Privacybeleid

Laatst bijgewerkt: 23 april 2026

1. Verwerkingsverantwoordelijke

JetUp, gevestigd te Kanaalkade 57, 1811 LS Alkmaar, Nederland. Ingeschreven bij de Kamer van Koophandel onder nummer 81581513. BTW-nummer NL862145831B01. Vragen over privacy? Mail hello@jetup.nl.

2. AVG/GDPR compliance

JetUp verwerkt persoonsgegevens conform de Algemene Verordening Gegevensbescherming (AVG/GDPR). Wij hebben verwerkersovereenkomsten (DPA's) getekend met al onze sub-verwerkers, waaronder Anthropic, OpenAI, Supabase, Stripe en Vercel. Deze overeenkomsten garanderen dat jouw data verwerkt wordt volgens Europese privacystandaarden.

3. Welke gegevens verwerken we?

• Account: naam, e-mailadres, bedrijfsnaam, gehasht wachtwoord.
• Betaalgegevens: via Stripe - wij ontvangen geen kaartgegevens, alleen een referentie en factureringsadres.
• Inhoud: alles wat je zelf maakt of uploadt - chats, prompts, afbeeldingen, leads, bedrijfsprofielen.
• Gebruiksgegevens: API-aanroepen, credit-verbruik, foutlogs voor support en facturatie.

4. Encryptie en beveiliging

Wij nemen de beveiliging van jouw data serieus en passen meerdere lagen encryptie toe:

• Encryptie in transit: alle verbindingen verlopen via TLS/SSL (HTTPS). Data is onderweg altijd versleuteld, van jouw browser tot onze servers en verder naar sub-verwerkers.
• Encryptie at rest: de database is versleuteld met AES-256 (via Supabase). Zelfs bij fysieke toegang tot de servers is de data onleesbaar zonder decryptiesleutels.
• Applicatie-niveau encryptie: gevoelige velden zoals SMTP-wachtwoorden en API-keys worden extra versleuteld met AES-256-GCM voordat ze in de database worden opgeslagen. De encryptiesleutel leeft uitsluitend in onze beveiligde serveromgeving, niet in de database zelf.
• Wachtwoorden: gebruikerswachtwoorden worden gehasht opgeslagen via bcrypt (Supabase Auth). Wij kunnen jouw wachtwoord niet inzien.
• Multi-tenant isolatie: Row-Level Security (RLS) op databaseniveau garandeert dat elke klant alleen zijn eigen data kan benaderen. Zelfs bij een applicatiefout in onze code kan data niet lekken naar andere klanten.

5. Waar staat je data?

Jouw account-, content- en metadata staan uitsluitend op EU-servers:

• Supabase (database + bestandsopslag) - eu-west-1, Ierland. SOC2 Type II gecertificeerd, AES-256 at rest.
• Vercel (applicatie hosting) - EU edge (arn1). Geen data opslag, alleen verwerking.
• Stripe (betalingen) - Ierland. PCI-DSS Level 1 gecertificeerd. Wij ontvangen nooit je volledige kaartgegevens.

6. AI-modelleveranciers en data-minimalisatie

Voor AI-functionaliteit (chat, beeld, video) versturen we prompts en uploads naar Amerikaanse leveranciers. Wij passen data-minimalisatie toe: alleen de strikt noodzakelijke bedrijfscontext wordt meegestuurd. Persoonlijke leaddata (namen, e-mails, telefoonnummers van jouw klanten) wordt niet naar AI-providers gestuurd.

• Anthropic (Claude) - Verenigde Staten. API-data wordt niet gebruikt voor modeltraining. Data wordt maximaal 30 dagen bewaard voor misbruikdetectie, daarna automatisch verwijderd. DPA getekend.
• OpenAI (GPT, Whisper) - Verenigde Staten. API-data wordt niet gebruikt voor training (sinds maart 2023). Bewaring maximaal 30 dagen voor misbruikmonitoring. DPA getekend.
• Replicate (Flux, Kling, Wan, Hailuo) - Verenigde Staten. Verwerkt afbeeldingen en video. Geen opslag na verwerking. DPA getekend.
• Apify (web scraping) - Tsjechie/Verenigde Staten. Verwerkt alleen publiek beschikbare webdata, geen klantgegevens.
• DataForSEO (zoekvolumes, SERP) - Verenigde Staten. Alleen anonieme zoekopdrachten, geen persoonsgegevens.

