Privacybeleid

VastPilot is een product van PortonToes Enterprise. Dit privacybeleid legt uit hoe wij persoonsgegevens verwerken bij het leveren van onze AI-automatisering, transparant, AVG-compliant en zonder kleine letters.

PortonToes Enterprise · Versie 1.0 · Januari 2026 · AVG-compliant

Wie zijn wij

VastPilot is een product van PortonToes Enterprise, een eenmanszaak geregistreerd in Nederland. Wij bieden AI-gestuurde workflow-automatisering voor Nederlandse notariskantoren.

Voor de verwerking van persoonsgegevens treedt PortonToes Enterprise op als verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG / GDPR).

Contactgegevens verwerkingsverantwoordelijke

PortonToes Enterprise (handelend onder VastPilot)

Nieuw Nijenrode 80, 3621 ME Breukelen, Nederland

KvK 42008749 · BTW NL869263985B01

E-mail: info@vastpilot.nl

Welke persoonsgegevens verwerken wij

Wij verwerken persoonsgegevens in twee hoedanigheden: als verwerkingsverantwoordelijke (voor gegevens van onze eigen klanten en bezoekers) en als verwerker (voor gegevens die onze klanten via VastPilot verwerken).

Gegevens van klanten en prospects

  • Naam en contactgegevens (e-mailadres, telefoonnummer, naam organisatie)
  • Inloggegevens voor het VastPilot dashboard (geanonimiseerd via Supabase Auth)
  • Communicatie via e-mail of contactformulieren
  • Factuur- en betalingsinformatie (via onze betalingsverwerker)

Gegevens verwerkt via het platform (als verwerker)

Wanneer u VastPilot gebruikt voor het verwerken van e-mail of andere kantoorcommunicatie, verwerkt VastPilot persoonsgegevens namens u als verwerkingsverantwoordelijke. Dit kunnen zijn: namen, e-mailadressen en dossier-gerelateerde gegevens van uw cliënten, wederpartijen of overige bij notariële dossiers betrokken personen. Wij verwerken deze uitsluitend op uw instructie en conform de verwerkersovereenkomst.

Websitebezoek

  • IP-adres (geanonimiseerd)
  • Browser- en apparaatinformatie (via analyticstools)
  • Bezochte pagina's en tijdstip van bezoek

Doeleinden van verwerking

Wij verwerken persoonsgegevens voor de volgende doeleinden:

  • Uitvoering van de overeenkomst: toegang verlenen tot het platform, ondersteuning bieden, facturen versturen.
  • Verbetering van de dienstverlening: analyse van gebruikspatronen (geanonimiseerd) om het platform te optimaliseren.
  • Communicatie: beantwoorden van vragen, versturen van relevanteproduct-updates of serviceberichten.
  • Wettelijke verplichtingen: bewaren van administratie conform fiscale en juridische vereisten.
  • Beveiliging: detectie van fraude, misbruik en beveiligingsincidenten.

Wij gebruiken uw persoonsgegevens niet voor geautomatiseerde besluitvorming of profilering met rechtsgevolgen.

Grondslagen voor verwerking

Elke verwerking van persoonsgegevens berust op één van de volgende juridische grondslagen:

  • Uitvoering van een overeenkomst: voor verwerking die noodzakelijk is om onze diensten te leveren (art. 6 lid 1 sub b AVG).
  • Gerechtvaardigd belang: voor beveiliging, fraudepreventie en anonieme gebruiksanalyse (art. 6 lid 1 sub f AVG). Wij wegen dit belang altijd af tegen uw privacyrechten.
  • Wettelijke verplichting: voor het bewaren van financiële administratie (art. 6 lid 1 sub c AVG).
  • Toestemming: voor e-mailmarketing, indien u zich heeft aangemeld voor onze nieuwsbrief. U kunt deze toestemming te allen tijde intrekken (art. 6 lid 1 sub a AVG).

Bewaarperioden

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor zij zijn verzameld, of zolang de wet dat vereist.

