Privacyverklaring
Laatst bijgewerkt: 28 mei 2026 — versie 2.0
Deze verklaring beschrijft hoe Pinflo persoonsgegevens verwerkt in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG, Verordening (EU) 2016/679) en de Belgische wet van 30 juli 2018.
1. Verwerkingsverantwoordelijke
Pinflo is een product van Grafix Studio, gevestigd in België. Voor alle privacy-vragen, inzage- of verwijderverzoeken: hallo@pinflo.ai.
Grafix Studio is verwerkingsverantwoordelijke in de zin van artikel 4(7) AVG voor de gegevens die je rechtstreeks aan Pinflo toevertrouwt. Voor klantgegevens die jij in Pinflo invoert is jij de verwerkingsverantwoordelijke en Pinflo de verwerker (artikel 28 AVG).
2. Welke gegevens verwerken we
Accountgegevens
- E-mailadres, voornaam en familienaam
- Bedrijfsnaam, sector, BTW-nummer, ondernemings-/KBO-nummer
- Adres, IBAN, telefoonnummer (optioneel)
- Versleuteld wachtwoord (bcrypt-hash, nooit in plain text)
Operationele gegevens
- Klanten- en factuurdata die je zelf invoert of inspreekt — inclusief persoonsgegevens van jouw klanten
- Audio-opnames en transcripten van je voice-sessies
- OAuth-tokens voor boekhoudsoftware-koppelingen (versleuteld at-rest met AES-256-GCM)
Technische gegevens
- IP-adres + browser-info bij login (gehasht, nooit raw bewaard)
- Sessiecookies (httpOnly, sameSite=lax) — geen tracking-cookies
- Server-logs voor incident-onderzoek (max. 30 dagen)
3. Rechtsgronden (artikel 6 AVG)
We verwerken je gegevens op één van deze grondslagen:
- Uitvoering van de overeenkomst (art. 6.1.b) — accountgegevens, factuurdata, koppelingen met boekhoudsoftware. Zonder deze gegevens kan Pinflo niet werken.
- Wettelijke verplichting (art. 6.1.c) — fiscale bewaarplicht (7 jaar) voor factuurdata, anti-witwasverplichtingen waar van toepassing.
- Gerechtvaardigd belang (art. 6.1.f) — security-logs (incident-detectie), anonieme productverbetering, geaggregeerde sector-statistieken.
- Toestemming (art. 6.1.a) — voor optionele "anonieme corpus-bijdrage" aan onze AI-verbetering. Je kan die toestemming op elk moment intrekken in je instellingen.
4. Bewaartermijnen
| Categorie | Termijn |
|---|---|
| Audio-opnames en transcripten | 30 dagen, daarna automatisch gewist |
| Factuurdata + klantgegevens | 7 jaar (fiscale bewaarplicht) |
| Accountgegevens | Tot 30 dagen na accountbeëindiging, daarna gewist |
| Server- en security-logs | 30 dagen |
| Marketing-chat logs | 12 maanden |
| OAuth-tokens | Tot intrekking of accountbeëindiging |
5. Ontvangers en subverwerkers
We delen gegevens enkel met derden voor zover noodzakelijk om Pinflo te laten werken. Elke subverwerker heeft een verwerkersovereenkomst (DPA) op basis van Standard Contractual Clauses (SCC) waar nodig.
- Railway (US, EU-regio) — hosting van de app + database. Servers in eu-west.
- Groq (US) — speech-to-text transcriptie. Audio wordt verwerkt, niet getraind op (zero-retention policy).
- Anthropic (US), OpenAI (US), OpenRouter, DeepSeek — AI-extractie van factuurvelden uit transcripten. Geen training op klantdata; zero-retention modus waar beschikbaar.
- Deepgram (US) — text-to-speech (Daphne's stem). Geen retentie van audio-output.
- Resend (EU) — transactionele e-mails (wachtwoord-reset, factuur-mails). Servers in EU.
- Boekhoudsoftware-providers (per jouw keuze) — Billit, Yuki, Moneybird, Odoo, Teamleader, Zoho Books. Wij sturen alleen wat jij goedkeurt voor factuur-push.
