Aller au contenu principal
AIFORYA

Privacybeleid

1. Introductie en toewijding

AIFORYA verbindt zich ertoe de privacy van haar gebruikers en klanten te beschermen. Dit Privacybeleid (hierna "het Beleid") beschrijft hoe AIFORYA uw persoonsgegevens verzamelt, gebruikt, beschermt, bewaart en deelt. De aanpak is minimalistisch en respecteert de principes van "Privacy by Design".

Dit Beleid is in overeenstemming met de vereisten van de Algemene Verordening Gegevensbescherming (AVG, EU-verordening 2016/679), de UK General Data Protection Regulation (UK GDPR), de California Consumer Privacy Act (CCPA) en de Lei Geral de Proteção de Dados (LGPD) in Brazilië.

2. Verwerkingsverantwoordelijke en FG

  • Verwerkingsverantwoordelijke: AIFORYA (eenmanszaak), 1 rue de Stockholm, 75008 Parijs, Frankrijk. SIREN 498 592 104.
  • FG: Er is een Functionaris voor Gegevensbescherming aangesteld. Contact: dpo@aiforya.fr.

3. Verzamelde persoonsgegevens — minimalistische aanpak

AIFORYA verzamelt uitsluitend de gegevens die strikt noodzakelijk zijn voor de hieronder gedefinieerde doeleinden.

| Doel | Gegevenscategorieën | Rechtsgrond | Bewaartermijn | | :--- | :--- | :--- | :--- | | Beheer van account en abonnementen | E-mailadres, naam, gehasht wachtwoord, abonnementstype, transactiegeschiedenis | Uitvoering van de overeenkomst | Duur van het abonnement + 3 jaar | | Facturatie en boekhouding | Postadres, land, btw-identificatienummer (indien van toepassing) | Wettelijke verplichting | 10 jaar | | Klantenservice | Inhoud van de communicatie, klant-ID, geschiedenis van het probleem | Uitvoering van de overeenkomst / Gerechtvaardigd belang | 5 jaar na de laatste interactie | | Beveiliging en onderhoud | Verbindingslogs (IP-adres, User-Agent, datum, belangrijke acties) | Gerechtvaardigd belang | 12 maanden | | Publieksanalyse (geanonymiseerd) | Geanonimiseerde navigatiegegevens | Toestemming | 13 maanden | | Nieuwsbrief | E-mailadres | Toestemming | Tot uitschrijving |

4. Wat NOOIT wordt verzameld (Privacy by Design)

  • API-sleutels van derden (BYOK): De API-sleutels die de klant gebruikt voor AI-leveranciers (Anthropic, OpenAI, Google, etc.) worden versleuteld opgeslagen op diens WordPress-installatie en worden nooit via de servers van AIFORYA verzonden. AIFORYA heeft hier geen toegang toe.
  • De content die via de extensies wordt gegenereerd: De prompts die naar de AI-modellen worden gestuurd en de antwoorden worden rechtstreeks uitgewisseld tussen de server van de klant en de AI-leverancier. AIFORYA onderschept, leest, bewaart en analyseert deze content nooit.
  • Volledige betalingsgegevens: Creditcardinformatie wordt rechtstreeks door Stripe verwerkt. AIFORYA slaat nooit kaartnummers of CVV-codes op.
  • De inhoud van CMS-sites: AIFORYA heeft geen toegang tot, leest of bewaart nooit de redactionele inhoud (artikelen, pagina's, gebruikersgegevens) van klantsites.

5. Ontvangers en internationale doorgiften

Gegevens worden uitsluitend gedeeld met de volgende essentiële verwerkers:

| Verwerker | Land | Rol | Overdrachtsgarantie | | :--- | :--- | :--- | :--- | | Stripe Inc. | VS / Ierland | Betalingen en abonnementsbeheer | EU-US Data Privacy Framework (DPF) / SCC | | Vercel Inc. | VS | Frontend hosting, publieksmeting na toestemming | EU-US DPF / SCC | | Railway Corp | VS | Backend hosting | Standard Contractual Clauses (SCC) | | Supabase Inc. | VS | Database | EU-US DPF / SCC | | Axeptio (Sirdata) | Frankrijk (EU) | Toestemmingsbeheerplatform (CMP) | AVG — geen doorgifte buiten de EU | | Resend, Inc. | VS | Verzending van transactionele e-mails (contactbevestiging, nieuwsbrief) | EU-US DPF / SCC |

AIFORYA zorgt ervoor dat elke doorgifte buiten de Europese Economische Ruimte plaatsvindt in overeenstemming met de wettelijke vereisten (SCC van de Europese Commissie of het EU-US DPF-kader).

