In het kort: We verwerken alleen wat nodig is om je site te bouwen en te supporten. Geen tracking-cookies, geen data-doorverkoop. Jij hebt altijd het recht op inzage, correctie en verwijdering. Vragen? luuk@plekk.studio.
Verwerkingsverantwoordelijke in de zin van de AVG is Plekk, eenmanszaak van Luuk van der Poel, KvK [nummer volgt na registratie 1 mei 2026], gevestigd te Breda, bereikbaar via luuk@plekk.studio. Plekk heeft geen Functionaris Gegevensbescherming (FG): de verwerking is niet van zodanige aard of omvang dat aanstelling onder art. 37 AVG verplicht is. Voor alle privacyvragen is Luuk van der Poel zelf het aanspreekpunt.
| Categorie | Doel | Grondslag | Bewaartermijn |
|---|---|---|---|
| Naam, e-mail, telefoon | Contact + uitvoering Overeenkomst | Uitvoering overeenkomst (art. 6 lid 1 sub b AVG) | 7 jaar (fiscale bewaarplicht) |
| Bedrijfsnaam, KvK, BTW-id | Facturatie | Wettelijke plicht (sub c) | 7 jaar |
| Intake-chatlogs | Intake, bouw concept + site, debug | Uitvoering overeenkomst (sub b) | 12 maanden na Oplevering; daarna geanonimiseerd |
| Foto's / assets | Gebruik in de te bouwen website | Uitvoering overeenkomst (sub b) | 12 maanden na Oplevering, tenzij eerder verwijderd op verzoek |
| IP-adres + User-Agent | Fraudepreventie, beveiliging, rate-limiting | Gerechtvaardigd belang (sub f) | 12 maanden |
| Factuur- en betaaldata | Financiële administratie | Wettelijke plicht (sub c) | 7 jaar |
| Vercel Web Analytics-metadata | Geaggregeerde bezoekstatistieken | Gerechtvaardigd belang (sub f) | Geen persoonsdata bewaard |
| E-mailcorrespondentie | Klantcommunicatie | Uitvoering overeenkomst (sub b) | 3 jaar (support) / 7 jaar indien fiscaal relevant |
Plekk plaatst uitsluitend strikt noodzakelijke cookies die technisch vereist zijn voor de intake-chat en het klantdashboard (sessie-token, CSRF-token). Onder art. 11.7a lid 3 Telecommunicatiewet is hiervoor geen toestemming vereist. We gebruiken geen tracking- of advertentiecookies.
Voor statistieken gebruiken we Vercel Web Analytics. Deze tool slaat geen cookies op en verwerkt geen IP-adressen of andere persoonsgegevens, waardoor toestemming niet vereist is (audience-measurement-uitzondering, Overweging 49 ePrivacy-richtlijn). Speed Insights van Vercel meet prestatie-metrics op anonieme wijze.
Wij schakelen onderstaande partijen in bij de verwerking. Met elk is een verwerkersovereenkomst gesloten (behoudens Mollie, dat zelfstandig verwerkingsverantwoordelijke is voor betaalgegevens).
| Partij | Doel | Locatie | Waarborg bij doorgifte |
|---|---|---|---|
| Google LLC (Sheets, Gmail) | Klantadministratie + e-mailverkeer | EU + VS | Google Cloud DPA + EU SCC's + EU-US DPF |
| Supabase Inc. | Authenticatie dashboard (magic-link) | EU (Frankfurt) | Supabase DPA; EU-regio |
| Cloudinary Ltd. | Opslag + transformatie afbeeldingen | VS | Cloudinary DPA + EU SCC's + EU-US DPF |
| Anthropic, PBC | Generatieve AI (chat + build) | VS | Anthropic Commercial DPA + EU SCC Module 2 + TIA |
| Resend, Inc. | Transactionele e-mail | IE (EU) + VS (accountdata) | Resend DPA + EU SCC's + EU-US DPF |
| Vercel Inc. | Hosting plekk.studio | VS/EU | Vercel DPA + EU SCC's |
| Mollie B.V. | Afhandeling betalingen | EU (NL) | Zelfstandig verwerkingsverantwoordelijke onder PSD2, eigen privacyverklaring |
Waar doorgifte naar de Verenigde Staten plaatsvindt (Anthropic, Cloudinary, Vercel, Resend-accountdata), gebeurt dit op basis van: (i) adequaatheid via het EU-US Data Privacy Framework voor partijen die op de DPF-lijst staan (Cloudinary, Resend, Vercel, Google); en/of (ii) de EU Standard Contractual Clauses (Commission Implementing Decision (EU) 2021/914, Module 2 of 3), aangevuld met een schriftelijke Transfer Impact Assessment (TIA) conform EDPB Recommendations 01/2020 en aanvullende technische en organisatorische maatregelen (data-minimisatie, encryptie in transit en at rest, no-training-opt-out waar beschikbaar, retentielimieten).