  • Klantgegevens en contractadministratie: 7 jaar na beëindiging van de overeenkomst (wettelijke bewaarplicht).
  • Via het platform verwerkte data: worden binnen 30 dagen na beëindiging van de overeenkomst verwijderd, tenzij anders overeengekomen.
  • Websiteanalytics: geanonimiseerd, maximaal 26 maanden bewaard.
  • E-mailcommunicatie: maximaal 2 jaar, tenzij langer bewaren noodzakelijk is voor een lopend geschil of wettelijke verplichting.

Ontvangers van uw gegevens

Wij delen uw persoonsgegevens niet met derden, tenzij dit noodzakelijk is voor de uitvoering van de dienstverlening of een wettelijke verplichting dit vereist.

Subverwerkers

VastPilot maakt gebruik van een beperkt aantal subverwerkers, allen gevestigd binnen de Europese Economische Ruimte (EER) of, waar dit voor een specifieke dienst niet anders kan, onder door de Europese Commissie goedgekeurde standaardcontractbepalingen (SCC's).

  • Cloud-infrastructuur: een Europese hostingprovider met datacenter in Duitsland voor onze servers en applicatiecode.
  • Database & authenticatie: een gevestigde Europese databasedienst (EU-West regio) voor veilig identiteits- en gegevensbeheer.
  • Transactionele e-mail: een Europese leverancier voor login-links, systeemnotificaties en operationele meldingen (geen marketing zonder uw toestemming).
  • AI-verwerking (afhankelijk van uw configuratie): voor de analyse van inkomende e-mail en het opstellen van concept-antwoorden wordt de inhoud verwerkt door een taalmodel-aanbieder. Kiest u voor onze lokale AI-variant, dan draait deze analyse uitsluitend op onze eigen of uw eigen server en bereikt de inhoud geen externe AI-dienst.

Voor de hosting van klantdata maken wij bewust geen gebruik van Amerikaanse hyperscalers zoals AWS, Google Cloud of Microsoft Azure. Dit beperkt sub-processorrelaties buiten de EER en de potentiële reikwijdte van buitenlandse wetgeving zoals de Amerikaanse CLOUD Act.

Een actuele en gespecificeerde lijst van subverwerkers, inclusief leveranciersnamen, exacte verwerkingsdoeleinden en de juridische basis voor eventuele doorgifte buiten de EER, wordt op schriftelijk verzoek verstrekt via privacy@vastpilot.nl, bijvoorbeeld ten behoeve van uw eigen AVG-audit of Data Protection Impact Assessment (DPIA).

Bij on-premise implementaties draait VastPilot volledig op uw eigen server. In die opstelling vervallen de cloud-infrastructuur en database-subverwerker, en, bij gebruik van onze lokale AI-variant, ook de externe AI-verwerker, zodat de inhoud van uw e-mails uw netwerk niet verlaat.

Doorgifte buiten de EER

Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte vindt uitsluitend plaats op basis van passende waarborgen (Standard Contractual Clauses) of na uw expliciete toestemming.

Uw rechten onder de AVG

Als betrokkene heeft u de volgende rechten met betrekking tot uw persoonsgegevens. U kunt deze uitoefenen via privacy@vastpilot.nl. Wij reageren binnen één maand.

Recht op inzage

U kunt opvragen welke persoonsgegevens wij over u verwerken en een kopie ontvangen.

Recht op rectificatie

Onjuiste of onvolledige gegevens kunt u laten corrigeren of aanvullen.

Recht op verwijdering

U kunt verzoeken om verwijdering van uw persoonsgegevens, tenzij wettelijke verplichtingen dit verhinderen.

Recht op beperking

In bepaalde gevallen kunt u de verwerking van uw gegevens laten beperken.

Recht op overdraagbaarheid

U kunt uw gegevens in een gestructureerd, veelgebruikt formaat ontvangen.

Recht van bezwaar

U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.

U heeft ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) via autoriteitpersoonsgegevens.nl.