6. Gegevensbeveiliging

  • Versleuteling: TLS voor alle communicatie, versleuteling van gevoelige data-at-rest.
  • Toegangscontrole: "Least privilege"-beleid.
  • Hashing: Wachtwoorden worden gehasht met robuuste en niet-omkeerbare algoritmen.
  • Audits: Regelmatige penetratietesten en beveiligingsaudits.
  • Back-ups: Back-up- en herstelprocedures.

7. Rechten onder AVG / UK GDPR

  • Recht van inzage (art. 15): Een kopie verkrijgen van de bewaarde gegevens.
  • Recht op rectificatie (art. 16): Onjuiste gegevens corrigeren.
  • Recht op gegevenswissing (art. 17): Gegevens laten verwijderen.
  • Recht op beperking van de verwerking (art. 18).
  • Recht op overdraagbaarheid (art. 20).
  • Recht van bezwaar (art. 21).

Om deze rechten uit te oefenen: dpo@aiforya.fr. Antwoord binnen 1 maand (verlengbaar met 2 maanden in geval van complexiteit). Er kan om een identiteitsbewijs worden gevraagd.

U heeft het recht een klacht in te dienen bij de CNIL (de Franse toezichthoudende autoriteit): www.cnil.fr.

8. Specifieke rechten (CCPA, LGPD)

  • Californië (CCPA): Rechten op inzage, verwijdering en non-discriminatie. AIFORYA verkoopt geen persoonsgegevens en respecteert "Do Not Track"-signalen.
  • Brazilië (LGPD): Rechten vergelijkbaar met de AVG.

Contact: dpo@aiforya.fr.

9. Specifieke clausules met betrekking tot generatieve AI en het BYOK-model

AIFORYA opereert op basis van een Bring Your Own Key (BYOK)-model. De aanroepen naar generatieve AI-diensten worden rechtstreeks door de extensie vanaf de server van de klant naar de AI-leverancier gedaan, met gebruik van de API-sleutel van de klant.

  • Gegevensstroom: De AI-prompts en -antwoorden passeren nooit de servers van AIFORYA.
  • Verantwoordelijkheid: De klant is als enige verantwoordelijk voor de gegevens die hij/zij aan de AI-leveranciers verstrekt en voor de gegenereerde content. De klant moet ervoor zorgen dat zijn/haar gebruik voldoet aan het beleid van de leveranciers en de toepasselijke wetgeving.

10. Aanmelden via Google (Google Sign-In) — Use of Google User Data

AIFORYA biedt optioneel de mogelijkheid om in te loggen op de webapplicatie via Google Sign-In (OAuth 2.0 / OpenID Connect). Deze sectie beschrijft uitgebreid en in overeenstemming met de Google API Services User Data Policy (inclusief de Limited Use-vereisten) hoe AIFORYA toegang heeft tot Google-gebruikersgegevens, deze gebruikt, opslaat en deelt.

10.1. Gevraagde scopes

AIFORYA vraagt uitsluitend de drie standaard niet-gevoelige OpenID Connect-scopes aan:

  • openid — stabiele Google-gebruikersidentificatie (sub-claim)
  • email — primair e-mailadres van het Google-account
  • profile — volledige naam, voornaam, achternaam, taal en URL van de profielfoto

Er wordt geen gevoelige of beperkte scope aangevraagd. AIFORYA heeft geen toegang tot Gmail, Drive, Calendar, Contacts, YouTube, Photos, of enige andere Google-product-API met gebruikersgegevens.

10.2. Daadwerkelijk verzamelde gegevens

Bij het aanmelden verzamelt AIFORYA uitsluitend, vanuit Google:

  • de Google-onderwerpsidentificatie (sub),
  • het geverifieerde e-mailadres,
  • de weergavenaam en, indien beschikbaar, de URL van de openbare profielfoto.

10.3. Gebruiksdoel (Data Usage)

Deze gegevens worden uitsluitend gebruikt om:

  • de gebruiker te authenticeren in de AIFORYA-webapplicatie (identiteitsverificatie bij inloggen);
  • het overeenkomstige AIFORYA-account te maken of op te zoeken;
  • de naam en het e-mailadres van de gebruiker te tonen in zijn/haar dashboard en op de pagina "Mijn account".

Google-gebruikersgegevens worden nooit gebruikt voor reclamedoeleinden, voor profilering buiten authenticatie, voor het opbouwen van contactlijsten, voor kredietbeoordeling of voor het trainen van een gegeneraliseerd AI/ML-model. Ze worden niet gedeeld met marketingpartners.

