Privacyverklaring
Versie 1.0 — laatst bijgewerkt op 15 april 2026.
Document Works ("wij", "ons") respecteert uw privacy en verwerkt uw persoonsgegevens met zorg. In deze verklaring leggen wij uit welke persoonsgegevens wij verwerken, met welk doel, op welke rechtsgrond, hoe lang wij ze bewaren en welke rechten u heeft op grond van de Algemene verordening gegevensbescherming (AVG).
1. Wie is verantwoordelijk?
Verwerkingsverantwoordelijke voor de gegevens die u via onze openbare website achterlaat (contactformulier, demoaanvragen, blog- abonnementen) is:
DocumentWorks Hoog Soeren 16, 7346 AB Hoog Soeren KvK: 92716474
Voor de gegevens die u, of de gebruikers binnen uw organisatie, in de applicatie verwerken (e-mail, documenten, agenda, contacten, chats, videogesprekken, AI-prompts), hangt onze rol af van het type account:
- Zakelijke klant — als u een werknemer of medewerker bent van een organisatie die de Dienst afneemt, treedt Document Works op als verwerker in de zin van AVG art. 28. De zakelijke klant (uw werkgever, of degene die de licentie heeft afgesloten) is dan verwerkingsverantwoordelijke. De afspraken hierover staan in onze verwerkersovereenkomst.
- Consument — als u zelf een persoonlijk account heeft afgesloten (zonder zakelijke licentie), bent u zelf verwerkingsverantwoordelijke voor de inhoud die u in uw account verwerkt. Document Works treedt in dat geval op als verwerkingsverantwoordelijke voor de accountgegevens en facturatie en als verwerker voor de inhoud die u zelf verwerkt. U kunt uw rechten (inzage, rectificatie, verwijdering, overdraagbaarheid) rechtstreeks bij ons uitoefenen via privacy@document.works.
Privacy-contactpunt: privacy@document.works
2. Welke persoonsgegevens verwerken wij?
2.1 Op de openbare website
- Naam, e-mailadres, bedrijfsnaam, telefoonnummer en bericht wanneer u een contactformulier of demoaanvraag invult.
- Beperkte technische gegevens (IP-adres, user-agent, request-pad) in onze server-logs voor beveiliging en foutopsporing.
- Eventueel uw e-mailadres als u zich aanmeldt voor onze nieuwsbrief of blog-updates.
2.2 In de applicatie (verwerker-rol)
Wanneer u door uw werkgever of organisatie toegang krijgt tot de applicatie, verwerken wij namens hen onder andere:
- Account- en identiteitsgegevens: naam, e-mailadres, rol, organisatie, wachtwoord-hash, tweefactor-instellingen.
- E-mail: alle inhoud van mailboxen die u via onze geïntegreerde mailservers verwerkt (verzonden, ontvangen en concept-berichten, bijlagen, mappen, labels).
- Bestanden en documenten: bestanden die u in onze bestandsopslag uploadt en via onze documentbewerkings-omgeving bewerkt.
- Agenda en contacten: kalenderitems (incl. terugkerende afspraken en uitnodigingen) en contactgegevens uit gekoppelde CalDAV/CardDAV- bronnen.
- Chat- en chatgeschiedenis binnen teams en projecten.
- Videogesprekken: signaling- en sessie-metadata via onze videogesprek-omgeving op onze eigen servers. Wij maken standaard geen opnames; alleen als de gebruiker een opname-functie expliciet activeert wordt een opname op onze infrastructuur opgeslagen.
- AI-interacties: de prompts die u naar de AI-assistent stuurt en de daaruit volgende uitvoer (tekst, afbeeldingen, transcripties).
- AI-geheugen: beknopte, door de AI-assistent geëxtraheerde feiten over uw werkcontext (bijvoorbeeld voorkeuren, terugkerende taken) die de assistent gebruikt om bij volgende interacties beter aan te sluiten op uw situatie. Deze "geheugens" zijn ontworpen om langer te blijven bestaan dan een afzonderlijke conversatie. U kunt individuele geheugens, of het volledige AI-geheugen, op elk moment inzien en verwijderen via uw accountinstellingen.