Beveiliging van uw gegevens

Wij nemen de bescherming van uw persoonsgegevens serieus en treffen passende technische en organisatorische maatregelen om ongeautoriseerde toegang, verlies of misbruik te voorkomen. Concreet betekent dat:

Versleuteling

  • In transit: al het dataverkeer met onze servers verloopt versleuteld via TLS (1.2 en 1.3). Onze marketing- en applicatiedomeinen staan op de HSTS preload-lijst (Strict-Transport-Security met preload-flag), waardoor browsers nooit per ongeluk een onversleutelde verbinding kunnen maken.
  • In rust: gevoelige gegevens worden versleuteld opgeslagen met AES-256. Elk kantoor heeft een eigen encryptiesleutel (envelope encryption), geen gedeelde sleutels, geen "alles met één wachtwoord open".

Toegangscontrole

  • Need-to-know-principe: medewerkers zien alleen wat operationeel nodig is, met audit-log per toegang.
  • Multi-factor authenticatie verplicht voor alle administratieve toegang.
  • Row-level security op klantdata: zelfs als een query per ongeluk te ruim zou zijn, blokkeert de database de extra rijen.

HTTP security headers

Onze webserver stuurt actief de volgende beveiligingsheaders mee bij élk antwoord:

  • Strict-Transport-Security (HSTS), twee jaar geldig, preload, includeSubDomains
  • Content-Security-Policy, beperkt welke scripts en stylesheets de browser mag uitvoeren; voorkomt XSS bij content-injectie
  • X-Content-Type-Options: nosniff, voorkomt MIME-type-sniffing
  • X-Frame-Options: SAMEORIGIN, beschermt tegen clickjacking
  • Referrer-Policy: strict-origin-when-cross-origin, minimaliseert lekkage van URL-context
  • Permissions-Policy, schakelt camera, microfoon, geolocatie en FLoC-tracking expliciet uit

Audit trail & monitoring

  • Volledige audit trail van alle AI-verwerkingshandelingen binnen het platform, met per handeling categorie, urgentie, escalatiestatus en zekerheidsscore, die u kunt aanwenden voor uw eigen verantwoording bij KNB- of BFT-controles.
  • Regelmatige beveiligingsaudits en penetratietests op het platform.
  • Automatische onderbreking van de e-mailverwerking bij herhaalde verbindingsfouten, zodat verwerking niet ongecontroleerd doorloopt.

Bij een beveiligingsincident waarbij uw persoonsgegevens betrokken zijn, informeren wij u onverwijld en, indien vereist, de Autoriteit Persoonsgegevens zo spoedig mogelijk, uiterlijk binnen 72 uur na ontdekking, conform AVG artikel 33.

Een beveiligingsprobleem of mogelijk datalek melden? Stuur het naar security@vastpilot.nl. Wij pakken meldingen met voorrang op. Zie ook ons security.txt.

Waar uw data staat (data-soevereiniteit)

Waar persoonsgegevens fysiek worden verwerkt en opgeslagen, telt zwaar voor de AVG en voor de geheimhoudingsplicht van notarissen onder artikel 22 Wet op het notarisambt. Wij zijn daar bewust in:

Geen US-hyperscalers

VastPilot draait niet op AWS, Google Cloud, Microsoft Azure, Vercel of Netlify. Dat zijn allemaal Amerikaanse aanbieders. Onder de Amerikaanse CLOUD Act kunnen Amerikaanse autoriteiten in beginsel toegang vorderen tot data, ook bij EU-locaties van diezelfde providers. Voor cliëntdata onder geheimhoudingsplicht is dat een onaanvaardbaar risico.

Onze stack, volledig EER

  • Hosting: Hetzner Online GmbH, datacenter in Falkenstein (Duitsland), een Europese aanbieder zonder US-moederbedrijf.
  • Platform: Coolify, open-source PaaS (MIT-licentie), draait op onze eigen Hetzner-server. Geen externe SaaS-laag.
  • E-mail: Brevo (voorheen Sendinblue), Frans bedrijf met EU-datacenter.
  • Database: Supabase met EU-region instelling, geen US-replica's.

On-premise: de standaard voor dossierdata

Alle AI-verwerking van dossier- en cliëntdata draait on-premise, op een machine in het pand van het kantoor. Daarvoor is er geen AI-sub-verwerker: dossierinhoud wordt niet aan een externe AI-aanbieder doorgegeven. Kantoren die de volledige stack op eigen server willen draaien, kunnen dat ook: dan is er geen enkele sub-verwerker tussen u en uw data, met back-ups in eigen beheer en geen verbinding met onze infrastructuur nodig voor de werking.

