Juridisch document

Privacyverklaring

Hoe Notore omgaat met jouw gegevens en de gegevens van personen over wie jij verslagen schrijft.

Versie:24 mei 2026 · v1.0
V1.0 template. Deze privacyverklaring is door Notore opgesteld op basis van AVG-richtlijnen, maar nog niet onafhankelijk juridisch gereviewd. Vóór gebruik in productie met betalende klanten reviewen we deze met een gespecialiseerde privacy-jurist. Heb je nu al specifieke vragen? Stuur een mail.

1. Wie zijn wij

Notore is een dienst van [KvK-naam], gevestigd in Lelystad, Nederland. KvK-nummer: [in te vullen vóór launch]. We zijn bereikbaar via hallo@notore.nl.

In de context van de AVG zijn wij verwerker wanneer jij Notore gebruikt om verslagen te schrijven voor jouw cliënten of gesprekspartners — jij bent in die rol verwerkingsverantwoordelijke. Wij worden verwerkingsverantwoordelijke voor de gegevens die jij ons als gebruiker geeft (jouw account, e-mail, factuurgegevens).

2. Welke gegevens verwerken we

2.1 Gebruikersgegevens (van jou)

  • Naam en e-mailadres — om je in te loggen en te kunnen mailen
  • Rol binnen je organisatie — user / admin / super_admin
  • Tenant-koppeling — bij welke organisatie je hoort
  • Laatste-login timestamp — voor security-monitoring
  • Audit-log — onveranderbare registratie van privilege-gewijzigde acties (rol-wijziging, uitnodigingen, tenant-aanpassingen)

2.2 Verslag-inhoud (van personen over wie je schrijft)

  • Ruwe aantekeningen — die jij in Notore plakt
  • Gegenereerd verslag — de gestructureerde output van de AI
  • Eventuele bewerkingen — wijzigingen die jij in het verslag maakt

Belangrijk: Notore weigert actief input die persoonsgegevens lijkt te bevatten (BSN, namen, adressen, geboortedatums). De PII-check wordt server-side uitgevoerd vóór elke AI-call. Je krijgt een waarschuwing en wordt gevraagd je notities te anonimiseren ("cliënt", "betrokkene") voor je verder kunt.

2.3 Technische gegevens

  • IP-adres — alleen voor rate-limiting op publieke endpoints (demo-aanvraag)
  • Cookies — alleen functionele cookies voor authenticatie en thema-voorkeur. Geen tracking, geen analytics, geen marketing-cookies.
  • Token-gebruik — hoeveel AI-tokens je verslag heeft gebruikt, voor kostenrapportage aan jouw tenant-admin

3. Waarom we deze gegevens verwerken

De rechtsgrond per verwerking:

DoelRechtsgrondBewaarduur
Inloggen en account-toegangUitvoering overeenkomstTot 30 dagen na opzegging
Verslag genereren en bewerkenUitvoering overeenkomstTot opzegging + 30 dagen retention
Rate-limiting + spambestrijdingGerechtvaardigd belang1 uur (rolling window)
Audit-log voor complianceWettelijke verplichting7 jaar (belastingplicht)
FacturatieWettelijke verplichting7 jaar (belastingplicht)

4. Met wie delen we gegevens

We delen gegevens alleen met onze verwerkers (subverwerkers) die nodig zijn om de dienst te leveren. Voor de volledige actuele lijst zie /subverwerkers.

De kernverwerkers:

  • Anthropic (AI-provider, EU-regio) — verwerkt jouw geanonimiseerde aantekeningen om het verslag te genereren. Anthropic traint niet op jouw data; dit is contractueel vastgelegd in de DPA tussen Notore en Anthropic.
  • Supabase (database + auth) — host onze database in Frankfurt (EU). Geen data verlaat de EU.
  • Vercel (hosting) — serveert de Notore-applicatie. EU-regio.
  • Resend (e-mail) — voor uitnodigings- en notificatiemails.