10.4. Bewaring en opslag

Google-gebruikersgegevens worden opgeslagen in een door Supabase beheerde PostgreSQL-database (EU-regio — Frankfurt, eu-central-1), met versleuteling in rust en Row-Level Security. De bewaartermijn loopt voor de duur van het gebruikersaccount. De gebruiker kan zijn/haar account en alle bijbehorende gegevens op elk moment verwijderen via https://www.aiforya.fr/nl/mon-compte; de verwijdering wordt binnen 30 dagen effectief.

10.5. Delen en subverwerkers

Google-gebruikersgegevens worden nooit verkocht, verhuurd, overgedragen of gedeeld met derden voor reclamedoeleinden of doeleinden die geen verband houden met het hierboven beschreven gebruiksdoel. De enige subverwerker met potentieel incidentele toegang is onze beheerde-databasehostingprovider (Supabase, EU), op basis van een AVG-conforme verwerkersovereenkomst.

10.6. Limited Use-conformiteit

Het gebruik en de overdracht door AIFORYA, naar enige andere applicatie, van informatie ontvangen van Google API's voldoet strikt aan de Google API Services User Data Policy, inclusief de Limited Use-vereisten.

10.7. Controle door de gebruiker

De gebruiker kan op elk moment:

  • de aan AIFORYA verleende toegang intrekken via de pagina voor het beheer van zijn/haar Google-account: https://myaccount.google.com/permissions;
  • alle door AIFORYA opgeslagen gegevens verwijderen via de in-app accountverwijderingsstroom op de pagina "Mijn account";
  • zijn/haar AVG-rechten uitoefenen (toegang, rectificatie, wissing, overdraagbaarheid, bezwaar) door contact op te nemen met dpo@aiforya.fr (zie sectie 7).

11. Cookies en trackers

De website aiforya.fr maakt gebruik van cookies en vergelijkbare technologieën (met name localStorage) voor de goede werking, publieksmeting en de verbetering van de gebruikerservaring.

11.1. Toestemmingsbeheerplatform (CMP)

Het beheer van toestemming wordt verzorgd door Axeptio, een gecertificeerd Frans CMP. Bij het eerste bezoek aan de site verschijnt een banner die de gebruiker de mogelijkheid biedt om zijn/haar keuzes per categorie te accepteren, weigeren of aanpassen. De knop "Alles weigeren" is even zichtbaar en toegankelijk als de knop "Alles accepteren" (conform de vereisten van de CNIL). De keuzes worden 6 maanden bewaard en kunnen op elk moment worden gewijzigd via de link "Mijn trackers beheren" in de voettekst.

Google Consent Mode v2 is geïmplementeerd in de "Basic"-modus: alle toestemmingssignalen (analytics_storage, ad_storage, ad_user_data, ad_personalization, functionality_storage, personalization_storage) worden standaard ingesteld op denied, totdat de gebruiker zijn/haar keuze kenbaar maakt.

11.2. Noodzakelijke trackers (strikt essentieel)

Vrijgesteld van toestemming (Artikel 82 van de Franse wet "Informatique et Libertés") omdat ze onmisbaar zijn voor de werking: gebruikerssessie, taalvoorkeuren, de registratie van de toestemmingskeuze zelf, het onthouden van het thema (licht/donker), zelf-gehoste weblettertypen (geen overdracht van IP-adres naar externe CDN's).

11.3. Publieksmeting (analytics)

Onderworpen aan uitdrukkelijke toestemming: Vercel Analytics (geanonimiseerde meting van het verkeer, zonder persoonlijke identificatie, duur maximaal 13 maanden). Deze trackers worden alleen geactiveerd na uitdrukkelijke acceptatie van de categorie "Publieksmeting" in de Axeptio-banner.

11.4. Marketing en reclame

Er worden momenteel geen reclame- of remarketingtrackers gebruikt op aiforya.fr. Deze categorie is gereserveerd voor mogelijke toekomstige campagnes (Google Ads, LinkedIn Ads), die eveneens onderworpen zouden zijn aan toestemming voordat er iets wordt geplaatst.

12. Wijzigingen in het beleid

AIFORYA behoudt zich het recht voor om dit Beleid op elk moment te wijzigen. Elke wijziging zal op deze pagina worden gepubliceerd met een nieuwe bijwerkingsdatum. In geval van een substantiële wijziging zal er een kennisgeving per e-mail worden verstuurd of via een zichtbare melding op de site.

Politique de confidentialité | AIFORYA