6. Internationale doorgifte
Bepaalde subverwerkers (Groq, Anthropic, OpenAI, Deepgram, Railway) verwerken gegevens in de Verenigde Staten. Voor deze doorgiften gebruiken we de Standard Contractual Clauses (Commissiebesluit 2021/914) als waarborg, aangevuld met aanvullende maatregelen waar nodig (encryptie at-rest en in-transit, zero-retention configuratie). Voor adequaat-bevonden derde landen (zoals UK) gebruiken we de adequacy decision.
7. Audio en AI-extractie — extra transparantie
Wanneer jij in Pinflo inspreekt:
- Je audio wordt versleuteld verzonden naar Groq voor transcriptie. Groq verwerkt het uitsluitend om tekst terug te geven — geen training.
- De tekst wordt verstuurd naar een AI-extractor (OpenRouter / Anthropic / DeepSeek, afhankelijk van configuratie) om factuurvelden te herkennen.
- Het resultaat wordt teruggestuurd naar Daphne (Deepgram) voor de gesproken bevestiging.
- Audio + transcript worden 30 dagen bewaard voor kwaliteitsverbetering en daarna automatisch gewist. Je kan vroeger laten wissen via je dashboard.
Geen van deze AI-providers gebruikt jouw data voor het trainen van hun modellen — dat is contractueel uitgesloten.
8. Geautomatiseerde besluitvorming
Pinflo gebruikt AI om factuurvelden uit je spraak te voorstellen. De definitieve factuur wordt altijd door jou bevestigd voordat ze naar je boekhoudpakket gaat. Er is geen automatische besluitvorming in de zin van artikel 22 AVG die rechtsgevolgen heeft voor jou of klanten zonder menselijke tussenkomst.
9. Cookies
Op pinflo.ai plaatsen we enkel een httpOnly sessiecookie voor login. Geen tracking-cookies, geen advertentie-cookies. De marketing-chatbot gebruikt sessionStorage (verdwijnt bij tab-sluiten). Details: cookies-pagina.
10. Beveiliging
- Wachtwoorden gehashed met bcrypt (cost 12)
- Sessiecookies HMAC-signed, httpOnly, sameSite=lax
- OAuth-tokens versleuteld at-rest met AES-256-GCM
- TLS 1.2+ voor alle verbindingen
- EU-hosting voor primaire database en app
- Rate limiting op API + magic-bytes validatie op uploads
11. Je rechten
Onder de AVG heb je de volgende rechten:
- Inzage (art. 15) — een kopie krijgen van je gegevens
- Rectificatie (art. 16) — onjuiste gegevens laten verbeteren
- Wissing / "right to be forgotten" (art. 17) — gegevens laten verwijderen wanneer ze niet meer nodig zijn
- Beperking (art. 18) — verwerking tijdelijk laten stoppen
- Dataportabiliteit (art. 20) — gegevens in een machine-leesbaar formaat opvragen
- Bezwaar (art. 21) — tegen verwerking op grond van gerechtvaardigd belang
- Intrekken toestemming — voor verwerkingen op grond van toestemming, zonder gevolgen voor eerdere verwerking
Stuur je verzoek naar hallo@pinflo.ai. We reageren binnen 30 dagen. Geen kosten, tenzij verzoeken kennelijk ongegrond of buitensporig zijn.
12. Klachten bij de toezichthouder
Vind je dat we je rechten niet respecteren? Je hebt het recht om klacht in te dienen bij de Belgische Gegevensbeschermingsautoriteit (GBA):
Gegevensbeschermingsautoriteit
Drukpersstraat 35, 1000 Brussel
Tel: +32 (0)2 274 48 00
E-mail: contact@apd-gba.be
Website: gegevensbeschermingsautoriteit.be
13. Wijzigingen aan deze verklaring
We kunnen deze verklaring updaten wanneer de wetgeving, onze subverwerkers of onze diensten wijzigen. Belangrijke wijzigingen melden we vooraf via e-mail of een banner in de app. Het versienummer en de datum bovenaan tonen wanneer ze voor het laatst is bijgewerkt.
14. Contact
Vragen, opmerkingen of een inzageverzoek? hallo@pinflo.ai — we antwoorden binnen drie werkdagen.