met persoonsgegevens omgaan, of wil je een verzoek indienen ten aanzien van jouw rechten?
The eBrain Group B.V.
H.J.E. Wenckebachweg 230
1096 AS Amsterdam, Nederland
E-mail: [email protected]
KvK: 96714239
— Einde Privacybeleid —