Anthropic, PBC staat niet op de DPF-lijst. Voor doorgifte naar Anthropic vertrouwt Plekk uitsluitend op de SCC Module 2 zoals opgenomen in Anthropic's Commercial DPA, in combinatie met (a) een eigen TIA (intern beschikbaar op verzoek), (b) data-minimisatie aan de bron (geen BSN, KvK-nummer, financiële- of bijzondere persoonsgegevens worden naar Claude gestuurd), (c) Anthropic's "no-training" garantie voor commerciële API-verkeer, en (d) een korte retentie aan Anthropic-zijde. Anthropic biedt momenteel geen dedicated EU-residentie voor de directe API; data wordt verwerkt in de "us" of "global" infrastructuur. Indien dit waarborgenniveau in de toekomst onvoldoende blijkt, evalueert Plekk migratie naar AWS Bedrock EU of Google Vertex AI EU.
Status DPF mei 2026: de Europese Commissie's adequaatheidsbesluit van 10 juli 2023 blijft van kracht. Een eerste juridische uitdaging (zaak T-553/23 Latombe) is op 3 september 2025 door het Gerecht afgewezen; tegen die uitspraak is in oktober 2025 hoger beroep ingesteld bij het Hof van Justitie EU. Plekk monitort deze procedure; bij eventuele vernietiging van het DPF zal Plekk uitsluitend op SCC's en aanvullende waarborgen vertrouwen — geen contractuele wijziging is dan nodig aangezien deze waarborgen al de basis vormen.
De intake-chat en de initiële concept-build worden ondersteund door generatieve AI-modellen. Er is géén sprake van uitsluitend geautomatiseerde besluitvorming in de zin van artikel 22 AVG: elke oplevering wordt door Luuk van der Poel persoonlijk gereviewed voordat deze naar Klant wordt verstuurd, en acceptatie van klanten gebeurt niet op basis van een algoritmisch profiel. Klanten kunnen te allen tijde menselijk contact vragen via luuk@plekk.studio.
AI Act — art. 50 Verordening (EU) 2024/1689. Plekk handelt als deployer van een chat-systeem in de zin van art. 50 lid 1 AI Act. De volledige toepasselijkheid van deze bepaling treedt per 2 augustus 2026 in werking. Plekk implementeert reeds nu de twee kernverplichtingen:
Voor websites die door Plekk worden gebouwd geldt: Klant voert vóór livegang een menselijke editorial review uit op alle teksten en is daarmee — conform art. 50 lid 4 sub a AI Act — de verantwoordelijke voor publicatie. Hierdoor is afzonderlijke disclosure aan eindgebruikers van de Klant-site niet wettelijk verplicht, maar Plekk adviseert Klant deze transparantie alsnog vrijwillig op te nemen waar de site nieuws-, opinie- of vergelijkbare publieke-belang-content bevat.
Plekk hanteert passende technische en organisatorische maatregelen conform artikel 32 AVG, waaronder: HTTPS/TLS voor al het dataverkeer, encryption-at-rest bij cloudleveranciers, HMAC-gesigneerde sessie-tokens (SHA-256), principle-of-least-privilege voor toegang tot klantdata, twee-factor-authenticatie op alle beheeraccounts, rate-limiting tegen abuse, magic-byte verificatie op file-uploads, en periodieke review van logs.
Op grond van de AVG heeft u recht op:
Een verzoek kan worden ingediend via luuk@plekk.studio. Ingelogde klanten kunnen verwijdering ook zelf starten via het dashboard (Account → Gevarenzone → Verwijder mijn data). Plekk reageert binnen 30 dagen (art. 12 AVG) en kan bij complexiteit éénmaal met twee maanden verlengen.
Het recht op verwijdering kent uitzonderingen (art. 17 lid 3 AVG), in het bijzonder voor gegevens die Plekk op grond van fiscale bewaarplicht (art. 52 AWR, 7 jaar) moet bewaren. In dat geval worden die gegevens niet verwijderd maar "beperkt" (art. 18 AVG): niet langer actief gebruikt, alleen ter voldoening aan de wettelijke plicht.
Bent u ontevreden over de afhandeling? U heeft het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (Postbus 93374, 2509 AJ Den Haag, autoriteitpersoonsgegevens.nl).
Indien zich een inbreuk op de beveiliging voordoet die leidt tot (een aanzienlijk risico op) verlies, onrechtmatige verwerking of ongeautoriseerde toegang tot persoonsgegevens, meldt Plekk dit binnen 72 uur aan de Autoriteit Persoonsgegevens (art. 33 AVG) en — indien vereist — aan de betrokkenen (art. 34 AVG). Subverwerkers zijn contractueel gehouden Plekk zonder onnodige vertraging te informeren.
Plekk kan deze privacyverklaring wijzigen. De actuele versie staat altijd op plekk.studio/privacy. Ingrijpende wijzigingen worden minimaal 14 dagen van tevoren per e-mail aan actieve klanten gemeld.
Plekk — Luuk van der Poel — Breda — luuk@plekk.studio · Voorwaarden · Verwerkersovereenkomst · Geld-terug