Waarom 30 dagen bewaring bij AI-providers? Anthropic en OpenAI bewaren API-verzoeken tijdelijk (maximaal 30 dagen) uitsluitend om misbruik te detecteren en te voorkomen (bv. genereren van illegale content). Na deze periode wordt de data automatisch en permanent verwijderd. De data wordt in geen geval gebruikt om hun modellen te trainen.

Je gebruik van AI-features in JetUp is een bewuste keuze. Niet-AI features (leads beheer, team management, facturatie) verwerken data uitsluitend op EU-servers.

7. Google-gebruikersgegevens (Gmail, Google Ads)

Wanneer je in JetUp je Gmail- of Google Ads-account koppelt via Google OAuth, krijgt JetUp toegang tot specifieke Google-gegevens. Onderstaande beschrijft welke gegevens, waarvoor en hoe wij voldoen aan de Google API Services User Data Policy inclusief de Limited Use-vereisten.

7.1 Welke OAuth-scopes vragen we?

• userinfo.email + userinfo.profile + openid — basis-identificatie (naam, e-mail) voor het tonen van het verbonden account in JetUp.
• gmail.readonly — lezen van inkomende e-mails (alleen wat je expliciet door de Reply Mail-agent laat behandelen).
• gmail.send — versturen van conceptantwoorden ná jouw expliciete goedkeuring in het JetUp-dashboard.
• gmail.modify — concepten aanmaken/bijwerken/verwijderen in je Gmail concepten-folder.
• adwords — Google Ads-campagne-data lezen voor performance-rapportages én campagne-instellingen wijzigen (bv. pauzeren, budget aanpassen) ná jouw expliciete goedkeuring in het JetUp-dashboard.

7.2 Waarvoor gebruiken we deze data?

Uitsluitend om de gebruikersgerichte functies te leveren waarvoor jij ze hebt ingeschakeld:

• Gmail-inhoud wordt naar onze AI-modellen gestuurd alléén om een conceptantwoord te genereren dat in jouw Gmail concepten-folder belandt.
• Google Ads-data wordt gebruikt voor performance-rapportages, spend-monitoring en AI-aangedreven optimalisatiesuggesties (bv. budget-aanpassingen, pauzeren onderpresterende ads). Wijzigingen worden alleen toegepast ná jouw expliciete goedkeuring in het dashboard.

7.3 Limited Use Disclosure

JetUp's gebruik en overdracht van informatie ontvangen van Google API's voldoet aan de Google API Services User Data Policy, inclusief de Limited Use-vereisten:

• Wij gebruiken Google-gebruikersdata uitsluitend om de gebruikersgerichte features te leveren die jij actief hebt ingeschakeld in JetUp.
• Wij dragen Google-gebruikersdata niet over aan derden, behalve aan de strikt noodzakelijke sub-verwerkers (Anthropic / OpenAI voor AI-verwerking, Nango voor token-opslag) op basis van getekende verwerkersovereenkomsten.
• Wij gebruiken Google-gebruikersdata niet voor advertenties.
• Wij gebruiken Google-gebruikersdata niet voor het trainen, fine-tunen of verbeteren van AI-modellen. Anthropic en OpenAI hebben in hun API-DPA's gegarandeerd geen API-data voor training te gebruiken.
• Geen mensen lezen Google-gebruikersdata, behalve: (a) met jouw expliciete toestemming, (b) voor security-onderzoek bij verdachte activiteit, (c) om te voldoen aan toepasselijke wetgeving, (d) voor anonieme aggregaten.

7.4 Waar staan jouw Google-tokens?

OAuth access- en refresh-tokens worden encrypted opgeslagen bij Nango (onze OAuth-provider, EU-region). Wij zelf bewaren alleen een referentie-ID. De daadwerkelijke mail- of agenda-inhoud wordt niet permanent opgeslagen — alleen tijdelijk in-memory verwerkt om een concept te genereren. Het AI-gegenereerde concept zelf bewaren we maximaal 30 dagen voor de goedkeur-flow, daarna automatische verwijdering.

