Juridisch document

Privacyverklaring

Flexys.AI

Privacyverklaring van Flexys.ai

Laatst bijgewerkt: 3 april 2026

1. Introductie

Flexys.ai ("wij", "ons") is een AI Business-platform dat bedrijven helpt met AI-chat, spraakagenten, CRM, websitebouwer, facturatie en geautomatiseerde workflows. Wij zetten ons in voor de bescherming van uw persoonsgegevens conform de AVG.

2. Gegevens die wij verzamelen

  • Accountgegevens: Naam, e-mail, telefoon, bedrijf, KvK-nummer
  • Bedrijfsinformatie: Sector, diensten, contactgegevens van medewerkers
  • Communicatiegegevens: Chatgesprekken, gesprekstranscripties, e-mail, WhatsApp
  • Betalingsgegevens: Facturatie, abonnementstype (Stripe en NOWPayments)
  • Technische gegevens: IP, browser, apparaat, cookies
  • Gebruiksgegevens: Inlogtijden, gebruikte functies
  • Social media-gegevens: OAuth-toegangstokens, gekoppelde platformaccounts, berichtinhoud en engagement-analytics bij gebruik van de social media-module (Facebook, Instagram, LinkedIn, X/Twitter). Tokens worden versleuteld opgeslagen met AES-256-GCM.

3. AI-gegevensverwerking

  • AI-chat: Verwerkt door Anthropic (Claude) en OpenAI-modellen via OpenRouter
  • Spraak-AI: Gesprekken afgehandeld door Telnyx AI. Transcripties versleuteld (AES-256-GCM)
  • Contentgeneratie: AI voor webcontent, e-mailcampagnes en onderzoek

Belangrijk: Uw gesprekken worden niet gebruikt om AI-modellen te trainen.

4. Spraakgesprekken

  • Verwerkt door Telnyx voor telefonie en AI
  • Transcripties versleuteld met AES-256-GCM
  • Maximaal 30 minuten per gesprek
  • Bewaard zolang uw account actief is

5. Dienstverleners

  • Telnyx (VS/EU) — Telefonie (SIP)
  • Twilio (VS) — SMS en WhatsApp
  • ElevenLabs (VS) — Spraak-AI (stemagenten)
  • Stripe (VS) — Betalingen en abonnementen
  • NOWPayments (EU) — Cryptobetalingen
  • Anthropic (VS) — AI-chat (Claude)
  • OpenAI (VS) — AI-chat
  • OpenRouter (VS) — AI-modelroutering
  • Google (VS) — Workspace, Google Ads (optioneel)
  • Replicate (VS) — Beeld-/videogeneratie (optioneel)
  • Meta (VS) — WhatsApp Cloud API, Facebook & Instagram publiceren via Graph API
  • LinkedIn (VS) — Bedrijfspagina publiceren via LinkedIn API
  • X/Twitter (VS) — Tweets publiceren via X API v2

Met alle bovengenoemde dienstverleners (sub-verwerkers) hebben wij verwerkersovereenkomsten gesloten conform artikel 28 AVG, dan wel zijn de verwerkingsafspraken onderdeel van hun standaard Data Processing Agreements (DPA's).

Wij kunnen sub-verwerkers wijzigen of toevoegen. Bij wezenlijke wijzigingen informeren wij u minimaal 14 dagen vooraf per e-mail, zodat u bezwaar kunt maken.

6. Rechtsgrond

  • Uitvoering van overeenkomst: Noodzakelijk voor onze SaaS-diensten
  • Toestemming: Marketing en optionele functies
  • Gerechtvaardigd belang: Platformbeveiliging en verbetering
  • Wettelijke verplichting: Boekhouding en belastingcompliance

7. Gegevensbeveiliging

  • AES-256-GCM-versleuteling voor gevoelige gegevens
  • JWT-authenticatie met versleutelde tokens
  • HTTPS/TLS voor alle communicatie
  • Limiet van 5 inlogpogingen per minuut
  • HMAC-verificatie voor webhooks
  • Wachtwoorden gehasht met bcrypt

8. Datalekken

Bij een datalek (inbreuk op de beveiliging van persoonsgegevens) handelen wij als volgt:

  • Melding aan AP: Binnen 72 uur na ontdekking melden wij het datalek bij de Autoriteit Persoonsgegevens, tenzij het onwaarschijnlijk is dat het lek een risico inhoudt voor de rechten van betrokkenen.
  • Melding aan u: Als het datalek waarschijnlijk een hoog risico inhoudt voor uw rechten, informeren wij u zonder onredelijke vertraging per e-mail.
  • Documentatie: Wij documenteren elk datalek, inclusief de feiten, de gevolgen en de genomen corrigerende maatregelen.
  • Uw plicht: Als u als klant via ons platform persoonsgegevens van uw eigen klanten verwerkt, bent u zelf verwerkingsverantwoordelijke voor die gegevens. U dient zelf datalekken die betrekking hebben op uw eindgebruikers te melden bij de AP.

9. Bewaartermijnen

  • Chat en gesprekken: Zolang uw account actief is
  • Na verwijdering: Gegevens binnen 30 dagen uit back-ups verwijderd
  • Facturatie: 7 jaar (wettelijke verplichting)
  • Logs: Maximaal 90 dagen

10. API-sleutels en inloggegevens

Binnen het Flexys.ai-platform kunt u API-sleutels van derden koppelen (bijv. eigen OpenAI, Anthropic, Google, Stripe Connect of social media tokens). Hiervoor geldt:

  • API-sleutels worden versleuteld opgeslagen (AES-256-GCM) in uw tenant-database.
  • Sleutels worden nooit in logbestanden, foutmeldingen of API-responses getoond.
  • U bent zelf verantwoordelijk voor het veilig beheren, roteren en intrekken van uw eigen API-sleutels.
  • Flexys.ai is niet aansprakelijk voor kosten of schade door gecompromitteerde API-sleutels die u zelf hebt ingevoerd.
  • Bij beëindiging van uw account worden alle opgeslagen API-sleutels binnen 30 dagen permanent verwijderd.

11. Uw rechten (AVG)

  • Inzage: Opvragen welke gegevens wij verwerken
  • Rectificatie: Onjuiste gegevens corrigeren
  • Verwijdering: Verzoek tot verwijdering
  • Bezwaar: Bezwaar maken tegen verwerking
  • Overdraagbaarheid: Gegevens in machineleesbaar formaat ontvangen
  • Beperking: Verwerking tijdelijk beperken
  • Klacht: Bij de Autoriteit Persoonsgegevens

12. Locatie

Servers in de EU (Duitsland). Sommige leveranciers in de VS met waarborgen via Standaard Contractuele Clausules (SCC's).

13. Wijzigingen

Wij kunnen dit beleid periodiek bijwerken. Bij wezenlijke wijzigingen informeren wij u per e-mail.

14. Contact

Flexys.ai
E-mail: info@flexys.ai
Support: support@flexys.ai
Website: https://flexys.ai