- Audit- en activiteitenlogs: een beperkte trail van wie wat wanneer deed (login, mislukte loginpogingen, document open, document delen) voor beveiliging en compliance.
- Technische logs: request-logs, errorlogs, performance-metingen.
3. Met welk doel en op welke rechtsgrond?
| Doel | Rechtsgrond (AVG art. 6) |
|---|---|
| Uitvoering van de overeenkomst (toegang, opslag, samenwerking, AI-functies) | art. 6(1)(b) — uitvoering overeenkomst |
| Beheer van uw account en authenticatie | art. 6(1)(b) — uitvoering overeenkomst |
| Beveiliging van de dienst (logging, fraudedetectie, ratelimiting) | art. 6(1)(f) — gerechtvaardigd belang |
| Wettelijke verplichtingen (fiscale en boekhoudplicht) | art. 6(1)(c) — wettelijke verplichting |
| Klantenservice en helpdesk | art. 6(1)(b) — uitvoering overeenkomst |
| Beantwoording van contactformulieren / demoaanvragen | art. 6(1)(f) — gerechtvaardigd belang |
| Nieuwsbrief / marketingcommunicatie | art. 6(1)(a) — toestemming |
Wij verwerken geen bijzondere categorieën van persoonsgegevens (AVG art. 9) als onderdeel van de standaard dienstverlening. U kunt zelf kiezen om dergelijke gegevens in uw e-mail of documenten op te nemen; in dat geval gelden de gebruikelijke vertrouwelijkheids- en beveiligingsmaatregelen.
4. Met wie delen wij persoonsgegevens?
Wij delen uw persoonsgegevens met een beperkte set sub-verwerkers, zoals gespecificeerd in onze openbare lijst van sub-verwerkers:
- Hetzner Online GmbH (Duitsland): hosting van alle servers, opslag en back-ups.
- Mistral AI SAS (Frankrijk): AI-tekst, beeldgeneratie en spraak- herkenning, op verzoek van de gebruiker. Voor Mistral hebben wij gekozen voor het Scale Plan met Zero Data Retention (ZDR), zodat ingestuurde prompts en uitvoer niet door Mistral worden bewaard of gebruikt voor modeltraining.
Wij geven uw persoonsgegevens niet aan andere derden, behalve wanneer dit wettelijk vereist is (bijvoorbeeld op een rechtmatig verzoek van een opsporingsinstantie) of wanneer u daar zelf ondubbelzinnig toestemming voor geeft (bijvoorbeeld een door u geactiveerde integratie met een externe dienst).
5. Doorgifte buiten de EER
Alle door ons gekozen sub-verwerkers zijn gevestigd binnen de Europese Economische Ruimte (EER). Persoonsgegevens worden niet doorgegeven naar landen buiten de EER. Indien wij in de toekomst toch een sub- verwerker buiten de EER zouden inschakelen, doen wij dat alleen op basis van adequaat-besluiten of standaard-contractbepalingen (SCC's, AVG art. 46) en informeren wij u vooraf.
6. Hoe lang bewaren wij persoonsgegevens?
| Categorie | Bewaartermijn |
|---|---|
| Account- en profielgegevens | Zolang het account actief is, daarna 30 dagen verwijderingsperiode |
| E-mail, documenten, agenda, contacten, chat | Zolang u of uw organisatie deze in de applicatie behoudt; bij verwijdering binnen 30 dagen definitief gewist |
| Back-ups (versleuteld, op rust) | Maximaal 30 dagen rolling |
| AI-conversaties (chat met assistent) | 90 dagen, daarna verwijderd |
| AI-geheugen (door assistent geëxtraheerde feiten) | Persistent zolang u dit niet zelf verwijdert; bij accountverwijdering definitief gewist |
| Audit- en beveiligingslogs | 12 maanden |
| Server- en applicatielogs (foutopsporing) | 30 dagen |
| Facturatiegegevens | 7 jaar (fiscale bewaarplicht art. 52 AWR) |
| Contactformulier-inhoud | 12 maanden, daarna verwijderd |
| Nieuwsbrief-aanmelding | Tot intrekking van uw toestemming |
Toelichting bij back-ups: back-ups worden versleuteld opgeslagen en hebben een rolling window. Ook na verwijdering uit de live- omgeving kunnen gegevens nog kort in oudere back-ups voorkomen, tot de natuurlijke vervaltermijn van die back-up.