7.5 Toegang intrekken

Je kunt JetUp's toegang tot je Google-account op elk moment intrekken via:

• Binnen JetUp: /integrations → klik op de Google-koppeling → "Loskoppelen".
• Bij Google: Google Account → Beveiliging → Apps van derden → JetUp → Toegang verwijderen.

Na intrekken verwijderen wij binnen 24 uur alle aan jouw Google-account gekoppelde tokens en metadata uit onze systemen.

8. Microsoft-gebruikersgegevens (Outlook)

Wanneer je je Outlook-account koppelt via Microsoft OAuth, krijgt JetUp toegang tot Microsoft Graph API. Wij hanteren dezelfde Limited Use-principes als bij Google.

• Scopes: Mail.Read (lezen ongelezen mails), Mail.Send (versturen na expliciete goedkeuring), Mail.ReadWrite (concepten beheren), offline_access (token-refresh), User.Read (basis profiel-info).
• Doel: identiek aan Gmail — Reply Mail-agent leest mails, genereert concepten, verstuurt na jouw goedkeuring.
• Geen advertising, geen training, geen overdracht aan derden buiten de noodzakelijke sub-verwerkers.
• Token-opslag: encrypted bij Nango (EU-region). Mail-content niet permanent opgeslagen.
• Toegang intrekken: via JetUp /integrations of via Microsoft Account → App-toegang. Tokens binnen 24 uur verwijderd.

9. Overige OAuth-diensten (Slack, Discord, Monday, WordPress, WooCommerce, Missive)

JetUp ondersteunt verder OAuth-koppelingen naar Slack, Discord, Monday.com, WordPress, WooCommerce en Missive. Voor al deze diensten gelden dezelfde principes:

• Scopes: minimaal en doelgebonden — alleen wat de feature in JetUp nodig heeft (bv. Slack: chat:write + channels:read; WordPress: posts publiceren; Missive: drafts maken/lezen).
• Doel: uitsluitend de gebruikersgerichte feature die jij actief inschakelt (notificaties posten, blog publiceren, mail-conversaties beheren).
• Geen training, geen advertising, geen overdracht.
• Token-opslag: encrypted bij Nango (EU-region) of als basic-auth credentials encrypted in onze EU-database (AES-256-GCM).
• Toegang intrekken: via JetUp /integrations of in het accountbeheer van de betreffende dienst zelf. Tokens binnen 24 uur verwijderd na intrekking.

Per dienst kun je in het JetUp-dashboard exact zien welke scopes actief zijn en wanneer de connectie is gemaakt.

10. Cookies

We plaatsen alleen strikt functionele cookies (sessie, taalvoorkeur). Geen tracking-, advertentie- of analytics-cookies. Daarom is er geen cookie-banner nodig.

11. Bewaartermijn

• Actief abonnement: data wordt bewaard zolang je abonnement actief is.
• Na opzegging: 30 dagen hersteltermijn, daarna wordt alle content permanent verwijderd.
• Facturen: 7 jaar conform de Nederlandse fiscale bewaarplicht.
• AI-providers: maximaal 30 dagen na verwerking (zie sectie 6).

12. Jouw rechten (AVG)

Op grond van de AVG/GDPR heb je de volgende rechten:

• Inzage: vraag een volledig overzicht van je opgeslagen data op.
• Correctie: laat onjuiste gegevens aanpassen.
• Verwijdering: laat al je data permanent wissen ("recht op vergetelheid").
• Beperking: beperk de verwerking van je gegevens.
• Overdraagbaarheid: ontvang je data in een machineleesbaar formaat.
• Bezwaar: maak bezwaar tegen bepaalde verwerkingen.

Stuur een verzoek naar hello@jetup.nl. We reageren binnen 30 dagen. Identificatie kan nodig zijn om je verzoek te verwerken.

13. Datalekken

In het onwaarschijnlijke geval van een datalek melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens conform artikel 33 AVG. Betrokken klanten worden direct op de hoogte gesteld via e-mail.

14. Klachten

Niet tevreden over hoe wij met je gegevens omgaan? Je kunt een klacht indienen bij de Autoriteit Persoonsgegevens.

15. Wijzigingen

We kunnen dit beleid wijzigen. Materiele wijzigingen kondigen we 30 dagen vooraf aan via e-mail aan accounthouders. De meest recente versie is altijd beschikbaar op deze pagina.