Met elk van deze verwerkers hebben wij een verwerkersovereenkomst (DPA) die voldoet aan artikel 28 AVG.

5. Internationale doorgifte

Notore is volledig EU-hosted. Alle persoonsgegevens worden binnen de Europese Unie verwerkt en opgeslagen. Er vindt geen doorgifte plaats naar landen buiten de EU/EER.

Anthropic verwerkt jouw verzoeken via hun EU-endpoint en deze data wordt niet doorgestuurd naar de Verenigde Staten voor verwerking. Wij vragen elke 12 maanden actief bevestiging bij onze subverwerkers dat dit het geval is.

6. Beveiliging

We nemen onder andere de volgende maatregelen:

  • Transport-encryptie — TLS 1.3 voor al het verkeer
  • Database-encryptie at rest — AES-256 via Supabase
  • Row-level security (RLS) — elke tenant ziet alleen zijn eigen data, zelfs als de applicatie-code een bug zou hebben
  • PII-blokkade vóór AI-call — server-side patroon-detectie weigert ruwe persoonsgegevens als input
  • Onveranderbaar audit-log — wijzigingen aan privilege-data worden gelogd op een tabel die niet muteerbaar is, zelfs niet door onze service-role
  • Rate-limiting — bescherming tegen brute-force en API-misbruik
  • Toegangscontrole — minimaal nodige toegang per rol; service-role alleen vanuit serverside-code

7. Jouw rechten (AVG art. 15-22)

  • Inzage — een kopie van jouw persoonsgegevens opvragen
  • Rectificatie — onjuiste gegevens laten corrigeren
  • Verwijdering ("recht op vergetelheid") — wij verwijderen jouw gegevens, behoudens wettelijke bewaarverplichtingen
  • Beperking — verzoek de verwerking te beperken
  • Dataportabiliteit — je gegevens in machineleesbaar formaat ontvangen (JSON-export)
  • Bezwaar — bezwaar maken tegen verwerking op grond van gerechtvaardigd belang
  • Intrekken toestemming — als verwerking op toestemming gebaseerd is

Stuur je verzoek naar hallo@notore.nl. We reageren binnen 4 weken (AVG-termijn). Tenant-admins kunnen voor gegevens binnen hun tenant ook zelf verwijderacties uitvoeren via de admin-interface.

8. Datalek-procedure

We hebben een gedocumenteerde datalek-procedure conform artikel 33 AVG. Bij een datalek:

  • Detectie en classificatie binnen 24 uur
  • Melding aan de Autoriteit Persoonsgegevens binnen 72 uur bij hoog risico
  • Directe melding aan betroffen tenants en hun DPO's
  • Reconstructie-rapport binnen 30 dagen

Volledige procedure: /datalek.

9. Klachten

Heb je een klacht over hoe wij omgaan met persoonsgegevens? Neem eerst contact met ons op via hallo@notore.nl. Komen we er niet uit, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

10. Wijzigingen

We kunnen deze privacyverklaring updaten. Materiële wijzigingen worden minimaal 30 dagen van tevoren aangekondigd per e-mail aan tenant-admins. De huidige versie is altijd op deze pagina terug te vinden.

11. Contact

Notore — verwerkingsverantwoordelijke / verwerker
E-mail: hallo@notore.nl
Adres: [adres in te vullen vóór launch]
KvK: [nummer in te vullen vóór launch]

We hebben (nog) geen aangewezen Functionaris Gegevensbescherming (FG/DPO) omdat de organisatie nog klein is. Bij groei en zodra Notore aan een AVG-criterium voldoet dat een FG verplicht stelt, melden we dit hier.

Vragen over dit document?

Voor juridische of compliance-vragen, of als je een ondertekend exemplaar van dit document nodig hebt: stuur een mail. We reageren binnen 2 werkdagen.

hallo@notore.nl →