De volledige lijst van sub-verwerkers staat in onze verwerkersovereenkomst.

Marketing chatbot

Onze website bevat een AI-chatbot rechtsonder die vragen over VastPilot beantwoordt. Wanneer u de chatbot gebruikt, verwerken wij de volgende gegevens:

  • De berichten die u stuurt en de antwoorden die u ontvangt
  • Een unieke sessie-identifier (UUID) die wordt opgeslagen in uw browser om de chat-historie te behouden
  • Een geanonimiseerde (gehashte) versie van uw IP-adres, uitsluitend voor het tegengaan van misbruik (rate-limiting)
  • De pagina waarop u de chat opent, voor het begrijpen van de context van uw vraag
  • Bij doorverwijzing naar een menselijke medewerker (“Praat met een mens”): naam, e-mailadres, telefoonnummer (optioneel) en aanvullend bericht

Verwerkingsdoel: uw vragen beantwoorden en, op uw expliciete verzoek, persoonlijk contact opnemen.

Bewaartermijn: 90 dagen na de laatste activiteit. Daarna worden gesprekken automatisch verwijderd, tenzij u via “Praat met een mens” expliciet contact heeft gevraagd, in dat geval bewaren wij de gegevens zolang dit nodig is voor de afhandeling van uw vraag of zolang u klant van VastPilot bent.

Subverwerker AI (alleen voor deze website-chat): voor het genereren van antwoorden wordt uw bericht verstuurd naar Anthropic PBC (Verenigde Staten), de aanbieder van het taalmodel Claude. Deze doorgifte vindt plaats onder de Standard Contractual Clauses (SCC's) van de Europese Commissie. Anthropic gebruikt de inhoud van API-aanvragen niet voor het trainen van haar modellen. Dit geldt uitsluitend voor de chatfunctie op deze marketing-website; de AI in het VastPilot-platform zelf draait lokaal bij het kantoor en stuurt geen dossier- of cliëntdata naar externe AI-aanbieders.

De chatbot is herkenbaar als AI, het paneel toont permanent het label “VastPilot AI” en een verwijzing naar dit privacybeleid. Voer geen gevoelige persoonsgegevens of vertrouwelijke informatie in via de chatbot.

Verwijdering van uw chat-historie kunt u op elk moment aanvragen door een e-mail te sturen naar privacy@vastpilot.nl, vermeld daarbij uw sessie-identifier indien beschikbaar (zichtbaar in het chatpaneel onder het instellingen-icoon). Wij voeren het verzoek binnen 30 dagen uit.

Cookies en trackingtechnologieën

Onze website maakt gebruik van functionele cookies die noodzakelijk zijn voor de werking van de site (sessiecookies, authenticatie). Deze cookies vereisen geen toestemming.

Voor analytische doeleinden maken wij gebruik van privacy-vriendelijke analytics zonder gebruik van third-party tracking cookies. Er worden geen persoonsgegevens gedeeld met advertentienetwerken.

U kunt cookies weigeren of verwijderen via uw browserinstellingen. Functionele cookies kunnen van invloed zijn op de werking van het platform.

Wijzigingen in dit privacybeleid

Wij behouden ons het recht voor dit privacybeleid te wijzigen. Wijzigingen worden gepubliceerd op deze pagina met een bijgewerkte versiedatum. Bij materiële wijzigingen informeren wij u per e-mail of via een melding in het dashboard.

Wij adviseren u dit beleid periodiek te raadplegen. Dit beleid is voor het laatst bijgewerkt in januari 2026.

Contact en vragen

Heeft u vragen over dit privacybeleid, wilt u een recht uitoefenen of heeft u een klacht? Neem dan contact met ons op:

PortonToes Enterprise | VastPilot

E-mail: info@vastpilot.nl

Wij streven ernaar binnen vijf werkdagen te reageren op uw verzoek.

Versie 1.0 · Vastgesteld januari 2026 · PortonToes Enterprise