7. Hoe beveiligen wij uw gegevens?
Een uitgebreidere uiteenzetting staat in onze Beveiligingsverklaring. Samengevat:
- Versleuteling op transport: TLS 1.2+ met HSTS-preload op alle publieke endpoints.
- Versleuteling op rust: alle inloggegevens van derde-partij-
diensten (IMAP, SMTP, OAuth-tokens) worden versleuteld opgeslagen
met een aparte sleutel (
ENCRYPTION_KEY). Database-back-ups worden GPG-versleuteld voordat zij worden weggeschreven. - Authenticatie: OIDC met optionele tweefactor-authenticatie, korte sessietokens (30 minuten) voor document-bewerking.
- Toegangsbeheer: strikt rolgebaseerd, audit-gelogd. Onze medewerkers hebben uitsluitend op een need-to-know-basis toegang tot productie-omgevingen.
- Strikte CSP met nonce-gebaseerde scriptbeleidsregels in de webapplicatie; defensieve HTTP-securityheaders.
- Ratelimiting op authenticatie- en API-endpoints, automatische blokkades bij brute-force-pogingen.
- Periodieke beveiligingsaudits en kwetsbaarheidsanalyses van de eigen code en de gebruikte open-source componenten.
8. Uw rechten onder de AVG
U heeft de volgende rechten ten aanzien van uw persoonsgegevens:
- Recht op inzage (art. 15) — u mag een kopie van uw gegevens opvragen.
- Recht op rectificatie (art. 16) — onjuiste gegevens corrigeren.
- Recht op verwijdering (art. 17, "right to be forgotten") — uw gegevens laten wissen, behoudens wettelijke bewaarplichten.
- Recht op beperking van de verwerking (art. 18).
- Recht op overdraagbaarheid (art. 20) — uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat ontvangen.
- Recht van bezwaar (art. 21) — bezwaar maken tegen verwerking op grond van een gerechtvaardigd belang.
- Recht om toestemming in te trekken voor verwerkingen waarvoor uw toestemming de rechtsgrond is, zonder dat dit afbreuk doet aan de rechtmatigheid van verwerking vóór de intrekking.
Hoe oefent u uw rechten uit?
Stuur een verzoek naar privacy@document.works. Wij reageren binnen 1 maand, en in complexe gevallen uiterlijk binnen 3 maanden (AVG art. 12 lid 3). Wij kunnen u vragen zich te identificeren om misbruik te voorkomen.
Indien u in de applicatie zit en uw werkgever de verwerkings- verantwoordelijke is, dient u uw verzoek primair bij hen in. Wij zullen op verzoek van uw werkgever de technische uitvoering verzorgen.
Geautomatiseerde besluitvorming
De AI-functies (samenvatten, schrijfhulp, beeldgeneratie) verwerken op uw initiatief tekst- of beeldopdrachten en leveren tekst- of beeldsuggesties terug. Deze functies nemen geen geautomatiseerde besluiten met rechtsgevolgen of vergelijkbare aanmerkelijke gevolgen voor u in de zin van AVG art. 22. Suggesties worden alleen op uw expliciete actie toegepast.
9. Klacht indienen
Bent u het oneens met hoe wij omgaan met uw gegevens? Wij stellen het op prijs als u eerst contact met ons opneemt via privacy@document.works, zodat wij samen tot een oplossing kunnen komen. U heeft daarnaast altijd het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens:
Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag autoriteitpersoonsgegevens.nl
10. Wijzigingen in deze verklaring
Wij kunnen deze privacyverklaring aanpassen wanneer onze dienst of de
wet- en regelgeving daartoe aanleiding geven. De meest recente versie
staat altijd op document.works/privacy, met versie en
inwerkingtredingsdatum bovenaan. Bij ingrijpende wijzigingen
informeren wij actieve gebruikers per e-mail of via een aankondiging
in de applicatie.